g-docweb-display Portlet

Provvedimento del 24 marzo 2022 [9761409]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9761409]

Provvedimento del 24 marzo 2022

Registro dei provvedimenti
n. 99 del 24 marzo 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vice presidente, il dott. Agostino Ghiglia, l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. La violazione dei dati personali.

L’Azienda Socio Sanitaria Territoriale Centro Specialistico Ortopedico Traumatologico Gaetano Pini-CTO (di seguito Azienda), con atto del 9 aprile 2021, ha notificato una violazione di dati personali, ai sensi dell’art. 33 del Regolamento, avente ad oggetto la consegna “di modulo errato con credenziali di accesso al Portale web Immagini Medicali” che ha consentito a un paziente di visualizzare “il referto diagnostico relativo ad altro soggetto”.

In relazione a quanto accaduto l’Azienda ha comunicato che:

la violazione è avvenuta, in data 6 aprile 2021 e di esserne venuta a conoscenza alle ore 20:13 dello stesso giorno, per il tramite di una segnalazione pervenuta “all'URP (Ufficio Relazioni Pubbliche) da parte di un paziente, il quale riferisce di aver eseguito, in data 01 aprile 2021, un’ecografia presso l’ASST Pini-CTO e di aver ricevuto, in tale sede, un modulo con credenziali di accesso al Portale web Immagini Medicali, attraverso le quali ha visualizzato il referto di altro paziente”.

Più nello specifico, è stato rappresentato che: i) la violazione ha riguardato i dati  identificativi e sulla salute di un interessato; ii) il sistema informatico coinvolto nell’incidente è denominato “Portale Web Immagini Medicali per la visualizzazione dei referti radiodiagnostici”, cui si accede attraverso l’inserimento di “Doppia credenziale di accesso al referto (codice di accesso e codice di controllo)” e che iii) sono state fornite “Istruzioni operative per la stampa delle credenziali e consegna dei referti per gli operatori addetti al ritiro referti”.

Il rischio per i diritti e le libertà dell’interessato coinvolto nella violazione, sono state considerate dall’Azienda di livello “medio” in quanto “le informazioni sanitarie riferite all'interessato riguardano esiti ecografici non correlati a quadro patologico complessivo deducibile in relazione all’interessato. Le credenziali sono state bloccate dopo la segnalazione onde evitare ulteriori accessi o riproduzioni del documento sanitario”. Tutto ciò ha indotto codesta Azienda a non comunicare la violazione all’interessato.

Inoltre, per prevenire simili violazioni future, l’Azienda ha dichiarato che sono state svolte delle “Audit con responsabile e operatori addetti alla refertazione per valutazione eventuali lacune formative o carenze delle istruzioni operative ordinarie” cui seguirà “Eventuale successivo aggiornamento/implementazione delle Istruzioni operative per la consegna delle credenziali di accesso al portale Immagini ai pazienti, per gli operatori dell'ASST” e che verrà valutata l’“organizzazione [di] eventi formativi per il personale addetto alla refertazione, per la verifica dei dati anagrafici, prima della consegna di documenti/referti ai pazienti” oltre alla “ipotesi di trasmissione atti ad esito dell’istruttoria all’Ufficio Procedimenti Disciplinari per eventuali seguiti di competenza”.

Con nota, del 20 luglio 2021, l’Azienda, in persona del Direttore Generale, con dichiarazioni della cui veridicità risponde penalmente ai sensi dell’art. 168 del Codice, ha fornito riscontro alla richiesta di informazioni dell’Ufficio (nota del 22 giugno 2021, prot. n. 33567) in ordine ai fatti oggetto della suddetta notifica, evidenziando in particolare quanto segue:

“il “Portale web Immagini Medicali" è implementato dal sistema denominato Engage Suite della Società Agfa, di cui viene fornito documento di analisi di compliance al GDPR predisposto dal fornitore ad avvio del sistema, con rimando specifico al paragrafo "SICUREZZA" (…), ove sono esplicitate le misure tecniche adottate per assicurare i principi di riservatezza ed integrità”;

sul sito internet istituzionale di codesta Azienda al seguente link “https://www.asst-pini-cto.it/referti sono pubblicate, in via permanente, le procedure operative per accesso alla refertazione correlata a prestazioni di radiodiagnostica, oltre alla modalità di accesso alla refertazione on line con doppia credenziale”;

in vista dell'avvio del servizio di refertazione on line, a partire dal 9 dicembre 2019, è stata approntata la procedura operativa denominata “l'attivazione Portale Immagini e Referti" del 04/12/2019 (…) nella quale è descritto il processo finalizzato al rilascio di credenziali di accesso al portale, con previsione di relativa modulistica e di avvio di sessioni di formazione specifica per gli operatori coinvolti nel procedimento”;

nella procedura operativa denominata "Attivazione Portale Immagini e Referti tramite credenziali (PINI/FFO) sono descritte, tra l'altro, le istruzioni operative per il personale coinvolto nel procedimento finalizzato alla consegna di credenziali agli utenti. ln particolare, nel documento sono accluse le istruzioni per il personale degli sportelli di front office ai fini della stampa delle credenziali tramite l'applicativo ELEFANTE, allo scopo di generare tali credenziali”;

“l'applicativo ELEFANTE, è stato oggetto di test di verifica di efficacia, ai fini della garanzia di sicurezza del trattamento a seguito dell'evento-data breach e successivamente acquisito -con miglioramenti e precisazioni al testo- nel sistema qualità in data 08/04/2021(…). Il documento prevede espressamente che, dopo la stampa delle credenziali su supporto cartaceo, l'operatore verifichi nuovamente l'identità del paziente prima di procedere alla consegna”;

“sono state predisposte tempestivamente procedure operative condivise tra gli attori del sistema prima dell'avvio del nuovo trattamento”;

“sono state predisposte sessioni di formazione degli operatori coinvolti, prima e durante l'avvio del servizio”;

“l'Ufficio Privacy aziendale è stato coinvolto nel novembre 2019 per la verifica di conformità della modulistica di riferimento per gli utenti del servizio”;

agli utenti che intendono avvalersi del servizio di refertazione on line tramite accesso al richiamato portale, viene fornita l’informativa privacy relativa al “servizio di rilascio referti online”, “ove è esplicitato che tutti i dati personali e sensibili comunicati dal soggetto interessato sono trattati dal Titolare del trattamento sulla base (…) del consenso dell'interessato (art. 6.1, lett. a) e art. 9.2, lett. a) Reg. 679/2016”;

“a seguito della violazione del 06/04/2021, sono stati immediatamente attivati n. 2 percorsi di audit, il primo in data 08/04/2021 su diretto impulso della UOC Gestione Operativa — UOS CUP Accoglienza (..), il secondo in data 20/04/2021 su impulso dell'Ufficio aziendale Privacy, d'intesa con il DPO — LTA srl (…)”;

da tali “riunioni è emerso che la violazione di che trattasi sia avvenuta per cause accidentali non intenzionali, frutto di errore umano nella consegna manuale del documento cartaceo riportante le credenziali di accesso al “Portale web immagini medicali" (nel senso che la ricostruzione del fatto ha permesso di appurare che l'errore derivi dalla consegna da parte dell'operatore di front office del modulo di credenziali, recuperato dalla stampante di servizio — unica in condivisione con secondo collega di front office —direttamente all'utente senza preventiva verifica finale della coincidenza del nominativo stampato sul modulo (…)” ciò attribuibile anche ad “un aumento dei volumi delle attività per il periodo di incidenza pandemica”.

A fronte degli elementi istruttori acquisiti l’Azienda ha assunto specifiche misure quali:

“L’Acquisto di una seconda stampante per il servizio referti front office, in modo che ogni operatore faccia riferimento alla propria stampante, a superamento di eventuali ulteriori problematiche di smistamento stampati;

test di verifica sulla procedura "stampa credenziali per la consultazione on line e consegna referti radiografici" ed acquisizione della stessa nel sistema qualità aziendale — codice IO GOP CUP REV - 01;

Organizzazione da parte dell'Ufficio Formazione, con ausilio Ufficio Privacy e DPO, di un corso di aggiornamento in materia di privacy dal titolo "GDPR: TRATTAMENTO DEI DATI PERSONALI IN AMBITO OSPEDALIERO", accreditato con sistema ECM, tenutosi in data 25 Maggio 2021 con strutturazione dell'evento mediante esempi pratici di gestione di situazioni concrete di trattamento dati personali e di salute degli utenti;

Richiamo espresso agli operatori del front office — servizio Referti, con sensibilizzazione alla gestione delle tematiche correlate al trattamento dati degli utenti”.

2. L’attività istruttoria.

L’Ufficio, con atto n. 45836 del 13 settembre 2021, con riferimento alle specifiche situazioni di illiceità in esso richiamate, ha notificato all’Azienda, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, paragrafo 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

In particolare l’Ufficio, nel predetto atto, ha ritenuto che la violazione di dati personali notificata al Garante ai sensi dell’art. 33 del Regolamento, abbia rilevato la sussistenza di elementi idonei a configurare da parte dell’Azienda la violazione dei principi applicabili al trattamento dei dati personali di cui agli artt. 5, par. 1 lett. a) e f) e degli artt. 9 e 32 del Regolamento, rappresentando che la condotta descritta nella comunicazione di violazione consistente nella consegna a un proprio paziente di un “modulo errato con credenziali di accesso al Portale web Immagini Medicali” ha consentito a  tale paziente di visualizzare “il referto diagnostico relativo ad altro soggetto”.

Con nota del 6 ottobre 2021 (prot. n. 14982) l’Azienda ha fatto pervenire le proprie memorie difensive, rinunciando espressamente all’audizione, di cui all’art. 166, comma 6 del Codice.

In tale ambito, l’Azienda, in aggiunta a quanto già in precedenza rappresentato, ha in particolare dichiarato che:

l’episodio, che ha riguardato l’accesso non autorizzato ad un referto diagnostico di un paziente, “ha coinvolto un solo paziente” e tale referto “è stato visualizzato una sola volta (come documentato dal fornitore del Portale Immagini, il cui applicativo registra gli accessi in termini numerici di data e ora di accesso”;

“tra la prima -ed unica- visualizzazione ed il blocco dell’accesso sono intercorse 20 ore”;

l’evento ha carattere “eccezionale di natura colposa accidentale”; l’errore è attribuibile all’operatore di front office che ha recuperato dall’unica stampante in condivisione con un altro collega, il modulo recante le credenziali per accedere alla refertazione on line, consegnandolo al paziente senza la preventiva verifica della coincidenza del nominativo stampato sul modulo con il paziente presente allo sportello;

“sono esclusi malfunzionamenti o errori attribuibili agli applicativi informatici”;

“l’episodio è avvenuto durante il periodo pandemico dove la presenza del personale addetto alla consegna dei referti e/o delle credenziali al Portale Immagini Radiodiagnostico era ridotta in via rilevante (presenze attestate tra il 50 e 60% dell’organico in struttura)”;

“Non constano episodi precedenti e/o successivi al fatto segnalato all’Autorità”

“Appena noto il fatto sono state immediatamente disabilitate le credenziali di accesso al referto del paziente oggetto della violazione”;

“di aver implementato una specifica procedura per la stampa credenziali per la consultazione on line e consegna dei referti radiologici” e di aver previsto:

“L’informativa e il consenso per accedere alla refertazione on line

Protocolli di comunicazione sicuri (https)

Sistemi di autenticazione forte dell’interessato (strog authentication)

Livelli di autenticazione e autorizzazione differenziati per paziente, personale medico dell’ASST, personale addetto all’assistenza e manutenzione del Portale Immagini

Percorsi di formazione e aggiornamento per il Personale addetto”;

I dati contenuti nel referto radiologico seppure riferito alle particolari categorie di dati, di cui all’art. 9 del Regolamento “non consentono tuttavia, per contenuto di individuare stati patologici particolari e/o distintivi che possano ingenerare discriminazioni e/o danni fisici materiali/immateriali del soggetto coinvolto”;

di “Non aver ricevuto ulteriori segnalazioni o reclami o richieste risarcitorie di sorta rispetto alla condotta oggetto del presente procedimento”.

L’Azienda ha infine ribadito le misure messe in atto anche al fine di evitare il ripetersi dell’episodio occorso e su tali basi “confida nell'accoglimento delle deduzioni fornite ad evidenza della assoluta accidentalità dell'episodio verificatosi (…)”.

3. Esito dell’attività istruttoria.

Preso atto di quanto rappresentato dall’Azienda nella documentazione in atti e nelle memorie difensive, si osserva che:

per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)”; per “dati relativi alla salute” “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, nn. 1 e 15 del Regolamento);

le informazioni oggetto della notifica riguardano dati relativi alla salute, che meritano una maggiore protezione dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali (Cons. n. 51 del Regolamento);

in base al principio di liceità, i dati personali possono essere trattati solo se ricorre una delle condizioni di cui all’art. 6 dello stesso e, in caso di dati inerenti alle particolari categorie di cui all’art. 9, par. 1, solo in presenza di una delle specifiche ipotesi di esenzione dal divieto di trattamento di tali dati, individuate al paragrafo 2 del medesimo articolo;

la disciplina in materia di protezione dei dati personali prevede –in ambito sanitario- che le informazioni sullo stato di salute possano essere comunicate solo all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso previa delega scritta di quest’ultimo (art. 9 Regolamento e art. 83 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101; cfr. anche provv. generale del 9 novembre 2005, consultabile in www.gpdt.it, doc. web n. 1191411, ritenuto compatibile con il suddetto Regolamento e con le disposizioni del decreto n. 101/2018; cfr. art. 22, comma 4, del citato d.lgs. n. 101/2018);

nel rispetto dei principi fondamentali, sanciti dal Regolamento, i dati personali devono essere trattati dal titolare del trattamento “in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (principio di “integrità e riservatezza”)” (art. 5, par. 1, lett. f) del Regolamento);

il Regolamento prevede, altresì, che il titolare del trattamento metta in atto “misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio”, tenendo conto, tra l’altro, “della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (art. 32 del Regolamento medesimo);

4. Conclusioni

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni si confermano le valutazioni preliminari dell'Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Azienda Socio Sanitaria Territoriale Centro Specialistico Ortopedico Traumatologico Gaetano Pini-CTO, in violazione del principio di liceità (5 par. 1, lett. a)  e 9 del Regolamento, a causa di una comunicazione di dati personali anche relativi allo stato di salute in assenza di idonea base giuridica e in violazione del principio di integrità e riservatezza, in assenza di misure tecniche o organizzative adeguate a prevenire violazioni di riservatezza (artt. 5, par. 1 lett. f) e 32 del Regolamento).

Ciò premesso, tenuto conto che:

dalle risultanze degli atti, l'episodio risulta essere stato isolato e determinato da un’azione accidentale interna;

la violazione, non preceduta da eventi analoghi, si è protratta per un breve periodo di tempo e ha riguardato un unico interessato che ha effettuato un unico accesso al “Portale Web Immagini Medicali” in cui ha visualizzato il referto di un altro paziente;

nonostante le informazioni oggetto di violazioni riguardino dati relativi alla salute dell’interessato, il referto oggetto di errata comunicazione ha riguardato solo esiti ecografici non correlati a quadro patologico complessivo deducibile in relazione all’interessato;

la violazione non ha riguardato malfunzionamenti o errori attribuibili agli applicativi informatici dell’Azienda;

il titolare è intervenuto prontamente notificando l’evento all’Autorità, ai sensi dell’art. 33 del Regolamento;

l’interessato non ha subito alcun danno dall’evento occorso;

il titolare ha successivamente previsto l’implementazione di nuove e specifiche misure organizzative volte a prevenire il ripetersi di eventi analoghi;

l’evento occorso è imputabile alla colpa lieve del titolare, anche a causa delle particolari e gravose condizioni in cui versava l’Azienda determinate dalla pandemia da Sars-Cov19; 

l'Autorità ha preso conoscenza dell'evento a seguito della notifica di violazione dei dati personali effettuata, senza ingiustificato ritardo, dallo stesso titolare del trattamento, che si è dimostrato collaborativo durante tutta la fase istruttoria e procedimentale;

non sono pervenuti reclami o segnalazioni al Garante sull'accaduto;

le circostanze del caso concreto inducono a qualificare lo stesso come "violazione minore", ai sensi del considerando 148 del Regolamento e delle Linee guida WP 253, riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del Regolamento (UE) n. 20161679.

Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il titolare del trattamento, ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, per aver violato le previsioni del Regolamento di cui agli artt. 5 par. 1, lett. a), 6 e 9 del Regolamento e che, considerando, in ogni caso, che l’Azienda ha attuato misure organizzative volte ad evitare il ripetersi di episodi come quello segnalato non vi siano i presupposti per l'adozione di ulteriori provvedimenti correttivi da parte dell'Autorità, ai sensi dell'art. 58, par. 2, del Regolamento.

Si rileva infine che ricorrono i presupposti di cui all'art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all'esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell'art. 57, par. l, lett. a) del Regolamento, dichiara l'illiceità del trattamento dei dati personali effettuato dall’Azienda Socio Sanitaria Territoriale Centro Specialistico Ortopedico Traumatologico Gaetano Pini-CTO, con sede legale in P.zza Cardinal Ferrari 1 - 20122 Milano P. Iva 09320530968, per la violazione dei principi applicabili al trattamento dei dati personali, di cui all’art. 5, par. 1, lett. a) e f), 9 e dell’art. 32 del Regolamento, nei termini di cui in motivazione;

b) ai sensi dell'art. 58, par. 2, lett. b) del Regolamento, ammonisce la predetta Azienda quale titolare del trattamento in questione, per aver violato gli artt. 5, par. 1, lett. a) e f), 9 e 32 del Regolamento, come sopra descritto;

c) ritiene che ricorrano i presupposti di cui all'art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all'esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 24 marzo 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei