g-docweb-display Portlet

Provvedimento del 20 ottobre 2022 [9828208]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9828208]

Provvedimento del 20 ottobre 2022

Registro dei provvedimenti
n. 343 del 20 ottobre

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante il “Codice in materia di protezione dei dati personali”, contenente disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito il “Codice”);

VISTO il d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il prof. Pasquale Stazione;        

PREMESSO

1. Le violazioni dei dati personali notificata all’Autorità

L’Azienda Unità Sanitaria Locale di Parma (di seguito “Azienda”), in data XX, ha notificato all’Autorità, ai sensi dell’art. 33 del Regolamento, una violazione di dati personali, avente ad oggetto l’inserimento di una cartella infermieristica di un paziente nella cartella clinica di altro paziente, allo stesso consegnata.

In relazione a tale evento, l’Azienda ha comunicato che:

la violazione è avvenuta il 14 maggio 2019 e ha avuto ad oggetto “nome, cognome, data di nascita, codice fiscale, indirizzo di residenza, numero di telefono, temperatura corporea, pressione, polso, terapia in uso”;

“è altamente probabile che le informazioni contenute nella cartella infermieristica non siano state viste dalla persona che ne ha materialmente la disponibilità. Inoltre, per quanto riguarda invece la perdita di disponibilità, la stessa non si è realizzata stante la mancanza di richieste - nel lasso di tempo considerato - da parte dell'interessata”;

le misure adottate a seguito della violazione sono state: “verifica e immediato ripristino delle cartelle cliniche interessate dall'incidente di sicurezza; opportuni contatti con il paziente per la restituzione dei documenti”, per porre rimedio alla violazione; “attivazione di una specifica procedura di controllo delle cartelle - ulteriore e aggiuntiva rispetto a quelle già indicate nel Regolamento (..); verifica dell’efficacia di tale sistema assegnato al controllo qualità cartelle cliniche e, in caso di esito positivo, adozione di tale procedura in maniera formale e strutturale; formazione dedicata alla protezione dei dati nel processo di gestione delle cartelle cliniche; attivazione di corsi FAD per tutto il personale in materia di trattamento dei dati personali”, per prevenire simili violazioni future.

2. L’attività istruttoria

In ordine alla fattispecie sopra descritta l’Ufficio, sulla base di quanto rappresentato dal titolare del trattamento nella notifica di violazione, nonché delle successive valutazioni, ha notificato all’Azienda, ai sensi dell’art. 166, comma 5, del Codice, l’avvio di un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981). In particolare, con atto n. XX dell’XX, l’Autorità ha ritenuto che l’Azienda ha effettuato una comunicazione di dati personali e relativi alla salute in assenza di un idoneo presupposto giuridico, in violazione dei principi di base del trattamento e degli obblighi in materia di sicurezza del trattamento (artt. 5, par. 1, lett. f), 6, 9 e 32 del Regolamento).

L’Azienda ha fatto pervenire le proprie memorie difensive, ai sensi dell’art. 166, comma 6, del Codice.

In particolare, con nota del XX, è stato dichiarato che:

- “in seguito a richiesta risarcitoria riguardante un paziente dell’Ospedale di Fidenza, l’U.O. Gestione del Rischio e Medicina Legale chiedeva allo stesso P.O. copia della cartella clinica per l’istruzione del caso. La cartella clinica veniva trasmessa al servizio richiedente il XX, ma solo al termine dell’istruttoria da parte del medico legale incaricato veniva rilevata la presenza – all’interno della medesima – della cartella infermieristica di un altro paziente. Il rinvenimento tardivo di tale documentazione si spiega in quanto, ai fini delle valutazioni medico-legali riguardanti il caso specifico, il contenuto della cartella infermieristica risulta praticamente irrilevante. Tale affermazione è suffragata peraltro dal fatto che lo stesso paziente che aveva richiesto e ottenuto copia della cartella clinica, nonostante ne avesse utilizzato il contenuto per la richiesta risarcitoria, non ne ha avuto aveva contezza a quando non è stato informato dalla scrivente”;

- "il Regolamento sulle modalità di tenuta, conservazione e rilascio delle cartelle cliniche del Presidio (adottato a integrazione del Regolamento di accesso alla documentazione Ospedaliero Aziendale) disciplina in maniera puntuale la formazione, conservazione e archiviazione della cartella clinica. (…) In base alle previsioni regolamentari, la cartella clinica è sottoposta a diverse forme di verifica: prima di essere consegnata all’archivio centrale, il Direttore dell’Unità Operativa che ha in carico il paziente effettua un primo controllo (… ); un secondo controllo, sempre in capo al Direttore dell’Unità Operativa che ha in carico il paziente, viene effettuato al momento della chiusura della cartella clinica, normalmente coincidente con le dimissioni del paziente («…al momento della chiusura deve essere fatto un controllo accurato del suo contenuto…»); ulteriore forma di controllo “diffuso” è collegata al compito di «vigilanza sull’archivio centrale della documentazione sanitaria prevista in capo al Direttore Medico di Ospedale». Sempre alla Direzione Medica di Ospedale competono controlli periodici sulla «completezza del contenuto minimo standard della cartella e delle informazioni essenziali»”;

- “il trattamento ha avuto ad oggetto dati anagrafici, dati di contatto e dati relativi alla salute. Tale trattamento trova il proprio quadro normativo nella legge 241/90 e ss.mm.ii., negli articoli 4, paragrafo 1 n.1) e 9 del Regolamento europeo 2016/679 e nell’articolo 92 del Codice in materia di protezione dei dati”;

- “è stato coinvolto dalla violazione n. 1 interessato nella sua qualità di assistito. L’evento non può considerarsi certamente sistematico ma del tutto isolato: tale asserzione si spiega meglio se si tiene conto di un dato numerico estrematamene rappresentativo. Se prendiamo in considerazione l’anno di riferimento (1° gennaio/31 dicembre 2019), le richieste pervenute ed evase dall’ufficio cartelle cliniche del P.O. sono state complessivamente 2178 (nel solo periodo interessato sono state ricevute ed evase ben 337 richieste)”;

- “la natura della violazione è di tipo "violazione di riservatezza" avvenuta nel momento in cui la cartella infermieristica dell’interessato è stata consegnata, in quanto contenuta all’interno della cartella clinica, al richiedente. La perdita di riservatezza, però, risulta in qualche maniera mitigata da una circostanza di fatto: il richiedente la cartella clinica non si è reso conto di avere nella propria disponibilità informazioni non sue fino a quando, su richiesta della scrivente, non ci ha restituito la documentazione. Tale considerazione risulta peraltro suffragata dal fatto che, come citato in premessa, la stessa U.O. Gestione del Rischio e Medicina Legale ha rilevato la presenza della cartella infermieristica di altro assistito solo al termine dell’istruttoria, posto che l’attenzione era rivolta, di necessità, ad altri contenuti della medesima cartella”;

- “la comunicazione dei dati è avvenuta nei confronti di un solo soggetto (che, peraltro, non ha subito alcun pregiudizio dalla violazione, come dimostra l’assenza di qualsivoglia rimostranza o richiesta), per cui risulta improbabile che si sia verificata la privazione di diritti o libertà, discriminazione, danno economico o sociale, pregiudizio alla reputazione per l’interessato. Lo stesso interessato non ha subito alcun pregiudizio in ordine alla disponibilità o integrità della sua cartella clinica, che risulta integra e completa di tutti i suoi elementi presso l’archivio del P.O. e che non è stata oggetto di richiesta alcuna da parte dello stesso interessato”;

- “la condotta dell’operatore che ha predisposto la copia della cartella clinica non ha avuto il carattere dell’intenzionalità nella causazione della violazione. Si è trattato, infatti, di una condotta colposa in conseguenza di una mera disattenzione nelle operazioni di copia, connotate dal carattere della ripetitività”;

- “conseguenze ed effetti (della violazione) si sono prodotti ed esauriti nell’istante stesso della consegna della copia della documentazione al richiedente. D’altra parte, l’intervento è stato tempestivo nel recuperare la copia della documentazione erroneamente consegnata al richiedente”;

- “l’Azienda, non appena venuta a conoscenza della violazione, è immediatamente intervenuta richiamando l’attenzione di tutti gli operatori alla corretta applicazione del Regolamento e alla puntuale gestione ed esecuzione delle procedure. Sempre nell’immediato, è stato previsto dalla Direzione Medica Ospedaliera un ulteriore livello di controllo delle copie delle cartelle cliniche: dopo una prima fase sperimentale, utile a verificarne la fattibilità e sostenibilità nel tempo, tale ulteriore controllo è divenuto strutturale – con apposita disposizione di servizio - ed è stato espressamente individuato il personale addetto ed i sostituti in caso di assenza del titolare”;

- “l’Azienda, dopo la valutazione preliminare dei fatti, ha provveduto nei termini di legge a notificare la violazione al Garante, fornendo tutte le informazioni necessarie (cfr. notifica del XX)”.

3. Esito dell’attività istruttoria

Preso atto di quanto rappresentato dall’Azienda nel corso del procedimento, si osserva che:

per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)” e per “dati relativi alla salute” “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, nn. 1 e 15 del Regolamento). Questi ultimi dati meritano una maggiore protezione dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali (Cons. n. 51 del Regolamento);

le informazioni sullo stato di salute possono essere comunicate solo all’interessato e possono essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico (art. 9 Regolamento e art. 84 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101);

il titolare del trattamento è, in ogni caso, tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di «integrità e riservatezza», secondo il quale i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. f) del Regolamento).

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”, gli elementi forniti dal titolare del trattamento nella memoria difensiva sopra richiamata, seppure meritevoli di considerazione, non consentono di superare integralmente i rilievi notificati dall’Ufficio con il  richiamato atto di avvio dei procedimenti, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del regolamento del Garante n. 1/2019.

Per tali ragioni si confermano le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Azienda Unità Sanitaria Locale di Parma, per aver comunicato informazioni personali relative alla salute di un interessato ad un terzo, in violazione dei principi base di cui agli artt. 5, lett. f) e 9 del Regolamento.

Ciò premesso, considerato quanto sopra richiamato e, in particolare, che:

l’episodio risulta isolato e il titolare del trattamento non ha manifestato alcun atteggiamento intenzionale, essendo la violazione avvenuta per errore nella fase di predisposizione della cartella clinica (art. 83, par. 2, lett. b) del Regolamento);

l’Autorità ha preso conoscenza dell’evento a seguito della notifica di violazione dei dati personali effettuata dal titolare e non sono pervenuti reclami o segnalazioni al Garante sull’accaduto (art. 83, par. 2, lett. h) e k) del Regolamento);

il trattamento dei dati effettuato dall’Azienda ha riguardato dati idonei a rilevare informazioni sulla salute di un solo interessato contenuti nella cartella infermieristica (art. 83, par. 2, lett.  a) e g) del Regolamento);

l’Azienda ha preso in carico la problematica introducendo ulteriori misure volte a ridurre la replicabilità dell’evento occorso e ha prontamente contattato l’interessato per la restituzione dei documenti (art. 83, par. 2, lett. c) del Regolamento);

il titolare ha dimostrato fin da subito un elevato grado di cooperazione con l’Autorità (art. 83, par. 2, lett. f) del Regolamento);

le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi del considerando 148 del Regolamento e delle Linee guida WP 253, riguardanti l’applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del Regolamento (UE) n. 2016/679. Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, per avere violato le previsioni del Regolamento contenute negli artt. 5 e 9 del Regolamento e che non vi sono i presupposti per l’adozione di ulteriori provvedimenti correttivi da parte dell’Autorità, ai sensi dell’art. 58, par. 2, del Regolamento considerando che la condotta ha esaurito i suoi effetti e che l’Azienda ha dichiarato di aver adottato ulteriori misure ritenute necessarie per scongiurare futuri analoghi accadimenti, prevedendo un ulteriore livello di controllo delle copie delle cartelle cliniche.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati all’Autorità.

TUTTO CIÒ PREMESSO IL GARANTE

a)  ai sensi dell’art. 57, par. 1, lett. a) del Regolamento, dichiara l’illiceità del trattamento dei dati personali effettuato dall’Azienda Unità Sanitaria Locale di Parma, con sede legale in Parma, Strada Del Quartiere 2A - C.F./P. IVA Codice Fiscale e Partita IVA 01874230343 per la violazione dei principi di base del trattamento, di cui agli artt. 5, par. 1, lett. f) e 9 del Regolamento, nei termini di cui in motivazione;

b)  ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce la citata Azienda, quale titolare del trattamento in questione, per aver violato gli artt. 5, par. 1, lett. f) e 9 del Regolamento, come sopra descritto;

c)  ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 20 ottobre 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL VICE SEGRETARIO GENERALE
Filippi