g-docweb-display Portlet

Provvedimento del 24 giugno 2021 [9709119]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9709119]

Provvedimento del 24 giugno 2021

Registro dei provvedimenti
n. 251 del 24 giugno 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore l’avv. Guido Scorza;

PREMESSO

1. La segnalazione e l’attività istruttoria.

La Sig.ra XX ha segnalato al Garante una presunta violazione della disciplina in materia di protezione dei dati personali in relazione alla possibilità di visualizzare, attraverso la sua utenza, il Fascicolo Sanitario Elettronico (FSE) di una minore nei cui confronti la stessa non vantava potestà legale. In merito alla predetta segnalazione, l’Ufficio ha chiesto informazioni alla Regione Friuli Venezia Giulia che ha rappresentato che i dati del minore presenti nel FSE della segnalante erano stati raccolti dall’Azienda sanitaria Friuli Occidentale (ASFO) e dall’Azienda Sanitaria Universitaria Friuli Centrale (ASFC) (nota del 3 settembre 2020, prot. n. 32341 e risposta 7 settembre 2020, prot. n. 2850).

Coinvolta dalla Regione, l’Azienda Sanitaria Friuli Occidentale ha rappresentato che l’erroneo inserimento dei dati di un minore nel FSE della segnalante è stato effettuato da un operatore dell'I.RC.C.S. Burlo Garofolo di Trieste, che, in data 24/09/2015, all'atto della registrazione del consenso al trattamento dati personali della figlia della Sig.ra XX, ha associato, nel sistema dell'anagrafica sanitaria, ai dati della segnalante quelli di un minore omonimo della figlia della Sig.ra XX (nota ASFO del 1 ottobre 2020).

Secondo quanto rappresentato dall’ASFO, i predetti dati sono stati:

- “traslati a cura di Insiel spa dal sistema dell'anagrafe sanitaria nel FSE della Sig.ra XX in occasione della costituzione dei FSE degli utenti regionali”. Nella predetta nota è stato inoltre rappresentato che: “la Sig.ra XX ha visualizzato la lista dei documenti dell'omonima in data 25/08/2020, per quanto senza visionare né scaricare alcun documento”;

“in seguito alla segnalazione, è stata corretta l'assegnazione dell'omonima al proprio nucleo famigliare, rendendo così visibili i dati solo agli aventi diritto”;

“l'errore è verosimilmente riferibile all'analogia dei codici fiscali delle due bambine - entrambe omonime e nate a XX (XX) — che ha indotto in errore l'operatore dell'I.R.C.C.S. Burlo Garofolo”;

“È stato (…) iniziato da alcuni anni un poderoso lavoro di pulizia delle anagrafiche sanitarie e sono stati sensibilizzati gli operatori ad avere una maggiore attenzione nella gestione delle anagrafiche in particolare in sede di inserimento dei consensi al trattamento dati personali e di associazioni a gruppi familiari”.

A seguito di quanto rappresentato dall’Azienda Sanitaria Friuli Occidentale, l’Ufficio ha chiesto informazioni all’I.R.C.C.S. Burlo Garofolo (di seguito, “Istituto”) (nota del 9 ottobre 2020, prot. n. 37576), che ha risposto con nota del 9 novembre 2020, in cui ha dichiarato che:

“l’errata attribuzione è stata prodotta dall’operatore (XXX)(…), dipendente di questo Istituto fino al (xxx)”;

“le azioni che questo Istituto ha intrapreso e sta intraprendendo per prevenire e controllare in modo efficace tali possibili violazioni, oltre ai sistemi di protezione per la sicurezza IT, sono e sono state svariate edizioni di corsi di formazione in merito alla cultura della privacy e della protezione dati personali e sensibili e di corretto utilizzo dei sistemi informativi (cf https://www.burlo.trieste.it/content/servizi/formazione/corsi-istituzionali e sul campo titolo cercare “privacy” o “informativo”), con particolare evidenza sui sistemi di Gestione del Consenso, Anagrafica unica regionale e accesso ai sistemi clinico-sanitari. Tali corsi si stanno ripetendo come attestabile dall’organizzazione, presso il CAF dell’Istituto, delle prossime edizioni del corso 20061 sul Sistema Informativo Ospedaliero”.

L’Ufficio, con atto n. 44144 del 20 novembre 2020, con riferimento alle specifiche situazioni di illiceità in esso richiamate, ha notificato all’Istituto, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, paragrafo 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

Nel predetto atto, l’Ufficio ha ritenuto che la sopra descritta erronea attribuzione di documenti sanitari di terzi al FSE della segnalante ha violato i principi di “esattezza”, di “integrità e riservatezza” del trattamento, nonché di “liceità, correttezza e trasparenza” (art. 5, par. 1, lett. a), d) e f) del Regolamento) nonché le disposizioni relative al trattamento delle categorie particolari di dati personali (art. 9 del Regolamento).

Con nota del 18 dicembre 2020 (prot. n. 48446), l’Istituto ha chiesto di essere sentito e ha fatto pervenire le proprie memorie difensive, in cui, in particolare, è stato rappresentato che:

- (c’è stata) “una violazione ma senza che vi sia stato alcun rischio concreto per i diritti e le libertà fondamentali dell’omonima i cui dati erano erroneamente attribuiti a quelli dell’FSE della sig.ra XX”;

- “Tale assenza di rischio è dimostrata, come riportato nella nota di ASFO summenzionata, dalla puntuale visualizzazione da parte della sig.ra XX della lista dei documenti dell’omonima in data 25/08/2020 senza visionare né scaricare alcun documento”;

- “L’errore, per cui viene riconosciuta la violazione e la cui tipologia viene rilevata da Insiel SPA anche in altri contesti regionali, inoltre è riferibile alla analogia dei codici fiscali della figlia della sig.ra XX e dell’omonima, senza che vi fosse, al tempo dell’immissione dei dati, alcuna notifica o controllo che supportasse l’operatore a scongiurare eventi simili. La mancanza di tale controllo aumenta i rischi di associazione impropria senza che però l’operatore abbia opzioni di scelta, alert e controllo che possano supportarlo”.

In relazione alla richiesta dell’Istituto, in data 11 febbraio 2021, presso l’Ufficio del Garante, ai sensi degli artt. 166, commi 6 e 7, del Codice e dell’art.18, comma 1, dalla legge n. 689 del 24/11/1981 si è svolta l’audizione, con modalità telematiche, nel corso della quale l’Istituto ha ribadito quanto già rappresentato nelle memorie difensive, precisando, in particolar modo, che:

- “Ad integrazione di quanto già in atti, si precisa che la violazione è stata originata da un errore di un soggetto autorizzato, di cui si esclude la matrice dolosa. La causa del predetto errore è dovuta all’omonimia dei pazienti coinvolti nella fattispecie di esame, in un contesto di erogazione di prestazioni sanitarie caratterizzato da un numero elevato di utenti”.

- “i sistemi di controllo hanno verificato che l’utente ha potuto visionare solo la lista dei documenti dell’omonima senza visionare, né scaricare i singoli documenti. Ciò porta a ritenere che ci sia stata una minima violazione della riservatezza del soggetto interessato”;

- “I dati dell’omonima, una volta ricevuta la segnalazione, sono stati immediatamente corretti e sono stati disassociati da quelli dell’utente che ha fatto la segnalazione”;

- “Non risultano, allo stato, richieste risarcitorie nei confronti dell’Istituto in merito a violazioni di dati personali”;

- “L’autore della violazione aveva partecipato a corsi di formazione in merito alla disciplina vigente in materia di protezione dei dati personali. In generale i numerosi corsi di formazione organizzati dall’Istituto, anche sulla recente applicazione della normativa europea, sono sempre affiancati da iniziative di formazione sul campo; ciò mostra la costante attenzione dell’Istituto alle tematiche relative alla protezione dei dati personali dei pazienti. L’attività di sensibilizzazione degli operatori alla predetta disciplina è svolta anche nei confronti dei neo assunti attraverso la condivisione delle regole deontologiche e dei regolamenti aziendali sul trattamento dei dati personali”;

- “L’errore di associazione delle informazioni tra gli utenti si è verificato nel settembre 2015, all’atto della registrazione del consenso informato al trattamento dei dati personali, da parte di un operatore che nel periodo successivo ai fatti ha lasciato il servizio per motivi di incompatibilità con l’esercizio delle attività professionale. Si evidenzia che la segnalazione è avvenuta dopo 5 anni dall’errore di associazione, nel momento in cui il legale rappresentante del minore ha proceduto all’attivazione del Fascicolo sanitario elettronico del minore stesso, ovvero alla data del primo accesso al Fascicolo. Da ciò si desume che la segnalante nei precedenti anni non aveva avuto contezza dell’erronea attribuzione dei dati. Dal momento della segnalazione, che coincide con l’attivazione del Fascicolo (agosto 2020), le aziende sanitarie, titolari del trattamento dei dati oggetto della segnalazione, si sono attivate immediatamente per assicurare la corretta assegnazione dei documenti sanitari”;

- “Si precisa inoltre che, fino alla data di attivazione del Fascicolo, le aziende sanitarie titolari del trattamento oggetto della segnalazione non avevano la possibilità di verificare l’errata attribuzione dei documenti sanitari sul FSE”;

- “L’Istituto è venuto a conoscenza dei fatti solo a seguito delle indagini svolte dalle predette aziende sanitarie che hanno evidenziato che l’autore dell’erronea attribuzione era un dipendente dell’Istituto”;

- “L’Istituto utilizza sistemi informativi clinici sanitari elaborati dalla Società Insiel, al pari delle altre aziende sanitarie regionali. In considerazione di ciò, l’Istituto e le altre aziende sanitarie regionali hanno sollecitato l’implementazione di un sistema di alert per i casi di omonimia. In particolare, il 16 settembre u.s. è stato richiesto alla società Insiel un doppio controllo: verifica tra codice fiscale e data di nascita; conferma della data di nascita. Al riguardo la società Insiel ha rappresentato la necessità di procedere ad uno sviluppo dei sistemi per attivare le predette procedure di controllo”;

- “Da un punto di vista tecnico non è possibile per l’Istituto introdurre misure di alert per casi omonimia. Per quanto di propria competenza l’Istituto ha implementato le procedure organizzative per evitare che possano ripetersi episodi come quello segnalato”;

- “Si rappresenta inoltre che l’Istituto continua a redigere il documento programmatico sulla sicurezza, previsto dalla normativa previgente, come strumento costantemente aggiornato per l’analisi dei rischi relativi ai trattamenti effettuati”.

2. Esito dell’attività istruttoria.

Preso atto di quanto rappresentato dall’ I.R.C.C.S. Burlo Garofolo nella documentazione in atti e nelle memorie difensive, si osserva che:

si considerano “dati relativi alla salute”: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute (art. 4, par. 1, n. 15 del Regolamento);

i dati personali devono essere “trattati in modo lecito corretto e trasparente” (principio di “liceità, correttezza e trasparenza”) e “in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (principio di “integrità e riservatezza”)” (art. 5, par. 1, lett. a) e f) del Regolamento). Si rappresenta inoltre che i dati devono essere “esatti e, se necessario, aggiornati”, dovendo “essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza») (lettera d) del Regolamento);

la disciplina in materia di protezione dei dati personali prevede –in ambito sanitario- che le informazioni sullo stato di salute possano essere comunicate solo all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso previa delega scritta di quest’ultimo (art. 9 del Regolamento e art. 83 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101; cfr. anche provv. generale del 9 novembre 2005, consultabile in www.gpdt.it, doc. web n. 1191411, ritenuto compatibile con il suddetto Regolamento e con le disposizioni del decreto n. 101/2018 ai sensi dell’art. 22, comma 4, del citato d.lgs. n. 101/2018);

il Regolamento prevede poi che il titolare del trattamento metta in atto “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”, tenendo conto, tra l’altro, “della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (art. 32 del Regolamento);

la specifica disciplina in materia di Fascicolo Sanitario Elettronico prevede inoltre specifiche misure di sicurezza volte a garantire la corretta identificazione dell’interessato e a ridurre il rischio di accesso non autorizzato ai dati accessibili mediante il FSE (art. 12, comma 1, d. l. n. 179/2012 e D.P.C.M n. 178/2015);

a causa dell’inesattezza dei dati presenti nell’anagrafe unica regionale, utilizzata ai fini dell’implementazione del Fascicolo Sanitario Elettronico regionale, la sig.ra XX, ha avuto la possibilità di visualizzare -attraverso la Sua utenza- il Fascicolo Sanitario Elettronico di una minore nei cui confronti la stessa non vanta potestà legale a causa di un errore commesso da un operatore del predetto Istituto, che ha inserito nell'applicazione dell'anagrafica sanitaria della Sig.ra XX il collegamento al Fascicolo sanitario elettronico di una minore di età, omonima alla figlia della segnalante;

solo successivamente alla richiesta di informazioni dell’Ufficio, il predetto Istituto ha provveduto a correggere il predetto errore dissociando i dati del minore da quelli della segnalante.

3. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni, si rileva l’illiceità del trattamento di dati personali effettuato dall’ I.R.C.C.S. materno infantile Burlo Garofolo, nei termini di cui in motivazione, in violazione dei principi di “integrità e riservatezza” del trattamento, in violazione dell’art. 5, par. 1, lett. a), d) e f) e dell’art. 9 del Regolamento.

Ciò premesso, tenuto conto che:

il segnalante ha potuto visionare la lista dei documenti di un minore su cui non vanta la potestà legale e che, stante tale possibilità, non vi ha acceduto e non ha effettuato il download degli stessi;

l’Istituto, unitamente agli altri enti del servizio sanitario regionale, ha collaborato con il Gruppo Privacy della Direzione Centrale Salute della Regione Friuli Venezia Giulia per proporre ad Insiel (già nominata quale responsabile del trattamento per il trattamento dei dati sanitari trattati dai sistemi informativi sanitari regionali) l’inserimento di un alert automatico al fine di rilevare i casi di omonimia;

non sono pervenute segnalazioni o reclami da parte del soggetto i cui dati sono stati erroneamente associati al FSE della segnalante, né richieste di risarcimento del danno al predetto Istituto in merito ai fatti oggetto della predetta segnalazione;

sono stati previsti corsi di formazione sulla disciplina in materia di protezione dei dati personali in favore degli operatori amministrativi e sanitari;

il titolare si è prontamente attivato al fine ripristinare una corretta alimentazione dei Fascicoli sanitari elettronici dei soggetti interessati dalla vicenda oggetto della segnalazione;

le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi del considerando 148 del Regolamento e delle Linee guida WP 253, riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del Regolamento (UE) n. 2016/679.

Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, per avere violato previsioni del Regolamento contenute negli artt. 5 e 9 del Regolamento e che, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che l’ I.R.C.C.S. Burlo Garofolo ha attuato misure volte a ripristinare una corretta alimentazione dei Fascicoli sanitari elettronici dei soggetti interessati dalla vicenda oggetto della segnalazione, nonché previsto misure tecniche e organizzative volte a scongiurare che episodi come quello in esame posano ripetersi, non vi siano i presupposti per l’adozione di ulteriori provvedimenti correttivi da parte dell’Autorità, ai sensi dell’art. 58, par. 2, del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell’art. 57, par. 1, lett. a) del Regolamento, dichiara l’illiceità del trattamento dei dati personali effettuato all’ I.R.C.C.S. Burlo Garofolo, con sede legale in Trieste - via dell'Istria 65/1 (CF 00124430323) per la violazione dei principi di base del trattamento, di cui agli artt. 5, par. 1, lett. a), d) e f) e 9 del Regolamento, nei termini di cui in motivazione;

b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce il citato Istituto, quale titolare del trattamento in questione, per aver violato gli artt. 5, par. 1, lett. a), d) e f) e 9 del Regolamento, come sopra descritto;

c) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 24 giugno 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei