g-docweb-display Portlet

Provvedimento del 14 ottobre 2021 [9717745]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9717745]

Provvedimento del 14 ottobre 2021

Registro dei provvedimenti
n. 371 del 14 ottobre 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito il “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante il “Codice in materia di protezione dei dati personali”, contenete disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito il “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore l’avv. Guido Scorza;

PREMESSO

1. La notificazione di violazione e il reclamo

Con note del 18 e del 29 settembre 2020, la Fondazione Maria Fantini Onlus di Cesena, sita in Cesena (FC), Via Marinelli 72, ha segnalato a questa Autorità lo smarrimento di documentazione sanitaria relativa al sig. XX, residente, dal 15 febbraio 2020, in tale Casa albergo per anziani.

Ciò, sarebbe avvenuto nel corso di ricoveri del sig. XX in quattro diverse strutture ospedaliere (Ospedale "Bufalini" di Cesena, Casa di Cura "M. Novello di Cesena", Ospedale "Villa Serena" di Forlì, CRA "Ovidio" di Rimini), presso le quali il sig. XX è transitato nel periodo compreso tra il 19 aprile 2020 e il 24 giugno 2020, per rientrare, in seguito, presso la Fondazione.

In particolare, dalla Fondazione è stato rappresentato che:

- “in data 15.2.2020 l'interessato (sig. XX) entrava quale ospite presso la scrivente Casa Albergo per anziani (…), consegnando tramite il proprio parente di riferimento documentazione sanitaria (referti medici vari) pregressa, che veniva inserita nella cartella sanitaria dell'ospite, conservata presso l'infermeria della scrivente struttura”;

- “in data 3.4.2020 il Sindaco di Cesena, a causa del verificarsi di un focolaio "Covid" all'interno della struttura, affidava con ordinanza contingibile e urgente ai sensi dell'art. 50 comma 5 del D. Lgs 267/2000 la gestione della scrivente struttura per gli aspetti sanitari e socio-assistenziali all'Azienda USL della Romagna, con efficacia immediata. Tale gestione straordinaria della struttura è durata fino alla data del 15.05.2020, cessando di efficacia a seguito di provvedimento del Sindaco del Comune di Cesena emesso in data 12.05.2020”;

- “in data 19.4.2020, quindi durante la gestione AUSL della scrivente struttura, l'interessato veniva ricoverato d'urgenza tramite 118. All'atto del ricovero veniva consegnata al 118 la cartella sanitaria dell'interessato senza che ne venisse fatta copia che rimanesse presso la struttura”;

- “l'interessato rimaneva ricoverato, senza fare mai rientro presso la scrivente struttura, sino alla data del 24.6.20, dopo essere transitato per 4 diverse strutture ospedaliere (Ospedale "Bufalini" di Cesena, Casa di Cura "M. Novello di Cesena", Ospedale "Villa Serena" di Forlì, CRA "Ovidio" di Rimini).

- “all'atto del rientro dell'interessato presso la scrivente struttura, si verificava che mancava la cartella sanitaria consegnata al 118 all'atto del ricovero circa due mesi prima”;

- "per quanto è stato possibile ricostruire interpellando i soggetti coinvolti, la cartella sanitaria in questione sarebbe andata smarrita al momento dell'ingresso dell'interessato presso la CRA "Ovidio" di Rimini, verosimilmente avvenuta il 13.06.2020, poiché il personale del 118 ha affermato di aver consegnato tale cartella ad un OSS di tale struttura, la quale però nega di aver mai ricevuto tale cartella”.

- “Si è provveduto quindi ad inviare formale richiesta di informazioni alle diverse strutture sanitarie coinvolte nella gestione della predetta cartella sanitaria, chiedendo inoltre se fosse già stata effettuata la notifica all'Autorità di controllo ai sensi dell'art. 33 GDPR. Non avendo avuto ad oggi riscontro positivo al riguardo, si effettua ora tale segnalazione”;

- “Trattasi di dati anagrafici e di dati relativi alle condizioni di salute dell'interessato”.

Con reclamo presentato a questa Autorità in data 13 ottobre 2020, il sig. XX, per il tramite dei propri legali, ha lamentato lo smarrimento “(…) di tutta la documentazione medica cartacea, (…) a seguito di trasporto tramite il 118 presso l’Ospedale Infermi di Rimini”, precisando che “in data 07/09/2020 (…), si è contestato all'Ausl Romagna ed alla Fondazione Maria Fantini Onlus lo smarrimento, in data 13/06/2020, di tutta la documentazione medica cartacea, facente capo al sig. XX, a seguito di trasporto tramite il 118 presso l’Ospedale Infermi di Rimini (…)”.

Il reclamante ha richiesto a questa Autorità di “verificare la sussistenza o meno di profili di responsabilità in capo all'Ausl Romagna ed alla Fondazione Maria Fantini Onlus, irrogando, se nel caso, le opportune sanzioni per le violazioni della vigente normativa in materia di protezione dei dati personali (…)”.

2. L’attività istruttoria

Con nota prot. n. 46093 del 2 dicembre 2020, l’Ufficio, ai sensi dell’art. 157 del d.lgs. n. 196 del 30 giugno 2003, recante il “Codice in materia di protezione dei dati personali” (d’ora in avanti il “Codice”), ha richiesto all’Azienda Usl Romagna - in considerazione di quanto rappresentato dalla Fondazione Maria Fantini di Cesena in ordine all’affidamento, da parte del Sindaco di Cesena a tale Azienda sanitaria, della gestione straordinaria della citata Fondazione per gli aspetti sanitari e socio-assistenziali, dal 3 aprile al 15 maggio 2020, con ordinanza contingibile e urgente ai sensi dell’art. 50, comma 5, del D,lgs. 267/2000 - elementi informativi utili al compimento degli accertamenti istruttori circa la vicenda in questione.

In data 30 dicembre 2020, l’Azienda sanitaria ha fornito riscontro alla richiesta dell’Autorità con la nota prot. n. 2020/0356022/P, specificando, fra altro, che:

- “la Fondazione Maria Fantini Onlus di Cesena gestisce (…) (sia) una Casa Albergo, denominata Maria Fantini, con 26 posti letti per pazienti anziani in qualità di ospiti privati che sostengono per intero il costo della retta (…) (e, in tal caso) trattasi di un (…) (rapporto) privato tra Fondazione e utente, a cui questa Azienda AUSL Romagna è del tutto estranea (…) (sia) una Casa Residenza per Anziani (CRA) non autosufficienti con 40 posti letto in regime di accreditamento socio-sanitario”;

- “emerge chiaramente (…) nella notifica di data breach (che) “l’interessato entrava quale ospite presso la (…) Casa Albergo per Anziani” (ed) è quindi pacifica la condizione del XX quale ospite su posto privato”;

- “Ne deriva che nella fattispecie in contesto, dunque, la titolarità del trattamento non compete a questa Azienda Sanitaria, non potendo che ascriversi alla Fondazione Maria Fantini Onlus di Cesena, in quanto tra la stessa ed il paziente intercorreva un rapporto contrattuale, che non coinvolgeva sotto nessun profilo questa Azienda USL della Romagna”;

- “Del tutto irrilevante, per il fine che ci occupa, la circostanza che il trasferimento dell'interessato dalla Casa Albergo Fantini attraverso il Servizio 118, sia avvenuta nel corso della vigenza della gestione straordinaria della struttura, in seguito a ordinanza sindacale, per motivi contingibili e urgenti, per il verificarsi di un focolaio Covid. (…) L'intervento aziendale ha riguardato la gestione ed il coordinamento dei servizi assistenziali e del personale sanitario e socio sanitario della struttura per anziani, non potendo certo avere una valenza totalmente sostitutiva delle responsabilità gestionali riferite ad adempimenti di ordinaria amministrazione – tra le quali rientrano quelle relative alla gestione della documentazione sanitaria – come peraltro esplicitato nell'ordinanza del Sindaco di Cesena : “Ritenuto di affidare all’ASL della Romagna la gestione e il coordinamento dei servizi assistenziali e del personale sanitario e socio sanitario della struttura per Anziani “Maria Fantini” sita in Cesena, Via Renato Serra n. 4, disponendo che gli aspetti di ordine amministrativo e logistico generale, per la corretta conduzione della stessa, siano svolti dall’attuale gestore, il quale si avvale dei servizi e del personale già attivo ed in dotazione presso la medesima” (All. 1)”;

- “il primo trasporto dalla Casa Albergo Fantini all'Ospedale Bufalini di Cesena è avvenuto in emergenza con il Servizio 118; mentre i successivi trasporti (dall’Ospedale Bufalini alla Casa di cura privata accreditata Malatesta Novello di Cesena, da questa alla Casa di cura privata accreditata Villa Serena di Forlì, e da questa alla CRA Via Ovidio Rimini) sono stati organizzati dalle Centrali trasporti secondari dei vari ambiti aziendali. In particolare, come risulta da nota del Responsabile Centrale Trasporti Secondari Cesena-Forlì, “il 13 giugno 2020 il trasporto è stato effettuato da una ambulanza convenzionata di Croce Rossa”. Al riguardo, “nel caso di trasporti intraospedalieri da altre strutture di ricovero (case di riposo, case di cura) viene consegnata agli operatori di mezzi copia della documentazione della struttura e non l’originale; al tempo stesso quanto di appartenenza del paziente viene considerata effetto personale e quindi affidato al paziente, se in grado di gestire il proprio materiale, od a caregiver/accompagnatore” (All. 3)”.

Con nota prot. n. 19134 del 12 aprile 2021 l’Ufficio, ai sensi dell’art. 157 del Codice, ha richiesto alla Fondazione ogni elemento di informazione utile alla valutazione del caso riguardante lo smarrimento della documentazione sanitaria del reclamante, con particolare riferimento alle modalità con le quali provvede al trattamento dei dati personali degli anziani residenti, alle eventuali disposizioni che prevedono la custodia e la conservazione della sopra citata documentazione, indicando le misure tecniche e organizzative adottate in osservanza della normativa in materia di protezione dei dati personali, nonché alle istruzioni fornite al personale incaricato di trattare i dati personali, in particolare sanitari, degli anziani residenti nella struttura.

In data 30 aprile 2021, la Fondazione medesima ha fornito riscontro alla richiesta dell’Autorità, dichiarando, fra altro, che:

- “Al momento dell’accesso dell’ospite presso la Struttura avviene la raccolta dei dati personali, compresi quelli sanitari, necessari per l’assistenza nel corso della sua permanenza. Viene resa l’informativa per il trattamento dei dati personali (doc. 1) che viene sottoscritta dall'interessato e successivamente archiviata. Il personale in servizio presso la struttura è debitamente formato, autorizzato e nominato al trattamento dei dati personali e sanitari (docce. 2-5). Vi è poi uno specifico momento dedicato alla composizione della cartella sanitaria dell’ospite, condotto da un infermiere (IP) o dal Responsabile dell’attività sanitaria (RAS) nel quale viene valutata la documentazione sanitaria presentata dai famigliari dell’ospite, viene quindi selezionata la documentazione necessaria da acquisire e mantenere presso la Struttura, che viene consegnata alla Segreteria per la sua scansione. La Segreteria scansiona i documenti sanitari precedentemente selezionati, che vengono archiviati digitalmente in cartelle dedicate presso i server della struttura, quindi vengono restituiti i documenti sanitari originali ai famigliari. Viene stampata una copia dei documenti sanitari acquisiti e archiviati, con la quale viene formata la cartella sanitaria cartacea dell’ospite, che viene custodita presso l’infermeria. A tale infermeria può accedere solo il personale autorizzato della struttura dotato delle relative chiavi, e può consultare e prelevare la cartella sanitaria solo per le esigenze connesse all’assistenza dell’ospite. Si precisa che la procedura sopra descritta è quella attualmente vigente ed applicata. Tuttavia, all’epoca dell’accesso di XX presso la Struttura nel mese di febbraio 2020, la procedura era diversa per quanto segue. Non era prevista la sistematica ed immediata digitalizzazione della documentazione sanitaria presentata dai famigliari al momento dell’ingresso. Di conseguenza la Struttura formava la cartella sanitaria direttamente con i documenti che le venivano consegnati dai famigliari dell’ospite e la custodita in infermeria, come si evince dal protocollo “chiamata al 118 e alla guardia medica”. Di conseguenza non era prevista l’immediata restituzione ai famigliari dei documenti sanitari presentati all’atto dell'accesso dell’ospite. Dopo il verificarsi dello smarrimento della cartella sanitaria del reclamante nel corso dei suoi ricoveri, la Fondazione ha ritenuto necessario adottare la sistematica digitalizzazione e conservazione dei documenti sanitari degli ospiti, al fine di evitare il ripetersi di quanto accaduto. (…) Inoltre, come sopra esposto, i documenti sanitari offerti in visione dai famigliari, vengono immediatamente valutati e selezionati, scansionati e quindi restituiti al famigliare. In questo modo i famigliari dell’ospite rientrano immediatamente nella disponibilità fisica dei documenti presentati alla Struttura”;

- “Nei casi in cui si rende necessaria l’uscita del paziente dalla Struttura per esigenze di cura della persona (accesso al Pronto Soccorso o a strutture esterne) è previsto che il personale di servizio consegni, al momento dell’uscita dell’ospite, la cartella sanitaria cartacea al personale del 118, il quale quindi la prende in consegna. Tale cartella accompagna l’ospite nell’accesso al Pronto Soccorso o alle altre strutture verso cui è diretto. Al rientro dell’ospite presso la Struttura il personale del 118 riconsegna la cartella al personale in servizio, insieme ai referti relativi al ricovero. Tali documenti sanitari nuovi vengono portati in Segreteria affinché siano scansionati e venga quindi aggiornata la documentazione sanitaria digitalizzata, successivamente la cartella sanitaria viene riportata nella infermeria dove continua ad essere custodita. Si precisa che la procedura sopra descritta è quella attualmente vigente ed applicata. Tuttavia, all’epoca dell’accesso di XX presso la Struttura nel mese di febbraio 2020, la procedura era diversa per quanto segue. Non essendo prevista la digitalizzazione sistematica delle cartelle sanitarie, quella che veniva consegnata al personale del 118 al momento dell’uscita dell’ospite era, di fatto, l’unica cartella sanitaria della struttura esistente”;

- “(…) la Fondazione ha appreso che in data 13 ottobre 2020 XX ha presentato reclamo a Questa Autorità, lamentando lo smarrimento di “tutta” la documentazione medica cartacea (…). (E’) vero che è andata smarrita la cartella sanitaria di questa struttura che venne consegnata al personale del 118 all’atto del ricovero dell’ospite il 19 aprile 2020. Tuttavia, la Fondazione disponeva comunque di copia di parte della documentazione medica dell’ospite, al quale è stata consegnata su sua richiesta (doc. 15) per il tramite del famigliare di riferimento in data 12 settembre 2020. Da ciò si evince che non è andata smarrita “tutta” la documentazione medica di XX, bensì solo una parte, circostanza che il reclamante ha consapevolmente taciuto”.

Sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio, con atto n. 32980 del 17 giugno 2021, ha notificato alla Fondazione, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, paragrafo 2, del Regolamento.

In particolare, l’Ufficio, nel predetto atto, ha ritenuto che, al momento in cui si è verificata la violazione dei dati personali, la Fondazione, in qualità di titolare del trattamento dei dati personali contenuti nella documentazione medica consegnata dagli ospiti anziani al momento dell’accesso nella struttura e, nel caso specifico, da parte del sig. XX, effettuava un trattamento in violazione degli obblighi in materia di sicurezza del trattamento idoneo a configurare, da parte della Fondazione medesima, le violazioni di cui all’art. 32 del Regolamento e dei principi di base di cui all’art 5, par. 1, lett. f) del medesimo Regolamento, invitando la Fondazione stessa a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

In data 15 luglio 2021, la Fondazione ha presentato una memoria difensiva, nella quale, ha evidenziato, fra altro, che:

- “(…) il 24 giugno 2020 l’interessato rientrava presso la Struttura (…) (la quale) (…) (riscontrando) che mancava la documentazione sanitaria consegnata al 118 all'atto del ricovero circa due mesi prima (…) si attivava immediatamente interpellando informalmente le diverse strutture ospedaliere coinvolte dal lungo ricovero dell'interessato, al fine di ricostruire il percorso della documentazione sanitaria”;

- “la Struttura invitava l’interessato, poiché la documentazione sanitaria conteneva copia di esami e referti medici da lui svolti in passato presso altre strutture sanitarie, a rivolgersi a tali strutture al fine di ottenere copia della documentazione medica, offrendosi di contribuire agli eventuali costi che ciò avrebbe potuto comportare. La struttura rappresentava altresì all’interessato di disporre di copia di una parte della documentazione medica, la quale era stata inviata su sua richiesta all’Ufficio Invalidi di Cesena”;

- “il 12/09/2020 la Struttura inviava una formale richiesta di informazioni alle diverse strutture sanitarie coinvolte nella gestione della documentazione sanitaria, chiedendo inoltre se fosse già stata effettuata la notifica dell’accaduto all'Autorità di Controllo ai sensi dell'art. 33 GDPR (doc. 19)”;

- “il 12/09/2020 la Struttura consegnava al familiare dell’interessato, su sua richiesta, una copia della documentazione medica dell’interessato di cui disponeva la Struttura (doc. 15)”;

- “I dati personali oggetto del “data breach” sono di tipo sanitario e riguardano solo un interessato, il reclamante. Si evidenzia che il presente è il primo procedimento che vede coinvolta la Fondazione davanti a Codesta Autorità”;

- “una copia parziale della documentazione sanitaria era conservata presso la Struttura, che nel settembre 2020 venne restituita all’interessato, fra cui anche quella inviata dalla Struttura all’Ufficio Invalidi di Cesena a corredo della sua domanda di riconoscimento dell’invalidità civile (doc. 22)”;

- “La violazione ha natura esclusivamente colposa, non essendo da addebitarsi a comportamenti volontari ed intenzionali di alcuno, facente capo alla scrivente o a terzi. (…) Inoltre, risulta con evidenza come la Fondazione sia del tutto estranea allo smarrimento della documentazione sanitaria, che è avvenuto ad opera di soggetti terzi”;

- “Quanto al risarcimento dei danni patiti dall’interessato, si è esposto come questi, in un secondo momento, abbia avanzato una generica (…) richiesta risarcitoria (doc. 16). La Fondazione si è resa disponibile a valutarla purché essa venisse quantificata e venissero forniti chiarimenti e riscontri in merito al danno lamentato (doc. 17). A questa richiesta della Fondazione non ha fatto seguito alcun chiarimento né precisazione da parte dell’interessato (doc. 18). Ad oggi quindi non è stato possibile risarcire alcunché a causa della non collaborazione dell’interessato. Come esposto nella nota inviata a Codesta Autorità il 30.04.2021, in seguito a quanto accaduto la Fondazione ha adottato le seguenti misure di miglioramento, per il tramite delle quali ritiene di aver scongiurato che quanto accaduto possa ripetersi in futuro e più, in generale, che l’eventuale consegna della documentazione sanitaria degli ospiti a soggetti terzi autorizzati (personale sanitario esterno, 118, ecc…) possa comportare la perdita (anche solo temporanea) di disponibilità di tale documentazione presso la Struttura”;

- “Il “data breach” per il quale vi è il presente procedimento è stato notificato il 18.09.2020 dalla Fondazione all’Autorità, così come prevede la legge. Per quanto consta, delle varie strutture coinvolte nella vicenda, la Fondazione è l’unico soggetto che abbia adempiuto a tale obbligo”;

- “L’interessato ha proposto reclamo al Garante circa un mese dopo che la Fondazione aveva già notificato la violazione. Alla richiesta di informazioni da parte del Garante, la Fondazione ha provveduto con tempestività e trasparenza con la nota del 30 aprile 2021, nel rispetto dei termini assegnati, fornendo dettagliate indicazioni sulla vicenda sia con riferimento alla situazione all’epoca esistente, sia con riferimento agli interventi di miglioramento successivamente attuati. Oltre a ciò, la Fondazione si è attivata immediatamente per rintracciare e recuperare la documentazione sanitaria dell’ospite presso le varie strutture in cui era stato ricoverato. Il momento dello smarrimento della cartella è stato individuato, mentre è stato impossibile il suo recupero, e ciò per cause non imputabili alla Fondazione”;

- “Se una colpa può essere fatta alla Fondazione nel caso di specie, è quella di non avere fatto una copia di sicurezza della documentazione medica consegnata dall'ospite al momento del suo ingresso in Struttura nel febbraio del 2020. Tuttavia, è evidente che tale omissione non ha comportato di per sé lo smarrimento della cartella né la dispersione dei dati sanitari, tant’è che fino al momento del ricovero dell’interessato il 19 aprile 2020, la documentazione sanitaria era correttamente ed integralmente conservata presso la Struttura. Solo quando l'ospite è stato trasferito presso altre strutture e sotto la gestione AUSL, la cartella è andata smarrita. La cartella è andata smarrita verosimilmente nel trasferimento fra Forlì e Rimini. Questo implica che almeno tre strutture (“Bufalini”, “Malatesta Novello” e “Villa Serena”), prima di quel momento, avevano ricevuto e acquisito tale documentazione sanitaria e quindi avevano assunto l'obbligo di conservarla e di garantire la conservazione e permanenza dei dati ivi contenuti.    La Fondazione ha chiesto a tali strutture un riscontro al riguardo, senza ottenere alcuna risposta utile (doc. 19)”;

- In merito ai danni potenzialmente subiti dall’interessato in seguito allo smarrimento della documentazione sanitaria, si vuole osservare quanto segue. Trattandosi di documentazione sanitaria (esami clinici, referti, certificati, ecc.…), una copia di tali documenti è (o dovrebbe essere) necessariamente conservata presso ciascuna struttura/soggetto sanitario che li ha formati, pertanto, essi non sarebbero andati persi irrimediabilmente. L'interessato potrebbe infatti rivolgersi ai vari soggetti (medici, cliniche, ecc.…) che lo hanno visitato/esaminato in precedenza e chiedere loro una copia della relativa documentazione. Non è dato di conoscere se l'interessato abbia fatto ciò. La Fondazione, comunque, si era già da tempo resa disponibile a contribuire agli eventuali costi che l’interessato avesse sostenuto per tali ragioni (cfr. punto 10);

- la “Fondazione ha chiesto espressamente all'interessato di documentare i pretesi danni subiti (doc. 17), ma egli non ha fornito alcun riscontro in merito”;

- “l’interessato, nella propria richiesta risarcitoria, ha accennato unicamente a "grandissimi problemi" che gli sarebbero derivati dallo smarrimento della documentazione sanitaria, problemi consistiti, a suo dire, nel mancato riconoscimento dell'invalidità civile e dell'indennità di accompagnamento per mancanza di documentazione sanitaria e nell'impossibilità di riproporre tale domanda a causa della mancanza della documentazione sanitaria. Tale doglianza, a ben vedere, appare tutt'altro che chiara e giustificata. Se, da una parte, l’interessato non ha fornito alcun documento che attesti quanto lamentato, dall’altra parte si segnala che proprio la Fondazione (cfr. punto 2 in premessa e doc. 22) nel mese di marzo 2020, su richiesta dell’interessato, aveva già trasmesso i documenti medici all’Ufficio Invalidi affinché fossero valutati in vista del riconoscimento dell’invalidità. Con ciò si vuole evidenziare, in particolare, che i documenti trasmessi furono proprio, e solo, quelli che aveva richiesto l’Ufficio Invalidi e che, all’epoca, la documentazione sanitaria era ancora integralmente disponibile presso la Fondazione (sarà smarrita circa tre mesi dopo). Quindi è del tutto inverosimile che l’istanza dell’interessato possa essere stata respinta “a causa dello smarrimento della documentazione sanitaria”;

Per i motivi sopra esposti, la Fondazione ha chiesto all’Autorità “che il presente procedimento venga archiviato o che, in denegata ipotesi, venga applicata la sanzione minima, tenuto conto di tutte le circostanze del caso”.

3. Esito dell’attività istruttoria

Preso atto di quanto rappresentato e documentato nel corso dell’istruttoria, sia dall’Azienda Usl Romagna con nota prot. n. 46093 del 2 dicembre 2020, di riscontro alla richiesta di informazioni, ai sensi dell’art. 157 del Codice - formulata dall’Autorità, anche in considerazione dell’affidamento, da parte del Sindaco di Cesena a tale Azienda sanitaria, della gestione straordinaria della citata Fondazione per gli aspetti sanitari e socio-assistenziali, dal 3 aprile al 15 maggio 2020, con ordinanza contingibile e urgente ai sensi dell’art. 50, comma 5, del D,lgs. 267/2000 - sia dalla Fondazione, con la nota del 30 aprile 2021- in risposta alla nota dell’Autorità, prot. n. 19134 del 12 aprile 2021, di richiesta di informazioni ai sensi dell’art. 157 del Codice – nonché con la memoria difensiva del 15 luglio 2021, prodotta dalla Fondazione a seguito della notifica effettuata dall’Autorità, ai sensi dell’art. 166, comma 5, del Codice - con atto prot. n. 32980 del 17 giugno 2021 - dell’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, paragrafo 2, del Regolamento, si osserva che: 

1. nel rispetto dei principi fondamentali, sanciti dal Regolamento, i dati personali devono essere trattati dal titolare del trattamento “in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (principio di “integrità e riservatezza”)” (art. 5, par. 1, lett. f) del Regolamento);

2. il Regolamento prevede, altresì, che il titolare del trattamento metta in atto “misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio”, tenendo conto, tra l’altro, “della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (art. 32 del Regolamento medesimo);

3. l’osservanza di tali disposizioni si impone, ancor più, con riferimento ai dati personali relativi alla salute.  Il Regolamento definisce questi ultimi “dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 15 del Regolamento). Tali dati meritano una maggiore protezione dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali (Cons. n. 51).

4. la Fondazione gestisce sia una casa albergo per anziani non autosufficienti (CRA) in regime di accreditamento socio-sanitario sia una casa albergo per anziani in regime di diritto privato, presso la quale ultima, dal mese di febbraio 2020, era residente il reclamante;

5. la Fondazione, in qualità di titolare del trattamento dei dati personali degli ospiti della struttura residenziale, era tenuta al corretto trattamento dei dati relativi alla salute dell’interessato nella gestione della documentazione sanitaria e, quindi, all’adozione di misure adeguate a garantire il rispetto dell’art. 32 del Regolamento e dei principi fondamentali di cui all’art. 5, par. 1, lett. f), del Regolamento medesimo in relazione:

- al rapporto contrattuale in essere con l’interessato, nonché ai relativi obblighi di tenuta della documentazione contenente dati relativi allo stato di salute dell’interessato medesimo, da lui consegnata al momento dell’ingresso in tale struttura residenziale (cfr. protocolli relativi alle procedure per l’accesso degli anziani e la presa in carico degli stessi nella struttura allegati alla memoria difensiva del 15 luglio 2021)

- agli obblighi gravanti anche a seguito dell’affidamento con ordinanza contingibile e urgente, da parte del Sindaco di Cesena, alla ASL Romagna, della gestione degli aspetti sanitari e socio-assistenziali delle attività della Fondazione (dal 3 aprile al 15 maggio 2020), in quanto non comprendenti gli aspetti di ordine amministrativo e logistico generale che continuavano a essere svolti dalla Fondazione medesima;

6. a seguito dello smarrimento di tale documentazione contenente dati relativi allo stato di salute del sig. XX, avvenuto - come rappresentato e documentato dalla Fondazione, nonché dalla Asl Romagna, nel procedimento istruttorio avviato dall’Autorità - nel corso dei sopra citati ricoveri dell’interessato presso quattro diverse strutture ospedaliere (Ospedale Bufalini di Cesena, Casa di cura privata accreditata Malatesta Novello di Cesena, Casa di cura privata accreditata Villa Serena di Forlì, CRA Via Ovidio Rimini) nel periodo compreso tra il 19 aprile e il 24 giugno 2020, la Fondazione, tuttavia, si è prontamente attivata inviando “una formale richiesta di informazioni (…) (a tali) strutture sanitarie coinvolte nella gestione della documentazione sanitaria”, proponendo all’interessato di sostenere i costi qualora intendesse richiedere copia di tali documenti sanitari alle strutture mediche erogatrici degli stessi, implementando immediatamente nuove misure volte a garantire la corretta tenuta della documentazione sanitaria consegnata dagli anziani residenti al momento dell’accesso nella Casa albergo e tenendo, nel corso del presente procedimento, un comportamento collaborativo con l’Autorità. Anche in ordine alla richiesta di risarcimento del danno, avanzata alla Fondazione da parte dell’interessato per l’avvenuto smarrimento della sopra menzionata documentazione sanitaria avvenuta nel corso dei ricoveri ospedalieri di quest’ultimo, la Fondazione si è resa disponibile chiedendo all’interessato chiarimenti e riscontri in merito al danno lamentato e alla relativa quantificazione risarcitoria dello stesso (cfr. memoria difensiva del 15 luglio 2021, all. n. 17). 

Ciò premesso, alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni si confermano le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dalla Fondazione Maria Fantini Onlus per aver trattato dati personali relativi alla salute in violazione dell’art. 32 del Regolamento e dei principi di base del trattamento di cui all’art. 5, par.1, lett. f), del Regolamento medesimo.

Ciò premesso, tenuto conto di quanto sopra richiamato e, in particolare, che:  

- la Fondazione si è attivata immediatamente interpellando formalmente le diverse strutture ospedaliere coinvolte dal ricovero dell'interessato, offrendo, altresì, collaborazione a quest’ultimo;

-  i fatti si sono verificati in un momento di particolare complessità per le strutture deputate a gestire l’emergenza sanitaria in atto in conseguenza della pandemia;

- rispetto alla vicenda non emerge alcun comportamento doloso da parte del Titolare e tale vicenda ha riguardato soltanto una parte della documentazione consegnata dall’interessato alla Struttura;

-  la Fondazione non ha subito precedenti procedimenti relativi a violazioni pertinenti o di altra natura, innanzi all’Autorità;

- la Fondazione si è attivata prontamente nell’adozione di misure volte a scongiurare il ripetersi dell’accaduto;

- l’Autorità ha preso conoscenza della violazione attraverso la notifica di violazione effettuata dalla Fondazione con note del 18 e del 29 settembre 2020;

-  la Fondazione ha tenuto un comportamento collaborativo con l’Autorità,

le circostanze del caso concreto inducono a qualificare tale caso come “violazione minore”, ai sensi del considerando 148 del Regolamento e delle Linee guida WP 253, riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del Regolamento (UE) n. 2016/679.

Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, per avere violato le previsioni del Regolamento contenute negli artt. 5, par. 1, lett. f) e 32 del Regolamento medesimo e che, considerando, in ogni caso, che la Fondazione ha attuato misure volte a ripristinare una corretta gestione dei documenti sanitari degli anziani residenti presso la Struttura, migliorando le misure tecniche e organizzative volte a scongiurare che episodi come quello in esame posano ripetersi, non vi sono i presupposti per l’adozione di ulteriori provvedimenti correttivi da parte dell’Autorità, ai sensi dell’art. 58, par. 2, del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante medesimo.

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell’art. 57, par. 1, lett. a) del Regolamento, dichiara l’illiceità del trattamento dei dati personali effettuato dalla Fondazione Maria Fantini Onlus sita in Cesena (FC), Via Marinelli 72, c.a.p 47521- C.F. 81003090404 – P.IVA 00670960400 in persona del legale rappresentante pro-tempore per la violazione dei principi di base del trattamento, di cui agli artt. 5, par. 1, lett. f), e 32 del Regolamento, nei termini di cui in motivazione;

b)  ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce la citata Fondazione, quale titolare del trattamento in questione, per aver violato gli artt. 5, par. 1, lett.  f), e 32 del Regolamento, come sopra descritto;

c) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

d) ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 14 ottobre 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
9717745
Data
14/10/21

Argomenti


Tipologie

Ammonimento

Vedi anche (10)