g-docweb-display Portlet

Provvedimento del 9 luglio 2020 [9440117]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

VEDI ANCHE Newsletter del 27 luglio 2020

[doc. web n. 9440117]

Provvedimento del 9 luglio 2020

Registro dei provvedimenti
n. 141 del 9 luglio 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il dott. Antonello Soro, presidente, la dott.ssa Giovanna Bianchi Clerici e la prof.ssa Licia Califano, componenti, e il dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore la dott.ssa Giovanna Bianchi Clerici;

PREMESSO

1. La violazione di dati personali

Con nota del 27 maggio 2019, la Fondazione IRCCS Policlinico San Matteo (di seguito la “Fondazione”), ha notificato, ai sensi dell’art. 33 del Regolamento, una violazione di dati personali rappresentando che:

- “L’URP ha ricevuto segnalazione tramite mail da parte dell’interessato in data 21.05.2019 e ha trasmesso al Coordinatore Ufficio Privacy il modulo di segnalazione il 22.05.2019”;

- “All’esito delle indagini interne avvenute a partire dal 22.05.2019 (..) il Titolare è venuto a conoscenza della violazione del 27.05.2019 h. 16:00”;

- la notificazione è stata effettuata il “(…) 27.05.2019 h. 17:15”;

- “In data 05.01.2019 un paziente ha avuto accesso al PS ed è stato identificato in modo errato. Conseguentemente il referto è stato pubblicato sul fascicolo sanitario elettronico della persona erroneamente scelta, la quale ha sporto denuncia in data 18.3.2019 ed ha segnalato alla Fondazione l’errore in data 25.05.2019”;

- “Gli interessati coinvolti sono essenzialmente 2”;

- "Il soggetto che non doveva essere coinvolto è venuto a conoscenza dei dati sulla salute di un altro soggetto non identificato e non identificabile. L’altro interessato non ha ricevuto correttamente i propri dati sul proprio FSE. Si precisa che i due soggetti sono omonimi”;

- “Il personale ha applicato la procedura sostituzione referti per inserire correttamente il referto nel FSE dell’interessato”;

2. L’attività istruttoria.

Sulla base degli elementi acquisiti, attraverso la comunicazione della violazione di dati personali, l’Ufficio con nota 22 luglio 2019 (prot. n. 25325), ha notificato alla Fondazione in qualità di titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni degli artt. 5, par. 1, lett. f) e 9 del Regolamento, invitando la Fondazione a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. n. 689 del 24 novembre 1981).

La Fondazione con nota del 6 agosto 2019 (prot. n.20190070234), ha fatto pervenire al Garante i propri scritti difensivi in relazione alla violazione notificata, rappresentando, in particolare che:

- “La violazione si è verificata a causa di un errore umano non intenzionale in quanto l'errata identificazione del paziente, nello specifico, è avvenuta durante il TRIAGE nel processo di accettazione al Pronto Soccorso al momento della registrazione a terminale, quando è stato selezionato il nominativo del paziente omonimo ad altro, nato nel 1959 (effettivamente preso in cura al PS). ln buona sostanza, l'erronea identificazione del paziente è stata generata da un malinteso sulla sola data di nascita, con l'inserimento del numero "1959" e non del corretto "1939”;

- “in data 16.03.2019, il paziente del 1939 accedeva al FSE e si rendeva conto che in un referto caricato nel proprio FSE erano presenti i suoi dati anagrafici (nome, cognome, data di nascita, (..) associati a dati clinici di un paziente non identificato e non identificabile. Pertanto il paziente del 1939 si vedeva associato un evento clinico (anonimo) che non lo riguardava”;

- “Nonostante la Fondazione abbia adottato una procedura relativa alla corretta identificazione del paziente in accettazione (procedura PII) si è comunque verificato un errore derivante da fonte umana”;

- “La violazione discende dall'errata identificazione del paziente che ha conseguentemente generato errore nelle successive identificazioni sui sistemi fino alla pubblicazione del referto sul FSE. L'errata identificazione è scaturita da un'omonimia ed è stata corretta non appena nota”;

- “(…) trattasi di caso unico e isolato dovuto ad errore umano al quale il titolare ha reagito rimuovendo gli effetti dell'incidente e sensibilizzando ulteriormente il personale addetto all'identificazione dei pazienti” e, nel manifestare la massima cooperazione con l’Autorità, ha chiesto “l’archiviazione del procedimento o, in estremo subordine, l'applicazione del minimo della sanzione, anche previa possibilità di essere sentita da Codesta”.

La Fondazione, ha altresì illustrato, nei propri scritti difensivi, le misure prontamente adottate per attenuare gli effetti della violazione per gli interessati. In particolare, la Fondazione ha:

- attivato la procedura correttiva prevista da protocollo SISS della Regione Lombardia volta all’annullamento del referto erroneamente intestato e alla sua sostituzione nel Fascicolo, dandone notizia all’interessato che non ha presentato specifici reclami in merito;

- sottoposto ad Audit la procedura relativa alla corretta identificazione del paziente in fase di accettazione;

- provveduto al richiamo e alla contestuale sensibilizzazione degli operatori coinvolti e programmato ulteriore formazione in materia di protezione dei dati personali per tutto il personale.

In data 18 febbraio 2020, si svolgeva l’audizione richiesta dal titolare del trattamento presso gli Uffici del Garante, nel corso della quale è stato ulteriormente rappresentato che:

- “(…) ogni anno vengono identificati nella struttura circa 860.000 pazienti. Si sono verificate, nel corso del 2019, solo n. 6 casi di omonimia che tuttavia sono stati intercettati prima della pubblicazione dei referti nel FSE, grazie all’attività di Audit effettuata annualmente. Da queste verifiche è tuttavia sfuggito il caso in esame per il quale l’omonimia ha riguardato il nome e il cognome degli interessati, che inoltre presentavano la medesima data di nascita ad eccezione di una cifra (1939 – 1959)”;

- “Con riguardo alle azioni intraprese finalizzate all’adeguamento al Regolamento, abbiamo creato un Comitato di indirizzo con l’obiettivo di garantire l’attuazione del piano di lavoro privacy e introdurre strumenti organizzativi, volti a potenziare la struttura organizzativa risalente al 2017”;

- “dopo il data breach sono stati messi in atto ulteriori azioni oltre alla ordinaria attività di Audit. In particolare, abbiamo prestato particolare attenzione alle segnalazioni simili a quelle in esame. Ad oggi nulla è emerso al riguardo anche sotto eventuali profili risarcitori. È stato avviato uno specifico programma formativo (…). Nel 2019 sono stati coinvolti n. 893 dipendenti per un totale di 2700 ore di formazione a distanza e un percorso di formazione frontale che ha coinvolto n. 107 dipendenti che svolgono funzioni particolarmente delicate, per un totale di 400 ore/uomo. Il programma di formazione continuerà nel corso del presente anno”;

- “Subito dopo l’evento, sono state effettuate indagini al fine di scongiurare il lamentato furto di identità del segnalante. Al riguardo non sono emersi elementi tali da ritenere che si tratti di un caso diverso da un mero errore materiale. A seguito di tale verifica è stato prontamente apprestato uno specifico Audit che ha portato a diffondere nuovamente a tutto il personale, con più mezzi, la procedura P11 ([procedura relativa alla corretta identificazione del paziente in accettazione] già in vigore dal 2009) sull’identificazione dei pazienti e se ne è raccomandata la scrupolosa osservanza. Abbiamo prontamente attivato la procedura prevista dal SISS della Regione Lombardia volta all’annullamento del referto erroneamente intestato e alla sua sostituzione nel Fascicolo, dandone notizia all’interessato che non ha presentato specifici reclami in merito”;

- con riguardo alla procedura relativa alla corretta identificazione del paziente in accettazione (P11): “La Fondazione si [è] impegna[ta], altresì, a richiamare nella prossima revisione della procedura P11, i rischi connessi alla protezione dei diritti e delle libertà degli interessati che possono derivare da una non corretta identificazione degli stessi”.

3. Esito dell’attività istruttoria.

La disciplina in materia di protezione dei dati personali prevede –in ambito sanitario- che le informazioni sullo stato di salute possano essere comunicate solo all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso previa delega scritta di quest’ultimo (art. 9 Regolamento e art. 83 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101; cfr. anche provv. generale del 9 novembre 2005, consultabile in www.gpdt.it, doc. web n. 1191411, ritenuto compatibile con il suddetto Regolamento e con le disposizioni del decreto n. 101/2018; cfr. art. 22, comma 4, del citato d.lgs. n. 101//2018).

Il Regolamento, stabilisce inoltre che i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)” (art. 5, par. 1, lett. f) del Regolamento).

Al riguardo, si rileva che il trattamento di dati personali oggetto della comunicazione di “data breach” è stato effettuato in violazione dei richiamati principi di integrità e riservatezza, derivante dall’erronea attribuzione di un referto ad un soggetto diverso dall’interessato, causata da una non corretta applicazione delle misure tecniche e organizzative predisposte dalla Fondazione, al fine di garantire la corretta identificazione dell’interessato.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità può essere chiamato a rispondere ai sensi dell’art. 168 del Codice e degli elementi forniti nelle memorie difensive e nel corso dell’audizione, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con il l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

A prescindere dalla notificazione della violazione di dati personali effettuata dal titolare del trattamento in osservanza dell’obbligo di cui all’art. 33 del Regolamento, i profili di illiceità del trattamento rilevati nel caso di specie, quale conseguenza della mancata adozione di misure tecniche e organizzative adeguate, richiedono comunque l'intervento correttivo di questa Autorità al fine di salvaguardare i diritti e le libertà fondamentali degli interessati.

Ciò premesso, si confermano le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dalla Fondazione, in quanto, l’avvenuto inserimento all’interno di un FSE del referto di un paziente diverso dall’interessato ha determinato una violazione  delle disposizioni in materia di protezione dei dati personali riguardanti la comunicazione a terzi di dati personali che rivelino la salute della persona (art. 9 del Regolamento e artt. 83 e 84 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101) e, di conseguenza, dei principi di integrità e riservatezza (art. 5, par. 1, lett. f) del Regolamento) del trattamento.

Ciò premesso, tenuto conto che sulla base degli atti (cfr. nota del 22 luglio 2019, Prot. n. 201900702344), l’episodio risulta essere stato unico e isolato, determinato da un errore umano non intenzionale di un operatore in servizio presso il titolare del trattamento e che l’Autorità ha preso conoscenza della violazione a seguito della notifica effettuata dal titolare del trattamento che ha informato dell’accaduto l’interessato e ha adottato molteplici atti organizzativi e iniziative formative volte a sensibilizzare le persone autorizzate al trattamento al rispetto della disciplina in materia di protezione dati personali e al rispetto delle procedure adottate in tema di corretta identificazione dei pazienti, le circostanze del caso concreto inducono a qualificare il caso come “violazione minore”, ai sensi del considerando 148 del Regolamento.

Si ritiene, pertanto, relativamente al caso in esame che sia sufficiente ammonire il titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, per la violazione delle disposizioni in materia di protezione dei dati personali riguardanti la comunicazione a terzi di dati personali che rivelino la salute della persona (art. 9 del Regolamento e artt. 83 e 84 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101) e, di conseguenza, dei principi di integrità e riservatezza (art. 5, par. 1, lett. f) del Regolamento) del trattamento e che non vi siano i presupposti per l’adozione di ulteriori provvedimenti correttivi da parte dell’Autorità ai sensi dell’art. 58, par. 2, del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell’art. 57, par. 1, lett. a), del Regolamento, dichiara illecita la condotta tenuta dalla Fondazione IRCCS Policlinico San Matteo, con sede in Pavia, Viale Golgi, 19, P.IVA 00580590180, in persona del Direttore Generale, XX, descritta nei termini di cui in motivazione, e ammonisce la Fondazione IRCCS Policlinico San Matteo, quale titolare del trattamento in questione, per la violazione delle disposizioni in materia di protezione dei dati personali riguardanti la comunicazione a terzi di dati personali che rivelino la salute della persona (art. 9 del Regolamento e artt. 83 e 84 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101) e, di conseguenza, dei principi di integrità e riservatezza (art. 5, par. 1, lett. f) del Regolamento) del trattamento;

b) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 9 luglio 2020

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia