g-docweb-display Portlet

Ordinanza ingiuzione nei confronti di Azienda Ospedaliera San Giovanni Addolorata - 11 marzo 2021 [9583597]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9583597]

Ordinanza ingiuzione nei confronti di Azienda Ospedaliera San Giovanni Addolorata - 11 marzo 2021

Registro dei provvedimenti
n. 93 dell'11 marzo 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore l’avv. Guido Scorza;

PREMESSO

1. La segnalazione

È stato segnalato all’Autorità che un medico dell’Azienda Ospedaliera San Giovanni ha trasmesso l’elenco degli interventi chirurgici effettuati (casistica operatoria), in qualità di dirigente medico, in allegato alla domanda di partecipazione all’avviso pubblico adottato dall’XX per l’affidamento dell’incarico di direzione di struttura complessa ortopedia e traumatologia. In particolare, la predetta documentazione conteneva dati personali, anche direttamente identificativi, e sulla salute dei pazienti (nome e cognome, reparto di ricovero, data e tipologia di intervento effettuato).

2. L’attività istruttoria.

Nell’ambito dell’istruttoria avviata dal Garante, è stata effettuata una verifica ispettiva presso l’Azienda ospedaliera San Giovanni Addolorata (di seguito “Azienda”), volta a verificare, se fossero stati effettuati, in una specifica data, accessi ai sistemi informativi aziendali da parte del citato medico, o di altro operatore, in relazione agli interventi effettuati dallo stesso.

Nell’ambito del predetto accertamento, effettuato in data 5 novembre 2019, è emerso che:

- “l’application Log dell’applicativo denominato Sow (Sale Operatorie Web), utilizzato all’epoca dei fatti e allo stato dismesso, registrava il login e logout dell’utente. Oltre a questi log, il sistema consentiva di registrare le Select effettuate dagli utenti. Tali log di sistema non sono al momento conservati, in quanto i dati di log registrati in backup sono stati sovrascritti”;

- “l’applicativo attualmente in uso in sala operatoria è denominato B.O. (Blocco Operatorio), che consente di effettuare l’estrazione dei dati relativi a soggetti che effettuano l’intervento operatorio, divisi per reparto. Sull’applicativo B.O. sono tracciati i log delle operazioni effettuate. Tali log sono conservati in un sistema di registrazione che rileva gli ultimi 10 log storici più quello in linea, per una capienza massima di 10 Mega. Dall’accertamento effettuato risultano registrati gli ultimi 10 log che risalgono agli ultimi 30 minuti di operatività del sistema. Attualmente dal sistema B.O. non è possibile accedere ai dati registrati sul sistema Sow” (cfr. verbale delle operazioni compiute).

Con nota del 22 novembre 2019, l’Azienda ha inteso precisare che:

- “sta rafforzando la propria politica di monitoraggio degli accessi effettuati dagli utenti certificati, a tutti gli applicativi in uso, mediante l’immediato allungamento dell’orizzonte temporale di conservazione dei file di log”;

- “in tale direzione, l’Ente ha già concretamente avviato specifiche azioni per ottimizzare le capacità di storage, nonché migliorare il sistema di registrazione degli accessi agli applicativi aziendali. In particolare, è stato riconfigurato il sistema di gestione dei log di accesso agli applicatici della piattaforma clinico sanitaria AREAS (BO, ADT, Cartella clinica, Cartella di preospedalizzazione etc), consentendo la completa storicizzazione e visualizzazione degli stessi”;

- “il raffronto dei profili di sicurezza e protezione dei sistemi informativi consentirà di monitorare, con maggiore efficienza, la procedura di accesso e la procedura di uscita dalle applicazioni di ciascun utente riconosciuto”.

Alla luce di quanto riscontrato, l’Ufficio, con atto n. 37494 del 9 ottobre 2020, ha notificato all’Azienda, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981). In particolare l’Ufficio, nel predetto atto, ha rappresentato che, sulla base degli elementi acquisiti, risultava che l’Azienda avesse effettuato un trattamento di dati personali, in violazione di quanto previsto, circa la sicurezza del trattamento, dagli artt. 5, par. 1, lett. f) e 32 del Regolamento, in quanto risultava verificato che, alla data del 5 novembre 2019, i file di log relativi alle operazioni di accesso al sistema B.O. (Blocco Operatorio) che consente di effettuare l’estrazione dei dati relativi ai pazienti che effettuano un intervento chirurgico erano conservati per un periodo di tempo insufficiente a garantire la sicurezza dei dati, pari a circa 30 minuti, corrispondenti alla registrazione degli ultimi 10 accessi circa nel sistema.

Al riguardo occorre tenere conto che il Garante, in relazione alla tracciabilità degli accessi, con riferimento al dossier sanitario, aveva evidenziato che “il titolare deve individuare un congruo periodo di conservazione dei log di tracciamento delle operazioni che risponda, da un lato, all’esigenza per gli interessati di venire a conoscenza dell’avvenuto accesso ai propri dati personali e delle motivazioni che lo hanno determinato e, dall’altro, alle esigenze medico legali della struttura sanitaria titolare del trattamento di dati personali”, individuando, come congruo, un periodo di conservazione non inferiore a 24 mesi dalla data di registrazione dell'operazione (cfr. provvedimento recante “Linee guida in materia di Dossier sanitario”, del 4 giugno 2015, pubblicato in G.U. 164 del 17 luglio 2015, consultabile su www.gpdp.it, doc. web n. 4084632).

Con nota del 6 novembre 2020, l’Azienda ha fatto pervenire le proprie memorie difensive, in cui è stato rappresentato che:

- “nello specifico e con riferimento alle concrete iniziative poste in essere (…)” si evidenzia “che in data 27 maggio 2020 dopo approfondite analisi tecniche ed esaustive interlocuzione con il fornitore dei servizi IT è stata approvata la delibera numero 420/D.G. avente ad oggetto i servizi di Virtualizzazione dei database e Gestione dell’infrastruttura virtuale e la fornitura Hardware per il potenziamento dell’infrastruttura stessa occorrenti all’Azienda Ospedaliera …”;

- “tale corposo deliberato va nella direzione di ampliare i servizi di controllo e mantenimento dei sistemi nello specifico di virtualizzazione dei Data Base, di potenziamento HW e di gestione dell’Infrastruttura virtuale, questo per far fronte alle mutate esigenze ed alle criticità emerse anche a seguito dell’attività di codesta Autorità”.

Successivamente, con nota del 27 gennaio 2021, l’Azienda ha integrato le predette memorie, producendo ulteriori scritti difensivi, nei quali è stato ribadito quanto già evidenziato con la nota del 22 novembre 2019, in relazione alle azioni avviate immediatamente dopo l’attività ispettiva svolta dall’Autorità, precisando che:

a novembre 2019, nella riconfigurazione del sistema di gestione dei file di log di accesso agli applicativi della citata piattaforma clinico sanitaria Areas, è stata prevista “la completa storicizzazione e visualizzazione degli stessi, con durata dei file di log fissato in 18 mesi (da novembre 2019)”;

a maggio 2020 sono stati acquistati un nuovo hardware e un nuovo software e si è proceduto a un “potenziamento dei servizi di Virtualizzazione dei Data Base e Gestione dell’infrastruttura virtuale e la fornitura Hardware per il potenziamento dell’infrastruttura (…). Tali nuovi servizi confermano quanto già evidenziato a novembre 2019, ma con migliore performance tecnica”.

3. Esito dell’attività istruttoria.

Preso atto di quanto rappresentato dall’Azienda nella documentazione in atti e nelle memorie difensive e di quanto emerso nel corso dell’attività ispettiva, si osserva che:

1. il Regolamento prevede che i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)” (art. 5, par. 1, lett. f) del Regolamento). L’adeguatezza di tali misure deve essere valutata da parte del titolare e del responsabile del trattamento rispetto alla natura dei dati, all’oggetto, alle finalità del trattamento e al rischio per i diritti e le libertà fondamentali degli interessati, tenendo conto dei rischi che derivano dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso a dati personali (art. 32, par. 1 e 2 del Regolamento);

2. con specifico riferimento all’attività di gestione dei dossier sanitari, il Garante ha adottato il citato provvedimento del 4 giugno 2015, che continua ad applicarsi anche dopo l’entrata in vigore del Regolamento, in quanto ritenuto compatibile con il medesimo Regolamento e con le disposizioni del decreto n. 101/2018 (cfr. art. 22, comma 4, del citato d.lgs. n. 101/2018);

3. nelle predette Linee guida il Garante ha previsto, in tema di sicurezza dei dati, la tracciabilità degli accessi e delle operazioni effettuate, evidenziando, in particolare, che “le strutture sanitarie, nell'ambito della discrezionalità riconosciuta nell'organizzare la funzione di compliance, devono realizzare sistemi di controllo delle operazioni effettuate sul dossier sanitario, mediante procedure che prevedano la registrazione automatica in appositi file di log degli accessi e delle operazioni compiute. In particolare, i file di log devono registrare per ogni operazione di accesso al dossier effettuata da un incaricato, almeno le seguenti informazioni: il codice identificativo del soggetto incaricato che ha posto in essere l’operazione di accesso; la data e l’ora di esecuzione; il codice della postazione di lavoro utilizzata; l’identificativo del paziente il cui dossier è interessato dall’operazione di accesso da parte dell’incaricato e la tipologia dell’operazione compiuta sui dati. In ragione della particolare delicatezza del trattamento dei dati personali effettuato mediante il dossier è necessario che siano tracciate anche le operazioni di semplice consultazione (inquiry)”; è stato, altresì, previsto che “il titolare deve individuare un congruo periodo di conservazione dei log di tracciamento delle operazioni che risponda, da un lato, all’esigenza per gli interessati di venire a conoscenza dell’avvenuto accesso ai propri dati personali e delle motivazioni che lo hanno determinato e, dall’altro, alle esigenze medico legali della struttura sanitaria titolare del trattamento di dati personali”, valutando, come congruo un periodo di conservazione non inferiore a 24 mesi dalla data di registrazione dell'operazione;

4. sebbene la predetta indicazione in merito al tempo di conservazione dei file di log si riferisca al dossier sanitario (e non anche a singoli applicativi), la stessa doveva essere tenuta in considerazione da parte del titolare ai fini dell’individuazione di un congruo periodo di conservazione dei file di log degli accessi all’applicativo che gestisce il sistema informativo della Sala operatoria, denominato B.O.;

5. sotto il profilo, poi, della determinazione della normativa applicabile, dal punto di vista temporale, deve essere richiamato il principio di legalità di cui all’art. 1, comma 2, della l. n. 689/1981, che sancisce come “le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati”. Ciò determina l’obbligo di prendere in considerazione le disposizioni vigenti al momento della commessa violazione, che nel caso oggetto del presente provvedimento – data la natura permanente dell’illecito contestato – deve essere individuato in una data successiva a quella del 25 maggio 2018, in cui il Regolamento è divenuto applicabile. Nel corso dell’accertamento ispettivo effettuato è, infatti, stato verificato che, alla data del 5 novembre 2019, i file di log di tracciamento degli accesi risultavano conservati per un periodo inadeguato, pari a circa 30 minuti, corrispondenti alla registrazione degli ultimi 10 accessi circa nel sistema.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria e dell’accertamento ispettivo˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni si rileva l’illiceità del trattamento di dati personali effettuato dall’Azienda Ospedaliera San Giovanni Addolorata nei termini di cui in motivazione, per violazione degli artt. 5, par. 1, lett. f), e 32 del Regolamento.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par. 1, lett. f), e 32 del Regolamento, causata dalla condotta posta in essere dall’Azienda, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 4, lett. a) e par. 5, lett. a) del Regolamento.

Si consideri che il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 85, par. 2, del Regolamento in relazione ai quali si tiene conto della durata temporale della violazione (circa 18 mesi), della circostanza che il trattamento dei dati effettuato dall’Azienda riguarda dati idonei a rilevare informazioni sulla salute di numerosi pazienti, dell’assenza di elementi di volontarietà da parte dell’Azienda nella causazione dell’evento, del grado di responsabilità dell’Azienda, della cooperazione della stessa, anche durante l’accertamento ispettivo (art. 83, par. 2, lett. a), b), d), f), g) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 4, lett. a) e par. 5, lett. a) del Regolamento, nella misura di euro 20.000,00 (ventimila) per la violazione degli artt. 5, par. 1, lett. f) e 32 del Regolamento quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della potenziale numerosità dei soggetti interessati e della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dall’Azienda Ospedaliera San Giovanni Addolorata, per la violazione degli artt. 5, par. 2, lett. f) e 32 del Regolamento nei termini di cui in motivazione.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, all’Azienda Ospedaliera San Giovanni Addolorata con sede legale in Roma, Via dell'Amba Aradam 9, – C.F./P.IVA  04735061006, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 20.000,00 (ventimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento, secondo le modalità indicate in allegato, entro 30 giorni dalla notifica in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla predetta Azienda, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 20.000,00 (ventimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

- la pubblicazione del presente provvedimento sul sito web del Garante, ai sensi dell’art. 166, comma 7, del Codice;

- l’annotazione del presente provvedimento nel registro interno dell’Autorità - previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante - relativo alle violazioni e alle misure adottate in conformità all’art. 58, par. 2, del Regolamento medesimo.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 11 marzo 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei