Provvedimento del 28 settembre 2023 [9946386]
Provvedimento del 28 settembre 2023 [9946386]
Condividi[doc. web n. 9946386]
Provvedimento del 28 settembre 2023
Registro dei provvedimenti
n. 424 del 28 settembre 2023
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;
Relatore il prof. Pasquale Stanzione;
PREMESSO
1. La vicenda segnalata
Nel mese di XX questa Autorità ha ricevuto una segnalazione in cui è stata lamentata una violazione della disciplina in materia di protezione dei dati personali in relazione alla presenza, nei locali dell’ex Sanatorio Guido Banti, sito a Pratolino e afferente all’Azienda Usl Toscana centro (di seguito Azienda), di documentazione sanitaria (es. ricette, cartelle cliniche e radiografie) in stato di abbandono e accessibile a chiunque (documentazione video acquisita in atti).
Analoga segnalazione era stata presentata all’Ufficio nel mese di XX, con riferimento alla quale era stata disposta la chiusura dell’istruttoria preliminare in quanto, sulla base di quanto dichiarato in atti dalla predetta Azienda, sui fatti oggetto di istruttoria era stata presentata querela agli organi competenti ed era stato disposto il XX il ritiro della predetta documentazione, afferente ad episodi clinici occorsi oltre 20 anni prima.
2. L’attività istruttoria e procedimentale
Anche con riferimento alla vicenda segnalata nel XX, l’Ufficio del Garante ha avviato un’istruttoria preliminare al fine di conoscere ogni utile elemento di valutazione al riguardo, con particolare riferimento all’attualità della presenza di documentazione sanitaria in stato di abbandono nei predetti locali dell’ex Sanatorio Banti e se la stessa sia la medesima su cui l’Autorità aveva già aperto la richiamata istruttoria del XX (note del XX, prot. n. XXe del XX, prot. n. XX.
Con le note del XX e del XX la predetta Azienda ha rappresentato, in particolare, che:
“la struttura, pur non utilizzata, non è in stato di abbandono, come troppo leggermente descritto da coloro che si introducono nell’edificio, in modo assolutamente non autorizzato né autorizzabile, (nei confronti dei quali, in passato, sono state sporte denunce/querele/diffide all’Autorità Competente (…)) considerati i rischi per l’incolumità fisica per chiunque si avvicini alla suddetta struttura”;
“L’accesso dall’esterno è possibile attraverso un cancello principale collocato lungo la prima recinzione in muratura, sempre chiuso con catena e lucchetti; la disponibilità delle chiavi di accesso è, in via esclusiva, in capo ai responsabili della struttura e della sicurezza. Inoltre, l’accesso all’interno del primo perimetro è consentito anche al personale di una agenzia di vigilanza privata che svolge attività di monitoraggio della zona afferente la struttura, con passaggi periodici di mattina e di notte, con presidio fisso in loco durante le ore pomeridiane. Il secondo cancello e la porta principale risultano invece accessibili dal solo personale aziendale”;
“non è possibile escludere che in alcune aree possano essere rimaste, inavvertitamente lasciate dal personale deputato al trasloco, alcuni documenti o radiografie, come sembrerebbe essere mostrato nei video indicati dalla stessa Autorità Garante nella richiesta di informazioni”;
“la violazione dei luoghi è avvenuta da parte di alcuni superando e/o forzando il primo e il secondo livello di protezione nonché, a rischio della propria vita”;
“Durante gli accessi da parte di personale autorizzato e dotato di misure elevate di protezione individuale effettuate negli anni passati sono state prelevate alcune radiografie rimaste ed altri documenti, tutti prevalentemente illeggibili (quelli che sono risultati leggibili sono stati trasferiti presso gli archivi aziendali). Non è possibile escludere che le evidenze riportate nei video sopra citati potrebbero verosimilmente essere state deliberatamente portate all’interno della struttura con l’obiettivo di attribuire all’azienda responsabilità o comunque una cattiva gestione del patrimonio informativo della stessa”;
“quindi l’eventuale presenza di documentazione non strutturata né organizzata, né tantomeno conservata secondo gli ordinari canoni ma comunque protetta dagli accessi, vista l’assenza di specifici obblighi normativi di conservazione a riguardo, e considerata la non attualità dei contenuti, può essere qualificata da un lato una modalità tombale di storage”;
“una eventuale esfiltrazione volontaria, del tutto illegittima ed episodica di documentazione dal sito in oggetto, in considerazione della scarsa attualità dei contenuti e della improbabile leggibilità degli stessi, potrebbe comunque risultare del tutto ininfluente rispetto ai diritti degli interessati”;
“In tema di sicurezza delle informazioni si rappresenta che le modalità non ideali di conservazione riguardano documenti che non sono comunque annoverabili tra quelli ad obbligo di conservazione infinita come, ad esempio, risulta per la più ben strutturata, seppur cartacea, cartella clinica”;
“La documentazione presentata nel video indicato dall’Autorità è posta in aree non accessibili né raggiungibili in sicurezza, in gran parte trattasi di documenti cartacei senza evidenze rispetto a dati personali. Le informazioni eventualmente leggibili non permettono di identificare direttamente gli interessati, oltre a risultare ovviamente non più attuali con potenziali impatti sugli interessati assolutamente modesti”.
In data XX, l’Ufficio ha verbalizzato l’avvenuta constatazione che, come indicato nella segnalazione, accedendo alla pagina web “https://...”, era possibile visualizzare un video denominato “XX” (pubblicato in data XX all’interno del canale YouTube denominato “XX” (XX) e che accedendo alla pagina web “https://...” era possibile visionare un ulteriore video denominato “XX” (pubblicato in data XX all’interno del citato canale YouTube denominato “XX” (XX). I predetti video sono stati acquisiti agli atti in formato elettronico.
In relazione alla vicenda segnalata e tenuto conto di quanto emerso nella fase preliminare dell’istruttoria avviata, l'Ufficio, con atto prot. n. XX, del XX, ha notificato all’Azienda Usl Toscana centro, ai sensi dell'art. 166, comma 5 del Codice, l’avvio del procedimento per l'adozione dei provvedimenti di cui all'articolo 58, par. 2 del Regolamento, contestando, per le non corrette modalità di conservazione della documentazione sanitaria nei predetti locali, la violazione degli artt. 5, par. 1, lett. a), e) e f) e 32 del Regolamento, dell’art. 75 del Codice con riferimento alla specifica disciplina di settore (d.lgs. 22/01/2004, n. 42) e invitando la predetta Azienda a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall'Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/l l/1981).
Con nota del XX l’Azienda ha chiesto di essere udita e ha inviato le proprie memorie difensive in cui ha rappresentato, in particolare, che nel mese di XX è stata svolta -da una ditta specializzata- una verifica “approfondita di tutti i locali dell’ex Sanatorio Guido Banti rispetto all’eventuale presenza di documentazione sanitaria, nonché di provvedere alla sua rimozione ed eventuale gestione secondo le procedura aziendali”. Secondo quanto indicato dalla predetta Azienda, “La documentazione prelevata dalla ditta, precisamente raccolta in 11 sacchi di materiale, di uso domestico e di modesta capienza in quanto sono sacchi utilizzati dal personale per un facile trasporto all’interno della struttura, trasformati in seguito in 4 sacchi di uso urbano, è stata sottoposta ad analisi e successiva procedura di scarto”.
Con riferimento alle attività di cui al XX, l’Azienda ha precisato che “ha provveduto ad effettuare un sopralluogo presso la struttura ed ha incaricato una ditta di traslochi per effettuare l’attività di movimentazione e spostamento di archivi, qualora gli stessi fossero stati rinvenuti in loco”. “Per cui è ipotizzabile che, in alcune aree (fortemente insicure e difficilmente accessibili) possano essere rimasti, inavvertitamente lasciati, alcuni documenti o radiografie, come sembrerebbe essere mostrato nei video indicati dalla stessa Autorità Garante nella richiesta di informazioni del XX”.
L’Azienda ha inoltre rappresentato che “la documentazione contestata seppure fosse stata adeguatamente conservata dall’Azienda è comunque risalente a circa trenta anni fa. Secondo la normativa e conseguente massimario di conservazione aziendale, la documentazione relativa alle radiografie ha una retention limitata a massimo 10 anni. Durante tale periodo non è pervenuta all’Azienda alcun esercizio dei diritti relativa ad una richiesta di accesso o di copia di documentazione sanitaria, rispetto al quale si sarebbe prontamente attivata nei termini previsti dalla normativa”. “Per giunta, ancorché possano essere definite radiografie, occorre specificare che l’efficacia clinica delle stesse, rispetto al momento in cui sono state effettuate, risulta ormai esaurita. Il tempo trascorso oltre il periodo massimo di conservazione non può considerarsi idoneo a determinare un impatto negativo sugli interessati in quanto, col decorso del tempo, una radiografia, oltre a non essere nemmeno più rappresentativa delle condizioni sanitarie, risulta manomessa nella sua integrità, per cui non più funzionale ad una corretta diagnosi e quindi non più utile alla persona. Inoltre, al tempo della dismissione dell’attività della struttura, ovvero nel 1989, la disciplina in materia di conservazione era meno stringente rispetto a quella attuale, in vista anche dell’introduzione del GDPR che ha ulteriormente sensibilizzato in merito all’aspetto della conservazione”.
In data XX si è svolta l’audizione della predetta Azienda, la quale, in data XX, ha fatto pervenire, come anticipato nel corso dell’audizione, documentazione integrativa.
Nel corso della predetta audizione l’Azienda ha ulteriormente rappresentato che:
“il XX è stato effettuato un sopralluogo nei locali dell’ex Sanatorio Banti in cui si è potuto appurare che le condizioni strutturali dell’edificio sono molto precarie tanto che hanno consentito di accedere solo all’interno della prima cinta muraria della struttura oltre la quale le condizioni della stessa non permettevano di procedere oltre”;
“Durante il sopralluogo si è potuto riscontrare che la zona è correttamente presidiata da apposite pattuglie di vigilanza incaricate dall’Azienda”;
“A seguito del sopralluogo l’Azienda ha deciso di affidare ad una ditta specializzata l’incarico di accedere a tutti i piani della struttura (7) e di controllare se all’interno della stessa ci siano documenti”;
i predetti interventi sono stati effettuati il XX e il XX, durante i quali, come da documentazione fotografica acquisita, “si evince che è stato rinvenuto materiale documentale e alcune lastre radiografiche fortemente deteriorate in alcuni vani. Si precisa che solo in alcuni documenti è possibile rinvenire nomi o codici riferibili ai pazienti e che tale documentazione non è stata rinvenuta in archivi ma in ordine sparso in alcuni vani”;
“Pertanto si rappresenta che con le attività svolte il XX e il XX è stato rimosso tutto il materiale documentale che è stato rinvenuto in ordine sparso in alcuni locali dell’ex Sanatorio”;
“Si precisa che solo in alcuni documenti è possibile rinvenire nomi o codici riferibili ai pazienti e che tale documentazione non è stata rinvenuta in archivi ma in ordine sparso in alcuni vani”;
“Si precisa che l’attività di verifica effettuata dall’Azienda nel XX era avvenuta senza l’ausilio di ditte specializzate, ma solo attraverso una ditta di traslochi ipotizzando la presenza di archivi che invece non è stata confermata. Stanti le condizioni di degrado dell’immobile la predetta ditta nel XX non ha potuto verificare tutti i locali dell’ex Sanatorio Banti”:
nell’attività svolta nel XX “il materiale rinvenuto era molto deteriorato e non utilizzabile da un punto di vista sanitario”;
“l’ex Sanatorio Banti è stato acquisito dall’Azienda nel 1998 già dismesso per essere utilizzato come fonte di reddito e, una volta svincolato dalla destinazione urbanistica sanitaria, inserito nei piani di vendita. All’atto del trasferimento l’ex Sanatorio era già dismesso e svuotato di ogni elemento relativo all’attività sanitaria e successivamente messo in sicurezza anche per evitare accessi illeciti. Si ribadisce che la struttura è molto grande e risulta difficile controllare costantemente eventuali pertugi creati illecitamente”;
“Si rappresenta inoltre che a fronte degli elevati costi di ristrutturazione dell’ex Sanatorio Banti, l’Azienda intende continuare a garantire -con attività di manutenzione e vigilanza armata- la recinzione dello stabile al fine di impedire gli accessi illeciti in attesa della vendita dello stesso”.
Nella documentazione integrativa trasmessa il XX l’Azienda ha rappresentato che il “materiale documentale si presentava fortemente deteriorato” e che “si è proceduto con lo scarto di archivio secondo le procedure aziendali”.
3. Esito dell’attività istruttoria
Preso atto di quanto rappresentato dall’Azienda nella documentazione in atti e nelle memorie difensive, si osserva, in primo luogo, che il trattamento di dati personali deve avvenire nel rispetto della normativa applicabile in materia di protezione dei dati personali e, in particolare, del Regolamento e del Codice, nonché della disciplina nazionale di settore nei vari ambiti, tra cui rileva, nel caso di specie, quella relativa ai tempi e alle modalità di conservazione della documentazione sanitaria.
Si evidenzia quindi che, in base al Regolamento, i dati personali devono essere “trattati in modo lecito corretto e trasparente” (principio di “liceità, correttezza e trasparenza”) e “conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all'articolo 89, paragrafo 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell'interessato («limitazione della conservazione»)”.(art. 5, par. 1, lett. a), ed e), del Regolamento).
Il Regolamento prevede poi che i dati personali siano “trattati in maniera da garantire un’adeguata sicurezza (…) compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)” (art. 5, par. 1, lett. f) del Regolamento). Il titolare del trattamento, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, deve mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, tenendo conto “in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati” (art. 32 del Regolamento)”.
Il titolare del trattamento deve inoltre assicurare il rispetto dei predetti principi ed essere in grado di comprovarlo («principio di responsabilizzazione») (art. 5, par. 2, del Regolamento).
Come evidenziato nel considerando 39 al Regolamento, dal rispetto dei predetti principi discende l'obbligo per il titolare di assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario, assicurando il rispetto di tale limite temporale attraverso una verifica periodica.
Al riguardo, nell’evidenziare che si considera “trattamento” qualsiasi operazione o insieme di operazioni applicate a dati personali o insiemi di dati personali, tra le quali si configura anche “la conservazione dei dati” (art. 4, par. 1, n. 2, del Regolamento), si rileva che in ossequio al predetto principio di limitazione della conservazione i dati personali possono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.
Con riferimento al caso di specie, la disciplina di settore individua termini di conservazione specifici che le strutture sanitarie devono rispettare in relazione alla tipologia documentazione sanitaria in loro possesso (cfr, ex multis, circolare del Ministero della sanità del 19 dicembre 1986 n. 900; art. 5 del d.m. del 18 febbraio 1982; art. 4 del d.m. del 14 febbraio 1997; d.m. 3 agosto 2001; d.lgs n. 200/2007; D.P.R. 445/2000; D.Lgs. 42/2004; D. Lgs. 82/2005; d.lgs 502/1992).
Laddove non vi sia una specifica disposizione normativa che individui i tempi di conservazione di un documento contenente dati personali, spetta al titolare del trattamento individuare, nel rispetto dei principi sopra richiamati, un termine di conservazione congruo per il raggiungimento delle finalità legittimamente perseguite, che deve essere tra l’altro indicato nelle informazioni da rendere all’interessato ai sensi dell’art. 13 del Regolamento.
In materia, si evidenzia poi che il Codice dei beni culturali e del paesaggio (d.lgs. 22/01/2004, n. 42) prevede limiti puntuali e stringenti per la consultazione dei documenti negli archivi (artt. 122 e ss.). La disciplina in materia di archivistica sopra richiamata opera una rilevante distinzione tra archivi correnti, archivi di deposito e archivi storici, rimettendo allo Stato, alle regioni e gli altri enti pubblici territoriali la regolamentazione degli accessi a scopi storici degli archivi correnti sulla base delle indicazioni del Ministero dei beni culturali (art. 124, d.lgs. 22/01/2004, n. 42).
In virtù di tale quadro regolatorio, la Regione Toscana (Regione in cui insiste la predetta Azienda) ha adottato una specifica disciplina di conservazione e accesso dei documenti negli archivi dettando regole e procedure standardizzate (decreto dirigenziale 4448 del 28 ottobre 2013 decreto dirigenziale 4084 del 14 settembre 2015, decreto dirigenziale 1785 del 13 febbraio 2019 decreto dirigenziale 4084 del 14 settembre 2015 decreto dirigenziale 1785 del 13 febbraio 2019; delibera 1229 del 22 dicembre 2014 ).
Al riguardo, la sovraintendenza archivistica e bibliografica della Regione Toscana ha sviluppato un documento denominato “Selezione e scarto di documenti nelle aziende sanitarie” in cui sono stati indicati gli specifici tempi di conservazione dei vari documenti sanitari detenuti dalle strutture sanitarie (“Prontuario di scarto per le Asl”).
Sul punto, si rileva che la predetta Azienda, con delibera del Direttore generale del 23.12.2019, ha adottato il “Regolamento Aziendale conservazione documentazione – Massimario di scarto” nell’ambito del quale è stato riportato il documento “Selezione e scarto di documenti nelle aziende sanitarie” sopra richiamato. Nel predetto regolamento la citata Azienda dichiara che: “I documenti e gli archivi della A.S.L. al pari dei documenti di tutti gli enti pubblici, sono considerati beni culturali e pertanto debbono essere conservati ai sensi della normativa vigente (D.L.gs. 42 del 22.01.2004 e s.m.i.)”; “Per obblighi di conservazione si intende altresì il preservare la documentazione da deterioramento, asportazione, manomissione, falsificazione”; “La conservazione dei documenti deve essere organizzata ed effettuata in modo che gli stessi possano essere reperiti ed esibiti con estrema facilità e tempestività”.
Nel suddetto regolamento sono indicate le modalità e le procedure di scarto e di eliminazione definitiva dei documenti della stessa Azienda e i compiti della SOC Affari generali al riguardo.
Alla luce del quadro normativo sopra richiamato, si evidenzia che quanto affermato dall’Azienda in ordine al”l’assenza di specifici obblighi normativi di conservazione” si pone in contrasto con la disciplina sugli obblighi di conservazione e di scarto della documentazione sanitaria individuati dalla normativa sopra richiamata, che sono, peraltro, riportati anche nello stesso regolamento aziendale sulla “conservazione documentazione – Massimario di scarto”.
Non appare inoltre condivisibile l’affermazione secondo cui la conservazione della documentazione sanitaria nei locali dell’ex Sanatorio Banti, con le modalità visibili nei predetti video e non smentite dalla predetta Azienda, possano essere qualificate come “una modalità tombale di storage”, attese le specifiche procedure previste per lo scarto di archivio previste dalla disciplina di settore e dallo stesso regolamento aziendale sopra indicato.
Si rappresenta inoltre che l’abbandono di documentazione sanitaria, che avrebbe dovuto essere conservata nei tempi e secondo le modalità indicate nel predetto regolamento, si pone anche in contrasto con i principi sopra richiamati di integrità e riservatezza dei dati, nonché di liceità, correttezza e trasparenza e di limitazione della conservazione di cui all’art. 5 del Regolamento.
Non può inoltre ritenersi ammissibile l’affermazione secondo cui “Le informazioni eventualmente leggibili non permettono di identificare direttamente gli interessati”, atteso che in alcune immagini in atti sono visibili i dati anagrafici degli interessati.
Parimenti non è possibile escludere, come invece effettuato dalla predetta Azienda, che la sottrazione o il danneggiamento di tale documentazione -considerata anche la vetustà delle stesse- non possa recare danni al soggetto a cui si riferiscono anche in relazione all’eventuale impossibilità di esercitare i diritti allo stesso riconosciuti (es. richiesta di accesso o di copia di documentazione sanitaria) e a prescindere dalla circostanza che -allo stato- l’Azienda non ha ricevuto tali istanze.
Non appare inoltre condivisibile il riferimento alla circostanza che “al tempo della dismissione dell’attività della struttura, ovvero nel 1989, la disciplina in materia di conservazione era meno stringente rispetto a quella attuale, in vista anche dell’introduzione del GDPR che ha ulteriormente sensibilizzato in merito all’aspetto della conservazione”, in quanto, come sopra evidenziato, la specifica disciplina di settore già recava all’epoca indicazioni in merito alle corrette modalità di conservazione della documentazione sanitaria.
4. Conclusioni.
Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Ciò stante, tenuto conto di quanto rappresentato in atti e dei video che sono stati prodotti dal segnalante, nel prendere atto delle attività di svuotamento della documentazione sanitaria dai locali dell’ex Sanatorio Banti svolte dall’Azienda nel XX e di quelle più specifiche realizzate nell’XX, nonché dell’avvenuta adozione delle previste procedure di scarto dei documenti, si rileva che la predetta documentazione sanitaria è stata conservata con modalità difformi rispetto a quelle indicate nella normativa di settore sopra richiamata e nello stesso regolamento aziendale adottato in materia e, quindi, in violazione degli artt. 5, par. 1, lett. a), e) e f) e 32 del Regolamento, dell’art. 75 del Codice con riferimento alla specifica disciplina di settore (d.lgs. 22/01/2004, n. 42).
In tale quadro, fermo restando che l’Azienda ha dichiarato di aver rimosso la predetta documentazione sanitaria nei locali dell’ex Sanatorio Banti e di aver proceduto alle previste procedure di scarto documentale, non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.
5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).
La violazione degli artt. degli artt. 5, par. 1, lett. a), e) e f) e 32 del Regolamento, dell’art. 75 del Codice, causata dalla condotta omissiva dell’Azienda Usl Toscana centro. è soggetta all’applicazione della sanzione amministrativa pecuniaria, ai sensi dell’art. 83, par. 4 e 5 del Regolamento.
Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).
La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2 del Regolamento; pertanto, si osserva che:
1. il trattamento effettuato è di particolare gravità, in quanto ha riguardato dati personali relativi allo stato di salute relativi a prestazioni sanitarie, anche se erogate circa venti/trent’anni fa, e contenuti nella documentazione sanitaria (solo parzialmente leggibile) presente -in stato di abbandono- nei locali dell’ex Sanatorio Banti (art. 89, par. 2, lett. a) e g) del Regolamento);
2. l’Autorità è venuta a conoscenza della predetta violazione da una segnalazione (art. 83, par. 2, lett. h) del Regolamento);
3. l’Azienda ha collaborato pienamente con l’Autorità nel corso dell’istruttoria e del presente procedimento (art. 83, par. 2, lett. f) del Regolamento);
4. l’Azienda ha precedenti violazioni eterogenee rispetto al trattamento di dati in esame (art. 83, par. 2, lett. e) del Regolamento);
5. l’Azienda ha incaricato una ditta specializzata al fine di rimuovere la predetta documentazione sanitaria nei locali dell’ex Sanatorio Banti che risulta essere in condizioni strutturali precarie e in evidente stato di degrado (art. 83, par. 2, lett. c) del Regolamento);
6. l’Azienda, pur non rispettando i principi relativi alla liceità del trattamento, alla limitazione della conservazione e alla integrità e riservatezza dei dati (artt. 5, par. 1, lett. a), e) e f) e 32 del Regolamento), nonché la specifica disciplina di settore sulla conservazione della documentazione sanitaria (art. 75 del Codice), aveva previsto la vigilanza armata dei predetti locali, nonché effettuato plurime denunce all’Autorità giudiziaria in merito agli avvenuti accessi illeciti ai predetti locali (art. 83, par. 2, lett.b) e c) del Regolamento);
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 4 e 5, lett. a) del Regolamento, nella misura di € 50.000,00 (cinquantamila) per la violazione degli artt. 5, par. 1, lett. a), e) e f) e 32 del Regolamento e dell’art. 75 del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1 e 3, del Regolamento, effettiva, proporzionata e dissuasiva.
Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
TUTTO CIO’ PREMESSO IL GARANTE
dichiara l’illiceità del trattamento di dati personali effettuato dall’Azienda Usl Toscana centro, per la violazione la violazione degli artt. 5, par. 1, lett. a), e) e f) e 32 del Regolamento e dell’art. 75 del Codice nei termini di cui in motivazione.
ORDINA
ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, all’Azienda Usl Toscana centro, con sede legale in Piazza Santa Maria Nuova n. 1 – 50142 Firenze (Codice fiscale/partita IVA 06593810481), di pagare la somma di € 50.000,00 (cinquantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.
INGIUNGE
All’Azienda Usl Toscana centro di pagare la somma di euro € 50.000,00 (cinquantamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981;
DISPONE
ai sensi dell’art. 166, comma 7 del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 28 settembre 2023
IL PRESIDENTE
Stanzione
IL RELATORE
Stanzione
IL SEGRETARIO GENERALE
Mattei
