g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Azienda sanitaria universitaria Friuli Occidentale - 26 maggio 2022 [9789972]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

VEDI ANCHE NEWSLETTER DEL 26 LUGLIO 2022

 

[doc. web n. 9789972]

Ordinanza ingiunzione nei confronti di Azienda sanitaria universitaria Friuli Occidentale - 26 maggio 2022

Registro dei provvedimenti
n. 200 del 26 maggio 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n.9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n.1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Il reclamo e l’attività istruttoria

1.1 Il reclamo

L’Autorità ha ricevuto un reclamo da parte della sig.ra XX in merito al trattamento di dati personali effettuato dall’Azienda sanitaria universitaria Friuli Occidentale (di seguito ASFO) mediante il dossier sanitario aziendale. In particolare, la reclamante ha segnalato 3 episodi di accesso al proprio dossier sanitario da parte del dott. XX che, secondo quanto dichiarato in atti, non sarebbe mai intervenuto nel percorso di cura della stessa.

In relazione al predetto reclamo l’Ufficio ha chiesto informazioni con la nota del XX (prot. n. XX) con riferimento alla quale l’ASFO ha risposto con la nota del XX in cui è stato, in particolare, rappresentato che:

I documenti sanitari e socio-sanitari firmati digitalmente da operatori dell'Azienda sanitaria Friuli Occidentale (di seguito '”ASFO") costituiscono il Dossier sanitario della stessa e, al pari delle altre Aziende sanitarie della Regione Friuli Venezia Giulia, sono consultabili a condizione che gli interessati abbiano rilasciato lo specifico consenso — esclusivamente da parte degli operatori sanitari e socio-sanitari di ASFO dalla stessa abilitati, attraverso l'applicativo Visore Referti, messo a disposizione da Insiel SpA, società fornitrice degli applicativi informatici sanitari della Regione Friuli Venezia Giulia”;

“Con riguardo agli accessi al Dossier sanitario da parte degli operatori sanitari che intervengono nel processo di cura dell'assistito, si richiamano le misure definite da Insiel SpA e rese disponibili alle Aziende sanitarie regionali conseguentemente al provvedimento di codesta Autorità, trasmesso con nota protocollo n. XX del XX”;

“ln particolare la visibilità del Dossier sanitario da parte degli operatori di ASFO abilitati è stata ricondotta ai seguenti percorsi: ricovero -è apertura della visibilità solo dal momento di accettazione amministrativa nel sistema informatico relativo ai percorsi di ADT (accettazione — dimissione trasferimenti), fino alla chiusura tecnica dello stesso; pronto soccorso apertura della visibilità solo dal momento di accettazione amministrativa all'interno dell’applicativo relativo al pronto soccorso, fino alla chiusura tecnica dello stesso; ambulatoriale -è apertura della visibilità solo nel giorno di prenotazione/accettazione e dal momento di accettazione amministrativa all'interno dell'applicativo dedicato, fino alle ore 24:00 del giorno medesimo. Al di fuori di queste Ipotesi, il Dossier sanitario è consultabile dall'operatore di ASFO abilitato solamente dopo aver compilato una maschera di autodichiarazione di essere coinvolto nel percorso di cura dell'interessato, con relativa assunzione di responsabilità personale, per le ipotesi di:

prevenzione/diagnosi/cura/riabilitazione su paziente in carico, ma non registrato nei percorsi informatizzati previsti e sopra descritti (es. attività di pre- e post-ricovero o pre- e postprestazione ambulatoriale, consulenza interdisciplinare medica tra colleghi della stessa Azienda); o critical review, per analisi ed eventuale miglioramento dei percorsi di cura (es. audit, root cause analysis (RCA), eventi sentinella, come normativamente previsto); o processo di prelievo/trapianto;

direzione sanitaria supporto a processi organizzativi e adempimenti normativi;

Sulla base di queste regole, l'accesso al Dossier sanitario è consentito a tutto il personale aziendale abilitato coinvolto a vario titolo nel percorso di cura dell'assistito, dalla sua presa in carico all'erogazione dell'atto finale;

La soluzione così elaborata da Insiel SpA e adottata dalle Aziende sanitarie regionali sotto il coordinamento dell'Amministrazione regionale in un'ottica di uniformità e omogeneità a livello informativo del SSR — risponde alla primaria esigenza di garantire all'assistito tutte le cure e l'assistenza di cui necessita, nel costante rispetto del suo diritto alla riservatezza, in percorsi di cura non determinabili a priori e altamente variabili nelle peculiarità di ciascun caso concreto (si pensi, ad esempio e in via generale, alle necessità cliniche di un malato cronico, ben diverse da quelle di un malato acuto);

Con riferimento agli accessi al proprio Dossier contestati dalla Sig.ra XX, dipendente e assistita di ASFO, innanzitutto si partecipa che il dott. XX — con le cui credenziali risultano effettuati gli accessi in questione — è attualmente medico (ibero professionista della Cooperativa sociale Anthesys Servizi, designata da ASFO Responsabile del trattamento correlato ai servizi "di supporto alle attività di assistenza medica presso la Casa Circondariale di Pordenone" (…), ln tale veste, il dott. XX è stato, a sua volta, designato quale Autorizzato al trattamento dalla Cooperativa sociale per cui presta servizio, con contestuale somministrazione di specifiche istruzioni operative per assicurare il costante corretto trattamento dei dati personali (Allegato 5). II dott. XX è stato abilitato da ASFO all'utilizzo del Visore Referti in data XX;

il dott. XX, (…) che dall'elenco turni trasmesso via e-mail dal dott. XX (Direttore del Distretto del Noncello) ai competenti uffici ASFO, per uno degli accessi contestati non risultava in servizio — ha dichiarato di non conoscere la Sig.ra XX, contestualmente ammettendo di aver affisso la propria password per l'accesso al Visore Referti vicino al video del computer;

Alla luce delle dichiarazioni del dott. XX e, in particolare, avuto merito del fatto che per uno degli accessi contestati egli non risultava in servizio, con nota e-mail del XX, è stata convocata la Sig.ra XX, infermiera di Arkesis Coop. Soc. Socio Sanitaria ARU cooperativa designata quale Responsabile del trattamento dati connesso all'espletamento del “Servizio infermieristico rivolto a detenuti presso fa Casa Circondariale di Pordenone" per conto di ASFO. ln tale qualità, la Sig.ra XX è stata, a sua volta, designata Autorizzato al trattamento dalla Cooperativa sociale per cui presta servizio.La Sig.ra XX non risulta essere stata abilitata da ASFO all'utilizzo del Visore Referti, nè quale lavoratrice interinale, né quale dipendente di Arkesis Coop- SOL Socio Sanitaria ARL;

alla Sig.ra XX è stato rappresentato come la stessa risultasse l'unica infermiera in servizio al tempo di ogni accesso contestato dalla Sig.ra XX;

questa Azienda correttamente non ha notificato un data breach in quanto: l'interessata è una sola, la stessa è stata immediatamente. posta a conoscenza dei fatti, tramite l'invio dell'elenco degli accessi al proprio Dossier sanitario, non ha segnalato di aver subito alcun pregiudizio o danno dalle violazioni rilevate, ha provveduto personalmente a intraprendere azioni a tutela dei propri diritti.

Dalla documentazione in atti emerge inoltre che il dott. XX era solo in alcuni casi in servizio presso la Casa Circondariale nei giorni e negli orari nei quali risultano essere stati effettuati gli accessi al dossier sanitario della reclamante e in particolare:

− “in data XX il dott. XX risulta in servizio dalle ore 9.00 alle ore 12.00 e dalle 13.00 alle 18.00; pertanto negli orari (18.48; 18.49; 18.51) in cui risultano effettuati gli accessi di cui all'esame, effettuati con le credenziali del dott. XX, lo stesso non era in servizio;

− in data XX risulta in servizio dalle 9.00 alle 12.00 e dalle 13.00 alle 18.00, pertanto alle 9,47 orario in cui è stato fatto l'accesso al DSE era presente presso la Casa Circondariale di Pordenone;

− e in data XX1 il dott. XX risulta in servizio dalle ore 9.00 alle ore 12.00 e dalle 13.00 alle ore 20.00, (registro presso la Casa Circondariale); pertanto alle ore 15.57, orario in cui è registrato l'accesso al DSE di cui all'esame lo stesso era presente presso la Casa Circondariale di Pordenone” (verbali nn. 2 e 3 del XX).

L’ASFO, nel rispondere alla richiesta di informazioni dell’Ufficio, ha allegato anche il verbale di audizione del dott. XX del XX nel quale è stato dichiarato che:

− “II dott. XX dichiara di non conoscere la Sig.ra XX né personalmente né come paziente, dichiara anche di non avere idea di chi sia o quanti anni abbia;

− Il dott. XX ammette che la password è attaccata vicino al video del computer dei medici sul muro, pertanto è visibile a chi frequenta quei locali, ambulatorio medico della Casa Circondariale. Mi risulta che in tali locali possa accedere solo il personale sanitario in servizio presso quegli ambulatori. Sul biglietto è riportata la password. II dott. XX dichiara però di non aver mai dato il consenso all'uso della sua password ad alcuno.

− Per quanto riguarda la visualizzazione avvenuta nei giorni XX e XX il dott. XX precisa che ci sono due computer in stanze attigue, separate da un muro. Un computer è a disposizione dei medici l'altro degli infermieri, pertanto chiunque abbia preso la password avrebbe potuto usarla anche stando nell'altra stanzetta. Potrebbe anche essere che all'ora indicata il dott. XX fosse sceso in sala mensa dove sono collocate le macchinette del caffè”.

L’ASFO, nel rispondere alla richiesta di informazioni dell’Ufficio, ha inoltre allegato il verbale di audizione della dott.ssa XX del XX nel quale è stato dichiarato che:
−    “Quanto alla Sig.ra XX la conosco personalmente perché abbiamo collaborato insieme in Croce Rossa Italiana, anche se io adesso sono riservataria (non in servizio) da più di due anni. La Sig.ra XX inoltre è nell'elenco che è a disposizione sulle scrivanie sia dei medici che degli infermieri. Si tratta di un elenco di personale dell'azienda con il quale abbiamo maggiore contatto per servizio.

− Oltre a noi infermieri e medici negli ambulatori possono entrare anche le guardie carcerarie.

− La password del dott. XX è appesa al muro vicino al video del computer. Preciso che noi infermieri non abbiamo la password del visore referti.

− Voglio precisare inoltre che la procedura di accesso al visore referti non è una procedura facile, io l'ho vista fare qualche volta dal personale medico, ma non la utilizzo abitualmente.

− Dichiaro anche che io stessa ho dato in uso la mia password di accesso al computer ad altri colleghi infermieri, spesso perché le credenziali non arrivano e bisogna pure operare, e persino a medici che non avevano le loro credenziali. Però non sono una sprovveduta so benissimo che la visualizzazione sul visore referti è attività illecita;

− Quanto alle guardie possono utilizzare i nostri pc per fare le loro relazioni di servizio o eventuali necessità, chiedono sempre di poter usare i nostri computer, ma loro stanno al pc di solito 10 o 15 minuti. Comunque le guardie hanno le chiavi per accedere agli ambulatori. Noi infermieri invece le abbiamo al momento del nostro arrivo in servizio attraverso la guardiola di accesso al Carcere.

− Di regola in turno siamo un infermiere e un medico, ma a volte si verifica una sovrapposizione di turno se necessario per finire l'attività che stiamo svolgendo.

− Ci sono in servizio 7 medici e 4 infermieri.

− In particolare per quanto riguarda la conoscenza dei fatti relativi a XX io la conosco e come sapevo della morte di suo padre, per cui qualche mese fa l'ho chiamata, so anche da conversazioni da amiche comuni che aveva avuto degli interventi, pertanto non avrei avuto bisogno di guardare i fatti nel visore referti. Sono molto dispiaciuta per quanto accaduto”.

In relazione alle risultanze della predetta attività istruttoria, l’Ufficio, con atto n. XX del XX, ha notificato all’ASFO, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

In particolare, l’Ufficio, ha evidenziato che la configurazione del dossier sanitario effettuata da ASFO individua un unico profilo di accesso, consentendo, quindi, a tutto il personale sanitario di accedere ai dossier sanitari di qualsiasi paziente sia in quel momento presente in Azienda a prescindere dalla circostanza che lo stesso sia effettivamente in cura presso il soggetto che effettua l’accesso, senza alcuna limitazione temporale.

L’Ufficio ha poi rilevato che la mancata individuazione di diversi profili di accesso rende evidente come non si sia tenuto conto, non solo della circostanza che può accedere al dossier solo il personale che ha in quel momento in cura il paziente, ma anche che non tutto il personale sanitario può essere abilitato a effettuare le stesse attività di trattamento di dati personali attraverso il dossier.

E’ stato inoltre rilevato che non è stato adottato, come richiesto dalle citate Linee guida, un sistema per il rilevamento di eventuali anomalie che possano configurare trattamenti illeciti, ovvero l’utilizzo di indicatori di anomalie (c.d. alert) volti ad individuare comportamenti anomali o a rischio relativi alle operazioni eseguite dai soggetti autorizzati al trattamento (es. numero degli accessi eseguiti, tipologia o ambito temporale degli stessi), utili per orientare successivi interventi di audit.

Ciò stante, è stata contestata la violazione dei principi di base del trattamento di cui all’art. 5, par. 1, lett. a) e f), del Regolamento e dei successivi artt. 9, 25 e 32. La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 4, lett. a) e par. 5, lett. a) del Regolamento.

1.2. Coinvolgimento della Regione Friuli Venezia Giulia e successive fasi istruttorie

Nell’ambito dell’istruttoria avviata a seguito delle predette notifiche di violazione e di analoghe istruttorie avviate nei confronti di altre aziende sanitarie della Regione Friuli Venezia Giulia in merito ai trattamenti di dati personali effettuati attraverso il dossier sanitario è emerso che tutte le aziende sanitarie appartenenti al servizio sanitario regionale (SSR) hanno istituito il dossier sanitario aziendale mediante l’applicativo denominato “visore referti” messo a disposizione da Insiel S.p.A..

Secondo quanto dichiarato negli atti istruttori, la configurazione del dossier sanitario aziendale sarebbe stata effettuata secondo regole standard definite da Insiel sotto il coordinamento della predetta Regione, in un’ottica di uniformità e omogeneità a livello informativo del Servizio sanitario regionale. In particolare, la configurazione del dossier sanitario messa a disposizione da Insiel consentiva di fatto al personale sanitario di accedere al dossier relativo a qualunque paziente fosse in quel momento fisicamente presente nell’Azienda sanitaria e, dichiarando la sussistenza di una pluralità di casistiche preordinate, anche a quelli dei pazienti non presenti nell’Azienda sanitaria.

Ciò stante, l’Ufficio -con nota del XX1 (prot. n. XX) - ha evidenziato alla Regione Friuli Venezia Giulia e alle aziende sanitarie coinvolte gli aspetti di criticità ravvisati nell’attuale configurazione dei dossier sanitari, legati principalmente ai profili di autorizzazione previsti per l’accesso al dossier sanitari e ai sistemai di alert. In tale nota l’Ufficio ha proposto un incontro con i predetti Enti, al fine di approfondire le caratteristiche del sistema informativo messo a disposizione da Insiel alle aziende sanitarie regionale (“visore referti”) attraverso il quale le stesse hanno realizzato il dossier sanitario aziendale, nonché il margine di autonomia riconosciuto alle aziende sanitarie nell’implementazione delle misure ritenute dalle stesse necessarie, in qualità di titolari del trattamento, al fine di rendere conforme il trattamento alla disciplina sulla protezione dei dati personali.

A seguito del predetto incontro, svoltosi da remoto il XX, la predetta Regione ha inviato una nota nella quale sono stati riassunti gli “interventi adeguativi del sistema “Visore Referti”, al fine di eliminare o per lo meno minimizzare le criticità ravvisate” (nota del XX, prot. n. XX).

Nella suddetta nota è stata descritta la “situazione attuale”, ovvero le “regole generali, valide per tutta la Regione:

• Visualizzazione dei documenti sulla base dei consensi prestati dall’interessato, con esclusione: o dei documenti oscurati su base normativa (HIV, genetica, interruzioni di gravidanza, etc.) o oppure dei documenti oscurati puntualmente su richiesta del cittadino (a cura del medico, durante il processo di diagnosi e cura, ovvero su richiesta anche successiva da parte dell’interessato);

• In mancanza di una presa in carico amministrativa (per ricovero, accesso in pronto soccorso, o per erogazione di una prestazione ambulatoriale o di consulenza), i dati sono accessibili solo su esplicita autodichiarazione con motivazione (ad esempio, in caso di paziente cronico che contatta telefonicamente la struttura e necessita di un parere per il proseguimento di cure domiciliari).”

La Regione ha inoltre precisato che “a carico di ciascun titolare, è possibile, per il tramite dei suoi amministratori di sistema, intervenire sulle configurazioni del sistema per:

• Abilitare gli operatori all’accesso al sistema, assegnando loro ruoli specifici, tra quelli concordati tra gli enti operanti nel sistema sanitario regionale;

• Individuare le unità operative per le quali escludere completamente i documenti generati dalla visibilità (ad esempio, i referti del medico competente);

• Definire, per ciascuna unità operativa, il tipo di documento da visualizzare (referto, lettera di dimissione, lettera di trasferimento, verbale di Pronto Soccorso, …) e il suo stato (definitivo, firmato digitalmente, …);

• Operare l’oscuramento su singoli documenti, a cura del medico redattore”.

Con riferimento al sistema di accesso al “visore referti” la Regione ha precisato che “non sono previsti ruoli di tipo amministrativo, in quanto non pertinenti con le finalità del sistema”.

Nella predetta nota sono stati inoltre sommariamente descritti gli “adeguamenti previsti”. In particolare, con riferimento alla visibilità dei documenti accessibili attraverso il suddetto “visore referti” è stato dichiarato che:

• “L’accesso senza autodichiarazione può essere ristretta alle sole unità operative per le quali è stata aperta un’accettazione amministrativa. Per gli episodi ambulatoriali o le richieste di consulenza, l’apertura ha validità per il giorno solare di apertura; per il pronto soccorso, fino alla dimissione; per i ricoveri, fino alla dimissione/trasferimento.

• Nel caso fosse necessario accedere al dossier di pazienti non presenti dal punto di vista amministrativo (ad esempio, per visualizzare referti pervenuti a seguito della dimissione ospedaliera), sarà necessario compilare l’autodichiarazione, motivando il motivo di accesso. In tutti i casi in cui il paziente non è presente amministrativamente nella struttura che accede al visore, è necessaria l’autodichiarazione”.

In merito alla tempistica della realizzazione dei suddetti adeguamenti, è stato dichiarato che gli stessi possono essere effettuati “in due fasi distinte:

• Prima fase (più restrittiva): tutti gli operatori accedono con autodichiarazione, indipendentemente dal fatto che il paziente sia presente amministrativamente nella specifica unità operativa. La soluzione è implementabile nell’arco di 10 giorni lavorativi dalla richiesta;

• A regime: consente alla struttura che ha il paziente presente per accettazione amministrativa (reparto, ambulatorio, PS, RSA, …) di accedere ai documenti senza autodichiarazione. Per tutte le altre strutture, l’autodichiarazione è obbligatoria. Implementazione graduale sui vari sistemi chiamanti il nuovo visore nell’arco di 6 mesi”.

In merito agli “Strumenti di alert” è stato rappresentato che “nell’arco di tre mesi, verranno rilasciate delle ulteriori funzioni di datawarehouse, consultabili e personalizzabili da ciascun titolare. Sarà possibile incrociare i dati degli accessi al sistema, delle autodichiarazioni compilate, dello status di dipendente dei pazienti. I cruscotti che saranno resi disponibili consentiranno di monitorare le casistiche di autodichiarazione, la frequenza di consultazione, etc. Oltre a un set di visualizzazioni e riepiloghi che verranno resi disponibili per tutte le aziende, ciascun titolare, per mezzo dei suoi amministratori di sistema, potrà definire autonomamente estrazioni e riepiloghi, per raffinare le azioni di monitoraggio e di rilevamento di eventuali anomalie”.

Con nota del XX (prot. n. XX) l’ASFO ha inviato scritti difensivi e ha chiesto di essere sentita, rappresentando ciò che era emerso nel corso dell’incontro del XX e ribadendo, in particolare, che “il grado di responsabilità delle singole aziende titolari del trattamento, tra cui ASFO, è limitato e la possibilità di intervento dei singoli titolari sulle modifiche al software in uso è praticamente nulla”.

L’ASFO ha inoltre precisato di aver fornito “le istruzioni specifiche e la formazione agli autorizzati al trattamento incaricati direttamente o per il tramite dei responsabili esterni”.

In merito al trattamento dei dati effettuato da Insiel per conto dell’ASFO, l’Azienda ha precisato che “In data XX, a seguito della nota INSIEL del XX con la quale si proponeva il testo standard di nomina a responsabile, il DPO dell’Azienda, dott. XX, ha inviato in data XX una nota a tutti i Responsabili per la protezione dei dati del SISSR -FVG (allegato 12) per sollecitare un chiarimento riguardo “la natura del rapporto funzionale e contrattuale che intercorre tra le Aziende sanitarie e INSIEL, in qualità di Responsabile del Trattamento (…) La Regione infatti, per il tramite della Direzione Centrale Salute Integrazione Sociosanitaria, Politiche sociali e Famiglia, governa e coordina la Sanità pubblica sul territorio, definendo, per mandato, le politiche sanitarie e operando scelte relativamente alle modalità attuative dei trattamenti, sulle quali le singole Aziende non possono incidere. Per quanto riguarda il rapporto con Insiel, allo stato attuale tutte le richieste delle Aziende debbono esser fatte direttamente ed esclusivamente alla Regione; non possono, queste ultime, rivolgersi autonomamente ad Insiel”.

In data XX, si è tenuta la richiesta audizione dell’ASFO, nell’ambito della quale l’Azienda ha ribadito quanto già indicato negli scritti difensivi e ha precisato in particolare che:

i fatti rappresentati nel reclamo nascono “da un comportamento individuale di un medico appartenente ad servizio esternalizzato all’interno del carcere di Pordenone che, in modo autonomo, ha deciso di conservare le proprie credenziali con modalità non conformi a quanto formalmente invece indicatogli dall’ASFO (post-it affisso sul muro affianco al p.c.)”;

“Da una analisi degli elementi istruttori acquisiti dall’ASFO è emerso che l’unico operatore che era in servizio in tutte le fasce orarie in cui si sono verificati gli accessi contestati è un’infermiera afferente ad altra cooperativa, che ha dichiarato nel verbale in atti di conoscere la reclamante. Si segnala inoltre che colui che ha effettuato l’accesso al dossier del reclamante (“Visore referti”) ha utilizzato la procedura che consente di accedere ai dati dei pazienti che non sono in quel momento in cura previste dal sistema” selezionando una delle opzioni offerte dallo stesso;

“Si precisa che, nel caso di specie, l’accesso indebito è stato effettuato dagli ambulatori sanitari del carcere di Pordenone. In merito ai fatti contestati dal Garante è stata presentata denuncia alla Procura della Repubblica contro ignoti, nonché una diffida ai predetti operatori economici presso i quali operano i professionisti coinvolti nella vicenda (medico e infermiera, quest’ultima sempre presente in servizio in tutti gli accessi contestati)”;

“A seguito dell’evento l’ASFO, nei limiti delle proprie possibilità di intervento, ha deciso di adottare le seguenti misure volte a ridurre la possibilità che si verifichino nuovamente episodi come quello in esame:

o denuncia alla Procura della Repubblica contro ignoti in merito ai fatti oggetto di contestazione;

o diffide agli operatori economici coinvolti, richiamando gli stessi a quanto previsto tra gli obblighi in qualità di responsabile del trattamento, ed in particolare formare con ulteriore attenzione i loro professionisti in merito alla disciplina in materia di protezione dei dati personali;

o circolare rivolta a tutti i dipendenti ed alcuni operatori esterni all’ASFO recante “Indicazioni volte a evitare impropri accessi a dati di assistiti tramite il Visore referti”

“come già segnalato alla Regione, l’ASFO non è in grado di restringere l’accesso da parte degli operatori sanitari che operano presso le carceri al “visore referti” dei soli interessati in quel momento detenuti, né di fornire a tali operatori strumenti informativi diversi dal predetto “visore referti”. Pertanto, in relazione alla circostanza che non esiste ancora a livello regionale uno strumento di cartella sanitaria carceraria dedicato, la scelta dell’ASFO per rispondere alla domanda degli operatori sanitari operanti in carcere è stata di fatto obbligata”;

Preso atto di quanto dichiarato nelle predette nota, l’Ufficio, al fine di definire i procedimenti istruttori avviati nei confronti delle aziende sanitarie regionali, tra cui l’ASFO, con nota del XX (prot. n. XX), ha chiesto alla predetta Regione informazioni in merito all’attuale stato di implementazione degli “adeguamenti” sopra descritti; alle modalità di accesso al visore referti previste nell’ipotesi in cui l’interessato sia presente per accettazione amministrativa in una unità operativa diversa da quella che effettua l’accesso;  al margine di autonomia riconosciuto alle aziende sanitarie nel chiedere, in qualità di titolari del trattamento, alla società Insiel, già designata dalle stesse aziende responsabile del trattamento, la modifica o la personalizzazione delle suddette misure di adeguamento, con particolare riguardo alle configurazioni relative all’acceso al dossier sanitario;  alle fattispecie che possono essere oggetto della suddetta “autodichiarazione”, con particolare riferimento a quelle, sino ad ora consentite, relative alla “direzione sanitaria (supporto a processi organizzativi e adempimenti normativi)” e al “critical review, per analisi ed eventuale miglioramento dei percorsi di cura”, indicate nella documentazione in atti; alla tipologia di informazioni registrate nei file di log relative agli accessi e alle operazioni compiute; alle misure che si intendono adottare per assicurare che l’accesso al dossier sanitario mediante l’applicativo “visore referti”, quando effettuato da ambulatori esterni alle aziende, possa essere effettuato soltanto con riferimento ai dossier degli interessati in cura presso i suddetti ambulatori.

In risposta alla predetta richiesta di informazioni, la Regione Friuli Venezia Giulia ha risposto con nota del XX (prot. n. XX) dichiarando, in particolare, che “verrà attivato un percorso di verifica e analisi sui sistemi già in dotazione alle aziende sanitarie, al fine di valutare la loro possibile applicazione nell’ambito delle carceri/ambulatori esterni, nel rispetto della normativa relativa al trattamento dei dati personali”.

In allegato alla risposta la Regione ha fornito una nota di Insiel del XX (prot. n. XX) nella quale la Società ha rappresentato che:

“L’adeguamento previsto nella prima fase è attivabile, a livello regionale e previa concertazione con i titolari del trattamento, entro 15 giorni dalla ricezione della richiesta”:

Completamento della “fase a regime” entro il mese di XX. L’implementazione della fase a regime prevede che la presa in carico amministrativa del paziente avvenga a livello di singola unità operativa.

L’attività prevede:

• una fase di analisi e progettazione degli sviluppi e la valutazione dell’impatto organizzativo sugli operatori delle aziende (entro il mese di XX);

• l’adeguamento dei sistemi gestionali clinico-sanitari che invocano il Visore Referti e che indicano la presa in carico amministrativa del paziente per la specifica unità operativa; gli adeguamenti dovranno consentire l’attuale operatività fino al completamento dei rilasci (entro il mese di XX);

• l’adeguamento del visore Referti che recepisce l’informazione sulla presa in carico a livello di unità operativa per cui sia aperta una specifica accettazione amministrativa del paziente interessato e consente solo in questo contesto l’accesso al dossier del paziente stesso senza esprimere una autodichiarazione (entro la prima metà del mese di XX);

• l’attivazione degli adeguamenti sulle Aziende sanitarie, con contestuale formazione degli operatori sulle nuove modalità di utilizzo (entro il mese di XX).

• Si conferma, entro il mese di XX, il rilascio dei cruscotti di monitoraggio indicati nella sezione “Strumenti di alert”;

• In caso di unità operativa diversa da quella nella quale l’interessato è presente per accettazione amministrativa, l’accesso al Visore Referti potrà avvenire solo previa autodichiarazione dell’operatore, con indicazione della motivazione;

•  Si riportano di seguito le attuali voci selezionabili nel form di autodichiarazione:

Prevenzione/diagnosi/cura/riabilitazione su paziente in carico ma non registrato nei percorsi informatizzati previsti (ad esempio attività di pre/post ricovero o pre/post prestazione ambulatoriale, consulenza tra colleghi della stessa azienda).

Critical review per analisi ed eventuale miglioramento dei percorsi di cura (ad esempio audit, RCA, eventi sentinella, ecc. come previsto dalla normativa).

Processo di prelievo/trapianto (ad esempio attività di prelievo d’organo in donatore cadavere a garanzia del migliore processo di cura).

Direzione sanitaria: supporto ai processi organizzativi e adempimenti normativi (ad esempio attività di polizia mortuaria riscontro diagnostico, accertamento causa di morte, assenza di reato o di malattia infettiva). È anche previsto un campo note ove l’operatore può inserire un testo libero. E’ possibile modificare/estendere/eliminare le voci presenti in elenco in base alle specifiche esigenze o a diverse modalità organizzative che si potrebbero mettere in atto.

• particolari richieste di implementazione che modificano il funzionamento generale vengono valutate a livello regionale e proposte come evoluzione per tutte le Aziende

• Nelle tabelle di audit vengono registrati i dati dell’operatore che ha avuto accesso al Visore Referti, la sua struttura di appartenenza e, in caso di autodichiarazione, verrà registrata anche la specifica motivazione indicata. Per ciascun paziente, inoltre, vengono registrati i suoi estremi e se la visualizzazione si è limitata all’elenco dei suoi documenti, ovvero se l’operatore ha visualizzato anche il dettaglio dello specifico documento”.

2. Esito dell’attività istruttoria.

Con riferimento ai trattamenti oggetto delle predette notifiche di violazione e del citato reclamo, il Garante ha adottato le “Linee guida in materia di Dossier sanitario - XX” (Provvedimento del 4.6.2015, pubblicato in G.U. 164 del 17 luglio 2015, consultabile su www.gpdp.it doc web n. 4084632), che, al pari degli altri provvedimenti dell’Autorità, continuano ad applicarsi anche dopo la piena applicazione del Regolamento, in quanto compatibili con lo stesso (art. 22, comma 4, d.lgs n. 101/2018).

Nelle predette Linee guida il Garante, al fine di scongiurare il rischio di un accesso alle informazioni trattate mediante il dossier sanitario da parte di soggetti non autorizzati o di comunicazione a terzi di dati sanitari da parte di soggetti a ciò abilitati, ha specificamente chiesto al titolare del trattamento di porre particolare attenzione nell’individuazione dei profili di autorizzazione e nella formazione dei soggetti abilitati, dovendo essere limitato l’accesso al dossier al solo personale sanitario che interviene nel processo di cura del paziente ed essere adottate modalità tecniche di autenticazione al dossier che rispecchino le casistiche di accesso a tale strumento proprie di ciascuna struttura sanitaria. A tal fine, nelle predette Linee guida, il Garante ha indicato ai titolari del trattamento di effettuare un monitoraggio delle ipotesi in cui il relativo personale sanitario può avere necessità di consultare il dossier sanitario, per finalità di cura dell’interessato e, in base a tale ricognizione, individuare i diversi profili di autorizzazione all’accesso.

L’accesso al dossier deve essere, pertanto, limitato al solo personale sanitario che interviene nel tempo nel processo di cura del paziente. Ciò significa che deve essere consentito l’accesso solo al personale che a vario titolo interviene nel processo di cura. L’accesso al dossier deve essere limitato, poi, al tempo in cui si articola il processo di cura, ferma restando la possibilità di accedere nuovamente al dossier qualora ciò si renda necessario in merito al tipo di trattamento medico da prestare all’interessato.

Con provvedimento del 10 gennaio 2013 (doc. web n. 2284708) l’Autorità era già intervenuta in merito al trattamento dei dati effettuati attraverso il sistema informativo di archiviazione e refertazione delle prestazioni sanitarie erogate dalle strutture sanitarie della Regione Friuli Venezia Giulia, denominato "G2" riconducibile allo strumento del dossier sanitario. In tale provvedimento il Garante aveva ravvisato specifici profili di criticità relativi all’informativa e al consenso degli interessati, all’accesso al dossier sanitario e al diritto di oscuramento tali da rilevare l’illiceità del trattamento effettuato da un’azienda sanitaria regionale e prescrivendo alla stessa le misure necessarie per rendere il trattamento lecito.

In tale provvedimento, l’Autorità aveva inoltre prescritto alle aziende sanitarie e agli istituti di ricovero e cura a carattere scientifico della Regione che avevano in uso il medesimo sistema informativo di rendere conforme il trattamento dei dati personali effettuato attraverso i dossier sanitari aziendali alle prescrizioni dettate alla predetta azienda entro i medesimi termini.

Con specifico riferimento agli aspetti del trattamento oggetto del presente provvedimento, ovvero alla necessità che l’accesso al dossier sia consentito solo al personale che ha effettivamente in cura l’interessato, nel predetto provvedimento il Garante aveva ritenuto necessario prescrivere di mettere in atto specifici accorgimenti –anche eventualmente avvalendosi del supporto tecnico fornito da Insiel- che consentano ai soli professionisti sanitari che hanno in quel momento in cura il paziente (che abbia già manifestato un consenso informato alla costituzione del dossier) di accedere al suo dossier sanitario per il tempo in cui si articola il percorso di cura.

Successivamente all’adozione del citato provvedimento del 2013, il Garante ha adottato le linee guida in materia di dossier sanitario (2015) applicabili anche al dossier sanitario tenuto dall’ASFO. Con la piena applicazione del Regolamento l’Azienda era tenuta inoltre ad adeguare tale strumento informativo ai principi di protezione dei dati fin dalla progettazione e per impostazione predefinita di cui all’art. 25 del Regolamento.

Ciò premesso, preso atto di quanto rappresentato dall’Azienda nelle memorie difensive, si osserva che:

1. La configurazione del dossier sanitario predisposta da Insiel e attualmente utilizzata dall’ASFO consente al personale sanitario di accedere a tale strumento informativo relativo a qualunque paziente sia in quel momento fisicamente presente in Azienda a prescindere dall’effettivo coinvolgimento nel percorso di cura dello stesso e, dichiarando la sussistenza di una pluralità di casistiche preordinate, anche ai pazienti non presenti in Azienda. Tale impostazione non assicura che al dossier aziendale possa accedere solo il personale sanitario che ha effettivamente in cura il paziente, stante il fatto che non tutti i professionisti sanitari intervengono nel processo di cura di tutti i pazienti ricoverati nei reparti dell’Azienda (compreso quello di emergenza e urgenza) o che usufruiscono di una prestazione sanitaria ambulatoriale. Come dimostrano i casi oggetto di violazione, infatti, l’attuale configurazione del dossier ha reso possibile che personale sanitario operante presso l’Azienda potesse accedere senza restrizioni al dossier sanitario di colleghi ovvero di interessati che non erano -all’atto dell’accesso- in cura presso gli stessi, in violazione dei principi di base del trattamento di cui agli artt. 5, par. 1, lett. a) e f) e 9 del Regolamento, nonché dei principi di protezione dei dati fin dalla progettazione (privacy by design) e per impostazione predefinita (privacy by default) contemplati all’art. 25 del Regolamento;

2. La configurazione del dossier sanitario predisposta da Insiel e attualmente utilizzata all’ASFO -anche alla luce degli adeguamenti prospettati dalla Regione Friuli Venezia Giulia- consente l’accesso al dossier sanitario anche dal personale della Direzione sanitaria per attività di “supporto ai processi organizzativi e adempimenti normativi”, per “Critical review per analisi ed eventuale miglioramento dei percorsi di cura (ad esempio audit, RCA, eventi sentinella, ecc. come previsto dalla normativa)” e per “Processo di prelievo/trapianto (ad esempio attività di prelievo d’organo in donatore cadavere a garanzia del migliore processo di cura)”. Al riguardo, si evidenzia che, stante quanto già rappresentato dall’Autorità nelle citate Linee guida e in altri provvedimenti (cfr. provvedimento del 21 aprile 2021, n- 155), secondo cui, tenuto conto del diritto di oscuramento esercitabile dall’interessato ai dati accessibili mediante il dossier sanitario e quindi la possibile incompletezza di tale strumento informativo, il titolare deve individuare, in relazione alle diverse funzioni a cui è adibito il personale, soluzioni tecniche organizzative che consentano agli organi amministrativi della direzione sanitaria di accedere, nei limiti delle attribuzioni previste per legge, a una base informativa più completa rispetto a quella presente nel dossier sanitario aziendale;

3. La circostanza di prestare servizio in una delle molte articolazioni funzionali dell’ASFO non deve essere infatti considerata una condizione sufficiente per consentire l’accesso ai dossier sanitari di tutti i pazienti presenti a vario titolo nelle diverse strutture sanitarie aziendali. Nel rispetto dei principi generali del trattamento, l’accesso deve essere infatti consentito solo al personale che, sulla base delle prestazioni erogate e dei percorsi clinici attivati, può effettivamente essere coinvolto nel percorso di cura del paziente, ferma restando la possibilità per lo stesso di accedere a dossier sanitari per i quali non è stata di default abilitato l’accesso al ricorre di specifici eventi (es. consulto) dichiarati dallo stesso professionista sanitario all’atto dell’accesso. La possibilità per gli operatori presenti nel carcere di Pordenone di accedere ai dossier sanitari di tutti i pazienti dell’ASFO e non solo a quelli dei detenuti nel predetto carcere ha consentito di fatto gli accessi illeciti contestati dalla reclamante. Una diversa configurazione del dossier sanitario non avrebbe permesso infatti all’operatore di accedere al dossier sanitario di un paziente non detenuto;

4. La configurazione del dossier sanitario predisposta da Insiel e attualmente utilizzata dall’ASFO non rispetta inoltre il principio secondo cui l’accesso al dossier deve essere limitato al tempo in cui si articola il processo di cura, ferma restando la possibilità di accedere nuovamente al dossier qualora ciò si renda necessario in merito al tipo di trattamento medico da prestare all’interessato;

5. La configurazione del dossier sanitario predisposta da Insiel e attualmente utilizzata dall’ASFO non prevede un sistema per il rilevamento di eventuali anomalie che possano configurare trattamenti illeciti, ovvero l’utilizzo di indicatori di anomalie (c.d. alert) volti ad individuare comportamenti anomali o a rischio relativi alle operazioni eseguite dai soggetti autorizzati al trattamento (es. numero degli accessi eseguiti, tipologia o ambito temporale degli stessi), utili per orientare successivi interventi di audit in violazione dei principi di integrità e riservatezza dei dati personali (artt. 5, par. 1, lett. f) e 32 del Regolamento;

6. la Regione Friuli Venezia Giulia ha illustrato nelle note in atti il programma di un sommario processo di adeguamento dei sistemi informativi utilizzati dalle aziende sanitarie regionali e alle predette Linnee guida in funzione dei rilievi formulati dall’Ufficio con riferimento ai procedimenti istruttori in essere che indica un termine di adeguamento certo solo per alcuni degli adempimenti necessari. In particolare secondo quanto dichiarato è previsto entro:

a. 10/15 gg dalla richiesta dell’Azienda in qualità di titolare: “Prima fase (più restrittiva): tutti gli operatori accedono con autodichiarazione, indipendentemente dal fatto che il paziente sia presente amministrativamente nella specifica unità operativa”;

b. XX: “una fase di analisi e progettazione degli sviluppi e la valutazione dell’impatto organizzativo sugli operatori delle aziende”;

c. XX: “l’adeguamento dei sistemi gestionali clinico-sanitari che invocano il Visore Referti e che indicano la presa in carico amministrativa del paziente per la specifica unità operativa”;

d. XX: “l’adeguamento del visore Referti che recepisce l’informazione sulla presa in carico a livello di unità operativa per cui sia aperta una specifica accettazione amministrativa del paziente interessato e consente solo in questo contesto l’accesso al dossier del paziente stesso senza esprimere una autodichiarazione”;

e. XX: “l’attivazione degli adeguamenti sulle Aziende sanitarie, con contestuale formazione degli operatori sulle nuove modalità di utilizzo”;

f. XX:”il rilascio dei cruscotti di monitoraggio indicati nella sezione “Strumenti di alert”;

g. un termine non definito: “verrà attivato un percorso di verifica e analisi sui sistemi già in dotazione alle aziende sanitarie, al fine di valutare la loro possibile applicazione nell’ambito delle carceri/ambulatori esterni, nel rispetto della normativa relativa al trattamento dei dati personali”.

3. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive relative ai richiamati procedimenti non consentono di superare i rilievi notificati dall’Ufficio con gli atti di avvio dei procedimenti per l’adozione dei provvedimenti correttivi e sanzionatori, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni si rileva l’illiceità del trattamento di dati personali effettuato dall’ASFO con riferimento ai predetti procedimenti avviati a seguito delle comunicazioni di violazione e del reclamo, nei termini di cui in motivazione, in particolare, per aver trattato dati personali in violazione degli artt. 5, par. 1, lett. a) e f), 9, 25 e 32 del Regolamento.

In tale quadro, considerando, che è stato avviato un procedimento penale nei confronti dell’autore dell’accesso e che gli adeguamenti necessari a superare le criticità sopra descritte si collocano all’interno di una più generale ripensamento delle caratteristiche del dossier sanitario utilizzato dalle aziende sanitarie della Regione Friuli Venezia Giulia ad opera della stessa e della società Insiel S.P.A. si ritiene di dover ingiungere all’ASFO, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, le seguenti misure correttive:

-adozione delle misure indicate nel provvedimento approvato da questa Autorità in pari data anche nei confronti della Regione Friuli Venezia Giulia e di Insiel S.P.A. cui si rinvia integralmente.

4. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par. 2, lett. a) e f), 9, 25 e 32 del Regolamento, causata dalla condotta dell’ASFO, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par.4 e 5, del Regolamento.

Si consideri che il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 85, par. 2, del Regolamento in relazione ai quali per entrambi i procedimenti si osserva che:

- l’Autorità ha preso conoscenza dell’evento a seguito di un reclamo (art. 83, par. 2, lett. h) del Regolamento);

- gli accessi illeciti hanno riguardato il dossier sanitario di una paziente che era al contempo dipendente dell’Azienda da parte di una professionista sanitaria che non era coinvolta nel processo di cura della stessa e che operava in una struttura (carcere di Pordenone) nella quale la reclamante non aveva mai ricevuto assistenza sanitaria (art. 83, par. 2, lett. a) e b) del Regolamento);

- è stato avviato un procedimento disciplinare e presentata una denuncia alla Procura della repubblica di Udine nei confronti dell’autore del predetto accesso (art. 83, par. 2, lett. a) e b) del Regolamento);

- i predetti accessi sono stati possibili in quanto le misure in essere con riferimento ai trattamenti dati idonei a rilevare informazioni sulla salute effettuati attraverso il dossier sanitario aziendale non erano pienamente proporzionate al fine di garantire un’adeguata sicurezza e integrità dei dati personali e di scongiurare accessi non consentiti, sebbene l’Autorità fosse già intervenuta in merito con il citato provvedimento del 10 gennaio 2013 e successivamente con le linee guida del 2015 (art. 83, par. 2, lett. d) del Regolamento);

- dagli elementi in atti emerge un limitato potere di intervento dell’Azienda in merito all’adozione di misure aggiuntive rispetto a quelle predefinite dalla Regione Friuli Venezia Giulia e dalla società Insiel S.P.A. sul sistema informativo adottato dall’ASFO quale dossier sanitario (art. 83, par. 2, lett. g) del Regolamento);

- pur non essendo stata documentata in atti la richiesta da parte di ASFO alla Regione Friuli Venezia Giulia e a Insiel s.p.a. di interventi correttivi al sistema informativo denominato visore referti al fine di rendere conforme lo stesso al Regolamento e alle misure indicate dal Garante nelle richiamate linee guida del 2015, l’ASFO ha riportato delle interlocuzioni con la Regione in merito ai rapporti tra l’Azienda e il responsabile Insiel (art. 83, par. 2, lett. g) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, per la violazione degli artt. 5, par. 1, lett. a) e f) e 9 del Regolamento nella misura di 50.000 (cinquantamila) quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato, in entrambi i procedimenti descritti, dall’Azienda sanitaria universitaria Friuli Occidentale, per la violazione degli art. 5, par. 1, lett. a) e f), 9, 25 e 32 del Regolamento nei termini di cui in motivazione.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, all’Azienda sanitaria universitaria Friuli Occidentale, Codice fiscale/partita iva n. 01772890933, di pagare la somma di euro 50.000 (cinquantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento secondo le modalità indicate in allegato, entro 30 giorni dalla notifica in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà delle sanzioni comminate.

INGIUNGE

alla predetta Azienda, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 50.000 (cinquantamila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 26 maggio 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL VICE SEGRETARIO GENERALE
Filippi