g-docweb-display Portlet

Provvedimento del 13 maggio 2021 [9687977]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9687977]

Provvedimento del 13 maggio 2021

Registro dei provvedimenti
n. 201 del 13 maggio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Il trattamento dei dati personali e l’attività istruttoria

L’Autorità ha appreso, da alcune notizie stampa, che presso l’Ospedale Belcolle, afferente all’Azienda sanitaria locale di Viterbo (di seguito Azienda), era in uso un’applicazione denominata “PsOpen”, volta a consentire agli accompagnatori del paziente che ha effettuato un accesso al pronto soccorso di monitorare l’iter diagnostico intrapreso.

In relazione alle predette notizie stampa, l’Ufficio ha richiesto informazioni all’Azienda (nota del 7.2.2020, prot. n. 5104) in ordine al trattamento di dati personali effettuato attraverso la citata applicazione.

In risposta alla richiesta di informazioni dell’Ufficio, l’Azienda ha fornito elementi di riscontro (nota del 21 febbraio 2020, prot. n. 14085) e ha inviato documentazione relativa al trattamento dei dati personali effettuato nell’ambito della suddetta applicazione (valutazione di impatto, modello di informazioni da rendere all’interessato).

In tale atto l’Azienda ha rappresentato che:

- “la app per le informazioni in Pronto Soccorso è un'ulteriore possibilità per i pazienti e per i propri congiunti, preventivamente autorizzati, di seguire passo-passo le attività sanitarie programmate ed in fase di esecuzione sul paziente giunto in Pronto Soccorso”;

- la “Titolarità del trattamento dei dati” è dell’”Azienda Sanitaria Locale di Viterbo”; “Responsabile esterno del Trattamento dei dati” è la società “Telesio Sistemi S.r.l.”;

- “l’Azienda ha individuato i dati di percorso come, latu sensu, dati relativi alla salute e per tale ragione viene richiesto il consenso dell'interessato, così come previsto e regolato dall'articolo 9 paragrafo 2 lettera a) del Regolamento (UE) 2016/679 del Parlamento Europeo”;

- “l'applicazione non fornisce notizie sull'esito degli esami eseguiti e che tali informazioni sono fornite unicamente dal personale medico all'interessato”;

- “sull'applicazione "Ps Open" il paziente, che ha espresso il consenso, viene sempre identificato unicamente con il codice di accettazione e non sono trattate informazioni personali, nemmeno in forma anonima”;

- “la minimizzazione dei dati è stata prevista sin dalla progettazione del trattamento e segue tutto il ciclo vitale del trattamento stesso”;

- la predetta app si compone di due sezioni: “la sezione pubblica consente di fornire informazioni generiche sul numero e sulla tipologia di codici di triage gestiti al pronto soccorso aggiornamento in tempo reale e consente di visualizzare una mappa per raggiungere il pronto soccorso; la sezione privata consente l'accesso solo ai dati di percorso del paziente. Ad esempio: esami eseguiti in laboratorio. Tale accesso avviene unicamente ed esclusivamente su consenso del paziente (interessato)”;

- “il consenso del paziente genera un codice a barre (BAR-Code) che viene stampato e con il quale è possibile, da parte dell'accompagnatore o terzo legittimato autorizzato, visualizzare le informazioni di percorso”;

- “i dati di percorso si esauriscono con l'evento di Pronto Soccorso, non è possibile recuperare in alcun modo dalla applicazione informazioni relative ad eventi precedenti”;

- “le informazioni di percorso sono automaticamente aggiornate mediante integrazione con il software di Pronto Soccorso denominato Gipse”;

- “il paziente viene reso edotto dal personale sanitario di detta facoltà e liberamente decide di attivare o meno l'applicazione e di consentire al terzo (accompagnatore o terzo legittimato) di visualizzare il suo percorso. Ciò consente di prevenire inutili e tediose discussioni nella sala d'attesa fra sanitari ed accompagnatori ed evita il contatto continuo tra gli stessi, dando la possibilità agli accompagnatori di attendere il congiunto seguendone il suo percorso”;

- “nei locali del Pronto Soccorso di Viterbo è visibile agli interessati l'informativa redatta ex art. 13 e 14 del Regolamento UE 2016/679 denominata "Trattamento dei dati sanitari presso il Pronto Soccorso”” (allegato in atti);

- alla data del 21 febbraio 2020 “risultano scaricate per il sistema Android 6.166 applicazioni e per il sistema IOS numero 1.660 applicazioni”.

Nella valutazione di impatto in merito al trattamento dei dati in esame, allegata alla citata risposta dell’Azienda alla richiesta di informazioni dell’Ufficio, è stato indicato che:

- “i dati vengono gestiti in forma anonimizzata e solo su consenso del paziente all'accompagnatore”;

- “il trattamento dei dati effettuato attraverso l’app non riguarda categorie particolari di dati e non configura un trattamento su larga scala”;

- “sono considerati come danni fisici, materiali e immateriali, che possono essere considerati come piccoli inconvenienti: Perdita di tempo per la ripetizione di formalità, o nell'attesa che le stesse vengano espletate;- Ricezione di posta elettronica indesiderata (spam); Ricezione di pubblicità mirata per prodotti di largo consumo; Semplice fastidio dovuto al fatto di aver ricevuto informazioni o richieste di informazioni; Timore di perdere il controllo dei propri dati; Percezione di violazione della privacy, senza un danno reale o oggettivo (marketing aggressivo);Mal di testa transitorio”.

Nel modello di informativa redatta ex artt. 13 e 14 del Regolamento UE 2016/679 denominata “Trattamento dei dati sanitari presso il Pronto Soccorso”, trasmessa dall’Azienda con la citata nota del 21 febbraio 2020, è indicato che “è attiva presso il Pronto Soccorso l'app denominata Ps Open, che viene attivata a seguito del consenso dell'interessato (articolo 9 paragrafo 2 lettera a del Regolamento (UE) 2016/679 del Parlamento europeo) e consente all'accompagnatore, autorizzato dal paziente e destinatario di codice a barre, di seguire il percorso presso il medesimo PS. Non vengono forniti dati particolari, i dati di percorso si esauriscono con il termine dell'evento e non vengono conservati dal sistema”.

In relazione alle risultanze della predetta attività istruttoria, l’Ufficio, con atto n. 23447 del 25 giugno 2020, ha notificato all’Azienda sanitaria locale di Viterbo- Presidio Ospedaliero Belcolle, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, paragrafo 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

In particolare l’Ufficio, nel predetto atto, richiamando quanto già indicato dall’Autorità nel provvedimento del 12 marzo 2020 (doc. web n. 9310804), adottato nei confronti di una azienda sanitaria relativamente ad un trattamento di dati analogo a quello in esame, ha rappresentato che:

- ai sensi del Regolamento si considerano “dati relativi alla salute” i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute (art. 4, par. 1, n. 15 del Regolamento);

- il Considerando n. 35 del Regolamento precisa che i dati relativi alla salute “comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria”; “un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari”;

- il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di “minimizzazione” e di “responsabilizzazione”, in base ai quali i dati personali devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” e deve essere in grado di comprovare il rispetto dei citati principi (art. 5, par.1, lett. c) e par. 2 del Regolamento). Secondo il Considerando n. 39 al Regolamento “i dati personali dovrebbero essere trattati solo se la finalità del trattamento non è ragionevolmente conseguibile con altri mezzi”;

- la fattispecie in esame rientra tra quelle per le quali il titolare è tenuto ad effettuare, “prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali” (art. 35 del Regolamento). Ciò, in quanto, per il trattamento in esame, ricorrono certamente due dei criteri indicati dal Comitato Europeo per la protezione dei dati per individuare i casi in cui un trattamento debba formare oggetto di una valutazione di impatto. In particolare, si fa riferimento ai seguenti criteri: “dati sensibili o aventi carattere altamente personale”, “dati relativi ad interessati vulnerabili” tra i quali si annoverano i pazienti (cfr. Linee guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilità che il trattamento "possa presentare un rischio elevato" ai fini del regolamento (UE) 2016/679 adottate il 4 aprile 2017, come modificate e adottate da ultimo il 4 ottobre 2017 -WP 248 rev.01, III, lett. B, punti 4 e 7). Con riferimento al caso di specie, possono essere, inoltre, potenzialmente soddisfatti anche i seguenti criteri: “trattamento di dati su larga scala” (considerato che -secondo quanto dichiarato dall’Azienda- sino al mese di febbraio 2020, avevano già utilizzato l’app circa 8.000 utenti), e “uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative” (cfr. richiamate Linee guida, III, lett. B, punti 5 e 8).

La valutazione trasmessa dall’Azienda risultava comunque priva di alcuni degli elementi indispensabili richiesti dall’art. 35, par. 7 del Regolamento e, in particolare, di una valutazione circa:

- la necessità e la proporzionalità dei trattamenti, in relazione alle finalità perseguite, tenuto conto che i dati personali dovrebbero essere trattati solo se la finalità del trattamento non è ragionevolmente conseguibile con altri mezzi (cfr. art. 5, par.1, lett. c) e Considerando 39 del Regolamento);

- gli specifici rischi per i diritti e le libertà degli interessati che il trattamento in oggetto potrebbe comportare, anche in relazione alle operazioni effettuate dal soggetto che gestisce l’applicazione “Ps Open”, considerato che alcuni dei rischi indicati nella valutazione trasmessa non risultano coerenti rispetto alle caratteristiche dell’applicazione attraverso la quale il trattamento è effettuato (es. “Ricezione di posta elettronica indesiderata (spam); Ricezione di pubblicità mirata per prodotti di largo consumo; (marketing aggressivo); Mal di testa transitorio”);

- le misure previste per affrontare i rischi, ivi comprese le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al Regolamento, considerato che non è stata descritta nessuna misura in tal senso, né di carattere tecnico, né organizzativo;

- la minimizzazione dei rischi, atteso che l’Azienda, pur dichiarando che “la minimizzazione dei dati è stata prevista sin dalla progettazione del trattamento e segue tutto il ciclo vitale del trattamento stesso”, non indica, nei documenti trasmessi, quali siano state le misure disposte in tal senso dalla stessa per assicurare il rispetto del principio di minimizzazione;

- l’esatto periodo di conservazione dei dati, limitandosi ad indicare quello “strettamente necessario”;

- i ruoli e responsabilità del titolare e del responsabile del trattamento.

La valutazione di impatto riportava inoltre indicazioni contrastanti, rispetto a quanto rappresentato dalla stessa nella citata nota del 21 febbraio 2020, con specifico riferimento alla natura dei dati trattati attraverso la predetta applicazione. Nella valutazione di impatto era infatti indicato che l’app non trattava dati sulla salute, mentre nella predetta nota l’Azienda dichiarava di trattare attraverso l’app tali informazioni, tanto da rinvenire la base giuridica del trattamento nel consenso dell’interessato prestato ai sensi dell’art. 9, par. 1, lett. a) del Regolamento. Tali dichiarazioni confliggevano poi con quanto indicato in altro punto della stessa nota, in cui l’Azienda dichiarava che “non sono trattate informazioni personali, nemmeno in forma anonima”.

L’informativa risultava carente di alcuni elementi essenziali relativi al trattamento dei dati personali in esame. In particolare, il testo inviato al Garante forniva informazioni in merito a tutti i trattamenti effettuati presso il pronto soccorso dell’Azienda (es. videosorveglianza, fascicolo sanitario elettronico), che presentano caratteristiche, finalità e modalità di trattamento differenti rispetto a quello effettuato attraverso la predetta app. Ciò stante, il testo inviato non forniva, per ogni trattamento effettuato presso il pronto soccorso, indicazioni circa gli eventuali destinatari dei dati, il periodo di conservazione degli stessi, le caratteristiche della revoca del consenso (art. 13 del Regolamento).

Nel richiamato atto del 25 giugno 2020, l’Ufficio ha, quindi, ritenuto che l’Azienda abbia effettuato il trattamento dei dati personali degli interessati che hanno utilizzato l’applicazione “Ps Open” in maniera non conforme ai principi di “responsabilizzazione”, di “minimizzazione” del trattamento, nonché di “liceità, correttezza e trasparenza” in violazione dell’art. 5, par. 1, lett. a) e c) e par. 2 del Regolamento, in assenza di una preventiva e completa valutazione di impatto, in violazione dell’art. 35 del Regolamento e senza aver fornito agli interessati tutte le informazioni di cui all’art. 13 del Regolamento.

Con le note del 25.6.2020 (prot. n. 43273) e del 7.7.2020 (prot. n. 46126) l’Azienda ha chiesto di essere sentita in audizione, che si è svolta, con modalità telematiche, il 19 novembre 2020. In tale occasione l’Azienda ha rappresentato che:

- “la predetta app non si propone di sostituire il rapporto tra il medico e il paziente e il suo accompagnatore”;

- l’applicazione “Ps Open” “è stata sospesa dal 25 giugno al 5 settembre u.s. (2020) per consentire di apportare le modifiche ritenute necessarie. Successivamente, è stato consentito nuovamente l’uso della predetta app nel pronto soccorso dell’Ospedale Belcolle a seguito delle azioni migliorative poste in essere con riferimento agli aspetti di protezione dei dati personali, adottate sulla base di quanto rappresentato dall’Autorità nella richiamata nota del 25 giugno u.s.”;

- “l’Azienda ha effettuato una nuova valutazione di impatto, anche sulla base dell’esperienza maturata, ha redatto un nuovo modello di informativa da rendere agli interessati e attuato azioni di miglioramento con riferimento al rispetto dei principi di sicurezza e integrità dei dati trattati. Tra le azioni che si è inteso esplicitare si evidenzia quella relativa alla circostanza che l’attivazione della predetta app non viene proposta dagli operatori del Dea in relazione ad alcune tipologie di accessi (es. codice triage rosso o percorso rosso in caso di accesso in Dea per possibili violenze di genere). Al riguardo, è stata effettuata una specifica attività di formazione agli operatori del triage. Si evidenzia comunque che il sistema automaticamente non dà la possibilità di attivare l’app per le predette tipologie di accessi”;

- “È stato inoltre meglio specificato il periodo di conservazione dei dati personali trattati attraverso l’app. In particolare, le informazioni sono cancellate entro 2 ore dalla fine dell’episodio di accesso, attraverso la disabilitazione del codice assegnato all’utente.

- “la procedura messa in atto dall’Azienda non prevede che sia consegnato il bar code per l’attivazione dell’app al paziente, ma solo al suo accompagnatore. Al riguardo, si precisa che all’interno del pronto soccorso ci sono alcune figure c.d. facilitatori del percorso (medici e infermieri), che sono deputati a fornire all’interessato le informazioni relative alle prestazioni erogate in emergenza, nell’ottica dell’umanizzazione del rapporto con il paziente e il suo accompagnatore. Non è previsto che tali informazioni siano rese al paziente attraverso la predetta app”;

- “l’app non consente di registrare i dati dell’accompagnatore, che procede ad attivare l’app attraverso l’uso del bar code presente sul modello di attivazione. L’utente-accompagnatore visualizza sull’app, in luogo dei dati anagrafici del paziente, un codice creato appositamente per ogni specifico accesso al pronto soccorso dell’Ospedale di Belcolle, che viene cancellato al termine dello stesso e non consente di risalire allo storico degli accessi effettuati dallo stesso paziente”;

- “le informazioni visualizzabili sull’app, relative alle prestazioni erogate nei confronti di tutti i pazienti, a prescindere dall’urgenza dell’accesso, sono generiche e non descrivono nel dettaglio la prestazione erogata (es. visita medica, esami di laboratorio in corso). Tali tipologie di informazioni non sono modificabili dall’operatore, in quanto l’app si interfaccia con il sistema informativo in uso presso il pronto soccorso (Gipse) con riferimento alle sole fasi di processo in atto. Gipse registra il consenso del paziente ad informare l’accompagnatore circa le informazioni relative al percorso sanitario, senza registrare l’informazione relativa all’avvenuto utilizzo della predetta app”;

- “I dati relativi all’utilizzo dell’app (es. numero dei soggetti che hanno utilizzato l’app, numero di bar code scaricati), non sono registrati sul sistema Gipse, ma su sistema informativo dedicato. Non è possibile risalire in alcun modo all’identità dei pazienti i cui accompagnatori hanno effettivamente utilizzato la predetta app”;

- “nel periodo di sospensione dell’app l’Azienda ha ricevuto lamentele da parte dell’utenza in merito all’impossibilità di utilizzare la stessa. Si evidenzia infine che nel periodo emergenziale in corso, la predetta app rappresenta una facilitazione dell’attività informativa nei confronti degli accompagnatori che, in adozione delle misure di contenimento del contagio, sono invitati a non restare nei locali del pronto soccorso”.

Con nota del 2 dicembre 2020 (prot. n. 82082) l’Azienda ha inviato la nuova valutazione di impatto e il nuovo modello di “Informativa al trattamento dei dati sanitari presso il Pronto Soccorso P.O. di Belcolle mediante applicazione PS Open” contenenti le modifiche descritte nel corso della predetta audizione, nonché una relazione delle attività svolte dalla stessa successivamente all’avvio del procedimento sanzionatorio da parte dell’Ufficio ed una relazione tecnica relativa alla predetta applicazione corredata di screen shot delle informazioni visualizzabili attraverso l’app.

2. Esito dell’attività istruttoria.

Come già evidenziato dall’Autorità nel citato provvedimento del 12 marzo 2020 (doc. web n. 9310804), le recenti “Linee di indirizzo nazionali sul triage intraospedaliero” del Ministero della salute (Accordo in sede di Conferenza Stato-Regioni del 1° agosto 2019) richiamano in più punti la necessità che i dipartimenti di emergenza e urgenza gestiscano e forniscano informazioni agli accompagnatori dei pazienti, attraverso una comunicazione “efficace ed empatica sia con il paziente, sia con i familiari/accompagnatori”. Secondo quanto rappresentato nelle citate Linee di indirizzo, “il tempo d’attesa in Pronto Soccorso può rappresentare un’opportunità per trasmettere al cittadino informazioni utili e coerenti sull’esperienza che sta vivendo come paziente o accompagnatore”. In tal senso, il Ministero della salute ritiene necessario promuovere una serie di iniziative di “attesa attiva” finalizzate al miglioramento degli aspetti di comfort in sala attesa; tra questi, sono segnalati la presenza di strumenti quali “cartellonistica”, “la presenza di display che permettono di conoscere in tempo reale il numero di postazioni di emergenza impegnate, il numero di pazienti nelle sale visita o in attesa di ricovero, in modo da tenere aggiornati i pazienti oltre che sul proprio iter anche sul carico di lavoro complessivo del Pronto Soccorso”.

L’iniziativa in esame si colloca all’interno di un percorso volto ad ottimizzare le procedure di comunicazione tra gli operatori sanitari e gli accompagnatori del paziente del pronto soccorso, attraverso l’introduzione di sistemi più avanzati di interazione, caratterizzati dall’uso di applicazioni mobili.

Al riguardo, si rileva che tali iniziative possono essere realizzate nel pieno rispetto della disciplina in materia di protezione dei dati personali, con adeguate cautele a salvaguardia dei diritti e delle libertà fondamentali degli interessati. A tal fine, è necessario che il titolare, fin dalla progettazione, provveda a esaminare preventivamente i rischi per i diritti e le libertà degli interessati, individuando misure adeguate in funzione di tali rischi, al fine di offrire ai pazienti, e ai loro accompagnatori, soluzioni realizzate con modalità che tutelino in modo efficace i dati che li riguardano, tenendo in particolare considerazione che, attraverso tali strumenti, possono essere trattate informazioni sulla salute di un numero considerevole di pazienti in pronto soccorso (artt. 25 e 35 del Regolamento). Ad esempio, si dovrebbe evitare, come effettuato presso taluni presidi ospedalieri, l’utilizzabilità di tale app qualora l’interessato si avvalga dei servizi ospedalieri per particolari eventi o patologie (si pensi alle vittime di atti di violenza domestica).

Preso atto di quanto rappresentato dall’Azienda, nella documentazione in atti, si confermano i rilievi effettuati con la nota del 25 giugno 2020 sopra riportati e in particolare che:

- pur rientrando la fattispecie in esame tra quelle per le quali il titolare è tenuto ad effettuare, “prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali” (art. 35 del Regolamento), in considerazione della natura dei dati trattati (dati relativi alla salute) su larga scala, della categoria di soggetti vulnerabili degli interessati e che il trattamento è effettuato attraverso l’applicazione di nuove soluzioni tecnologiche, la valutazione di impatto effettuata dall’Azienda, come indicato della citata nota del 25 giugno 2020, risultava priva di alcuni degli elementi indispensabili richiesti dall’art. 35, par. 7 del Regolamento e, in particolare, di una valutazione circa la necessità e la proporzionalità dei trattamenti in relazione alle finalità perseguite, dell’indicazione degli specifici rischi per i diritti e le libertà degli interessati che il trattamento in oggetto potrebbe comportare, considerato che alcuni dei rischi indicati nella valutazione trasmessa risultavano del tutto inconferenti, rispetto alle caratteristiche dell’applicazione attraverso la quale il trattamento era effettuato (es. “Mal di testa transitorio”) e delle misure adottate per affrontare i rischi, considerato che non è stata descritta nessuna misura in tal senso, né di carattere tecnico, né organizzativo. Ulteriori elementi di criticità della predetta valutazione riguardavano il rispetto del principio di minimizzazione dei dati e quello di limitazione della conservazione, nonché, come sopra indicato, l’incoerenza del contenuto rispetto a quanto sostenuto in altri documenti aziendali trasmessi all’Autorità;

- le informazioni rese agli interessati, ai sensi dell’art. 13 del Regolamento, attraverso il modello denominato “Trattamento dei dati sanitari presso il Pronto Soccorso” risultavano prive della quasi totalità degli elementi essenziali relativi al trattamento dei dati personali in esame e facevano riferimento, in modo unitario, a trattamenti che presentano caratteristiche, finalità e modalità di trattamento del tutto differenti rispetto a quello effettuato attraverso la predetta app.

3. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni si rileva l’illiceità del trattamento di dati personali effettuato dall’Azienda sanitaria locale di Viterbo, nei termini di cui in motivazione, in violazione dell’art. 5, par. 1, lett. a) e c) e degli artt. 13 e 35 del Regolamento.

Ciò premesso, tenuto conto che:

l’Azienda ha spontaneamente sospeso il trattamento e ha collaborato con l’Autorità nell’istruttoria;

l’Azienda ha prontamente implementato e adottato, anche in concomitanza del contesto emergenziale, misure volte offrire ai pazienti soluzioni realizzate con modalità tali da tutelare in modo efficace i dati che li riguardano;

non sono pervenute segnalazioni o reclami in merito al trattamento dei dati effettuato attraverso la predetta applicazione, avendo l’Autorità avviato l’istruttoria d’ufficio;

le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi del Considerando 148 del Regolamento e delle Linee guida WP 253, riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del Regolamento.

Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, per avere violato le previsioni del Regolamento contenute negli artt. 5, par. 1, lett. a) e c), 13 e 35 del Regolamento e che, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che, sulla base degli atti, l’Azienda ha sospeso l’utilizzo presso il pronto soccorso dell’Ospedaliero Belcolle dell’applicazione denominata “PsOpen” dal 25 giugno al 5 settembre 2020, per apportare le modifiche necessarie, che sono state documentate nella nota 2 dicembre 2020 (prot. n. 82082), non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell’art. 57, par. 1, lett. a) del Regolamento, dichiara l’illiceità del trattamento dei dati personali effettuato dall’Azienda sanitaria locale di Viterbo, con sede in Viterbo, Via Enrico Fermi, 15- C.F./P. IVA 01455570562, per la violazione degli artt. 5, par. 1, lett. a) e c), 13 e 35 del Regolamento, nei termini di cui in motivazione;

b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce la predetta Azienda sanitaria locale di Viterbo, quale titolare del trattamento in questione, per aver violato gli artt. 5, par. 1, lett. a) e c), 13 e 35 del Regolamento, come sopra descritto;

c) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 13 maggio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei