g-docweb-display Portlet

Provvedimento del 29 luglio 2020 [9453071]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9453071]

Provvedimento del 29 luglio 2020

Registro dei provvedimenti
n. 146 del 29 luglio 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e l’avv. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato ai sensi dell’art. 77 del Regolamento dal sig. XX in data 27 ottobre 2019, con il quale quest’ultimo ha lamentato il mancato riscontro alla istanza di accesso ai dati avanzata, ai sensi dell’art. 15 del Regolamento, a mezzo PEC indirizzata a diagnosticagenetica@pec.aou-careggi.toscana.it, in data 18 settembre 2019, nei confronti dell’Azienda ospedaliera-universitaria Careggi con sede legale in Firenze - Largo Brambilla, 3 (P.IVA 04612750481) (di seguito l” Azienda sanitaria”) e con la quale aveva richiesto “(…) conferma e una copia dell’esame della tipizzazione hla nell’ambito della (…) disponibilità a donare midollo osseo (…)”, nonché se fossero emerse, in relazione al suo stato di salute, problematiche di tipo genetico, dal momento che era stato “(…) sospeso temporaneamente dal donare sangue dal trasfusionale di Empoli (Ospedale San Giuseppe), senza aver ricevuto esaustive delucidazioni e pur presentando loro certificato di idoneità (…)”;

VISTA la nota prot. n. 41892 del 3 dicembre 2019, con la quale l’Ufficio ha invitato l’Azienda sanitaria ad aderire alle richieste del reclamante, entro e non oltre 20 giorni dal ricevimento di tale invito;  

VISTA la nota inviata con PEC in data 23 dicembre 2019, con la quale la sopra citata Azienda sanitaria rispondeva al reclamante provvedendo, al contempo, a renderne edotta la scrivente Autorità. In tale risposta, fra altro, si faceva presente di procedere all’invio, in allegato, del referto completo richiesto “(…) funzionale alla (…) iscrizione al Registri italiano donatori di Midollo osseo – IBMDR (…)” e si evidenziava che:

- l’esame, del quale si inviava il referto completo, “(…) ha specifica e limitata finalità di valutazione delle (…) caratteristiche HLA, e non ha scopi diagnostici né predittivi e quindi non consente di trarre alcune inferenza sullo stato di salute”;

- presso la struttura sanitaria, oltre a tale referto, non era presente alcun altro referto diagnostico riferibile al reclamante, come già, in precedenza, rappresentato a quest’ultimo sia attraverso contatti per le vie brevi sia attraverso note;

- “(…) il referto di tipizzazione HLA viene trasmesso (al solo interessato) con le modalità indicate dall’Autorità nel Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101 (…)”

VISTA la nota, inviata a mezzo PEC datata 24 dicembre 2019, a firma del sig. XX, con la quale si rappresentava di non aver ancora ricevuto le informazioni richieste;

VISTA la nota prot. n. 3108 del 24 gennaio 2020 di richiesta, da parte dell’Ufficio al titolare del trattamento, di informazioni ai sensi dell’art. 157 del Codice - da trasmettere entro il termine di 15 giorni dal ricevimento della richiesta - in ordine all’invio, o meno, del referto oggetto dell’accesso ai dati attivato del reclamante, nonché alle modalità di trasmissione dello stesso;

VISTA la nota del sig. XX, inviata il 29 gennaio 2020 a mezzo PEC, indirizzata all’Ospedale Careggi, al Ministero della Salute e a questa Autorità, con la quale richiedeva “(…) l’aggiornamento e la conferma dell’avvenuto aggiornamento dei (…) (propri) dati personali da le analisi (…) (ricevute) dall’Ospedale Careggi, con quelle che (…) (il medesimo sig. XX) aveva eseguito (…), pagando, in una struttura privata”, lamentando, altresì, l’incompletezza della risposta fornita dal titolare del trattamento;  

VISTA, la nota del 5 febbraio 2020 con la quale l’Azienda sanitaria ha fornito riscontro alla richiesta di informazioni formulata da questo Ufficio dichiarando che:

- sulla base dello scambio di PEC con il reclamante avvenuto nella giornata del 24 dicembre 2019, si era pervenuti all’accordo di inviare a quest’ultimo quanto richiesto con l’esercizio del diritto di accesso per il tramite di raccomandata A/R. Il sig. XX, infatti, con PEC delle 16:54, del medesimo giorno, indicava l’indirizzo per la spedizione, alla quale, tuttavia, codesta struttura ha potuto dare corso in data 30 dicembre 2019 a causa della chiusura degli uffici amministrativi;

- “(…) circa il mancato riscontro al sig. XX ad una sua richiesta di accesso ai dati personali trasmessaci in data 18 settembre 2019, della quale non vi è traccia nel Registro di protocollo aziendale (…), dagli accertamenti effettuati risulta che tale comunicazione è stata ricevuta ma non gestita dalla struttura, e neppure trasmessa al protocollo aziendale per una registrazione e assegnazione. Si è trattato di mero errore materiale da parte di chi ha fatto l’accesso alla casella per il controllo delle comunicazioni in arrivo. (…) (ciò, anche per il fatto) che l’Azienda ha optato (…) per una politica di distribuzione di caselle PEC alle strutture, così che quelle attive sono attualmente 50 (tra cui 11 strutture sanitarie); ciò assicura certo dei vantaggi in ordine alla sicurezza e riservatezza delle comunicazioni, ma comporta anche inevitabili problemi di gestione (in particolare quando la casella è assegnata ad una struttura sanitaria)”.  

- “(…) nella sezione privacy del sito aziendale sono immediatamente disponibili (agli utenti) i dati di contatto per le problematiche privacy ed in particolare per il riscontro all’interessato (e) (…)  che tali dati sono riproposti in calce all’informativa per gli utenti dei servizi sanitari (…)”;

-  “(…) non esiste altra (documentazione riferita al ricorrente) per finalità di iscrizione al Registro Nazionale Italiano Donatori Midollo Osseo (…)”.

VISTA la nota del 27 febbraio 2020 (prot. 8574), con la quale l’Ufficio, sulla base degli elementi acquisiti, anche attraverso la documentazione inviata e i fatti emersi nel corso dell’attività istruttoria, ha notificato all’Azienda sanitaria, in qualità di titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, paragrafo 2, del Regolamento avente ad oggetto le presunte violazioni degli artt. 12, par. 3 e 15 del Regolamento, rappresentando che:

il Regolamento agli artt. 12 e ss, disponendo in materia di “diritti dell’interessato”, prevede il diritto dell'interessato di ottenere dal titolare del trattamento l’accesso ai dati personali e a specifiche informazioni sul trattamento dei dati allo stesso riferiti (art. 15 e Considerando 63 del Regolamento). Ciò, a meno che non ricorra uno dei casi di limitazione dei diritti dell’interessato tassativamente indicati all’art. 23 del Regolamento e all’art. 2-undecies del Codice, i quali non risultano conferenti rispetto alla fattispecie in esame;

in particolare, l’art. 12, par. 3, prevede che il riscontro debba essere fornito “senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta”;

sulla base degli elementi acquisiti in atti e dell’attività istruttoria svolta, risulta accertato che l’Azienda Ospedaliero-Universitaria Careggi, ha dato riscontro alla richiesta di accesso ai dati personali della reclamante solo a seguito dell’invito formulato dall’Ufficio nell’ambito del procedimento relativo al reclamo presentato dal sig. XX ai sensi dell’art. 77 del Regolamento; ciò, in violazione dell’art. 12, par. 3, e dell’art. 15 del Regolamento;

VISTO che, con la medesima nota, questo Ufficio ha altresì invitato il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981);

VISTO lo scritto difensivo nota prot. aouc_fi 0007549_20-03-2020 formulato ai sensi dell’art. 166, comma 6, del Codice, nonché dell’art. 18, comma 1, dalla legge n. 689/1981 con il quale l’Azienda sanitaria ha tenuto a ribadire quanto già rappresentato nelle precedenti note di riscontro sia all’interessato (cfr. nota del 23 dicembre 2019) sia a questa Autorità a seguito della richiesta di informazioni ai sensi dell’art. 157 del Codice (cfr. nota del 5 febbraio 2020). In particolare, l’Azienda sanitaria ha evidenziato che:

“(…) da un referto di tipizzazione non possono essere dedotte indicazioni di carattere strettamente sanitario (…)”;

“(…) oltre (a tale referto) non era stata reperita in Azienda ulteriore documentazione sanitaria riferita all’interessato (…)”.

il mancato riscontro alla istanza di accesso avanzata dall’interessato in data 18 settembre 2019 “(…) è da ricondurre a un'impostazione di gestione della posta elettronica certificata che (…) se comporta qualche rischio (è da ritenersi) preferibile (per) (…) la massima confidenzialità delle comunicazioni (…) anche se il rischio è quello di non avere la possibilità di controllare centralmente la puntuale gestione dei messaggi in arrivo lasciando così spazio a comportamenti negligenti come quello verificatosi  (…)”;

(…) fin dall'inizio si è instaurato con l'interessato un rapporto difficile, caratterizzato da reciproche incomprensioni (e che) (…) spiace che l'interessato non abbia coinvolto (il Responsabile della protezione dei dati) già nella presentazione dell'istanza così come neppure prima dell'inoltro del reclamo, non riconoscendo il ruolo di facilitatore che il RPD può utilmente svolgere nei rapporti tra interessati e amministrazione (…)”;

“(…) si è prontamente messa a disposizione dell'autorità con spirito collaborativo in assoluta trasparenza (e) non è mai stata sanzionata per violazioni pertinenti al caso in esame (e neppure per altre ad esso non pertinenti)”.
Infine, l’Azienda ha richiesto “(…) di voler valutare positivamente gli elementi forniti e conseguentemente escludere l'applicazione di una sanzione amministrativa pecuniaria (…)”.

RILEVATO che, in base alle risultanze dell’attività istruttoria, è accertato che il titolare del trattamento con la propria condotta ha violato gli artt. 12, par. 3, e 15 del Regolamento avendo fornito riscontro all’istanza di accesso del reclamante solo a seguito dell’invito ad aderire alle richieste di quest’ultimo, formulato dall’Ufficio, ovvero 96 giorni dalla data in cui l’interessato aveva esercitato il proprio diritto;

CONSIDERATO che le dichiarazioni dell’Azienda sanitaria, nelle quali viene riconosciuto il carattere colposo della violazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, risultando, pertanto, insufficienti a determinare l’archiviazione del presente procedimento;

CONSIDERATO, tuttavia, che la violazione è stata determinata da un errore umano, non intenzionale, di un operatore in servizio presso il titolare del trattamento (cfr. nota del 5 febbraio 2020);

CONSIDERATO, altresì, che l’Azienda sanitaria ha manifestato un comportamento disponibile al dialogo con l’interessato e al rapporto collaborativo con l’Autorità;

RITENUTO che le circostanze inducono a qualificare il caso come “violazione minore”, ai sensi dell’art. 83, par. 2, e del considerando 148 del Regolamento, nonché delle Linee guida WP 253, riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) 2016/679;

RITENUTO, pertanto, che, relativamente al caso in esame, sia sufficiente ammonire il titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, per la violazione delle disposizioni riguardanti l’esercizio dei diritti di cui agli artt. 15 - 22 del Regolamento, e che non vi siano i presupposti per l’adozione di ulteriori misure correttive da parte dell’Autorità ai sensi dell’art. 58, par. 2, del Regolamento;

RITENUTO che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecita la condotta tenuta dell’Azienda ospedaliera-universitaria Careggi con sede legale in Firenze - Largo Brambilla, 3 (P.IVA 04612750481) descritta nei termini di cui in motivazione, e ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce l’Azienda ospedaliera-universitaria medesima per la violazione degli artt. 12, par. 3, e 15 del Regolamento, in relazione al mancato riscontro all’istanza di accesso ai dati personali del reclamante;

b)ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 29 luglio 2020

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Busia