g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Ordinanza ingiunzione o revoca
  4. Provvedimento dell'11 gennaio 2024 [9983244]

Provvedimento dell'11 gennaio 2024 [9983244]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

VEDI ANCHE: Newsletter del 14 febbraio 2024

 

 

[doc. web n. 9983244]

Provvedimento dell'11 gennaio 2024

Registro dei provvedimenti
n. 11 dell'11 gennaio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il dott. Giuseppe Stanzione, presidente, il dott. Guido Scorza, vicepresidente, il dott. Agostino Ghiglia e la prof.ssa Ginevra Cerrina Feroni, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore il dott. Guido Scorza;

PREMESSO

1. La segnalazione

Con nota del XX il XX ha comunicato all’Autorità di aver acquisito nei confronti del dott. Bagnato “elementi (…) apparsi non conformi alla disciplina rilevante in materia di protezione dei dati personali” in relazione ad “un sistema di prescrizione dei medicinali, delle visite specialistiche e dei certificati medici, in violazione del principio generale che stabilisce che i dati personali devono essere trattati in maniera da garantire un’adeguata sicurezza degli stessi, compresa la protezione, mediante misure organizzative adeguate, da trattamenti non autorizzati o illeciti e dal danno accidentale («integrità e riservatezza»)”.

Nella predetta comunicazione dei XX è stato riportato che è stato possibile “accertare che sul muro esterno dello Studio medico, a lato della porta di ingresso dello studio e nelle sue immediate vicinanze erano affissi una cassetta delle poste e un contenitore di metallo, entrambi privi di qualsiasi nominativo. Sul contenitore, tuttavia, era riportata l’indicazione “solo ricette mediche” mentre nella serratura del contenitore era inserita una chiave. Detto contenitore, inoltre, era a libero accesso del pubblico in quanto, nel corso del servizio, sono state viste diverse persone che lo hanno aperto ed hanno prelevato dei foglietti di carta che si trovavano al suo interno. Lo stesso, inoltre, era collocato sulla pubblica piazza ove è presente un parcheggio libero; nello stesso stabile e sullo stesso livello dello studio medico, ma con accessi distinti, è attiva inoltre la sede dell'AVIS e un centro prelievi dell’ASL di XX”.

Riferisce, altresì, il XX che è stato constatato che all’interno del contenitore “erano conservate numerose prescrizioni mediche, gran parte delle quali costituite da “ricetta elettronica — promemoria per l’assistito” e, per la restante, da “ricette rosa” tratte da ricettario del SSN. Le ricette erano state compilate a favore di diversi nominativi, alcune riportavano la firma del medico (nel caso delle ricette del SSN) e tutte erano accessibili a chiunque atteso che le stesse (ad eccezione di un caso) non erano neppure riposte all’interno di buste chiuse; nel contenitore erano riposte n. 67 ricette. Da un esame estemporaneo delle stesse era possibile rilevare che le prescrizioni mediche erano state emesse a favore di soggetti diversi e riportavano prescrizioni sia di medicinali che di esami specialistici”.

Nell’evidenziare che gli accertamenti sono stati “eseguiti nel periodo compreso tra il 09.02.2023 e il 04.04.2023”, è stato rappresentato che “quanto accertato dal personale di questo Nucleo è stato confermato dalle dichiarazioni acquisite da sette pazienti del dott. Bagnato, alcuni dei quali individuati tra quelli che erano stati visti accedere al contenitore di metallo” e che dalle dichiarazioni rese “è emerso che il sistema sopra descritto era stato attuato dal dott. XX Bagnato nel periodo in cui era in essere la nota problematica Covid-19, per poi essere mantenuto anche successivamente, dopo la cessazione dello stesso”.

Alla predetta comunicazione è stata allegato un documento recante “Annotazione di servizio relativa a fatti e circostanze che possono costituire segnalazione al Garante per la Protezione dei Dati Personali, accertata nel corso di servizi di osservazione compiuti nel periodo compreso tra il 09.02.2023 e il 04.04.2023”, nonché riproduzioni di rilievi fotografici, a supporto di quanto riportato.

2. L’attività istruttoria

A seguito di una richiesta di informazioni, formulata dall’Autorità, ai sensi dell’art. 157 del Codice (nota del XX, prot. n. XX), il dott. Bagnato ha fornito riscontro, con la nota dell’XX, rappresentando che:

- “si osserva al riguardo il carattere episodico e occasionale di quanto oggetto di segnalazione”;

- “consapevole dell’importanza del trattamento dei dati personali dei miei assistiti, si precisa come la consegna delle prescrizioni mediche mediante deposito nel contenitore di metallo avvenga solo ed esclusivamente per quei pazienti che ne fanno espressa richiesta, acconsentendo, in tal modo loro stessi a una limitazione della propria privacy. Ed infatti, nella stessa segnalazione viene evidenziato che le ricette “erano accessibili a chiunque atteso che le stesse (ad eccezione di un caso) non erano neppure riposte all’interno di buste chiuse”. Tale circostanza è segno evidente che quando il paziente non ne faceva espressa richiesta la prescrizione veniva riposta in busta chiusa a tutela della integrità e riservatezza dei propri dati personali”;

- “tale modalità di consegna delle prescrizioni consente (…) di limitare il numero di accesso dei pazienti durante gli orari di ambulatorio evitando che l’assistito debba recarsi presso il mio studio semplicemente per ritirare le prescrizioni e allo stesso tempo gli permette un’agevole modalità di fruizione del servizio potendo ritirare le prescrizioni in ogni momento della giornata”;

- “il contenitore metallico, munito di chiave e sempre chiuso, è apposto in un’area delimitata al pubblico da paletti rossi accessibile solo da chi ne abbia interesse, e non direttamente sulla pubblica piazza come riportato nella segnalazione”;

- “le “diverse” persone che sono state viste dagli agenti accertatori aprire il contenitore hanno tutte prelevato “foglietti di carta” (le prescrizioni mediche) presenti al suo interno. Questo conferma che l’accesso al contenitore è stato fatto esclusivamente dai miei pazienti, che si ripete hanno prestato il consenso al rilascio delle ricette con quelle modalità, e non da soggetti terzi”;

- “ad ogni buon conto ho già provveduto a rimuovere il contenitore oggetto della contestazione de quo”.

Con riferimento a quanto emerso dall’esame della documentazione esaminata e dalle dichiarazioni rese, tenuto conto che la descritta condotta non è risultata conforme alla disciplina rilevante in materia di protezione dei dati personali, l’Ufficio, con atto del XX (prot. n. XX), ha notificato al dott. Bagnato, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitandola a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, l. n. 689 del 24 novembre 1981).

In particolare l’Ufficio, con il predetto atto, ha ritenuto che il dott. Bagnato abbia effettuato un trattamento di dati personali in violazione dei principi di base del trattamento di cui agli di cui agli artt. 5 e 9 del Regolamento e dell’obbligo in materia di sicurezza del trattamento, di cui all’art. 32 del Regolamento nonché dell’art. 2-septies, comma 8, del Codice.

Il dott. Bagnato non ha prodotto alcun documento difensivo al riguardo e non ha chiesto di essere sentito dall’Autorità.

3. Esito dell’attività istruttoria

Preso atto di quanto rappresentato dal medico nel corso del procedimento, si osserva che:

- per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)” e per “dati relativi alla salute” “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, nn. 1 e 15 del Regolamento). Questi ultimi dati meritano una maggiore protezione dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali (Cons. n. 51 del Regolamento);

- la disciplina in materia di protezione dei dati personali prevede che i titolari del trattamento sono tenuti a rispettare i principi applicabili al trattamento dei dati, fra i quali quello di «integrità e riservatezza», secondo il quale i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. f) del Regolamento). Il titolare del trattamento è tenuto ad adottare misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, presentato dal trattamento che deriva dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati (art. 32 del Regolamento); in particolare, in ambito sanitario, il titolare deve adottare idonei accorgimenti per garantire, anche nell’organizzazione delle prestazioni e dei servizi, il rispetto dei diritti, delle libertà fondamentali e della dignità degli interessati (art. 83 del Codice - ritenuto compatibile con il citato Regolamento (UE) n. 2016/679, cfr. art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101-, in relazione al quale il Garante ha adottato uno specifico provvedimento generale - cfr. provv. del 9 novembre 2005, consultabile in www.garanteprivacy.it, doc. web n. 1191411 - cfr. art. 22, comma 4, del citato d.lgs. n. 101/2018);

- le informazioni relative alla salute possono essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso, previa delega scritta di quest’ultimo (art. 9 Regolamento); in questo contesto, nel comunicato stampa del Garante del 14 novembre 2014, è stato espressamente evidenziato che “le ricette mediche possono essere lasciate presso le farmacie e gli studi medici per il ritiro da parte dei pazienti, purché siano messe in busta chiusa. Lasciare ricette e certificati alla portata di chiunque o perfino incustodite, in vaschette poste sui banconi delle farmacie o sulle scrivanie degli studi medici, viola la privacy dei pazienti”. E’ stato, inoltre, fatto presente che “le procedure, in vigore già da tempo, consentono ai medici di lasciare ai pazienti ricette e i certificati presso le sale d’attesa dei propri studi o presso le farmacie, senza doverglieli necessariamente consegnare di persona. Per impedire la conoscibilità da parte di estranei di dati delicati, come quelli sanitari, è però indispensabile che ricette e certificati vengano consegnati in busta chiusa. La busta chiusa è tanto più necessaria nel caso in cui non sia il paziente a ritirare i documenti, ma una persona da questi appositamente delegata” (cfr. comunicato stampa del 14 novembre 2015, doc. web n. 3533579);

- per diffusione si intende “il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione” (art. 2-ter comma 4, lett. b) del Codice);

- la disciplina in materia di protezione dei dati personali vieta espressamente la diffusione di dati idonei a rivelare lo stato di salute degli interessati (art. 2-septies, comma 8 e art. 166, comma 2, del Codice).
Infine, va evidenziato che già nel periodo emergenziale sono state previste talune misure volte ad agevolare l’uso delle modalità semplificate di acquisizione del promemoria dematerializzato ovvero del numero di ricetta elettronica, al fine di evitare che l’assistito dovesse recarsi presso lo studio del medico a ritirare la prescrizione; ciò, al fine di contenere la diffusione del virus Sars Cov-2 (d.m. 25 marzo 2020 e d.m. 30 dicembre 2020, sui quali l’Autorità ha espresso il proprio parere di competenza - cfr. provv. 19 marzo 2020, doc. web n. 9296257, del 2 aprile 2020, doc. web n. 9308089, provv. del 12 novembre 2020, doc. web 9519603). Con d.l. 29 dicembre 2022, n. 198, così come modificato dalla legge di conversione 24 febbraio 2023, n. 14, è stato previsto che “Le modalità di utilizzo di strumenti alternativi al promemoria cartaceo della ricetta elettronica e di utilizzo presso le farmacie del promemoria della ricetta elettronica, disposte con gli articoli 2 e 3 dell’ordinanza del Capo del Dipartimento della protezione civile n. 884 del 31 marzo 2022, pubblicata nella Gazzetta Ufficiale n. 83 dell'8 aprile 2022, in attuazione dell'articolo 1 del decreto-legge 24 marzo 2022, n. 24, sono prorogate sino al 31 dicembre 2024 e sono estese all'invio del numero di ricetta elettronica (NRE) a mezzo di posta elettronica” (art. 4, comma 6).

Si fa presente, infine, che già nel 2021 il Garante, nell’adottare un provvedimento sanzionatorio nei confronti di un altro medico per analoga condotta, aveva fornito indicazioni rilevanti per il trattamento di dati personali in esame (cfr. provv. del 28 ottobre 2021, doc. web n. 9716887).

4.  Conclusioni

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”, si rileva quanto segue.

I sintetici argomenti riportati dal titolare nel riscontro alla richiesta di informazioni, con particolare riferimento alle dichiarazioni relative alle ragioni per le quali lo stesso ha inteso introdurre una modalità differente di consegna delle prescrizioni (agevolare le modalità di fruizione del servizio di ritiro delle prescrizioni, in ogni momento della giornata, e limitare il numero di pazienti che accedono presso lo studio medico) nonché alla presunta acquisizione del consenso dei pazienti, non consentono di superare le contestazioni sollevate dall’Ufficio con l’atto di avvio del procedimento e, quindi, di disporre l’archiviazione del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Pertanto, si confermano le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dal dott. Bagnato, in violazione degli artt. 5, 9 e 32 del Regolamento, nonché dell’art. 2-septies, comma 8, del Codice, nei termini di cui in motivazione.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, 9 e 32 del Regolamento, nonché dell’art. 2-septies, comma 8, del Codice, determinata dal trattamento di dati personali, oggetto del presente provvedimento, effettuato dal dott. Bagnato, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 4 e 5 del Regolamento.

Si consideri che il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2, del Regolamento in relazione ai quali, in particolare, si osserva che:

- il trattamento dei dati effettuato ha riguardato informazioni sullo stato di salute di un gran numero di assistiti del dott. Bagnato ed ha avuto una durata accertata di due mesi (art.  83, par. 2, lett. a) e g) del Regolamento);

- la violazione e il grado di responsabilità del titolare è alto (art. 83, par. 2, lett. b) e d) del Regolamento);

- la segnalazione è stata effettuata dal XX anche sulla base di dichiarazioni rese da pazienti, in merito alla condotta del dott. Bagnato (art. 83, par. 2, lett. k) del Regolamento);

- il medico non ha dimostrato piena cooperazione con l’Autorità nel corso del procedimento istruttorio, avendo fornito un sintetico riscontro alla richiesta di informazioni formulata dall’Autorità; lo stesso, peraltro, ha anche omesso di produrre scritti difensivi o documenti in relazione alla notifica, ai sensi dell’art. 166, comma 5, del Codice, di avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, al fine di comprovare quanto inizialmente sostenuto.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 20.000,00 per la violazione degli artt. 5, 9 e 32 del Regolamento, nonché dell’art. 2-septies, comma 8 del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019, in relazione alla categoria particolare di dati personali trattati e al numero di interessati coinvolti.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata la violazione degli artt. 5, 9, 32 del Regolamento nonché dell’art. 2-septies, comma 8 del Codice, dichiara l’illiceità del trattamento di dati personali effettuato dal dott. Bagnato nei termini di cui in motivazione;

ORDINA

al dott. XX Bagnato, nato a XX (XX) il XX, C.F. XX residente in XX (XX), XX, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, di pagare la somma di euro 20.000,00 (ventimila) a titolo di sanzione amministrativa pecuniaria per la violazione di cui al presente provvedimento, secondo le modalità indicate in allegato, entro 30 giorni dalla notifica in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al predetto dott. Bagnato, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 20.000,00 (ventimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981;

DISPONE

- la pubblicazione del presente provvedimento sul sito web del Garante, ai sensi dell’art. 166, comma 7, del Codice;

- l’annotazione del presente provvedimento nel registro interno dell’Autorità - previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante - relativo alle violazioni e alle misure adottate in conformità all’art. 58, par. 2, del Regolamento medesimo.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 11 gennaio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
9983244
Data
11/01/24

Argomenti

Dati sanitari Pazienti Ricette mediche

Tipologie

Ordinanza ingiunzione o revoca

Vedi anche (1)