[doc. web n. 9695041]

Ordinanza ingiunzione nei confronti di Azienda sanitaria locale di Chieri, Carmagnola, Moncalieri e Nichelino (Asl To5) - 22 luglio 2021

Registro dei provvedimenti
n. 279 del 22 luglio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Giuseppe Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e il l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

RELATORE l’avv. Guido Scorza;

PREMESSO

1. La violazione dei dati personali.

L’Azienda sanitaria locale di Chieri, Carmagnola, Moncalieri e Nichelino (Asl To5) ha notificato una violazione di dati personali, ai sensi dell’art. 33 del Regolamento, in relazione all’avvenuto inserimento, nella documentazione clinica di un paziente ricoverato presso la Struttura Complessa Medicina Interna P.O. Carmagnola e, successivamente deceduto, di referti di altri due pazienti contenenti, rispettivamente, una consulenza oncologica e una ecografia all’addome. La predetta documentazione era stata consegnata alla figlia del paziente ricoverato e successivamente deceduto, che ha restituito i referti erroneamente inclusi.

Secondo quanto dichiarato dall’Azienda, le misure tecniche e organizzative adottate per porre rimedio alla violazione e ridurne gli effetti negativi per gli interessati sono consistite nell’attivazione di una “indagine interna per individuare le esatte modalità per le quali si è verificato l'incidente. I referti dei 2 pazienti interessati sono stati inseriti nei fascicoli dei rispettivi pazienti” e nell’adozione di “una procedura di gestione degli incidenti di sicurezza e gestione delle violazioni che” (al momento della notifica) “è in corso di revisione”. In relazione, poi, alle misure tecniche e organizzative adottate per prevenire simili violazioni future, è stata comunicata l’intenzione di “aggiornare la procedura per la gestione della documentazione clinica, con particolare riguardo alla verifica di integrità ad ogni passaggio di mano”, nonché di “effettuare riprese di sensibilizzazione e formazione sulle procedure in essere” e di “ripetere in diverse modalità gli interventi di sensibilizzazione e formazione di tutto il personale relativamente alla procedura di gestione delle violazioni di dati personali”.

2. L’attività istruttoria.

In relazione a quanto comunicato dall’Azienda, l’Ufficio, con atto del XX, prot. n. XX, ha avviato, ai sensi dell’art. 166, comma 5, del Codice, con riferimento alle specifiche situazioni di illiceità in esso richiamate, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2 del Regolamento, nei confronti della stessa Azienda, invitandola a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, l. n. 689 del 24 novembre 1981).

In particolare l’Ufficio, nel predetto atto ha preliminarmente rappresentato che:

- “la disciplina in materia di protezione dei dati personali prevede –in ambito sanitario- che le informazioni sullo stato di salute possano essere comunicate solo all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso previa delega scritta di quest’ultimo (art. 9 Regolamento e art. 84 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101; cfr. anche provv. generale del 9 novembre 2005, consultabile in www.gpdt.it, doc. web n. 1191411, ritenuto compatibile con il suddetto Regolamento e con le disposizioni del decreto n. 101/2018; cfr. art. 22, comma 4, del citato d.lgs. n. 101/2018)”;

- “il titolare del trattamento è, in ogni caso, tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di «integrità e riservatezza», secondo il quale i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. f) del Regolamento)”.

Ciò premesso, sulla base degli elementi in atti, con la predetta nota del 21 ottobre 2020, l’Ufficio ha reputato che l’Azienda, mediante l’inserimento di due referti appartenenti ciascuno ad un paziente diverso, nella documentazione clinica relativa ad un altro paziente, consegnata alla figlia dello stesso, abbia effettuato una comunicazione di dati relativi alla salute in assenza di un idoneo presupposto giuridico e, quindi, in violazione dei principi di base del trattamento di cui agli artt. 5 e 9 del Regolamento.

Con nota del 19 dicembre 2019, l’Azienda ha fatto pervenire le proprie memorie difensive, nelle quali, in particolare, è stata ricostruita più chiaramente la vicenda, evidenziando, in particolare, che:

- “A seguito di decesso del paziente Sig. XX, avvenuto presso il reparto di Medicina del Presidio Ospedaliero di Carmagnola, viene riconsegnata ai familiari, nella persona della figlia, la documentazione iconografica radiologica (come da indicazione aziendale). Tra tale documentazione vengono erroneamente incluse: a) la documentazione personale del Sig. YY, ricoverato presso il medesimo reparto, (referti di visite oncologiche ambulatoriali precedenti all’accesso al reparto, che ne attestano lo stato di malattia in essere la cui evoluzione ha condotto al ricovero); b) il referto Ecografico in originale del Sig. ZZ, effettuato in corso di ricovero (anche lui paziente del medesimo reparto)”;

-  “quanto sopra riportato, esito di inconsapevole errore da parte dell’infermiere di turno deputato quel giorno a dimissioni e ricoveri, giunge a nostra conoscenza in data 20.08, quando la figlia del Sig. XX riporta in reparto la documentazione estranea al ricovero del padre, consegnandola ad uno dei medici del reparto, riferendo di averne fatta menzione con un medico e di averla riportata nel timore che il trattamento dei pazienti interessati (YY e ZZ) potesse essere stato inficiato dall’assenza in cartella clinica dei suddetti referti”;

- “la dinamica dell’accaduto ha evidenziato che: i referti personali del Sig. ZZ si trovavano verosimilmente nel faldone blu del letto da lui precedentemente occupato che ha successivamente ospitato il Sig. XX, non singolarmente controllati all’atto della consegna; la fotocopia dell’Ecografia del Sig. YY, appena prodotta, era stata temporaneamente appoggiata, per chiamata su intervento assistenziale in reparto, sul bancone dell’accoglienza, dove l’infermiere dimettente stava provvedendo alla consegna degli effetti personali e della documentazione radiologica alla figlia del paziente deceduto, includendo accidentalmente anche tale fotocopia. Per quanto evincibile ripercorrendo contingenze e fatti, uno degli elementi che ha sicuramente rappresentato il presupposto, soprattutto relativamente ai referti di visite oncologiche personali del Sig. ZZ è stato conseguenza della contiguità dei posti letto in cui i pazienti coinvolti erano ricoverati (contiguità replicata da cartelle cliniche e faldoni blu nel carrello giro-visite), ulteriormente facilitato, nel suo evolversi negativo, dal trasferimento dei pazienti da un letto all’altro (per necessità cliniche di monitoraggio l’uno, per favorire le visite dei congiunti in sicurezza alla luce delle restrizioni imposte dall’Emergenza Covid in fase terminale di malattia, nell’altro)”;

- “la durata della violazione è stata limitata: dal 08.08.2020 (data di consegna della documentazione) al 20.08.2020 (data di riconsegna) quindi per 12 giorni (...) La figlia che ha ricevuto per errore la documentazione ha affermato di non avere fatto copie e di non aver utilizzato in nessun modo la documentazione”.

L’Azienda ha ampiamente rappresentato di aver espletato, in diverse occasioni, attività formative in relazione alla protezione dati nel contesto sanitario e in ambito del reparto specifico, aventi ad oggetto, il tema della gestione e chiusura delle cartelle cliniche, definendo altresì, specifiche istruzioni anche sulla consegna della documentazione clinica al momento della dimissione, sia al paziente che al caregiver  dallo stesso autorizzato, al fine di prevenire violazioni di dati e individuando uno specifico “percorso della cartella clinica tracciato da una procedura che ne determina i vari passaggi (chiusura, consegna ad infermiere dedicato al controllo di verifica documentale prima della compilazione SDO, controllo del Primario, consegna alla Spedalità con controllo elenco condiviso e controfirma per accettazione)”.

Tra le varie iniziative indicate dall’Azienda, è stata prevista anche l’adozione di “nuove modalità di richiesta e consegna delle copie di cartella clinica che non implicano più il trasporto fisico della cartella dall’archivio di deposito all’Ufficio Cartelle, ma la cartella viene digitalizzata dal fornitore presso il deposito. Gli addetti dell’Ufficio Cartelle accedono via https alla copia digitalizzata richiesta, la stampano e la consegnano all’utente esterno” nonché di specifiche “misure di disposizione logistica per la gestione della documentazione presente in reparto durante gli episodi di ricovero”, che ricomprendono anche una riprogettazione dei contenitori della documentazione e dei separatori dei documenti dei diversi pazienti, con indicazione chiara del numero del posto letto.

E ’stato, altresì, dichiarato che:

- “l’Azienda attraversa un periodo economicamente difficile. A queste difficoltà si è aggiunto il noto fenomeno pandemico che ha avuto pesanti riflessi su molti Paesi (crollo del PIL a più di 2 cifre), ha cambiato le abitudini di lavoro di noi tutti, ha fatto sospendere i termini per la definizione dei procedimenti, scadenze e pagamenti, ma è stato particolarmente forte sulla Sanità Pubblica con fenomeni che hanno colpito duramente l’intera struttura”;

- “l’intera Direzione strategica dell’Ente (Direttore Generale, Direttore Sanitario e Direttore Amministrativo) è stata assente per motivi di salute e di contenimento del contagio con la necessità di nomina di un Commissario Straordinario dal 15/03/2020 al 15/04/2020”;

-  è stato necessario “assumere nuovo personale sanitario da dedicare immediatamente alla cura dei pazienti (tra marzo e agosto 2020 sono stati assunte 137 persone a tempo determinato principalmente del comparto a cui vanno sommati 43 liberi professionisti per un totale di 193 persone assunte con causale COVID, quindi circa il 10% della forza lavoro aziendale e poco meno del 20% del personale medico e infermieristico dedicato alle cure dei pazienti)” e  “riallocare spazi, strutture, personale per far fronte alla pandemia”;

- “i carichi di lavoro a tutela della vita stessa dei pazienti e dell’intera collettività hanno richiesto di rimodulare se non annullare l’attività formativa prevista” che si è potuta espletare “quasi esclusivamente in modalità remota per evitare rischi di contagio”;

- “in riferimento alla violazione dell’art. 9 si conferma l’assoluta non intenzionalità del trattamento di comunicazione a terzi di dati particolari. Riteniamo quindi che la comunicazione dei dati personali sia dovuta unicamente a disattenzione del personale e sulle capacità di formazione e supervisione su cui hanno indubbiamente pesantemente inciso quanto poco sopra esposto”.

- “in riferimento all’art. 5. P 1 f) le considerazioni sopraesposte sulle misure di sicurezza adottate, del contesto di emergenza sanitaria contingente, del numero limitato di interessati costituiscono evidenze di un caso fortuito. L’eventuale negligenza risulta attenuata (o comunque di non facile quantificazione) dalla situazione emergenziale. Il carattere eccezionale dell’evento, a nostro parere, esclude del tutto il carattere colposo della violazione”;

- “l’interessato Sig. YY è stato informato e non ha manifestato particolari rimostranze. Come sopra descritto gli effetti per gli interessati sono modesti. Ad oggi, ad oltre 2 mesi dall’accaduto non sono pervenute lamentele, né tantomeno richiesta di risarcimento danni. E’ stata inoltre verificata l’integrità della documentazione clinica degli interessati e non sono emerse alterazioni”;

- “si è ritenuto approfondire alcuni passaggi utili ad individuare interventi organizzativi e/o strutturali utili ad un ulteriore riduzione del rischio: a. La documentazione personale del paziente che afferisce alla struttura dovrà essere riassunta come di consueto in corso di compilazione dell’Anamnesi e restituita immediatamente all’interessato richiedendo, quando necessarie o prevedibili ulteriori consultazioni, che venga trattenuta con i propri effetti personali nell’armadietto o nel comodino assegnatogli; b. È in corso di studio l’eventuale introduzione di un modulo riportante quanto consegnato dal Paziente o dai suoi familiari all’ingresso, con dettaglio della documentazione acquisita, da introdurre in cartella clinica ed utilizzare quale check list all’atto della riconsegna ai legittimi proprietari in dimissione (es. scheda consegna valori) con sottoscrizione per ricevuta; Per quanto attinente gli accertamenti radiologici è prossimo al compimento l’informatizzazione del referto con relativa produzione delle immagini su dischetto che, per dimensioni, sarà conservato nella cartella clinica eliminando il ricorso all’attuale faldone blu; il Personale è stato sensibilizzato e richiamato, condividendo l’evento e le sue ricadute, ad intensificare i controlli sulla documentazione nelle fasi conclusive dell’evento sanitario”;

- “l’Azienda non ha tratto nessun profitto o la violazione ha evitato costi; (…). La situazione finanziaria dell’Azienda non è buona: lo scorso esercizio finanziario si è chiuso con un ingente perdita (..)”.

3. Esito dell’attività istruttoria

Premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice (“Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”), all’esito dell’esame della documentazione acquisita nonché delle dichiarazioni rese all’Autorità nel corso del procedimento, emerge che l’Azienda ha effettuato una comunicazione di dati relativi alla salute in assenza di un idoneo presupposto giuridico, in violazione dei principi di base del trattamento di cui agli artt. 5 e 9 del Regolamento.

4. Conclusioni

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria, si rappresenta che gli elementi forniti dallo stesso nelle memorie difensive, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Pertanto, si confermano le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali sulla salute effettuato dall’Azienda, in violazione degli artt. 5 e 9 del Regolamento.

In tale quadro, considerato, tuttavia, che la condotta ha esaurito i suoi effetti, atteso che l’Azienda ha inserito i referti erroneamente consegnati nei fascicoli dei rispettivi pazienti, e sono state fornite assicurazioni in ordine alle molteplici iniziative poste in essere al fine di formare il personale e agli interventi organizzativi e strutturali volti a evitare la ripetizione della condotta errata, non ricorrono i presupposti per l’adozione di ulteriori provvedimenti correttivi da parte dell’Autorità, ai sensi dell’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5 e 9 del Regolamento, determinata dal trattamento di dati personali, oggetto del presente provvedimento, effettuato dall’Azienda, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, lett. a) del Regolamento.

Si consideri che il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2, del Regolamento in relazione ai quali si osserva che:

- il trattamento dei dati effettuato dall’Azienda riguarda dati idonei a rilevare informazioni sulla salute di due soli interessati (art.  83, par. 2, lett. a) e g) del Regolamento);

- gli episodi sono stati accidentali e determinati da una disattenzione del personale che prestava servizio presso l’Azienda (art. 83, par. 2, lett. b) del Regolamento);

- l’Autorità ha preso conoscenza della violazione a seguito della notifica effettuata dal titolare del trattamento e non sono pervenuti reclami o segnalazioni al Garante sull’accaduto (art. 83, par. 2, lett. h) del Regolamento);

- l’Azienda ha collaborato pienamente con l’Autorità nel corso dell’istruttoria e del presente procedimento, anche producendo memorie difensive particolarmente articolate (art. 83, par. 2, lett. f) del Regolamento);

- il titolare del trattamento si è prontamente attivato per porre rimedio all’accaduto e ha previsto una revisione di molteplici procedure, con particolare riferimento alla tenuta e consegna della documentazione sanitaria (art. 83, par. 2, lett. c) e d) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, nella misura di euro 4.000 per la violazione degli artt. 5 e 9 del Regolamento quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata la violazione degli artt. 5 e 9 del Regolamento, dichiara l’illiceità del trattamento di dati personali effettuato dall’Azienda nei termini di cui in motivazione;

ORDINA

All’Azienda sanitaria locale di Chieri, Carmagnola, Moncalieri e Nichelino (Asl To5), con sede legale in Piazza Silvio Pellico 1, Chieri (TO), P.IVA 06827170017, in persona del legale rappresentante pro-tempore, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, di pagare la somma di euro 4.000,00 (quattromila) a titolo di sanzione amministrativa pecuniaria per la violazione di cui al presente provvedimento, secondo le modalità indicate in allegato, entro 30 giorni dalla notifica in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Azienda, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 4.000,00 (quattromila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

- la pubblicazione del presente provvedimento sul sito web del Garante, ai sensi dell’art. 166, comma 7, del Codice;

- l’annotazione del presente provvedimento nel registro interno dell’Autorità - previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante - relativo alle violazioni e alle misure adottate in conformità all'art. 58, par. 2, del Regolamento medesimo.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 22 luglio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei