g-docweb-display Portlet

Provvedimento del 16 settembre 2021 [9718851]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9718851]

Provvedimento del 16 settembre 2021

Registro dei provvedimenti
n. 329 del 16 settembre 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. La violazione di dati personali

La Fondazione Antea, organizzazione sanitaria no profit (di seguito anche solo Fondazione o Antea), ha notificato una violazione di dati personali, ai sensi dell’art. 33 del Regolamento, fornendo successivamente elementi integrativi, ai sensi dell’art. 33, par. 4 del Regolamento (notificazione del 24 dicembre 2020 e nota del 3 febbraio 2021). 

In tale ambito, la Fondazione ha dichiarato, ai sensi dell’art. 168 del Codice, che la violazione è avvenuta in data 15 dicembre 2020 e di esserne venuta a conoscenza in data 23 dicembre 2020 attraverso la segnalazione di un interessato.

Al riguardo la fondazione ha rappresentato che:

i) la violazione, avvenuta a “seguito della richiesta di cartella clinica ricevuta dal familiare di un (...) paziente opportunamente autorizzato a ricevere tale documentazione”, è consistita nell’invio accidentale “tramite pec all'indirizzo mail del richiedente di una cartella clinica sbagliata, contenente i dati sensibili di un altro paziente”;

ii) sono quindi stati oggetto di violazione “i dati anagrafici del paziente, dei Suoi familiari e di almeno due dipendenti di Fondazione Antea; Dati relativi a documenti di identificazione/riconoscimento del paziente; Dati relativi alla Salute”; ciò per un totale di circa 100 dati riferiti a 5 interessati.

Per ridurre gli effetti della violazione -la gravità della quale è stata considerata “alta” in ragione della natura dei dati coinvolti nell’evento- è stato dichiarato che si sarebbe proceduto alla comunicazione della stessa agli interessati.

Sono state, infine, descritte le misure tecniche e organizzative di cui si propone l’adozione.

2. L’attività istruttoria

In relazione a quanto notificato dalla Fondazione, a seguito di una specifica istruttoria preliminare (nota prot. n. 0010692 del 23 febbraio 2021), l'Ufficio, con atto prot. n. 0016221, del 25 marzo 2021, ha notificato ad Antea, ai sensi dell'art. 166, comma 5 del Codice, l’avvio del procedimento per l'adozione dei provvedimenti, di cui all'articolo 58, paragrafo 2 del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall'Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

In sede di istruttoria, oltre a quanto già dichiarato nella notificazione, è emerso, in particolare, che:

- "i dati particolari, relativi alla salute contenuti nella cartella clinica inviata per errore a persona non legittimata a riceverli, appartengono ad un defunto. (...);

− la richiesta di cartella clinica è regolata da una consolidata procedura che prevede la presentazione di atto notorio degli eredi per i defunti oppure di delega firmata dall’interessato. La consegna delle cartelle avviene sempre in presenza, solo negli ultimi tempi abbiamo inviato per mail a chi ne faceva richiesta, per rispetto dell’emergenza sanitaria in corso. (...);

− nel caso soggetto a violazione si procedeva, su richiesta del richiedente, all’invio di file della cartella tramite PEC all’indirizzo scritto dallo stesso su apposito modulo. Il file era costituito da documenti digitali e da altri cartacei scannerizzati, pertanto la procedura richiedeva un lavoro anche manuale da parte dell’operatore che presumibilmente ha contribuito all’errore. Al momento dell’invio è stato caricato il file sbagliato contenente dati di altro paziente defunto. Il richiedente comunicava telefonicamente l’errore alla Fondazione che prontamente lo invitava ad eliminare il file sbagliato, procedendo con l’invio di quello giusto;

− non essendo prassi l’invio tramite mail non si era ancora provveduto ad assegnare una password al pdf;

− sono stati individuati formalmente ruoli e responsabilità, è stata effettuata una DPIA ed è stata adottata una procedura Data Breach. Nel 2018 è stata effettuata formazione con test e a Dicembre 2020 sono state diffuse le nuove istruzioni operative per incaricati al trattamento. Per ogni banca dati contenente dati personali è prevista una restrizione degli accessi basata su un sistema di autorizzazioni e di corretta gestione password utenti. Gli armadi per l’archiviazione di documentazione cartacea contenente dati personali sono posizionati in locali protetti da porte dotate di serrature. Esiste ed è utilizzato un registro per i ritiri in presenza di avvenuta consegna della documentazione corretta. Le cartelle cliniche sono firmate digitalmente e per la comunicazione sono utilizzati protocolli https (...)”.

L’Ufficio, pertanto, nel richiamato atto del 25 marzo 2021, ha ritenuto che la Fondazione abbia comunicato a soggetti terzi non autorizzati dati personali, anche inerenti allo stato di salute, in assenza di idonea base giuridica nonché in assenza di misure tecniche o organizzative adeguate a prevenire violazioni di riservatezza. Ciò in violazione dei principi di liceità e di integrità e riservatezza dei dati e degli obblighi di sicurezza del trattamento, previsti dal Regolamento (artt. 5, par. 1, lett. a) e f), 6, 9 e 32 del Regolamento).

Con nota del 22 aprile 2021, la Fondazione ha fatto pervenire le proprie memorie difensive, senza avanzare una specifica richiesta di audizione.

In tale ambito, la Fondazione, in aggiunta a quanto già rappresentato in sede di notificazione e di istruttoria preliminare, ha in particolare riportato ulteriori circostanze e elementi in relazione all’evento occorso, evidenziando che:

- la Fondazione Antea è un’organizzazione sanitaria no profit che nel 2020 ha acquisito il ramo d’azienda della Antea associazione Onlus (ODV) che eroga assistenza e cure palliative a pazienti in fase avanzata di malattia, per un totale di 125 pazienti assistiti tra cure domiciliari e in regime residenziale

- “sebbene sia stato ritenuto improbabile che la violazione potesse arrecare dei reali rischi per i diritti e le libertà del paziente, (...), la fondazione ha ritenuto comunque opportuno notificare l’accaduto ai familiari -aventi diritto- contattandoli ai recapiti rilasciati. I familiari, contattati anche telefonicamente, hanno accolto la notizia senza apparentemente manifestare la volontà di darvi seguito”;

- “la causa dell’evento è stata individuata in un’azione accidentale interna imputata ad uno specifico operatore e connessa al rischio di errore umano intrinseco all’attività lavorativa quotidianamente svolta”;

- solo a partire dall’aprile 2020, a causa dell’emergenza sanitaria in corso, è stata prevista una procedura di consegna e trasmissione delle cartelle cliniche a mezzo PEC;

- il caso in questione riguardava proprio una richiesta del file PDF della cartella clinica tramite PEC;

- la documentazione risultava composta da documenti “digitali nativi e da altri digitali scannerizzati;

- la procedura di estrazione ha pertanto “richiesto da parte dell’operatore un lavoro manuale nelle fasi di: i) salvataggio documenti scannerizzati e digitali e combinazione in un unico file PDF; ii) denominazione del file; iii) predisposizione della PEC con caricamento del file PDF e invio al corretto indirizzo”;

- a supporto “dell’elemento accidentale” la Fondazione ha stimato “l’incidenza degli errori nel processo di gestione ed evasione richieste copia cartelle cliniche trasmesse a mezzo PEC da Aprile 2020 e Dicembre 2020” per verificare che “su un totale di 27 richieste evase tramite PEC nel periodo indicato è stato individuato n. 1 errore, ovvero quello relativo all’evento di data breach indicato”;

- la dipendente che ha commesso l’errore (nominata incaricata del trattamento) determinando la violazione in esame, vanta una ventennale esperienza e si distingue per diligenza e scrupolosità nello svolgimento delle mansioni attribuitele; in ogni caso le è stato contestato un addebito disciplinare e comminata una sanzione pecuniaria per l’evento segnalato;

- il personale è stato coinvolto in iniziative di formazione sulla disciplina in materia di protezione dei dati personali e di informazione in ordine alla “privacy policy” della Fondazione;

- a seguito della violazione occorsa “è stato introdotto un protocollo di consegna, utilizzato per rinominare il file PDF generato dalla combinazione manuale di documenti digitali con altri cartacei scannerizzati, in modo da implicare un’ulteriore fase di controllo tra la richiesta da evadere e la correttezza della documentazione salvata in un unico PDF. La fondazione ha inoltre ritenuto necessario adottare, e ad oggi attuare, tecniche di cifratura per la protezione della documentazione sanitaria con introduzione di apposita password di accesso comunicata al richiedente al momento della consegna attraverso un canale differente”;

- la modalità di consegna delle cartelle cliniche anche tramite PCE è stata, infine, standardizzata all’interno della Fondazione.

3. Esito dell’attività istruttoria

Preso atto di quanto rappresentato dalla Fondazione nella documentazione in atti e nelle memorie difensive, si osserva, in primo luogo, che:

in base al principio di liceità, i dati personali possono essere trattati solo in presenza di idoneo presupposto giuridico e in tale quadro, i dati sulla salute non possono essere oggetto di trattamento a meno che non si verifichi una delle specifiche condizioni di cui all’art. 9, par. 2 del Regolamento (artt. 5, par. 1 lett. a), 6 e 9 del Regolamento);

per quanto attiene, specificamente, all’ambito sanitario, la disciplina in materia di protezione dei dati personali prevede, altresì, che le informazioni sullo stato di salute possano essere comunicate unicamente all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso previa delega scritta di quest’ultimo (artt. 83 e 84 del Codice nella versione precedente la riformulazione del medesimo da parte del d.lgs. 10 agosto 2018, n. 101 in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101; cfr. anche provv. generale del 9 novembre 2005, consultabile in www.gpdt.it, doc. web n. 1191411, ritenuto compatibile con il suddetto Regolamento e con le disposizioni del decreto n. 101/2018; cfr. art. 22, comma 4, del citato d.lgs. n. 101//2018);

la disciplina sul trattamento dei dati personali riguarda anche soggetti defunti (art. 2-terdecies del Codice; provvedimento del Garante del 10 gennaio 2019 (doc. web n. 9084520);

il Codice di deontologia medica, approvato dalla Federazione nazionale degli ordini dei medici chirurghi e degli odontoiatri, così come da ultimo modificato, in data 15 dicembre 2017, all’articolo 10, prevede che, particolare, che “la morte della persona assistita non esime il medico dall’obbligo del segreto professionale”;

in base al principio di integrità e riservatezza, il titolare del trattamento è tenuto a mettere in atto misure tecniche e organizzative atte ad assicurare su base permanente la riservatezza dei dati trattati (artt. 5, par. 1, lett. f) e 32 del Regolamento).

Ciò premesso, tenuto conto delle dichiarazioni raccolte nel corso dell'istruttoria - e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice " Falsità nelle dichiarazioni al Garante e interruzione dell'esecuzione dei compiti o dell'esercizio dei poteri del Garante"-, gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall'Ufficio con l'atto di avvio del procedimento del 25 marzo 2021, non ricorrendo, peraltro, alcuno dei casi previsti dall'art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni, si confermano le valutazioni preliminari dell'Ufficio e si rileva l'illiceità del trattamento di dati personali effettuato dalla Fondazione Antea in violazione degli artt. 5, par. 1, lett. a) e f), 6, 9 e 32 del Regolamento correlate all’assenza di misure tecniche e organizzativa idonee a assicurare su base permanente la riservatezza dei dati personali oggetto di trattamento, nell’ambito della procedura di rilascio delle cartelle cliniche a mezzo PEC secondo le modalità in uso al tempo dell’evento occorso.

Ciò premesso, tenuto conto che:

la violazione è durata un arco circoscritto di tempo ed ha riguardato dati personali di 5 interessati (dati anagrafici del paziente, dei Suoi familiari e di almeno due dipendenti di Fondazione Antea; Dati relativi a documenti di identificazione/riconoscimento del paziente) e, in particolare, dati sulla salute riferiti ad un solo interessato che, in quanto defunto, non ha subito alcun danno dalla violazione, né risulta che danni siano stati causati a terzi portatori di interessi propri meritevoli di protezione;

dalle risultanze degli atti, l'episodio risulta essere stato isolato e determinato dall’errore materiale dell’incaricato del trattamento che, per tali ragioni è stato soggetto ad uno specifico procedimento disciplinare;

tale errore è imputabile anche alla colpa lieve del titolare del trattamento che non disponeva, all’atto della violazione, di misure idonee a garantire la riservatezza su base permanente dei dati sulla salute dei propri pazienti;

nonostante, infatti, in relazione al contesto di riferimento e allo stato dell’arte, l’implementazione di misure volta a prevenire simili violazioni potessero considerarsi del tutto esigibili da parte del titolare del trattamento anche all’epoca della violazione, nel contesto specifico la loro essenza risulta motivata dall’improvvisa introduzione della procedura di consegna delle cartelle cliniche a mezzo PEC nel peculiare periodo di emergenza sanitaria tutt’ora in corso; 

la Fondazione è intervenuta prontamente per attenuare gli effetti della violazione occorsa anche comunicandola, ai sensi dell’art. 34 del Regolamento, agli aventi diritto dell’interessato;

sono state implementate misure idonee a prevenire il ripetersi di eventi analoghi;

l'Autorità ha preso conoscenza dell'evento a seguito della notifica di violazione dei dati personali effettuata, senza ingiustificato ritardo, dallo stesso titolare del trattamento, che si è dimostrato collaborativo durante tutta la fase istruttoria e procedimentale;

non sono pervenuti reclami o segnalazioni al Garante sull'accaduto;

le circostanze del caso concreto inducono a qualificare lo stesso come "violazione minore", ai sensi del considerando 148 del Regolamento e delle Linee guida WP 253, riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del Regolamento (UE) n. 20161679.

Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il titolare del trattamento, ai sensi degli artt. 58, par. 2, lett. b) e 83, par. 2 del Regolamento, affinché provveda a rispettare le previsioni del Regolamento contenute negli artt. 5 par. 1, lett. a) e f), 6, 9 e 32 del Regolamento e che, considerando, in ogni caso, che sono state disposte misure organizzative volte a evitare il ripetersi di episodi come quello notificato non vi siano i presupposti per l'adozione di ulteriori provvedimenti correttivi da parte dell'Autorità, ai sensi dell'art. 58, par. 2, del Regolamento.

Si rileva infine che ricorrono i presupposti di cui all'art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all'esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

a) ai sensi dell'art. 57, par. l, lett. a) del Regolamento, dichiara l'illiceità del trattamento dei dati personali effettuato dalla Fondazione Antea con sede legale Piazza S. Maria della Pietà,5 Padiglione 22, 00135 Roma, C.F./P.IVA P. I. 15522601002, per la violazione del principio di base del trattamento, di cui all’art. artt. 5, par. 1, lett. a) e f), degli artt. 6, 9 e dell’art. 32 del Regolamento, nei termini di cui in motivazione;

b) ai sensi dell'art. 58, par. 2, lett. b) del Regolamento, ammonisce la predetta Fondazione, quale titolare del trattamento in questione, per aver violato gli artt. 5, par. 1, lett. a) e f), 6, 9 e 32, par. 1 lett. b) del Regolamento, come sopra descritto;

c) ritiene che ricorrano i presupposti di cui all'art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all'esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 16 settembre 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL VICE SEGRETARIO GENERALE
Filippi