[doc. web n. 9310804]

Provvedimento del 12 marzo 2020

Registro dei provvedimenti
n. 49 del 12 marzo 2020

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore la prof.ssa Licia Califano;

PREMESSO

1.Il trattamento dei dati personali.

L’Autorità ha appreso da alcune notizie stampa che l’Azienda USL Roma 3 (di seguito Azienda) ha realizzato un’applicazione denominata “PSOnline”, per consentire al paziente che ha effettuato un accesso al pronto soccorso del Presidio Ospedaliero Giovanni Battista Grassi e ai suoi accompagnatori di monitorare l’iter diagnostico intrapreso. Secondo quanto riportato nelle notizie stampa, la predetta applicazione rende possibile geolocalizzare il paziente, visualizzare la lista di attesa all’interno del pronto soccorso -secondo l’attribuzione del codice del triage- nonché monitorare il percorso di cura.

2. L’attività istruttoria.

In relazione a quanto appreso dalle notizie stampa, l’Ufficio ha provveduto a richiedere informazioni all’Azienda (note del 24.6.2019, prot. n. 21859 e del 6.9.2019, prot. n. 29985) in ordine al trattamento di dati personali effettuato nell’ambito della citata applicazione denominata “PSOnline”.

In risposta alla richiesta di informazioni dell’Ufficio, l’Azienda ha fornito elementi di riscontro (Nota del 26 luglio 2019, prot. n. 50878 e del 1° ottobre 2019, prot. n. 64386) e ha inviato documentazione relativa all’applicazione della disciplina sul trattamento dei dati effettuato nell’ambito della suddetta applicazione (valutazione di impatto, informazioni da rendere all’interessato e modello di consenso informato con riferimento al trattamento).

Nello specifico, il Direttore generale dell’Aziendacon la citata nota del 26/7/2019, ha rappresentato che:

- “PSOnline è stata pensata e realizzata per consentire ai familiari della persona che ha effettuato un accesso ad un Pronto soccorso” di “monitorare l’iter diagnostico e terapeutico intrapreso dal Congiunto”, “senza ulteriore intralcio per il personale sanitario operante all’interno ivi compresi tutti quegli elementi che portano in maniera statisticamente rilevante alla aggressione nei confronti degli operatori (medici e infermieri) del pronto soccorso”;

- “l’attivazione della funzione di geo-localizzazione dall’esterno del Nosocomio” è finalizzata a “consentire ai congiunti dei pazienti di essere guidati verso il Pronto Soccorso dal punto in cui si trovano”;

- la predetta applicazione consente il “monitoring del percorso di cura assegnato al paziente dal personale sanitario del pronto soccorso con visualizzazione dello stato attuale, del codice triage assegnato al paziente con eventuale rivalutazione da parte del personale sanitario, del tempo medio e del tempo residuo di attesa”;

-  l’utilizzo dell’applicazione “PSOline avviene mediante autenticazione basata su Bar Code e/o QR code”;

-  “l’utilizzo dell’applicazione prevede la richiesta del consenso al trattamento dei dati”;

-  “l’applicazione visualizza dati non di carattere clinico”, “bensì fornisce unicamente in visualizzazione le informazioni pertinenti lo stato del percorso di cura del paziente all’interno del pronto soccorso”;

- “l’accesso e la visualizzazione da parte dell’App mobile dei dati sopra citati sarà limitata sino al verificarsi di uno dei seguenti eventi: le eventuali dimissioni dal pronto soccorso dell’assistito o l’eventuale richiesta di ricovero in struttura/reparto dell’assistito”;

- al momento della predetta risposta l’Azienda stava “predisponendo una valutazione di impatto sui dati raccolti e trattati per mezzo dell’App”.

Con la successiva nota del 1° ottobre 2019, nel fornire i modelli di “Consenso al trattamento dei dati” e di “Informativa al trattamento dei dati” e la “Valutazione di impatto sui dati raccolti e trattati per mezzo dell’App”, il Responsabile della protezione dei dati dell’Azienda, dott. XX, ha dichiarato che la predetta applicazione ha avuto 137 download sul canale Android.

In relazione alle risultanze della predetta attività istruttoria, l’Ufficio, con atto n. 40062 del 20 novembre 2019, ha notificato all’Azienda USL Roma 3- Presidio Ospedaliero Giovan Battista Grassi, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, paragrafo 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

In particolare l’Ufficio, nel predetto atto ha rappresentato che:

- la fattispecie in esame rientra tra quelle per le quali il titolare è tenuto ad effettuare, “prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali” (art. 35 del Regolamento). Ciò, in quanto, per il trattamento in esame, ricorrono certamente due dei criteri indicati dal Comitato Europeo per la protezione dei dati per individuare i casi in cui un trattamento debba formare oggetto di una valutazione di impatto. In particolare, si fa riferimento ai seguenti criteri: “dati sensibili o aventi carattere altamente personale”, “dati relativi ad interessati vulnerabili” tra i quali si annoverano i pazienti (cfr. Linee guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilità che il trattamento "possa presentare un rischio elevato" ai fini del regolamento (UE) 2016/679 adottate il 4 aprile 2017, come modificate e adottate da ultimo il 4 ottobre 2017 -WP 248 rev.01, III, lett. B, punti 4 e 7). Con riferimento al caso di specie, possono essere, inoltre, potenzialmente soddisfatti anche i seguenti criteri: “trattamento di dati su larga scala” e “uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative” (cfr. richiamate Linee guida, III, lett. B, punti 5 e 8). La valutazione trasmessa dall’Azienda non è stata effettuata prima di procedere al trattamento, ma solo a seguito della richiesta di informazioni dell’Ufficio. La predetta valutazione non risponde poi ai principi e alle caratteristiche richiesti dal Regolamento (artt. 5, par. 2, e 35 del Regolamento), in quanto priva di alcuni degli elementi indispensabili richiesti dall’art. 35, par. 7 del Regolamento e, in particolare, di una valutazione circa:

a) la necessità e la proporzionalità dei trattamenti in relazione alle finalità perseguite;

b) gli specifici rischi per i diritti e le libertà degli interessati che il trattamento in oggetto potrebbe comportare;

c)  le misure previste per affrontare i rischi, ivi comprese le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al Regolamento;

d) i rispettivi ruoli e responsabilità del titolare e dei responsabili del trattamento;

- il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di “minimizzazione” e di “responsabilizzazione”, in base ai quali i dati personali devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” e deve essere in grado di comprovare il rispetto dei citati principi (art. 5, par.1, lett. c) e par. 2 del Regolamento).

Nel richiamato atto del 20 novembre 2019, l’Ufficio ha, quindi, ritenuto che l’Azienda abbia effettuato il trattamento dei dati personali degli interessati che hanno utilizzato l’applicazione “PSOnline” in maniera non conforme ai principi di “responsabilizzazione”, nonché di “minimizzazione” del trattamento, in violazione dell’art. 5, par. 1, lett. c) e par. 2 del Regolamento e in assenza di una preventiva e completa valutazione di impatto, in violazione dell’art. 35 del Regolamento.

Con nota del 20 dicembre 2019 (prot. n. 84193), l’Azienda ha fatto pervenire le proprie memorie difensive, in cui, in particolare, è stato rappresentato che:

a) “l'applicativo in questione, denominato "PSonline" non tratta dati di natura sanitaria, rientranti nell'ambito delle particolari categorie di dati di cui all'art. 9 del Regolamento”, in quanto non rilevano informazioni sullo stato di salute, trattando dati relativi “esclusivamente (…) (all’) iter all'interno della struttura di accoglienza” e, più specificamente, “informazioni pertinenti lo stato del percorso di cura del paziente all'interno del Pronto Soccorso ovvero, lo stato del paziente (Aperto, Chiuso, OBI etc.), quale ambulatorio lo ha preso in carico al momento della consultazione dell'applicazione e gli altri eventuali ambulatori nei quali il paziente espleterà il percorso di cura tracciato senza ulteriori dettagli, il codice triage assegnatogli”;

b) in merito alla necessità della valutazione di impatto “deve osservarsi, al riguardo, che le linee-guida emanate dalle autorità competenti in materia di protezione dei dati personali (tenute sempre in evidenza da questa ASL) non hanno di per sé valore precettivo. Si ritiene, pertanto, che un'eventuale sanzione non potrebbe trovare fonte nell'asserita violazione che si limita solamente a fornire indicazioni non vincolanti”. “Per mera completezza, si aggiunge a quanto detto che la ASL ha proceduto alla redazione di una valutazione di impatto solo successivamente alla messa a disposizione del pubblico dell'app esclusivamente in un'ottica di accountability, sebbene non obbligata”;

c) con riferimento al numero di interessati “se si tiene conto del solo dato numerico, ossia dell'incidenza percentuale degli utilizzatori dell'applicativo rispetto al bacino di utenza della ASL, deve osservarsi che l'applicativo è stato all'epoca utilizzato da 137 utenti (rilevati direttamente dal magazzino Android Play store)” rispetto ad un orientativo “bacino d'utenza di 609,534 abitanti”;

d) “l'applicativo in questione risultava utilizzato da altre strutture sanitarie della Regione Lazio e, quindi, si ritiene che non possa discorrersi di uno strumento innovativo”;

e) “a parziale emendamento di quanto riferito nelle precedenti comunicazioni, deve precisarsi che, per mezzo dell'app, non avviene un processo di geolocalizzazione del paziente: difatti, le informazioni sull'ubicazione del paziente stesso non sono tratte automaticamente dal dispositivo e/o dall'app, ma sono comunicate dal personale sanitario”;

f) “la finalità principale di PSonline, come riferito, è quella non solo di scongiurare episodi, purtroppo molto frequenti nella sanità pubblica, di aggressioni al personale del pronto soccorso, nonché di consentire ai familiari e ai congiunti del paziente di essere informati senza essere di intralcio all'attività, già complessa, del personale sanitario, e si può garantire che all 'interno della sala di attesa vi fosse un "clima" almeno sereno, per quanto possibile utilizzare questo termine”;

g) “l'Azienda ha limitato la pubblicizzazione dell'app a seguito delle prime inchieste giornalistiche e della richiesta di informazioni formulata dal Garante per la protezione dei dati personali e in data 20 novembre l'ha momentaneamente sospesa, in via cautelativa, proprio alla luce delle osservazioni fatte da codesta spettabile Autorità”;

h) “per quanto è dato sapere, l'Autorità è venuta a conoscenza dell'esistenza dell'app per mezzo di articoli giornalistici. L'Azienda non ha ricevuto alcuna contestazione né altra istanza da parte dei soggetti interessati o di altri terzi”.

3.  Esito dell’attività istruttoria.

Le recenti “Linee di indirizzo nazionali sul triage intraospedaliero” del Ministero della salute, (Accordo in sede di Conferenza Stato-Regioni del 1° agosto 2019) richiamano in più punti la necessità che i dipartimenti di emergenza e urgenza gestiscano e forniscano informazioni agli accompagnatori dei pazienti, attraverso una comunicazione “efficace ed empatica sia con il paziente, sia con i familiari/accompagnatori”. Secondo quanto rappresentato nelle citate Linee di indirizzo, “il tempo d’attesa in Pronto Soccorso può rappresentare un’opportunità per trasmettere al cittadino informazioni utili e coerenti sull’esperienza che sta vivendo come paziente o accompagnatore”. In tal senso, il Ministero della salute ritiene necessario promuovere una serie di iniziative di “attesa attiva” finalizzate al miglioramento degli aspetti di comfort in sala attesa; tra questi, sono segnalati la presenza di strumenti quali “cartellonistica”, “la presenza di display che permettono di conoscere in tempo reale il numero di postazioni di emergenza impegnate, il numero di pazienti nelle sale visita o in attesa di ricovero, in modo da tenere aggiornati i pazienti oltre che sul proprio iter anche sul carico di lavoro complessivo del Pronto Soccorso”.

L’iniziativa in esame si colloca all’interno di un percorso volto ad ottimizzare le procedure di comunicazione tra gli operatori sanitari e gli accompagnatori del paziente del pronto soccorso, attraverso l’introduzione di sistemi più avanzati di interazione, caratterizzati dall’uso di applicazioni mobili. Tali iniziative, condivisibili e meritorie, possono essere realizzate nel pieno rispetto della disciplina in materia di protezione dei dati personali, con adeguate cautele a salvaguardia dei diritti e delle libertà fondamentali degli interessati. A tal fine, è necessario che il titolare provveda a esaminare  preventivamente i rischi per i diritti e le libertà degli interessati, individuando misure adeguate in funzione di tali rischi, al fine di offrire ai pazienti, e ai loro accompagnatori, soluzioni efficienti ma realizzate con modalità che tutelino in modo efficace i dati che li riguardano , tenendo in particolare considerazione che, attraverso tali strumenti, possono essere trattate informazioni sulla salute di un numero considerevole di pazienti in pronto soccorso. Ad esempio, si dovrebbe evitare, come effettuato presso taluni presidi ospedalieri, l’utilizzabilità di tale App qualora l’interessato si avvalga dei servizi ospedalieri per particolari eventi o patologie (si pensi alle vittime di violenza domestica).

Preso atto di quanto rappresentato dall’Azienda, nella documentazione in atti e nelle memorie difensive, si osserva che:

1. le informazioni trattate dall’applicativo “PSOnline” si qualificano, senza ombra di dubbio, come informazioni sulla salute degli interessati, in quanto indicano la prestazione di un particolare servizio di assistenza sanitaria, ovvero la prestazione di pronto soccorso, rivelando informazioni relative allo stato di salute dell’interessato attraverso l’indicazione della presenza dello stesso in specifici ambulatori dell’ospedale o nell’OBI (Osservazione Breve Intensiva), nonché del codice triage assegnatoli (art. 4, par. 1, n. 15 del Regolamento e Considerando n. 35 del Regolamento); 

2. la fattispecie in esame rientra tra quelle per le quali il titolare è tenuto ad effettuare, “prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali” (art. 35 del Regolamento). Ciò, in quanto ricorrono certamente i seguenti criteri indicati dal Comitato Europeo per la protezione dei dati, ovvero il “trattamento concerne dati sulla salute” (vedi punto precedente) relativi a “interessati vulnerabili” (pazienti di un pronto soccorso), nonché  “uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative” (cfr. Linee guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilità che il trattamento "possa presentare un rischio elevato" ai fini del regolamento (UE) 2016/679 adottate il 4 aprile 2017, come modificate e adottate da ultimo il 4 ottobre 2017 -WP 248 rev.01, III, lett. B, punti 4, 7 e 8). In tale contesto, si rappresenta che il trattamento in esame si configura come trattamento autonomo e distinto da quello effettuato dal titolare per finalità di cura;

3. la valutazione di impatto, trasmessa dall’Azienda il 20 novembre 2019, non è stata effettuata prima di procedere al trattamento, ma solo a seguito della richiesta di informazioni dell’Autorità. Peraltro, la citata valutazione non risponde ai principi e alle caratteristiche richiesti dal Regolamento (artt. 5 e 35 del Regolamento), in quanto priva di numerosi elementi richiesti dall’art. 35, par. 7 del Regolamento;

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni, avendo rilevato l’illiceità del trattamento di dati personali, nei termini di cui in motivazione, si ritiene di dover ammonire, ai sensi degli artt. 58, par. 2, lett. b) del Regolamento, l’azienda USL Roma 3 per aver violato gli artt. 5, par. 1, lett. c) del Regolamento e 35 del Regolamento in relazione al principio di cui all’art. 5, par. 2 del Regolamento.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che sulla base degli atti l’Azienda ha spontaneamente sospeso l’utilizzo presso il pronto soccorso del Presidio Ospedaliero Giovanni Battista Grassi dell’applicazione denominata “PSOnline” e ha fattivamente collaborato con l’Autorità nel corso dell’istruttoria, ai sensi dell’art. 83, par. 2, lett. f) del Regolamento, si ritiene che nel caso di specie non ricorrono i presupposti per infliggere una sanzione amministrativa pecuniaria di cui all’art. 58, par. 2, lett. i) del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

a)  avendo accertato l’illiceità del trattamento di dati personali effettuato, ammonisce, ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, l’Azienda USL Roma 3, per la violazione dell’art. 5, par. 1, lett. c) del Regolamento e dell’art. 35 del Regolamento in relazione al principio di cui all’art. 5, par. 2 del Regolamento, nei termini di cui in motivazione

b) ritiene che ricorrano i presupposti d cui all’art. 17 regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 12 marzo 2020

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia