g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Società Eurosanità s.p.a. - 21 aprile 2021 [9675228]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9675228]

Ordinanza ingiunzione nei confronti di Società Eurosanità s.p.a. - 21 aprile 2021

Registro dei provvedimenti
n. 148 del 21 aprile 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore, il dott. Agostino Ghiglia;

PREMESSO

1. La violazione dei dati personali.

La Società Eurosanità s.p.a, che gestisce la Casa di cura Villa Stuart, ha notificato una violazione di dati personali, in relazione all’avvenuta consegna, via e-mail, a una paziente, di documentazione contenente il referto delle analisi delle urine di un’altra paziente, dichiarando che la violazione è stata causata da un errore materiale del personale addetto e non da un malfunzionamento del sistema informatico e/o della rete e/o da una mancata protezione del file (comunicazione 26 luglio 2019).

2. L’attività istruttoria.

In relazione a quanto comunicato dalla Società, con atto del 12 novembre, prot. n. 003885, è stato avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2 del Regolamento, nei confronti della stessa Società, invitandola a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, l. n. 689 del 24 novembre 1981).

In particolare l’Ufficio, nel predetto atto, ha preliminarmente rappresentato che:

- “la disciplina in materia di protezione dei dati personali prevede –in ambito sanitario- che le informazioni sullo stato di salute possano essere comunicate solo all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso previa delega scritta di quest’ultimo (art. 9 Regolamento e art. 84 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101; cfr. anche provv. generale del 9 novembre 2005, consultabile in www.gpdt.it, doc. web n. 1191411, ritenuto compatibile con il suddetto Regolamento e con le disposizioni del decreto n. 101/2018; cfr. art. 22, comma 4, del citato d.lgs. n. 101/2018)”;

- “il Regolamento stabilisce, inoltre, che i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)” (art. 5, par. 1, lett. f) del Regolamento)”.

Ciò premesso, con il predetto atto del 12 novembre 2019, l’Ufficio ha reputato che la Società abbia effettuato, mediante la trasmissione via e-mail di un referto a una persona diversa dall’interessata, una comunicazione di dati relativi alla salute, in assenza di un idoneo presupposto giuridico e, quindi, in violazione dei principi di base del trattamento di cui agli artt. 5 e 9 del Regolamento. 

Con nota del 2 dicembre 2019, la Società ha fatto pervenire le proprie memorie difensive, nelle quali, in particolare, è stato precisato che:

a) “dall’analisi effettuata risulta che i dati oggetto della violazione si riferiscono ad una sola paziente (la sig.ra XX) e consistono in dati personali e dati relativi alla salute, circoscritti ad uno solo degli esami (nello specifico analisi delle urine) effettati dalla paziente e dunque non riferibili allo stato di salute generale della stessa”;

b) “in relazione alla durata della violazione si precisa che il fatto è circoscritto ad un episodio isolato”;

c) “trattasi di un errore meramente materiale del personale addetto preventivamente istruito e formato come richiesto dalla normativa in materia”;

d) “è stata effettuata una comunicazione formale, ai sensi dell’art. 34 GDPR 2016/679, alla diretta interessata, per comunicare l’accaduto e contestualmente i provvedimenti adottati dal titolare del trattamento. La diretta interessata ha ringraziato il titolare, ribadendo la solerzia, la serietà e l’attenzione dimostrata, (…) manifestando un’assenza di lesione alla sua persona”;

e) “tutto il personale della struttura è stato preventivamente e adeguatamente formato attraverso un corso intensivo” (comprensivo) “delle modalità operative e degli adempimenti previsti dalla normativa di comunicazione dei dati relativi alla salute a mezzo di posta elettronica”) “effettuato in classe con test finale di verifica dell’apprendimento dei contenuti trattati”;

f) “è stata tempestivamente aperta un’istruttoria interna da parte del DPO per ricostruire quanto accaduto (..); da un’analisi ricostruttiva effettuata con i soggetti coinvolti è emerso che, accidentalmente, durante il processo di stampa, sottoscrizione e scannerizzazione delle analisi effettuate nella stessa giornata lavorativa, due fogli che contenevano le analisi delle urine della sig.ra XX, sono fortuitamente stati scansionati con i fogli relativi alle analisi della signora XX”;

g) “in seguito all’accertamento circa la natura accidentale della violazione, causata da un errore puramente materiale e non sistematico, il Direttore operativo di struttura ha convocato il responsabile dell’accaduto al fine di effettuare una sessione di coaching per ripercorrere tutte le fasi della procedura in essere presso la Struttura. È stato precisato che un eventuale ripetersi dell’accaduto comporterà provvedimenti disciplinari (…)” e “è stata contemporaneamente effettuata una comunicazione a tutto il personale del laboratorio analisi della struttura, per ribadire una maggiore attenzione nella gestione della documentazione clinica”;

h) “si è provveduto ad adottare misure volte a semplificare la procedura di invio dei referti-on-line”, provvedendo ad eliminare, dalla procedura operativa, “lo step concernente la stampa e successiva scansione dei documenti, causa dell’errore materiale”;

i) è stato, inoltre, previsto l’acquisto di un software dedicato (…), del quale il RPD “ha accertato la conformità […] alla normativa europea e nazionale vigente”; “il sistema prevede che al momento dell’accettazione venga chiesto al paziente se usufruire o meno della possibilità do consultare online le risposte degli esami eseguiti. In caso di accettazione e dopo la firma della modulistica prevista dalla normativa vigente, al paziente verrà rilasciato un codice e un link che, una volta pronti gli esami, gli consentirà di collegarsi (per un periodo di tempo limitato-ovvero 30 giorni) direttamente sul portale della Struttura. Il paziente potrà utilizzare la password, ricevuta separatamente via sms sul proprio cellulare, al fine di visionare e/o stampare i propri esami”.

3. Esito dell’attività istruttoria

Premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice (“Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”), all’esito dell’esame della documentazione acquisita nonché delle dichiarazioni rese all’Autorità nel corso del procedimento, emerge che la Società ha effettuato una comunicazione di dati relativi alla salute in assenza di un idoneo presupposto giuridico, in violazione dei principi di base del trattamento di cui agli artt. 5 e 9 del Regolamento.

4.  Conclusioni

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria, si rappresenta che gli elementi forniti dallo stesso nelle memorie difensive, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano pertanto le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali sulla salute effettuato dalla Società, in violazione degli artt. 5 e 9 del Regolamento.

In tale quadro, considerato, tuttavia, che la condotta ha esaurito i suoi effetti – atteso, altresì, che la Società ha fornito assicurazioni in ordine alle azioni di miglioramento intraprese al fine di evitare la ripetizione della condotta errata - non ricorrono i presupposti per l’adozione di ulteriori provvedimenti correttivi da parte dell’Autorità, ai sensi dell’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5 e 9 del Regolamento, determinata dal trattamento di dati personali, oggetto del presente provvedimento, effettuato dalla Società, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, lett. a) del Regolamento.

Si consideri che il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2, del Regolamento in relazione ai quali si osserva che:

il trattamento dei dati effettuato dalla Società riguarda dati idonei a rilevare informazioni sulla salute di una sola interessata, relativi a un solo esame (art.  83, par. 2, lett. a) e g) del Regolamento);

la tenuità del fatto, atteso che l’episodio è stato accidentale e determinato da un errore umano (art. 83, par. 2, lett. b) del Regolamento);

l’Autorità ha preso conoscenza della violazione a seguito della notifica effettuata dal titolare del trattamento che ha informato dell’accaduto anche l’interessato e non sono pervenuti reclami o segnalazioni sull’accaduto (art. 83, par. 2, lett. h) del Regolamento);

la Società ha collaborato con l’Autorità nel corso dell’istruttoria e del presente procedimento (art. 83, par. 2, lett. f) del Regolamento);

il titolare del trattamento si è prontamente attivato per porre rimedio all’accaduto anche attraverso l’introduzione di misure di semplificazione della procedura di invio dei referti online (art. 83, par. 2, lett. c) e d) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, nella misura di euro 5.000 (cinquemila) per la violazione degli artt. 5 e 9 del Regolamento quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata la violazione degli artt. 5 e 9 del Regolamento, dichiara l’illiceità del trattamento di dati personali effettuato dalla Società nei termini di cui in motivazione; 

ORDINA

alla Società Eurosanità s.p.a, con sede legale in Roma, Piazza dei Caprettari 70, C.F./P.Iva: 06726891002, in persona del legale rappresentante pro-tempore, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, di pagare la somma di euro 5.000,00 (cinquemila) a titolo di sanzione amministrativa pecuniaria per la violazione di cui al presente provvedimento, secondo le modalità indicate in allegato, entro 30 giorni dalla notifica in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 5.000,00 (cinquemila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante, ai sensi dell’art. 166, comma 7, del Codice;

l’annotazione del presente provvedimento nel registro interno dell’Autorità - previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante - relativo alle violazioni e alle misure adottate in conformità all'art. 58, par. 2, del Regolamento medesimo.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 21 aprile 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei