g-docweb-display Portlet

Provvedimento del 27 maggio 2021 [9689307]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9689307]

Provvedimento del 27 maggio 2021

Registro dei provvedimenti
n. 215 del 27 maggio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d. lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida in materia di trasparenza”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Introduzione

Questa Autorità ha ricevuto una segnalazione anonima, con la quale è stata contestata una possibile violazione della normativa in materia di protezione dei dati personali da parte dell’Azienda Ospedaliera “Ospedali Riuniti Marche Nord”.

Nello specifico, come emerso dalla verifica preliminare effettuata dall’Ufficio, nell’area del sito web istituzionale dedicata all’albo pretorio online della predetta Azienda ospedaliera (https://www.albopretorionline.it/...), sezione XX (https://www.albopretorionline.it/...) era possibile visualizzare e scaricare il file integrale della determina del Direttore generale n. XX del XX, avente a oggetto «XX», con i relativi allegati fra cui il «prospetto riepilogativo posizione creditorie». Il predetto file era presente all’url: https://www.albopretorionline.it/....

La predetta determina, che aveva a oggetto l’affidamento a un legale per il recupero di posizioni creditorie a favore di nove cittadini stranieri extracomunitari, conteneva, nell’allegato n. 1, il prospetto riepilogativo delle posizioni debitorie, che riportava in chiaro il nome e cognome dei soggetti pagatori e dei soggetti assistiti, nonché il periodo di ricovero, il reparto di assistenza e la cifra dovuta all’Azienda ospedaliera per le cure usufruite.

2. La normativa in materia di protezione dei dati personali

Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).

Al riguardo, i soggetti pubblici (come l’Azienda ospedaliera) possono diffondere «dati personali» solo se tale operazione è prevista «da una norma di legge o, nei casi previsti dalla legge, di regolamento» (art. 2-ter, commi 1 e 3, del Codice), nel rispetto – in ogni caso – dei principi in materia di protezione dei dati, fra i quali quello di «minimizzazione», in base al quale i dati personali devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c, del RGPD).

In tale quadro, in ogni caso, è vietata la diffusione di dati relativi alla salute (art. 2-septies, comma 8, del Codice), ossia di «dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute» (art. 4, par. 1, n. 15; considerando n. 35 del RGPD).

Al riguardo, si ricorda che, sin dal 2014, il Garante ha evidenziato che dati idonei a rivelare lo stato di salute non sono solo l’indicazione della patologia, ma qualsiasi informazione «da cui si possa desumere, anche indirettamente, lo stato di malattia o l’esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici» (cfr. provvedimento n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436, parte prima par. 2 e parte seconda, par. 1; nonché provvedimenti ivi citati in nota n. 5).

3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.

A seguito dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX dell’XX ha accertato che l’Azienda Ospedaliera “Ospedali Riuniti Marche Nord” – diffondendo i dati e le informazioni personali, anche relativi alla salute, contenuti nel prospetto riepilogativo delle posizioni debitorie allegato n. 1 alla determina del Direttore generale n. XX del XX pubblicata online prima descritti – ha effettuato un trattamento di dati personali non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate all’Azienda ospedaliera le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando la predetta amministrazione a far pervenire al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentita da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

4. Memorie difensive.

L’Azienda Ospedaliera “Ospedali Riuniti Marche Nord”, con la nota prot. n. XX del XX, ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate.

Al riguardo, si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».

Nello specifico, è stato evidenziato, fra l’altro che:

- «Negli anni 90, in particolare, un elevato numero di soggetti stranieri extracomunitari ha richiesto di essere sottoposto a prestazioni sanitarie erogate presso l’Azienda Ospedaliera scrivente. Tali soggetti, privi di iscrizione al Servizio Sanitario Nazionale, hanno avuto accesso alle cure in AORMN in quanto muniti di un mero visto di ingresso in Italia strettamente correlato alle esigenze connesse alle cure medesime. Ai sensi della normativa allora vigente in materia, i pazienti in questione avrebbero dovuto provvedere direttamente, attraverso le proprie risorse, a far fronte ai costi e alle spese inerenti i singoli e specifici trattamenti sanitari ricevuti presso l’Azienda medesima».

- «La gestione delle suddette posizioni si è profilata nel corso degli anni estremamente articolata e complessa e deve essere sottolineato […] che le n. 9 posizioni oggetto della determina n. XX costituivano una porzione del più ampio credito vantato nei confronti di terzi da parte di AORMN per le stesse causali»;

- «le determina n. XX ed il relativo documento istruttorio, in considerazione della sopra illustrata peculiarità della situazione e degli interessi economici coinvolti, doveva essere necessariamente dotata di tutte le indicazioni utili ed idonee a consentire a tutte le articolazioni aziendali nonché a tutti gli Organi di Controllo interni ed esterni all’Amministrazione di avere immediata percezione della problematica e dell’incidenza della stessa sulla esposizione creditoria aziendale».

- «Proprio alla luce di tale circostanza, la Posizione Organizzativa, cui competeva la responsabilità del procedimento in materia, riteneva vieppiù opportuno fornire, seppure circostanziando al minimo le informazioni relative ai dati personali (come meglio si specificherà in seguito), tutte le notizie idonee ad individuare, in modo certo ed immediato, il credito interessato e la Unità Operativa – ossia in Centro di Costo aziendale – nel cui ambito si era generato il relativo costo».

- «L’allegato al documento istruttorio, a sua volta riportato in calce alla determina n. XX, è indubitabilmente “figlio” di tale valutazione. In esso, infatti, vengono individuati i nominativi dei debitori, l’ammontare dei relativi debiti e le UUOO aziendali presso le quali tali debiti si sono generati»;

- «nell’allegato de quo […] non sono indicate le generalità dell’assistito, ma semplicemente il nominativo privo di alcuna menzione della data di nascita, della nazionalità e del luogo di residenza»

In data XX si è, inoltre, svolta l’audizione richiesta dall’Azienda ospedaliera ai sensi dell’art. 166, comma 6, del Codice in occasione della quale, ad integrazione di quanto già riportato nelle memorie difensive, è stato rappresentato che:

- «dagli atti acquisiti dall’Azienda, anche a seguito della ricezione della copia della segnalazione anonima ricevuta dal Garante posta a fondamento del presente procedimento, si è avuta ulteriore conferma dell’inesistenza di alcun pregiudizio soggettivo ai soggetti interessati indicati nel documento pubblicato online. Al riguardo, si precisa che nel citato documento erano riportati soltanto i nominativi dei soggetti interessati»;

- «Gli stessi soggetti erano stati presenti nel territorio nazionale con un mero permesso provvisorio per cure (senza mai essere stati iscritti al SSN o residenti nel territorio nazionale), oltre 20 anni fa. L[‘Azienda ospedaliera] non è inoltre in grado di sapere se tali soggetti all’epoca erano stati effettivamente identificati dall’Azienda tramite documenti di riconoscimento, né se i nominativi forniti erano corretti e reali. Tale circostanza è provata dal fatto che gli stessi si sono resi completamente irreperibili per l’Azienda, la quale nonostante i numerosi sforzi non ha avuto alcuna possibilità di rintracciarli al fine di richiedere le ingenti somme dovute per l’erogazione delle prestazioni sanitarie effettuate. Inoltre, persino le Ambasciate, interpellate per tentare di rintracciare i soggetti interessati, non hanno fornito alcun risconto al riguardo»;

- «Si ritiene, di conseguenza, che nel caso sottoposto all’attenzione del Garante, i meri nominativi dei soggetti elencati nell’atto pubblicato online sono totalmente inidonei – secondo questa Azienda – a rivelare la corretta identità degli stessi, non essendo peraltro accompagnati nella delibera da alcun ulteriore riferimento, quali data e luogo di nascita, codice fiscale, luogo di residenza, paese di provenienza»;

- «nel caso di specie l’Azienda ospedaliera è parte lesa, in quanto ha ricevuto un ingente danno economico dalla mancata refusione delle spese sanitarie non saldate dai soggetti, indicati nel documento pubblicato online, che sono inadempienti e irreperibili, ma che al tempo sono stati invece correttamente presi in cura dall’ente e hanno usufruito delle relative prestazioni sanitari»;

- «l’Azienda è consapevole delle problematiche inerenti alla protezione dei dati personali derivanti dalle pubblicazioni online, per le quali coinvolge costantemente il DPO in merito a casi specifici. Al riguardo, è stato peraltro redatto un apposito documento interno per dare indicazioni al proprio personale in ordine alla corretta pubblicazione di atti e documenti sul sito web istituzionale, anche in relazione al trattamento dei dati personali».

5. Valutazioni del Garante ed esito dell’istruttoria

La fattispecie sottoposta all’attenzione del Garante riguarda la diffusione di dati e informazioni, anche relativi alla salute, riferiti a 9 soggetti contenuti in un prospetto riepilogativo di posizioni debitorie, allegato a una determina del Direttore generale pubblicata online. Nell’allegato sono riportati il nome e cognome del soggetto del soggetto assistito, il periodo di ricovero, il reparto di assistenza e la cifra dovuta all’Azienda ospedaliera, pari a somme che variano, per ogni singola posizione, da 13.000 a 227.000 euro. L’Azienda ospedaliera ha confermato l’avvenuta diffusione dei predetti dati e ha provveduto alla relativa rimozione dal sito web istituzionale.

Pertanto, sotto tale profilo, si confermano le valutazioni preliminari dell’Ufficio effettuate con la nota prot. n. n. XX dell'XX e si rileva l’avvenuta diffusione di dati sulla salute dei soggetti assistiti, in violazione dell’art. 2-septies, comma 8, del Codice; nonché dei principi di base del trattamento di cui agli artt. 5, par. 1, lett. a) e c); 9, parr. 1, 2 e 4, del RGPD.

Si ritiene, tuttavia, di dover in ogni caso considerare la particolarità del caso segnalato, che presenta una serie di circostanze – evidenziate dall’Azienda ospedaliera in sede di memorie difensive e di audizione – che risultano meritevoli di un’attenta valutazione.

Nello specifico, l’ente ha evidenziato che la questione è particolarmente risalente nel tempo e, precisamente, a quando negli anni novanta «un elevato numero di soggetti stranieri extracomunitari ha richiesto di essere sottoposto a prestazioni sanitarie erogate presso l’Azienda Ospedaliera». Si trattava di «soggetti, privi di iscrizione al Servizio Sanitario Nazionale», non residenti nel territorio nazionale, che, secondo quanto riportato, avevano avuto accesso alle cure «in quanto muniti di un mero visto di ingresso in Italia strettamente correlato alle esigenze connesse alle cure medesime» e ai «sensi della normativa allora vigente in materia, i pazienti in questione avrebbero dovuto provvedere direttamente, attraverso le proprie risorse, a far fronte ai costi e alle spese inerenti i singoli e specifici trattamenti sanitari ricevuti presso l’Azienda medesima».

Ciò nonostante, i predetti soggetti non hanno mai saldato il costo riguardante le prestazioni sanitarie ricevute e l’Azienda ospedaliera ha, al riguardo, dichiarato di non essere «in grado di sapere se tali soggetti all’epoca erano stati effettivamente identificati dall’Azienda tramite documenti di riconoscimento, né se i nominativi forniti erano corretti e reali», con la conseguenza non ci sarebbe un’assoluta sicurezza circa l’idoneità dei nominativi pubblicati online circa la possibilità di «rivelare la corretta identità degli stessi, non essendo peraltro accompagnati nella delibera da alcun ulteriore riferimento, quali data e luogo di nascita, codice fiscale, luogo di residenza, paese di provenienza». Tale circostanza sarebbe stata, inoltre, «provata dal fatto che gli stessi si sono resi completamente irreperibili per l’Azienda, la quale nonostante i numerosi sforzi non ha avuto alcuna possibilità di rintracciarli al fine di richiedere le ingenti somme dovute per l’erogazione delle prestazioni sanitarie effettuate». Sotto tale profilo, «persino le Ambasciate, interpellate per tentare di rintracciare i soggetti interessati, non hanno fornito alcun risconto al riguardo».

A ciò si aggiunge, che effettivamente nel caso di specie l’Azienda ospedaliera (e di conseguenza lo Stato italiano) sono parti lese, considerando l’avvenuta erogazione di cure sanitarie, i cui costi non sono mai stati saldati ai sensi della normativa allora vigente in materia, dai pazienti muniti di specifico «visto di ingresso in Italia strettamente correlato alle esigenze connesse alle cure medesime», resisi poi irreperibili.

Alla luce di tutto quanto sopra rappresentato, tenendo anche conto che non c’è la certezza – visti i dubbi dell’Azienda ospedaliera – circa la veridicità del nominativo dichiarato dai soggetti interessati, vista la totale irreperibilità dei debitori nonostante le richieste effettuate presso le relative ambasciate, tenendo anche conto della circostanza che nel caso di specie l’amministrazione è soggetto leso, dell’assenza di reclami o presunti danni a carico dei soggetti controinteressati, della natura colposa della violazione nonché dell’avvenuta rimozione dei dati dal sito web istituzionale, anziché infliggere una sanzione pecuniaria, si ritiene sufficiente ammonire il titolare del trattamento per la violazione rilevata dell’art. 2-septies, comma 8, del Codice, nonché dei principi di base del trattamento di cui agli artt. 5, par. 1, lett. a) e c); 9, parr. 1, 2 e 4, del RGPD, ai sensi dell’art. 58, par. 2, lett. b), del RGPD (cfr. anche considerando 148 del RGPD).

Si ritiene, altresì, ricorrere i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità del trattamento effettuato dall’Azienda Ospedaliera “Ospedali Riuniti Marche Nord” – con sede legale in Piazzale Cinelli 4 - 61121 Pesaro (PU) - C.F. 02432930416 – nei termini indicati in motivazione, ai sensi degli artt. 58, par. 2, lett. b), del RGPD

AMMONISCE

la predetta Azienda Ospedaliera per aver violato l’art. 2-septies, comma 8, del Codice; nonché i principi di base del trattamento di cui agli artt. 5, par. 1, lett. a) e c); 9, parr. 1, 2 e 4, del RGPD;

DISPONE

l’annotazione nel registro interno dell'Autorità delle violazioni e delle misure adottate ai sensi dell'art. 58, par. 2, del RGPD con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 27 maggio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei