[doc. web n. 3730663]

Provvedimento dell´11 dicembre 2014

Registro dei provvedimenti
n. 602 dell´11 dicembre 2014

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO l´interpello preventivo avanzato il 13 febbraio 2013 ai sensi dell´art. 7 d.lgs. n. 196 del 30 giugno 2003, Codice in materia di protezione dei dati personali (di seguito "Codice") nei confronti di Azienda Servizi Sanitari n. 4 "Medio Friuli" con cui XY, KW e ZQ, in proprio e quali eredi della signora JJ in XY, hanno chiesto di ottenere la comunicazione dei nominativi relativi ai soggetti operanti all´interno dell´azienda medesima che abbiano avuto accesso alla scheda anagrafica e/o, ove detenuti dall´Azienda Udinese, ai dati clinici dei ricorrenti nel periodo compreso tra il 01/01/2004 ed il 01/02/2013;

VISTA la nota del 28 novembre 2013 con cui la resistente ha comunicato che nel periodo indicato si sono avuti unicamente accessi da parte di personale dipendente abilitato in quanto incaricato del trattamento ai sensi della normativa in materia di protezione dei dati personali e che non risultano essersi verificate violazioni del sistema informatico gestionale dei dati clinici dei pazienti; vista la nota del 29 gennaio 2014 con cui il titolare del trattamento, a seguito della richiesta di ulteriori precisazioni da parte degli interessati, ha chiarito che gli accessi al sistema informatico gestionale dei dati clinici dei pazienti si sarebbe verificato solo con riguardo alla defunta JJ in XY, eccependo tuttavia di non poter comunicare, ai sensi della normativa in materia di protezione dei dati personali, il nominativo dei soggetti che avrebbero posto in essere tali accessi;

VISTA la nota dell´11 marzo 2014 con cui gli interessati, non reputando soddisfacente il riscontro ricevuto dal momento che non indica né chi avesse fatto gli accessi, né quante volte, né in quali date, hanno ribadito la richiesta di conoscere il nominativo dei dipendenti che hanno avuto accesso ai dati della signora defunta;

VISTA la nota del 20 marzo 2014 con cui l´Azienda "Medio Friuli" ha eccepito di non poter evadere la richiesta non essendo stato sufficientemente esplicato l´interesse posto a fondamento della stessa alla luce delle previsioni contenute nell´art. 9 comma 3 del Codice in relazione alle istanze aventi ad oggetto dati di persone decedute;

VISTA la nota del 13 giugno 2014 con cui i ricorrenti hanno ribadito le proprie richieste rappresentando che l´interesse sotteso all´istanza di accesso sia da ravvisare in finalità di carattere difensivo tenuto conto che gli stessi si sono costituiti parte civile in un procedimento penale pendente presso il Tribunale di Trieste per il reato di accesso abusivo ai dati degli interessati contenuti nel sistema informatico di altra struttura ospedaliera (Azienda Ospedaliera di Trieste), vicenda, che presenta elementi di connessione con quella in discussione;

VISTO il ricorso presentato al Garante in data 27 agosto 2014 nei confronti di Azienda Servizi Sanitari n. 4 "Medio Friuli" con cui XY, Carlo XY e Luisa XY, in proprio e in qualità di eredi e prossimi congiunti della signora JJ in XY, rappresentati e difesi dall´avv. Guido Fabbretti, ribadendo le istanze già avanzate ai sensi degli artt. 7 e 8 del Codice, hanno chiesto di ottenere la comunicazione del nominativo dei soggetti che, nell´ambito dell´Azienda medesima, hanno avuto accesso alla scheda anagrafica e/o ai dati clinici riferiti a ciascuno dei ricorrenti, nonché alla de cuius, nel periodo compreso tra il 01/01/2004 ed il 01/02/2013; i ricorrenti hanno altresì chiesto la liquidazione in proprio favore delle spese sostenute per il procedimento;

VISTI gli ulteriori atti d´ufficio e, in particolare, la nota del 2 settembre 2014 con la quale questa Autorità, ai sensi dell´art. 149 comma 1 del Codice, ha invitato la società resistente a fornire riscontro alle richieste degli interessati, nonché la nota del 31 ottobre 2014 con cui, ai sensi dell´art. 149 comma 7 del Codice, è stata disposta la proroga del termine per la decisione sul ricorso;

VISTA la nota del 10 settembre 2014 con cui l´Azienda per i Servizi Sanitari n. 4 "Medio Friuli", con riguardo alle richieste avanzate con il ricorso e alle motivazioni addotte con la sopra citata nota del 13 giugno 2014, ha eccepito l´incomprensibilità delle istanze avanzate, giustificate sulla base di prospettate esigenze difensive connesse ad un "procedimento penale per fatti accaduti dal 2006 al 2011 presso una diversa Azienda ospedaliera", rilevando come l´art. 391 quater c.p.p. preveda peraltro che "il difensore può chiedere i documenti in possesso della Pubblica Amministrazione, ipotesi diversa dalle informazioni richieste"; l´Azienda resistente ha inoltre rilevato che il diritto di cui all´art. 7 comma 2 lett. d) del Codice attiene ai soli estremi identificativi di chi ha trattato il dato e non genericamente di tutti i dipendenti abilitati all´accesso;

VISTA la nota del 7 novembre 2014 con cui gli interessati hanno precisato che i motivi che li hanno indotti ad avanzare tale richiesta, sono dettati dall´esigenza della dott.ssa XY e dei congiunti di verificare se anche presso l´A.S.S. n. 4 "Medio Friuli" siano avvenuti eventuali accessi abusivi al sistema informatico analoghi a quelli presunti in loro danno presso l´Azienda Ospedaliera di Trieste;

RILEVATO che l´istanza di accesso di cui all´art. 7 del Codice consente all´interessato di ottenere la comunicazione dei soli dati personali che lo riguardano, con esclusione di dati personali di terzi; tale limite può essere in parte superato solo con riguardo a quanto previsto dall´art. 9 comma 3 del medesimo Codice che, previa dimostrazione dell´esistenza di un interesse proprio o di un interesse familiare comunque meritevole di tutela, consente di esercitare i diritti di cui all´art. 7 riguardo comunque ai dati personali direttamente riferibili ad una  persona defunta;

RILEVATO che, già in epoca anteriore alla proposizione del ricorso, il titolare del trattamento ha provveduto a comunicare agli interessati che, nell´arco temporale dagli stessi indicato, non si è verificato alcun accesso in relazione ai dati che li riguardano da parte di terzi, i cui nominativi non potrebbero comunque essere comunicati ai ricorrenti ai sensi del Codice, precisando che gli accessi al sistema informatico gestionale dei dati clinici dei pazienti sono avvenuti solamente con riguardo ai dati riferiti alla defunta da parte di personale dipendente autorizzato, designato incaricato del trattamento ai sensi dell´art. 28 del Codice;

RITENUTO, alla luce di quanto sopra esposto, di dover dichiarare infondato il ricorso;

RITENUTO che sussistono giusti motivi per compensare fra le parti le spese del procedimento;

VISTA la documentazione in atti;

VISTI gli artt. 145 e ss. del Codice;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;
RELATORE il dott. Antonello Soro;

TUTTO CIÒ PREMESSO IL GARANTE:

a) dichiara il ricorso infondato;

b) dichiara compensate fra le parti le spese del procedimento.

Ai sensi degli artt. 152 del Codice e 10 d.lgs. n. 150 del 2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 11 dicembre 2014

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia