g-docweb-display Portlet

Ordinanza di ingiunzione nei confronti di Azienda socio sanitaria territoriale Melegnano e della Martesana - 29 aprile 2021 [9672313]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9672313]

Ordinanza di ingiunzione nei confronti di Azienda socio sanitaria territoriale Melegnano e della Martesana - 29 aprile 2021

Registro dei provvedimenti
n. 173 del 29 aprile 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, l’Avv. Guido Scorza e il dott. Agostino Ghiglia, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. La violazione dei dati personali.

L’Azienda socio sanitaria territoriale Melegnano e della Martesana (di seguito “Azienda”) ha notificato al Garante, a distanza di circa tre mesi l’una dall’altra, due violazioni di dati personali ai sensi dell’art. 33 del Regolamento, aventi ad oggetto, in un caso, lo smarrimento di alcuni documenti che erano contenuti all’interno della cartella clinica sanitaria di un interessato, deceduto nel 2015 (diario infermieristico, diario clinico, consensi informati, alcuni referti, due Schede di dimissione ospedaliera, lettera di dimissione, esame radiologico e ematico) e, nell’altro, lo smarrimento di una cartella clinica contente i referti di alcuni esami strumentali, raccolti da una paziente a seguito di prestazioni sanitarie svolte in altri ospedali, propedeutici all’effettuazione di un programmato intervento chirurgico presso il P.O. di Vizzolo Predabissi. Lo smarrimento della cartella consegnata dalla paziente e contenente i referti è avvenuto durante gli spostamenti presso i vari reparti, “nonostante il personale sanitario si fosse prodigato nella ricerca” (comunicazioni, rispettivamente, del XX e del XX).

Nel primo caso, l’Azienda ha dichiarato che “a fronte di tale smarrimento, e poste in essere tutte le attività necessarie, il personale amministrativo del Presidio di Vaprio d’Adda ha deciso di denunciare lo smarrimento alla Legione Carabinieri Lombardia Stazione di Vaprio d’Adda in data 11/02/2020 ore 16:50” e ha indicato, quali misure adottate a seguito della violazione: la “Predisposizione di una check-list per la verifica della presenza delle cartelle cliniche nei faldoni consegnati alla direzione medica per l'archiviazione”; la “Ritrasmissione a tutte le Unità Organizzative Sanitarie dell'ASST di Melegnano e della Martesana della procedura corretta da dover attuare per l'archiviazione della cartella clinica cartacea”; la “Rivalutazione del processo di gestione della cartella clinica, da porre in essere nei primi giorni di marzo 2020 da parte del DPO, al fine di abbattere il rischio di perdita dei dati personali degli interessati ivi contenuti”.

Nel secondo caso, l’Azienda, a seguito della violazione, ha provveduto a far pervenire nuovamente a tutti i presidi ospedalieri afferenti all'ASST la procedura per la gestione della documentazione sanitaria, chiedendo maggiore attenzione alla sua effettiva attuazione.

2. L’attività istruttoria.

In relazione a quanto appreso dall’Azienda, e considerato che le notifiche di violazioni di dati personali hanno, entrambe, ad oggetto lo smarrimento di dati sulla salute e riguardano il medesimo titolare, l’Ufficio, nel riunire i relativi procedimenti (art. 10, comma 4, e 20 del Regolamento del Garante n. 1/2019), ha avviato, con un unico atto, del XX (prot. n. XX), ai sensi dell’art. 166, comma 5, del Codice, con riferimento alle specifiche situazioni di illiceità in esso richiamate, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2 del Regolamento, nei confronti della stessa Azienda, invitandola a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, l. n. 689 del 24 novembre 1981).

In particolare l’Ufficio, nel predetto atto ha preliminarmente rappresentato che la disciplina in materia di protezione dei dati personali stabilisce che i medesimi dati devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)” (art. 5, par. 1, lett. f) del Regolamento). L’adeguatezza di tali misure deve essere valutata da parte del titolare e del responsabile del trattamento rispetto alla natura dei dati, all’oggetto, alle finalità del trattamento e al rischio per i diritti e le libertà fondamentali degli interessati, tenendo conto dei rischi che derivano dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso a dati personali (art. 32, par. 1 e 2 del Regolamento).

Ciò premesso, con il predetto atto del XX, l’Ufficio ha accertato che l’Azienda ha effettuato dei trattamenti di dati personali, in violazione dell’obbligo di sicurezza di cui all’art. 32 del Regolamento e dei principi di base del trattamento di cui all’art. 5 del medesimo Regolamento.

Con nota del XX, l’Azienda ha fatto pervenire le proprie memorie difensive, nelle quali, in particolare, ha evidenziato che:

- “le violazioni sono da considerarsi una tantum e non ripetitive derivanti esclusivamente da un errore umano” e “fanno riferimento a due interessati”, considerato che l’Azienda “ha accolto, secondo la media dell’ultimo quinquennio, oltre 3.750.000 pazienti”;

- con riferimento alla violazione del 14 febbraio 2020 “non è stata smarrita l’intera cartella clinica, bensì solo alcuni documenti a questa afferenti, risultati non presenti nel momento di uno dei controlli previsti dalla procedura aziendale e dalle prassi in uso aziendale. I citati controlli vengono eseguiti anche al fine di far emergere eventuali errori umani che si possono verificare nella gestione ordinaria”, mentre, con riferimento alla violazione del 21 maggio 2020, “sono stati smarriti i referti degli esami strumentali eseguiti presso altri ospedali, propedeutici all'intervento. Si presuppone che in caso di necessità di tale documentazione l’interessato sia nella possibilità di ricevere copia di documenti smarriti dalle strutture ospedaliere presso le quali sono stati effettuati gli esami”;

- “lo smarrimento dei documenti sopra citati può essere dipeso soprattutto dalla situazione di straordinaria emergenza che l’Azienda Socio Sanitaria Territoriale Melegnano e della Martesana stava vivendo a causa del virus Covid-19. Le strutture sanitarie e i reparti, in tale periodo emergenziale, venivano trasformati velocemente da No-Covid a reparti Covid al fine di poter gestire ed arrestare la pandemia che ha investito in particolar modo la Regione Lombardia, con conseguenti momenti di difficoltà organizzativa interna, dettata anche dalla carenza di personale, posto che quello presente era concentrato nella gestione della pandemia”;

- “la violazione abbia carattere colposo in quanto è stata dettata esclusivamente da un errore umano del personale aziendale autorizzato al trattamento dei dati personali”;

- “in ragione dell’evento sviluppatosi in data 14 febbraio 2020 l’Azienda Socio Sanitaria Territoriale Melegnano e la Martesana ha avviato una verifica interna al fine di capire la motivazione dell’accaduto e contestualmente ha acquisito notizie per contattare l’interessato. Emergendo che il paziente è deceduto nel 2015, si è ritenuto opportuno non sviluppare alcuna comunicazione agli eredi per motivi etici (ricordo delle persone decedute). (…) è stata tempestivamente sporta denuncia dello smarrimento ai Carabinieri di Vaprio d’Adda. La verifica interna ha appurato la straordinarietà dell’evento dovuto all’errore umano, portando l’Azienda a stabilire di avviare una procedura di revisione della gestione della cartella clinica. A causa del verificarsi della pandemia derivante dal virus Covid-19 si è reso necessario sospendere temporaneamente le attività di revisione”;

- “nel frattempo si è verificata la violazione notificata in data 21 maggio 2020, per la quale ai sensi dell’articolo 34 del Regolamento 679/2016/UE si è provveduto a fare comunicazione all’interessato per consentire, tra l’altro, a quest’ultimo di richiedere copia dei documenti dispersi alle strutture presso le quali tali documenti sono stati prodotti”;

- “all’inizio di luglio 2020, dato l’allentarsi della straordinaria emergenza sanitaria, sono state riprese le attività di analisi della situazione sopra descritte per la citata revisione”;

- “ha attivato fin dal 2008 un’attività costante di formazione del personale in materia di data protection (…)”;

- “per la gestione della cartella clinica, nel marzo del 2019, l’Azienda ha provveduto a revisionare la procedura aziendale «Procedura generale aziendale-gestione della cartella clinica»;

- “in ragione degli eventi sviluppatisi e notificati a Codesta Autorità, nonché a seguito di confronto effettuato in data 2/7/2020 con i referenti dell’Azienda e con il RPD, è emersa la necessità di revisionare e implementare ulteriormente la procedura in essere e istruire ulteriormente gli incaricati e i responsabili interni di trattamento. I referenti aziendali hanno deciso di intraprendere un’azione correttiva volta ad aggiornare la gestione della cartella clinica in tutta la realtà aziendale”;

- “verranno pertanto avviate e/o implementate le seguenti attività: - Condivisione con tutte le UU.OO. sanitarie di vademecum sulla corretta gestione della cartella clinica; condivisione con tutte le UU.OO. di un questionario di valutazione sull’attuale gestione della cartella clinica con lo scopo di definire ulteriori controlli della qualità documentale, oltre quelli già presenti nella procedura in allegato; implementazione di ulteriori azioni di monitoraggio e revisione oltre a quelle già definite in procedura; calendarizzazione di incontri specifici con il RPD; programmazione di ulteriori corsi formativi focalizzati sulla corretta gestione di documentazione e dati clinici e sanitari (…)”;

- “l’ASST per evitare il continuo passaggio in originale della cartella clinica ha avviato il processo di digitalizzazione delle cartelle ai fini di consultazione. Tale processo porterà notevoli vantaggi in materia di sicurezza della consultazione della citata documentazione sanitaria”;

- “la gestione dell’emergenza sanitaria derivante da COVID ha fortemente coinvolto la (..) ASST che ha gestito più di 1300 pazienti Covid di cui molti nei reparti di terapia intensiva”.

3. Esito dell’attività istruttoria

Premesso che ai dati personali concernenti le persone decedute continuano ad applicarsi le tutele previste dalla disciplina in materia di protezione dei dati personali (come evidenziato dal Garante nel provv. del 10 gennaio 2019, n. 2, doc. web n. 9084520) e che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice (“Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”), all’esito dell’esame della documentazione acquisita nonché delle dichiarazioni rese all’Autorità nel corso del procedimento, emerge che l’Azienda, in entrambi i casi notificati dall’Azienda ai sensi dell’art. 33 del Regolamento, ha posto in essere dei trattamenti in violazione dei principi di base del trattamento di cui all’art. 5 par. 1, lett. f) del Regolamento e degli obblighi del titolare del trattamento di cui all’art. 32 del medesimo Regolamento, in materia di sicurezza del trattamento.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria, si rappresenta che gli elementi forniti dal medesimo titolare nelle memorie difensive, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Pertanto, si confermano le valutazioni preliminari dell’Ufficio e si rileva l’illiceità dei trattamenti di dati personali sulla salute effettuati dall’Azienda, in violazione degli artt. 5 e 32 del Regolamento.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che l’Azienda ha fornito assicurazioni in ordine alle azioni intraprese e da intraprendere al fine di evitare la ripetizione della condotta errata, non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento, fermo restando quanto si affermerà in prosieguo.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par. 1, lett. f), e 32, par. 1 e 2 del Regolamento, causata dalle condotte poste in essere dall’Azienda, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par.4, lett. a) e 83, par. 5, lett. a) del Regolamento.

Come sopra rappresentato, in considerazione del fatto che le questioni hanno, entrambe, ad oggetto lo smarrimento di dati sulla salute e riguardano il medesimo titolare verificatesi in un ristretto arco temporale e che l’Azienda nelle memorie difensive ha fornito elementi concernenti entrambe le notifiche di violazioni, si adottano le rispettive sanzioni amministrative in un unico provvedimento (artt. 10, comma 4, e 19 del Regolamento del Garante n. 1/2019).

Si consideri che il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2, del Regolamento, in relazione ai quali si osserva che:

le violazioni hanno carattere colposo (art. 83, par. 2, lett. b) del Regolamento);

l’Autorità ha preso conoscenza degli eventi a seguito della notifica di violazione dei dati personali effettuata dallo stesso titolare e non sono pervenuti reclami o segnalazioni al Garante sull’accaduto (art. 83, par. 2, lett. a) e h) del Regolamento);

l’Azienda ha collaborato con l’Autorità nel corso dell’istruttoria e del presente procedimento (art. 83, par. 2, lett. c), d) e f) del Regolamento);

non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento né sono stati precedentemente disposti provvedimenti di cui all’art. 58 del Regolamento (art. 83, par. 2, lett. e) e i) del Regolamento);

le condotte sono maturate nell’ambito del peculiare contesto lavorativo derivante dalla situazione emergenziale causata dall’epidemia da Covid-19, che ha interessato fortemente l’Azienda interessata (art. 83, par. 2, lett. k) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 4, lett. a) e par. 5, lett. b) del Regolamento, nella misura di euro 3.000 (tremila) per ciascuna delle violazioni degli artt. 5, par. 1, lett. f) e 32, par. 1 e 2, per un totale complessivo pari a euro 6.000 (seimila) quali sanzioni amministrative pecuniaria ritenute, ai sensi dell’art. 83, par. 1, del Regolamento, effettive, proporzionate e dissuasive.

Si ritiene, altresì, che, con riferimento ad entrambe le questioni esaminate, debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità dei trattamenti di dati personali effettuati dall’Azienda socio sanitaria territoriale Melegnano e della Martesana, per la violazione degli artt. 5, par. 1, lett. f), e 32, par. 1 e 2 del Regolamento nei termini di cui in motivazione.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, all’Azienda socio sanitaria territoriale Melegnano e della Martesana, con sede legale in Vizzolo Predabissi (MI), in via Pandina n. 1, C.F. e P. Iva 09320650964, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 3.000 (tremila) a titolo di sanzione amministrativa pecuniaria, per ciascuna delle violazioni indicate nel presente provvedimento, per una complessiva somma di euro 6.000 (seimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

                    INGIUNGE

alla predetta Azienda socio sanitaria territoriale Melegnano e della Martesana, di pagare la somma di euro 6.000 (seimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981. Al riguardo, si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro 30 giorni dalla data della notifica del presente provvedimento, ai sensi dell’art. 166, comma 8, del Codice (cfr. anche art. 10, comma 3, del d. lgs n. 150 del 1° settembre 2011).

DISPONE

- la pubblicazione del presente provvedimento sul sito web del Garante, ai sensi dell’art. 166, comma 7, del Codice;

- l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 29 aprile 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei