g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Ospedale Pediatrico Bambino Gesù - 24 giugno 2021 [9689566]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9689566]

Ordinanza ingiunzione nei confronti di Ospedale Pediatrico Bambino Gesù - 24 giugno 2021

Registro dei provvedimenti
n. 250 del 24 giugno 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Cerrina Feroni, vice presidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il d.lgs. 10 agosto 2018, n. 101, recante Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati);

VISTO le “Linee guida in materia di Dossier sanitario - 4 giugno 2015” (Provv. 4 giugno 2015, pubblicato in G.U. 164 del 17 luglio 2015, doc. web n. 4084632);

VISTO le “Guidelines 01/2021 on Examples regarding Data Breach Notification” adottate dal Comitato Europeo per la protezione dei dati il 14 gennaio 2021;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

Relatore il dott. Agostino Ghiglia:

PREMESSO

1. La violazione di dati personali.

Il 10 marzo 2020, l’Ospedale Pediatrico Bambino Gesù di Roma (di seguito OPBG), in qualità titolare del trattamento, ha notificato al Garante, ai sensi dell’art. 33 del Regolamento, una violazione dei dati personali “a seguito di segnalazione del genitore di un paziente (minore) che ha chiesto l’aggiornamento della stampa della documentazione di interesse in quanto nella stessa comparivano dati riferiti ad altro paziente”.

Nella predetta notifica l’Ospedale ha rappresentato, in particolare, che “la violazione ha riguardato il servizio di stampa della cartella clinica per la successiva consegna al paziente attraverso lo strumento della "carta della salute" o la spedizione a casa. Il processo di stampa, a causa di un bug che considerava solo il numero di episodio trascurando il codice paziente, presentava anche la cartella di pronto soccorso di un altro paziente. Il bug non è stato riscontrato poiché la visualizzazione della cartella da repository era corretta e la stampa viene prodotta da un tool automatico; per questioni di riservatezza, il personale che produce le stampe, non essendo autorizzato, non consulta il contenuto ma invia il file all'archiviazione e alla pubblicazione. La violazione ha riguardato complessivamente 19 cartelle delle quali 17 inviate al paziente mezzo posta e 2 consultate attraverso la “carta della salute””.

Nell’atto di notifica, l’OPBG ha precisato che la violazione è occorsa nel periodo intercorrente tra il 14 gennaio e il 13 febbraio 2020 e di esserne venuto a conoscenza, il 5 marzo 2020, a seguito “dell’informativa al Titolare da parte del Responsabile della Funzione Privacy dell’Ospedale che, unitamente al DPO, ha coordinato l’istruttoria funzionale all’analisi dell’incidente occorso”, avviata a seguito del ricevimento della richiamata segnalazione.

2. L’attività istruttoria.

Con riferimento alla predetta violazione, con nota del 26 marzo 2020 (prot. n. 12145), l’Ufficio ha chiesto informazioni all’OPBG in merito alle cause, tecnico- organizzative, che hanno determinato la violazione dei dati personali.

Con nota del 10 aprile 2020 (prot. n. 885) l’OPBG, nel fornire riscontro alla richiamata richiesta di informazioni dell’Ufficio, ha rappresentato che:

“Il soggetto coinvolto nel trattamento di dati personali oggetto di violazione è la XX in virtù di contratto per la fornitura del sistema di gestione della cartella clinica e relativa nomina a Responsabile ex art. 28”;

“Gli episodi di pronto soccorso hanno una numerazione progressiva indipendente e diversa da quella dei ricoveri, pur presentando lo stesso formato 'anno+progressivo"; tuttavia ad inizio di anno, quando il progressivo viene inizializzato, le due numerazioni, per un breve periodo di tempo, viaggiano con numeri simili. Il programma di stampa che produce la documentazione del paziente (comprensiva di referto di pronto soccorso e di cartella clinica elettronica) ha rivelato un malfunzionamento strutturale per il quale non è stata considerata la coppia di indici "codice paziente" e "numero di episodio", ma soltanto (…) il numero di episodio. Questo malfunzionamento ha fatto sì che, per alcuni pazienti, la documentazione conteneva la cartella clinica elettronica a ciascuno di loro correttamente riferita, mentre a ciascuna cartella veniva associato il referto di pronto soccorso di un altro paziente; questo perché gli eventi avevano lo stesso numero ma di una serie diversa. Questo ha generato la violazione”;

di aver provveduto “non appena avuta evidenza della situazione all’”Interruzione dell'unione dei documenti dei diversi episodi; Individuazione dei pazienti con la documentazione che presentava il problema; Cancellazione della documentazione non correttamente associata al paziente dalla carta della salute; Individuazione dei pazienti ai quali era stata inviata la documentazione in formato cartaceo ovvero che avevano già consultato la documentazione stessa attraverso la carta della salute; Invio della documentazione corretta con una comunicazione di accompagnamento di seguito riportata: "Gentile sig. da un controllo interno abbiamo constatato il verificarsi di un errore informatico che ha prodotto la trasmissione a Lei della cartella clinica n.   contenente documentazione sanitaria non pertinente. Scusandoci per l'accaduto, le inviamo nuovamente il documento e le chiediamo cortesemente di distruggere quello ricevuto in precedenza. Ricordiamo che qualsiasi modifica o distribuzione a terzi è assolutamente vietata. Ricordiamo, inoltre, che la comunicazione, la diffusione, l'utilizzo e/o la conservazione dei dati ricevuti per errore, costituiscono violazioni alle disposizioni del Regolamento Generale sulla protezione dei dati personali 679/2016 dell’Unione Europea e sono sanzionabili””.

è stata inviata "al fornitore la richiesta di correzione del programma (…), e richiesta una relazione sull'accaduto”;

“Quanto alla correzione del bug, (…) è in corso di risoluzione, mentre, nel frattempo è stato interrotto l'inserimento nella cartella clinica dei referti non propri del ricovero (…) ora è in corso un'attività di introduzione di una nuova funzione di archiviazione delle cartelle, ad uso del personale sanitario, che genera il file pdf e che quindi può essere controllato dal personale autorizzato prima dell'invio ai pazienti o alla carta della salute”.

In relazione a quanto emerso dalla documentazione in atti, l’Ufficio ha notificato all’OPBG, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981) (nota del 20 ottobre 2020, prot. n.38986).

In particolare l’Ufficio, nel predetto atto, ha rilevato la sussistenza di elementi idonei a configurare da parte dell’OPBG le violazioni dei principi di base applicabili al trattamento di cui all’art. 5, par. 2, lett. f) e all’art. 32 del Regolamento.

Nel produrre i propri scritti difensivi, l’OPBG ha ribadito tutto quanto già rappresentato all’Autorità in fase di istruttoria preliminare, fornendo taluni specifici ulteriori elementi volti a circostanziare la violazione occorsa e consentire all’Autorità una ponderata valutazione della stessa ai sensi dell’art. 83 del Regolamento (cfr. nota del 19 novembre 2020, prot. n. 2244/PR).

Con tale atto, l’OPBG ha specificato, in particolare, che:

l’anomalia in questione si sarebbe concretizzata nella produzione di stampe che avevano in allegato il verbale di pronto soccorso di altri pazienti ciò in quanto “è stato appurato che il programma di stampa lavorava sul solo numero di episodio ignorando il codice del paziente. Il programma di stampa che produce la documentazione del paziente (comprensiva di referto di pronto soccorso e di cartella clinica elettronica) ha rivelato un malfunzionamento strutturale per il quale non è stata considerata la coppia di indici "codice paziente" e “numero di episodio". A causa di questa anomalia, sono stati accorpati ricoveri ed episodi di pronto soccorso che avevano lo stesso codice ma erano di pazienti diversi”.

“L’Ospedale non ha avuto evidenza preventiva dell’anomalia, poiché la cartella visualizzata da repository da personale sanitario non ha manifestato questo problema, mentre la stampa viene prodotta con un tool della società XX, pertanto, i file vengono inviati alla pubblicazione senza la preventiva consultazione del personale dei sistemi informativi, il cui personale tecnico non verifica il contenuto del file .pdf nel rispetto di misure organizzative che mirano a tutelare i dati particolari dei pazienti”;

“Questo errore, pertanto, non era preventivabile, perché accedendo al legal repository di wHospital, dove è presente tutta la documentazione clinica del paziente (…), non erano presenti referti comparsi invece per errore nella stampa”;

“In relazione al bug in oggetto, pertanto, è opportuno evidenziare come questo si configuri come un baco logico della funzione “STAMPA CARTELLA”;

“Ad ogni modo, si rimarca come effettuata la segnalazione al Fornitore del sistema, lo stesso abbia provveduto ad apportare i dovuti correttivi e le verifiche effettuate, sia in ambiente di test sia di produzione, hanno confermato come non possano più verificarsi accessi non autorizzati ai dati degli utenti. Inoltre, a maggior garanzia degli interessati è stata introdotta una differente modalità di inserimento dell’archiviazione delle cartelle, effettuata dal personale sanitario che genera il file pdf, e che quindi pone un ulteriore livello di controllo, da parte del personale autorizzato, prima dell'invio ai pazienti o alla “carta della salute”;

“i soggetti a cui le informazioni sono state rese note, a causa del bug descritto, sono stati un numero limitato e (…) l’evento occorso, alla luce di quanto illustrato, non ha determinato effetti su un numero rilevante di interessati e per un limitatissimo arco temporale”;

“L’Ospedale non avrebbe potuto preventivamente accorgersi di tale anomalia poiché essa si sarebbe verificata solo in occasione della stampa delle cartelle cliniche e tale stampa viene prodotta con un tool sviluppato della XX, pertanto, i file vengono inviati alla pubblicazione senza la preventiva consultazione del personale dei sistemi informativi, il cui personale tecnico non verifica il contenuto del file .pdf nel rispetto di misure organizzative che mirano a tutelare i dati particolari dei pazienti”.

Il titolare del trattamento ha inoltre evidenziato che nel 2020, con il supporto del responsabile per la protezione dei dati, ha implementato un nuovo sistema di gestione del rischio che si pone quale prioritario obiettivo quello di monitorare ex ante i rischi aziendali e di porre in essere efficaci misure atte a ridurre la probabilità di accadimento di eventi indesiderati.

3. Esito dell’attività istruttoria.

Preso atto di quanto rappresentato dall’OPBG nella documentazione in atti e nelle memorie difensive, si osserva che:

- il trattamento di dati personali deve avvenire nel rispetto della normativa applicabile in materia di protezione dei dati personali e, in particolare, delle disposizioni del Regolamento e del Codice;

- con particolare riferimento alla questione prospettata, si evidenzia che i dati personali devono essere “trattati in modo lecito corretto e trasparente” (principio di “liceità, correttezza e trasparenza”) e “in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (principio di “integrità e riservatezza”)” (art. 5, par. 1, lett. a) e f) del Regolamento). Si rappresenta inoltre che i dati devono essere “esatti e, se necessario, aggiornati”, dovendo “essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza») (successiva lettera d));

- il Regolamento prevede poi che il titolare del trattamento metta in atto “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”, tenendo conto, tra l’altro, “della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (art. 32 del Regolamento). Il Regolamento prevede inoltre che, “nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati” (art. 32, par. 2);

- al riguardo, occorre evidenziare che, in ogni caso, il titolare del trattamento è tenuto ad adottare procedure “per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento” (art. 32, par. 1, lett. d));

- con specifico riferimento ai fatti oggetto della richiamata notificazione, si fa altresì presente che il Garante ha adottato le “Linee guida in materia di Dossier sanitario - 4 giugno 2015” (Provv. del 4 giugno 2015, pubblicato in G.U. 164 del 17 luglio 2015, doc. web n. 4084632), nelle quali sono state individuate un primo quadro di cautele, al fine di delineare specifiche garanzie e responsabilità, nonché misure ed accorgimenti necessari ed opportuni da porre a garanzia dei cittadini, in relazione ai trattamenti di dati sanitari che li riguardano;

- nelle suddette Linee guida l’Autorità ha evidenziato la necessità di garantire la certezza circa l’origine del dato trattato, la sua esattezza, integrità e non modificabilità, nonché la disponibilità dello stesso (punto 7, allegato A alle Linee guida);

- sulla base degli elementi acquisiti e della documentazione in atti risulta accertato che a causa di un bug nel processo di stampa dei documenti presenti nella "carta della salute”, ovvero nel dossier sanitario ospedaliero, è stata resa disponibil documentazione sanitaria di 19 interessati a soggetti non autorizzati;

- la funzione “GENERA STAMPA” del programma di supporto wHospital non è stata oggetto di test e collaudo da parte dell’Ospedale.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni si rileva l’illiceità del trattamento di dati personali effettuato dall’OPBG di Roma, nei termini di cui in motivazione, in violazione degli artt. 5, par. 2, lett. f) e 32 del Regolamento.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che l’Ospedale ha dichiarato:

di aver previsto l’inibizione nella funzionalità di stampa dell’unione dei documenti e di aver proceduto all’individuazione dei pazienti le cui cartelle cliniche contenevano dati di terzi, alla cancellazione dei dati di terzi dalle cartelle dei pazienti e all’invio della documentazione corretta ai pazienti con le istruzioni per distruggere quella precedente errata (v. nota del 10 marzo 2020).

per quanto attiene alle misure di sicurezza adottate per prevenire simili violazioni dei dati personali in futuro, di aver richiesto al fornitore esterno XX, di modificare il programma utilizzato per eliminare il bug e inserire nella stampa gli episodi per paziente, e di aver adottato quale misura organizzativa la verifica, da parte di personale autorizzato alla consultazione, della stampa prima della consegna al paziente (v. nota del 10 marzo 2020),

di aver effettuato una formazione specifica del personale in materia di protezione dei dati personali.
non ricorrono pertanto nella fattispecie in esame i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par. 2, lett. f) e 32 del Regolamento, causata dalla condotta posta in essere dall’Ospedale Pediatrico Bambino Gesù, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi, rispettivamente, dell’art. 83, par. 5, lett. a) e par. 4, lett. a) del Regolamento.

Si consideri che il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 85, par. 2, del Regolamento in relazione ai quali si osserva che:

l’Autorità ha preso conoscenza dell’evento a seguito della notifica di violazione dei dati personali effettuata dallo stesso titolare e non sono pervenuti reclami o segnalazioni al Garante sull’accaduto (art. 83, par. 2, lett. a) e h) del Regolamento);

il trattamento dei dati effettuato dall’Ospedale riguarda dati idonei a rilevare informazioni sulla salute di un numero limitato di interessati (art. 4, par. 1, n. 15 del Regolamento e art. 83, par. 2, lett. a) e g) del Regolamento);

l’episodio risulta caratterizzato dall’assenza di elementi di volontarietà da parte dell’Ospedale nella causazione dell’evento (art. 83, par. 2, lett. b) del Regolamento);

l’OPBG ha immediatamente implementato misure volte ad attenuare il danno subito dagli interessati (art. 83, par. 2, lett. c) e d) del Regolamento);

l’Ospedale ha fin da subito dimostrato un elevato grado di cooperazione (art. 83, par. 2, lett. c), d) e f) del Regolamento);

l’OPBG risulta destinatario di un provvedimento di ammonimento per la violazione delle medesime disposizioni normative seppure applicate in relazione a trattamenti svolti per finalità di ricerca scientifica (provv. del 17 settembre 2020, doc. web 9479364).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, nella misura di euro 15.000 (quindicimila) per la violazione degli artt. 5, par. 1, lett. f) e 32 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dall’Ospedale Pediatrico Bambino Gesù, per la violazione degli art. 5, par. 1, lett. f) e 32 del Regolamento nei termini di cui in motivazione.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, dall'Ospedale Pediatrico Bambino Gesù, con sede legale in Piazza S. Onofrio n. 4 - 00165 Roma C.F. 80403930581, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 15.000 (quindicimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento, secondo le modalità indicate in allegato, entro 30 giorni dalla notifica in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

Al predetto Ospedale, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 15.000 (quindicimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 24 giugno 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei