g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Società H San Raffaele Resnati s.r.l. - 25 novembre 2021 [9732967]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9732967]

Ordinanza ingiunzione nei confronti di Società H San Raffaele Resnati s.r.l. - 25 novembre 2021

Registro dei provvedimenti
n. 410 del 25 novembre 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, l’avv. Guido Scorza, componenti e il cons. Fabio Mattei;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. La violazione dei dati personali.

Con nota del XX la H San Raffaele Resnati S.r.l. (di seguito Società) ha notificato una violazione di dati personali avente ad oggetto l’inserimento di due referti, relativi, rispettivamente, ad un esame emocromocitometrico e a un elettrocardiogramma, privo di tracciato, di una paziente all’interno della busta destinata ad un altro paziente e allo stesso consegnata.

Nella citata comunicazione è stato evidenziato che “il controllo del contenuto delle buste dei referti è effettuato attraverso specifiche procedure organizzative aziendali (…)”.

In relazione alle misure tecniche e organizzative adottate per porre rimedio alla violazione e ridurne gli effetti negativi per gli interessati, è stato dichiarato che “la documentazione erroneamente consegnata è stata recuperata dal personale autorizzato del Titolare due ore dopo la segnalazione pervenuta al RPD. Il Responsabile della Protezione dei Dati congiuntamente con l’Ufficio Qualità e la Medicina Occupazionale hanno avviato una indagine interna volta ad accertare e approfondire le cause dell’accaduto, che pare attribuibile ad un errore umano/errore materiale da parte dell'addetto all'imbustamento”.

E’ stato, altresì, dichiarato che le misure tecniche e organizzative adottate per prevenire simili violazioni future sono state la valutazione sulla “revisione delle procedure relative a “Il Processo di Medicina Occupazionale" alla “Gestione dei referti Medicina Occupazionale” in particolare relative a:Preparazione per la spedizione in presenza di Giudizio di idoneità/Parere; Preparazione per la spedizione di esami di più lavoratori; Consegna e spedizione referti” e sulla “durata delle sessioni e dei carichi di lavoro degli addetti all'imbustamento affinché, al fine di prevenire errori materiali, siano predisposte delle opportune turnazioni al fine di prevenire la perdita di concentrazione derivante dall'esecuzione di attività altamente ripetitive”.

2. L’attività istruttoria.

In relazione a quanto comunicato dalla Società, l’Ufficio, con atto del XX, prot. n. XX, ha avviato, ai sensi dell’art. 166, comma 5, del Codice, con riferimento alle specifiche situazioni di illiceità in esso richiamate, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2 del Regolamento, nei confronti della Società, invitandola a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, l. n. 689 del 24 novembre 1981).

In particolare l’Ufficio, nel predetto atto ha preliminarmente rappresentato che:

- la disciplina in materia di protezione dei dati personali prevede –in ambito sanitario- che le informazioni sullo stato di salute possono essere comunicate solo all’interessato e possono essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico (art. 9 Regolamento e art. 84 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101);

- il titolare del trattamento è, in ogni caso, tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di «integrità e riservatezza», secondo il quale i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. f) del Regolamento).

Ciò premesso, sulla base degli elementi in atti, con la predetta nota del XX, l’Ufficio ha reputato che la Società, mediante l’inserimento di due referti di una paziente nel plico destinato ad un altro paziente, abbia effettuato una comunicazione di dati relativi alla salute, in assenza di un idoneo presupposto giuridico e, quindi, in violazione dei principi di base del trattamento di cui agli artt. 5 e 9 del Regolamento.

Con nota del XX, la Società ha fatto pervenire le proprie memorie difensive nelle quali, in particolare, è stato rappresentato che:

a) “il Data Breach si è sostanziato nella comunicazione non autorizzata di (i) un referto di un esame emocromocitometrico e (ii) un referto di un elettrocardiogramma privo di tracciato (i “Referti”) relativi ad un’unica paziente fruitrice dei Servizi (l’“Interessata”). Tale comunicazione non autorizzata, (..), è avvenuta a causa di un errore materiale, precisamente mediante l’inserimento dei Referti in una busta sigillata destinata ad un paziente terzo (il “Segnalante”), da quest’ultimo a sua volta ricevuta nel contesto dei Servizi”;

b) “il referto relativo all’esame emocromocitometrico sostenuto dall’Interessata contiene valori clinici di per sé non indicativi della sussistenza di specifiche patologie, destinati piuttosto ad essere interpretati nel quadro di più precisi accertamenti medici; il referto di elettrocardiogramma contiene unicamente la dicitura “nella norma”, essendo sprovvisto di tracciato e/o di qualsivoglia ulteriore dato idoneo a rivelare lo stato di salute dell’Interessata. Pertanto i dati personali oggetto del Data Breach, oltre ad essere riferibili alla sola Interessata, non sono da sé soli in grado di fornire informazioni indicative di un quadro clinico specifico”;

c) “in merito alla durata della violazione notificata, si rappresenta che il Data Breach è occorso in occasione della ricezione, da parte del Segnalante, della busta sigillata recapitata al Segnalante stesso ed erroneamente contenente i Referti. In data XX, il Segnalante ha quindi provveduto ad informare dell’evento occorso il Responsabile della Protezione dei Dati della Società, (..), via email. Sempre in data XX, a distanza di poche ore da quando era stato messo al corrente del Data Breach, il DPO ha informato la Società e provveduto affinché un autorizzato dalla Società recuperasse immediatamente i Referti erroneamente consegnati al Segnalante. (..) il Data Breach è stato successivamente notificato a codesta spettabile Autorità in data XX”;

d) “alla luce (…) (i) del numero limitato di interessati (uno) e di soggetti ai quali sono stati erroneamente comunicati i suoi dati personali (uno); (ii) del tipo di dati personali oggetto di comunicazione che, ricevuti isolatamente e da un soggetto che non era in possesso di particolari competenze mediche, e scarsamente denotativi dello stato di salute dell’Interessata; e (iii) della modalità cartacea di trasmissione che, a differenza di quella digitale, non consente una facile circolazione delle informazioni, peraltro fisicamente recuperate dalla Società in poche ore dalla segnalazione, la violazione può essere considerata di gravità minima, ove non del tutto trascurabile”;

e) “al fine della corretta prestazione dei Servizi, la Società si è dotata di due procedure specifiche: (i) la procedura “Processo di Medicina Occupazionale”; e (ii) la procedura “Gestione dei referti Medicina Occupazionale” (congiuntamente, le “Procedure”). In particolare, in base alle Procedure, a seguito dell’accettazione dei pazienti e dell’erogazione delle prestazioni sanitarie richieste dai Clienti, i risultati degli esami svolti sono raccolti e smistati in SISMED e/o, se cartacei, nelle specifiche “vaschette” porta-corrispondenza da parte del competente operatore di accettazione presso la Segreteria Medicina Occupazionale. Una volta smistati, i risultati degli esami sono ritirati dal personale medico per la refertazione. Conclusa la refertazione, il competente operatore di segreteria si occupa di raccogliere nuovamente i referti (ricavandone copia da SISMED ove necessario) e di collocarli nelle cartelle sanitarie dei pazienti cui si riferiscono. Per ciascuna cartella sanitaria, l’operatore di segreteria verifica: (i) la presenza di tutti i referti relativi agli esami clinici richiesti dai Clienti; (ii) la completezza e la correttezza di tutti i dati anagrafici relativi al paziente; (iii) la presenza del timbro e della firma del medico; nonché (iv) la correttezza della data di esecuzione degli esami clinici. Al termine di tale operazione, l’operatore di segreteria si occupa infine di predisporre i referti per la spedizione, inserendoli all’interno di una busta avente intestazione HSRR, timbrata e sigillata. Le buste, pronte per la spedizione, sono conservate presso la Segreteria Referti Medicina Occupazionale di HSRR. Destinatario dei referti in forma originale è il medico competente presso ciascun Cliente; copia dei referti è spedita al paziente (ove concordato con i Clienti); un referente presso ciascun Cliente è infine destinatario della distinta di invio referti. Le Procedure sono applicate nelle modalità sinora descritte ove, previo accordo con il Cliente, non siano adottate differenti modalità operative per la consegna dei referti”;

f) “tutti gli operatori addetti allo svolgimento dei Servizi (ivi incluso il personale sanitario e gli operatori di segreteria) hanno ricevuto apposita autorizzazione al trattamento dei dati personali, nella forma di una nomina a privacy contact; in qualità di soggetti autorizzati al trattamento dei dati personali, tali soggetti ricevono altresì periodica formazione relativamente ai comportamenti da seguire per garantire la conformità alla Normativa Privacy delle attività di trattamento svolte nell’ambito della propria attività lavorativa presso HSRR”;

g) “… il Data Breach che si è purtroppo verificato è l’effetto di un singolo “errore umano”, di una disattenzione da parte di una singola persona, peraltro occorsa una sola volta, in modo del tutto inatteso e casuale”;

h) “non meno rilevante appare la circostanza della mole significativa dei referti da spedire, con specifico riferimento al momento storico in cui si è verificato il Data Breach: la Società (…) a seguito della pressoché totale sospensione dei Servizi durante il periodo marzo - maggio 2020 a causa della pandemia da COVID-19, si è trovata a dover recuperare un ingente numero di visite periodiche, screening aziendali ed esami richiesti dai Clienti per i propri dipendenti, con conseguente moltiplicazione del carico di lavoro in capo agli operatori dedicati ai Servizi stessi (ivi inclusi gli operatori di segreteria addetti all’imbustamento dei referti)”;

i) “ogni valutazione in merito all’elemento soggettivo della condotta da parte di codesta Autorità, dovrebbe comunque tenere in considerazione l’assoluta buona fede della Società, interpretata secondo il canone esplicitato dalla giurisprudenza di legittimità secondo la quale “l'esimente della buona fede, applicabile anche all'illecito amministrativo, rileva come causa di esclusione della responsabilità amministrativa - al pari di quanto avviene per la responsabilità penale, in materia di contravvenzioni - quando sussistano elementi positivi idonei a ingenerare nell'autore della violazione il convincimento della liceità della sua condotta e risulti che il trasgressore abbia fatto tutto quanto possibile per conformarsi al precetto di legge, onde nessun rimprovero possa essergli mosso” (Cassazione, sez. VI civile, n. 12629 del 13 maggio 2019). Alla luce di tale canone, e del complesso di misure tecniche e organizzative adottate, sussistevano senz’altro tutti gli elementi positivi a ingenerare nella Società il convincimento della liceità della propria condotta, onde nessun rimprovero dovrebbe ad essa essere mosso”;

j) “la Società ha già intrapreso alcune azioni volte a valutare le possibili aree di miglioramento delle procedure descritte e/o dei sistemi di sicurezza adottati, tra cui: garantire una maggiore turnazione degli operatori di segreteria coinvolti, al fine di alleggerire il relativo carico di lavoro ed evitare, per quanto possibile, lo svolgimento di mansioni ripetitive e/o alienanti; la revisione delle Procedure, con particolare riferimento agli aspetti di (i) preparazione per la spedizione di referti relativi ad esami sostenuti da più pazienti; (ii) preparazione per la spedizione di buste contenenti referti e giudizi di idoneità alla mansione lavorativa; e (iii) modalità di consegna dei referti”.

3. Esito dell’attività istruttoria.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”, gli elementi forniti dal titolare del trattamento nelle memorie difensive sopra richiamate, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con il richiamato atto di avvio del procedimento, non ricorrendo alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

In particolare, in relazione alle argomentazioni addotte dalla Società nelle memorie difensive, si osserva che, con riferimento all’errore in cui sarebbe incorso l’autorizzato che ha effettuato le operazioni di trattamento in questione, alla luce di consolidata giurisprudenza (Cass. Civ. sez II del 13 marzo 2006, n. 5426, Cass. Civ. sez. II, del 6 aprile 2011, n. 7885), ai fini dell’applicazione dell’art. 3 della legge n. 689/1981 è necessario che la buona fede o l’errore si fondino su un elemento positivo, estraneo all’agente e idoneo a determinare in lui la convinzione della liceità del suo comportamento (errore scusabile). Tale elemento positivo deve risultare non ovviabile dall’agente con l’uso dell’ordinaria diligenza. Nel caso di specie, l’agente avrebbe potuto diligentemente accertare, attraverso un più accurato controllo dei dati, la correttezza delle operazioni effettuate in occasione dell’imbustamento del referto, evitando in tal modo di comunicare dati sulla salute a un soggetto terzo, non autorizzato.
Per tali ragioni si rileva l’illiceità del trattamento di dati personali effettuato dalla Società H San Raffaele Resnati s.r.l. nei termini di cui in motivazione, per la violazione degli artt. 5, par. 1, lett. f) e 9 del Regolamento.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

4. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par. 1, lett. f) e 9 del Regolamento, causata dalla condotta posta in essere dalla Società H San Raffaele Resnati s.r.l., è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, lett. a) (cfr. art. 166, comma 2 del Codice).

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 85, par. 2 e, del Regolamento, in relazione ai quali si osserva che:

- il trattamento dei dati effettuato ha riguardato informazioni idonee a rilevare lo stato di salute, di una sola interessata circoscritti a due esami (art.  83, par. 2, lett. a) e g) del Regolamento);

- l’episodio è stato accidentale e determinato da un errore umano da parte di un operatore che prestava servizio presso la Società e la violazione ha avuto una durata temporale estremamente limitata (art. 83, par. 2, lett. a) e b) del Regolamento);

- l’Autorità ha preso conoscenza della violazione a seguito della notifica effettuata dal titolare del trattamento e non sono pervenuti reclami o segnalazioni al Garante sull’accaduto (art. 83, par. 2, lett. h) del Regolamento);

- la Società ha collaborato con l’Autorità nel corso dell’istruttoria e del presente procedimento (art. 83, par. 2, lett. f) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, nella misura di euro 6.000 (seimila) per la violazione degli artt. 5, par. 1, lett. f) e 9, del Regolamento quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1 e 3, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dalla Società H San Raffaele Resnati s.r.l., per la violazione degli artt. 5, par. 1, lett. f) e 9 del Regolamento.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, alla Società H San Raffaele Resnati s.r.l., con sede legale in Milano, Via S. Croce 10/A, C.F. e. P.IVA: 02980270157, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 6.000,00 (seimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento.

Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 6.000,00 (seimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 25 novembre 2021

IL VICEPRESIDENTE
Cerrina Feroni

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei