g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Azienda sanitaria locale di Bari - 2 marzo 2023 [9870171]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

VEDI ANCHE: Newsletter del 17 aprile 2023

[doc. web n. 9870171]

Ordinanza ingiunzione nei confronti di Azienda sanitaria locale di Bari - 2 marzo 2023

Registro dei provvedimenti
n. 74 del 2 marzo 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e il dott. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del Garante n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. L’attività istruttoria.

Nel mese di XX, è pervenuta al Garante una segnalazione in cui è stata lamentata la pubblicazione, nella pagina denominata “Parlano bene di noi” del sito Internet dell’Azienda sanitaria locale (Asl) di Bari, degli elogi ricevuti dagli assistiti (https://www.sanita.puglia.it/web/asl-bari/parlano-bene-di-noi).

A seguito di quanto segnalato, l’Ufficio ha constatato che, attraverso la predetta pagina, era possibile accedere a centinaia di documenti contenenti gli elogi di numerosi pazienti che erano stati presentati all’Azienda dal 2016 al 2022. Gli atti consultabili consistevano in copie scansionate dei documenti di elogio (modulo apposito, e- mail, lettere), in cui -nella quasi totalità dei casi- era possibile identificare gli autori degli stessi, in quanto i dati anagrafici erano stati cancellati in modo approssimativo con il tratto di un pennarello nero che tuttavia non impediva di leggere le parti oscurate.

I predetti documenti contenevano, oltre ai dati anagrafici e di contatto degli assistiti, anche numerose informazioni relative allo stato di salute dei soggetti che hanno presentato l’elogio (es. dettagli clinici degli interventi o delle prestazioni ricevute, diagnosi, anamnesi).

L’Ufficio ha pertanto richiesto informazioni alla Asl di Bari (nota prot. XX del XX), che, con nota del XX (prot. n XX), ha rappresentato, in particolare, che:

"la direzione strategica di questa Azienda ha inteso creare una sezione del sito web istituzionale dedicata specificatamente alla raccolta degli elogi (per trimestre) ove sono pubblicati i ringraziamenti provenienti dagli utenti o associazioni e i correlati ringraziamenti da parte della direzione generale e dl dirigente del servizio di informazione e comunicazione istituzionale”;

“ha inteso adottare le seguenti misure correttive tecniche ed organizzative:

è stata disposta l’immediata rimozione dei documenti contenenti gli elogi pubblicati sul sito aziendale;

è stato disposto a tutto il personale preposto alla pubblicazione di documenti sul sito internet istituzionale il divieto di oscuramento dei dati personali attraverso la cancellazione manuale con pennarello, in quanto misura inidonea a rendere anonime le informazioni personali contenute negli atti pubblicati sul sito web aziendale;

è stata definita una procedura interna per la pubblicazione degli elogi che prevede l’estrazione, dal documento di elogio ricevuto, delle sole informazioni pertinenti e non eccedenti (principio di minimizzazione) omettendo quanto segue:

nome e cognome dell’assistito e/o del suo familiare o di terzi;

periodo del ricovero;

ogni altro dato “ulteriore”, al fine di escludere ogni possibilità di reidentificazione dell’interessato, in ossequio ai principi applicabili al trattamento di cui all’art. 5 del Reg. UE 2016/679”;

“pertanto non saranno più pubblicate le scansioni dei moduli ricevuti, ma solo i contenuti essenziali degli elogi, estratti dal personale preposto, in ossequio ai principi di liceità, correttezza e trasparenza”.
Nella predetta nota di riscontro l’Asl di Bari ha inoltre rappresentato di aver programmato un’attività formativa per tutti i responsabili del procedimento di pubblicazione degli atti e di aver rafforzato la procedura di controllo interno sulle pubblicazioni dei documenti sul sito web istituzionale della stessa.

In relazione a quanto emerso dalla documentazione acquisita in atti, l’Ufficio, ha notificato alla predetta Asl, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981) (nota del XX, prot. n. XX).

In tale atto, l’Ufficio ha rilevato che la Asl di Bari ha diffuso informazioni sullo stato di salute di centinaia di interessati che si sono rivolti alla stessa per ricevere prestazioni sanitarie attraverso la pubblicazione, nella pagina denominata “Parlano bene di noi” (https://www.sanita.puglia.it/web/asl-bari/parlano-bene-di-noi), di documenti contenenti gli elogi di numerosi pazienti che sono stati presentati dagli stessi dal 2016 al 2022.

Con nota del XX (prot. n XX), la predetta Asl ha fatto pervenire le proprie memorie, specificando che sono stati pubblicati “488 elogi provenienti dagli Utenti, dalla Direzione strategica aziendale, e da Associazioni” “ricevuti dal 16 marzo 2016 al 19 maggio 2022”. Nella predetta nota è stato inoltre specificato che in 394 elogi i dati degli assistiti erano stati “”oscurati” tramite pennarello o bianchetto ed in gran parte” difficilmente e/o non riconducibili” al diretto interessato ovvero in presenza di una ragionevole improbabilità di re-identificazione dell’interessato anche mediante individuazione, correlabilità e deduzione”.

La predetta Azienda, nel fornire un prospetto riepilogativo degli elogi pubblicati distinti per anno, per procedura di “oscuramento” e per tipologia di dati presenti, ha inoltre precisato che in 88 elogi “non risultano presenti dati personali di cui all’art. 9 del GDPR” e che non ha ricevuto da parte degli interessati “alcuna istanza di esercii dei diritti di cui agli artt. 15-22 del Regolamento UE 2016/679 né alcuna segnalazione e/o reclamo circa le pubblicazioni degli elogi in questione”.

La predetta Asl ha inoltre precisato che, dopo la rimozione dei documenti contenenti gli elogi, ha provveduto a pubblicare gli stessi in forma “aggregata numerica” e ha disposto il “divieto di oscuramento dei dati personali attraverso la cancellazione manuale con pennarello”, nonché uno specifico piano formativo da completare entro il 2022.

Gli elogi pubblicati sul sito della predetta Azienda sono stati acquisiti agli atti.

2. Esito dell’attività istruttoria.

Preso atto di quanto rappresentato dalla Asl di Bari nella documentazione in atti e nelle memorie difensive, si osserva che:

ai sensi del Regolamento si considerano “dati relativi alla salute” i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute (art. 4, par. 1, n. 15, del Regolamento). Il considerando n. 35 del Regolamento precisa poi che i dati relativi alla salute “comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria”;

ai sensi del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, il “Regolamento”), i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («integrità e riservatezza»)” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»)” (art. 5, par. 1, lett. a) e c) del Regolamento);

i dati devono essere inoltre trattati “in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (principio di “integrità e riservatezza”)” (art. 5, par. 1, lett. f), del Regolamento);

il titolare del trattamento è tenuto a mettere in atto «fin dalla progettazione», ossia sia al momento di determinare i mezzi del trattamento che all’atto del trattamento stesso, «misure tecniche e organizzative adeguate, […] volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati» (privacy by design), garantendo «che siano trattati, per impostazione predefinita» (privacy by default) «solo i dati personali necessari per ogni specifica finalità del trattamento» (art. 25, parr. 1 e 2, del Regolamento);

la disciplina in materia di protezione dei dati personali prevede che le informazioni sullo stato di salute non possano essere diffuse e possano essere comunicate a un soggetto diverso dall’interessato solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso previa delega scritta di quest’ultimo (artt. 2 septies, comma 8 e art. 166, comma 2, del Codice e art. 9 Regolamento);

l’Autorità sin dal 2014 ha rappresentato che “è vietata la pubblicazione di qualsiasi informazione da cui si possa desumere lo stato di malattia o l’esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici. A tale scopo, fin dalla fase di redazione degli atti e dei documenti oggetto di pubblicazione, nel rispetto del principio di adeguata motivazione, non dovrebbero essere inseriti dati personali “eccedenti”, “non pertinenti”, “non indispensabili” (e, tantomeno, “vietati”). In caso contrario, occorre provvedere, comunque, al relativo oscuramento” (cfr. Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati, parte II, par. 1, del 15.5.2014, doc. web n. 3488002);

la pubblicazione di documenti contenenti informazioni personali su una pagina del sito dell’Asl di Bari accessibile a chiunque configura una diffusione di dati personali;

gli elogi pubblicati sul sito della predetta Azienda contengono informazioni idonee a rivelare lo stato di salute di numerosi assistiti della stessa. Consultando i predetti documenti è stato infatti possibile, nella quasi totalità dei casi, identificare gli autori degli stessi, in quanto i dati anagrafici sono stati cancellati in modo approssimativo, spesso con il tratto di un pennarello nero che tuttavia non impedisce di leggere le parti oscurate e quindi di associare le informazioni anagrafiche e di contatto dei soggetti che hanno presentato l’elogio a numerose informazioni relative al loro stato di salute (es. dettagli clinici degli interventi o delle prestazioni ricevute, diagnosi, anamnesi);

la procedura di cancellazione manuale con pennarello o con bianchetto non può essere infatti definita idonea a rendere anonime le informazioni personali degli interessati che hanno presentato un elogio; ciò, in quanto tale procedura è per sua natura imprecisa e non definitiva e consentiva di fatto la visibilità dei nomi, cognomi e dati di contatto dei pazienti;

l’uso del pennarello nero o del bianchetto, invero, non può neppure definirsi una procedura di “pseudonimizzazione” -giusta la definizione di cui all’art. 4, par. 1, n. 4 del Regolamento – in quanto, anche laddove eseguita in modo efficace, essendo piuttosto una semplice procedura manuale di oscuramento delle generalità degli interessati (cfr. al riguardo provvedimenti del 17.9.2020 doc. web n. 9479364 e n. 9479382);

al di là della constatata inefficacia della soluzione scelta (es. tratto di pennarello), i dati pubblicati sul sito dell’Asl di Bari non rispettano il richiamato principio di minimizzazione, in quanto, nel pubblicare sul sito dell’Azienda direttamente l’elogio presentato dall’interessato, sono stati diffusi dati sulla salute (es. dettagli clinici) non pertinenti rispetto allo scopo della pubblicazione riconducibile, secondo quanto dichiarato in atti, all’attività “di comunicazione e di informazione al miglioramento dei rapporti con gli utenti”;

dalla documentazione in atti, risulta dunque accertato che l’Asl di Bari ha diffuso informazioni sullo stato di salute di centinaia di interessati che si sono rivolti alla stessa per ricevere prestazioni sanitarie, attraverso la pubblicazione, nella pagina denominata “Parlano bene di noi” (https://www.sanita.puglia.it/web/asl-bari/parlano-bene-di-noi), di 488 documenti contenenti gli elogi di numerosi pazienti che sono stati presentati dagli stessi nel periodo dal 2016 al 2022.

3. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni, si rileva l’illiceità del trattamento di dati personali effettuato dall’Asl di Bari, nei termini di cui in motivazione, in violazione degli artt. 5, par.1, lett. a), c) e f), 9 e 25, parr. 1 e 2, del Regolamento, dell’art. 2 septies del Codice.

In tale quadro, fermo restando che l’Asl di Bari ha dichiarato di aver rimosso i predetti documenti dal sito Internet della stessa, non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

4. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par.1, lett. a), c) e f), 9 e 25, parr. 1 e 2, del Regolamento, dell’art. 2 septies del Codice, causata dalla condotta posta in essere dall’Asl di Bari, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 4 e 5, del Regolamento e dell’art. 166, comma 2 del Codice.

Si consideri che il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 85, par. 2, del Regolamento in relazione ai quali si osserva che:

l’Autorità ha preso conoscenza dell’evento a seguito di una segnalazione (art. 83, par. 2, lett. h), del Regolamento);

il trattamento riguarda la diffusione di dati idonei a rilevare informazioni sulla salute di un numero particolarmente significativo di interessati (488 elogi pervenuti alla Asl di Bari tra il 2016 e il 2022) (art. 83, par. 2, lett. a) e g), del Regolamento);

l’Autorità è già intervenuta sul tema con numerosi provvedimenti citati anche nel presente provvedimento (art. 83, par. 2, lett. a) del Regolamento);

l’Asl di Bari ha prontamente cooperato al fine di porre rimedio alla violazione (art. 83, par. 2, lett. f) del Regolamento);

seppure la Asl di Bari è stata sanzionata per precedenti violazioni della disciplina sul trattamento dei dati personali, le stesse non riguardano la diffusione di dati sulla salute (art. 83, par. 2, lett. e) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a), del Regolamento, nella misura di euro 50.000 (cinquantamila) per la violazione degli artt. 5, par.1, lett. a), c) e f), 9 e 25, parr. 1 e 2, del Regolamento, dell’art. 2 septies del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e dall’art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dall’azienda sanitaria locale di Bari per la violazione degli artt. 5, par.1, lett. a), c) e f), 9 e 25, parr. 1 e 2, del Regolamento, dell’art. 2 septies del Codice nei termini di cui in motivazione.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento, nonché dell’art. 166 del Codice, all’Azienda sanitaria locale di Bari, C.F. e P.I. 06534340721, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 50.000 (cinquantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla predetta Azienda, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 50.000 (cinquantamila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento.

ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 2 marzo 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei