Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Istituti ospedalieri bergamaschi - 11 febbraio 2021 [9561792]

[doc. web n. 9561792]

Ordinanza ingiunzione nei confronti di Istituti ospedalieri bergamaschi - 11 febbraio 2021

Registro dei provvedimenti
n. 45 dell'11 febbraio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e il dott. Guido Scorza, componenti, e il Cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore il dott. Guido Scorza;

PREMESSO

1. La violazione dei dati personali.

La Società denominata Istituti ospedalieri bergamaschi (di seguito Società) ha inviato all’Autorità una comunicazione relativa a una violazione di dati personali, ai sensi dell’art. 33 del Regolamento, a seguito della segnalazione presentata da una interessata relativamente alla circostanza che quest’ultima ha rinvenuto, nella copia digitale della propria cartella clinica, documentazione clinica (referti) relativa ad altri 7 pazienti (comunicazione del 28 dicembre 2019). Con riferimento alla comunicazione di violazione effettuata dalla Società, l’interessata ha presentato una segnalazione sia al titolare del trattamento che all’Autorità (segnalazione del 24.12.2019).

Secondo quanto comunicato, la Società ha avanzato la “richiesta di recupero della documentazione”, erroneamente ricevuta dalla segnalante, ha avviato una “indagine interna volta ad accertare e approfondire le cause dell’accaduto” e ha richiesto la “revisione delle procedure relative al controllo del contenuto delle cartelle cliniche”.

2. L’attività istruttoria.

L’Ufficio, con riferimento alle specifiche situazioni di illiceità in esso richiamate, ha notificato alla Società, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, paragrafo 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981) (nota del 5 febbraio 2020, prot. n.4776).

In particolare l’Ufficio, nel predetto atto, ha ritenuto che la violazione di dati personali notificata al Garante ai sensi dell’art. 33 del Regolamento, abbia rilevato la sussistenza di elementi idonei a configurare da parte della Società la violazione dei principi di liceità correttezza e trasparenza nonché di integrità e riservatezza (art. 5, par. 1, lett. a) e f) del Regolamento), rappresentando che la condotta (inserimento nella cartella clinica della segnalante di documenti sanitari di terzi) ha determinato una comunicazione di dati, relativi alla salute degli interessati, a terzi in assenza di un idoneo presupposto giuridico, anche la violazione dell’artt. 9 del Regolamento e dell’art. 75 del Codice. L’Ufficio ha inoltre ritenuto che il trattamento dei dati in esame sia stato effettuato con misure tecniche organizzative non adeguate a garantire un livello di sicurezza idoneo dei dati sulla salute trattati in occasione della compilazione delle cartelle cliniche in formato digitale, in violazione dell’art. 32 del Regolamento.

Con nota del 5 marzo 2020, la Società, ha fatto pervenire le proprie memorie difensive, in cui, in particolare, è stato rappresentato che:

- “Sono stati oggetto del Data Breach dati comuni, anagrafici e di contatto (i.e. nome, cognome, indirizzo e data di nascita) dei Soggetti Interessati, nonché dati relativi a particolari categorie ai sensi dell’art. 9 del GDPR, nello specifico dati relativi alla salute dei Soggetti Interessati. Le tipologie di esami ematochimici condotti sui Soggetti Interessati erano volti a evidenziare un insieme di valori (tra cui emocromo, elettroliti, azotemia, glicemia, creatinina e coagulazione) al solo fine di eseguire una valutazione anestesiologica, e non a fini di indagine circa la sussistenza di specifiche patologie. Trattasi, in altri termini, di accertamenti medici standard volti ad indagare il rispetto di determinati valori e/o parametri dei campioni sanguigni prelevati dai Soggetti Interessati, con finalità di approfondimento clinico e previsione organizzativa precedenti l’atto anestesiologico per procedure diagnostiche e/o terapeutiche”;

- “In merito alla durata della violazione notificata si rappresenta, infine, che il Data Breach è occorso in occasione del ritiro della copia della cartella clinica da parte della Segnalante in data 6 dicembre 2019, ed è stato rilevato dalla Società a seguito di segnalazione effettuata, per conto della Segnalante, dall’associazione di tutela dei consumatori Adiconsum mediante lettera raccomandata ricevuta il 27 dicembre 2019 (anticipata via email in data 23 dicembre 2019 alle ore 18.02, a chiusura uffici). Come è noto, il Data Breach è stato successivamente notificato a codesta spettabile Autorità in data 28 dicembre 2019. Nei giorni immediatamente successivi, la scrivente Società ha provveduto a richiedere alla Segnalante la restituzione della copia della relativa cartella clinica contenente i Referti. La restituzione risulta essere avvenuta, dopo una serie di contatti con la Segnalante e secondo i tempi dettati dalle esigenze di quest’ultima, in data 30 gennaio 2020 presso il Policlinico, come da dichiarazione sottoscritta dalla stessa Segnalante”;

- “il Data Breach non ha interessato alcun dato personale della Segnalante. Nessun dato personale di quest’ultima, comune ovvero appartenente alle particolari categorie di cui all’art. 9 del GDPR, infatti, è stato oggetto di indebita comunicazione a terzi ovvero di diffusione da parte della scrivente Società”;

- “[la Società] ha senza ritardo inviato una comunicazione interna agli uffici interessati dal Data Breach e a tutte le unità operative, avviando altresì un’approfondita indagine interna al fine di indagare le cause della violazione e implementare i controlli svolti sui documenti facenti parte delle cartelle cliniche”;

- “[la Società] ha altresì già intrapreso alcune azioni volte a valutare le possibili aree di miglioramento delle procedure descritte e/o dei sistemi di sicurezza adottati, tra cui: (i) revisione, nell’ambito della Procedura adottata dalla Società, di un ulteriore controllo da parte del personale medico addetto della corrispondenza anagrafica di tutta la documentazione contenuta nella cartella clinica; (ii) revisione della procedura prevedendo la consegna dei referti di laboratorio analisi relativi alla gastroenterologia direttamente nell’ambulatorio di gastroenterologia invece che in Reparto; (iii) miglioramento dei tempi di inserimento dei referti cartacei firmati in cartella clinica, al fine di diminuire la mole di documentazione in contestuale lavorazione da parte degli addetti alla Procedura”.

3. Esito dell’attività istruttoria.

Preso atto di quanto rappresentato dalla Società, nella documentazione in atti e nelle memorie difensive, si osserva che:

- la disciplina in materia di protezione dei dati personali prevede –in ambito sanitario- che le informazioni sullo stato di salute possano essere comunicate solo all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso previa delega scritta di quest’ultimo (art. 9 Regolamento e art. 83 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101; cfr. anche provv. generale del 9 novembre 2005, consultabile in www.gpdt.it, doc. web n. 1191411, ritenuto compatibile con il suddetto Regolamento e con le disposizioni del decreto n. 101/2018; cfr. art. 22, comma 4, del citato d.lgs. n. 101//2018);

- il Regolamento, stabilisce inoltre che i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)” (art. 5, par. 1, lett. f) del Regolamento);

- l’aver inserito nella cartella clinica digitale della segnalante documentazione sanitaria relativa ad altri 7 pazienti ha determinato una comunicazione dei predetti dati a terzi in assenza di un idoneo presupposto giuridico.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni si rileva l’illiceità del trattamento di dati personali effettuato dagli Istituti ospedalieri bergamaschi, nei termini di cui in motivazione, in violazione degli artt. 5, 9 e 32 del Regolamento e dell’art. 75 del Codice.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che la Società ha dichiarato che i documenti erroneamente consegnati a terzi sono stati restituiti e di aver pianificato le ulteriori misure tecniche e organizzative ritenute necessarie per ridurre al minimo l’errore umano, non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par. 2, lett. a) e f), 9 e 32 del Regolamento e dell’art. 75 del Codice, causata dalla condotta posta in essere degli Istituti ospedalieri bergamaschi, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 4 e 5, del Regolamento, anche ai sensi dell’art. 166, comma 2 del Codice.

Nel caso di specie – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, che si applica pertanto al caso di specie.

Si consideri che il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 85, par. 2, del Regolamento in relazione ai quali si osserva che:

l’Autorità ha preso conoscenza dell’evento a seguito della notifica di violazione dei dati personali effettuata dallo stesso titolare contestualmente alla segnalazione pervenuta al Garante sull’accaduto (art. 83, par. 2, lett. a) e h) del Regolamento);

il trattamento dei dati effettuato dalla Società riguarda dati idonei a rilevare informazioni sulla salute di un numero ristretto (7) di interessati (art. 4, par. 1, n. 15 del Regolamento e art. 83, par. 2, lett. a) e g) del Regolamento);

la comunicazione dei dati è avvenuta nei confronti di una sola persona;

l’episodio risulta isolato e caratterizzato dall’assenza di elementi di volontarietà da parte della Società nella causazione dell’evento (art. 83, par. 2, lett. b) del Regolamento);

la Società ha fin da subito dimostrato un elevato grado di cooperazione (art. 83, par. 2, lett. c), d) e f) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, tenendo anche conto della fase di prima applicazione delle disposizioni sanzionatorie ai sensi dell’art. 22, comma 13, del d. lgs. 10/08/2018, n. 101, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, nella misura di euro 45.000 (quarantacinquemila) per la violazione degli artt. 5, par. 1, lett. a) e f), 9 e 32 del Regolamento e dell’art. 75 del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dagli Istituti ospedalieri bergamaschi, per la violazione degli art. 5, par. 1, lett. a) e f), 9 e 32 del Regolamento e 75 del Codice nei termini di cui in motivazione.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, agli Istituti ospedalieri bergamaschi con sede legale in Bergamo, Corso Europa, 7 – C.F./P.IVA 01758140162, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 45.000 (quarantacinquemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento, secondo le modalità indicate in allegato, entro 30 giorni dalla notifica in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 45.000 (quarantacinquemila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 11 febbraio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei