g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Ordinanza ingiunzione o revoca
  4. Ordinanza ingiunzione nei confronti di Azienda socio sanitaria territoriale Melegnano e della Martesana - 10 febbraio 2022 [9754355]

Ordinanza ingiunzione nei confronti di Azienda socio sanitaria territoriale Melegnano e della Martesana - 10 febbraio 2022 [9754355]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9754355]

Ordinanza ingiunzione nei confronti di Azienda socio sanitaria territoriale Melegnano e della Martesana - 10 febbraio 2022

Registro dei provvedimenti
n. 47 del 10 febbraio 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, l’avv. Guido Scorza, componente, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il D.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. La notifica di violazione

Con nota del XX l’Azienda socio sanitaria territoriale Melegnano e della Martesana ha notificato una violazione di dati personali, avente ad oggetto la comunicazione di un referto relativo ad un esame diagnostico eseguito presso l’ambulatorio di Rozzano a persona non legittimata a riceverlo, avvenuta in data XX.

Nella stessa occasione l’Azienda ha dichiarato di essere venuta a conoscenza della violazione soltanto in data XX, a seguito della comunicazione da parte del legale della persona alla quale era stata erroneamente consegnata la predetta documentazione sanitaria.

Da quanto rappresentato, i sistemi e le infrastrutture IT non sono stati coinvolti nell’incidente, in quanto “la predisposizione della busta cartacea con all'interno il referto cartaceo avviene ad opera dei soggetti autorizzati. La consegna al destinatario avviene da parte del personale addetto”, il quale “prima di consegnare i referti cartacei, si accerta dell'identità del richiedente, tramite il controllo di documento e di eventuale delega al ritiro, quest'ultima formalizzata attraverso la compilazione di apposito modulo”.

Alla persona che ha ricevuto erroneamente il referto è stato chiesto di “distruggere eventuali copie digitali e cartacee che fossero state realizzate” e di “non diffondere o comunicare a terzi il contenuto del referto”.

Tra le misure previste al fine di prevenire simili violazioni future, l’Azienda ha indicato la “predisposizione di un nuovo corso di formazione in relazione alle mansioni assegnate al personale, che evidenzino le procedure per l'accertamento della legittimità al ritiro del referto del soggetto che lo richiede, con particolare attenzione all'aspetto della protezione dei dati personali”; la “predisposizione di un audit tematico sulle procedure di gestione della consegna dei referti medici da parte del personale preposto all'utenza”; e l’intenzione di “affiggere in maniera ben visibile presso i locali un’informativa con cui si invitano i pazienti a verificare la correttezza dell'intestazione dei referti prima di allontanarsi dalla struttura ospedaliera”.

In relazione a quanto emerso dalla documentazione in atti e alla notifica di violazione effettuata dall’Azienda, l’Ufficio, con nota del XX (prot. n. XX), ha notificato alla medesima Azienda, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

In particolare, l’Ufficio, nel predetto atto, ha ravvisato gli estremi di una violazione dei principi di base del trattamento di cui agli artt. 5 e 9 del Regolamento, in relazione all’avvenuta comunicazione di dati relativi alla salute di una paziente ad altra paziente in assenza di un idoneo presupposto giuridico.

Con nota del XX, l’Azienda ha fatto pervenire le proprie memorie difensive, nelle quali, in particolare, dopo aver descritto la propria organizzazione aziendale, ha evidenziato che:

- in relazione all’art. 83, par. 2, lett. a), del Regolamento: “le violazioni sono da considerarsi derivanti esclusivamente da un errore umano. In riferimento allo scambio di referti si specifica quanto segue, in relazione al protocollo adottato per la consegna degli esiti colpocitologici al Poliambulatorio di Rozzano. Al loro arrivo dall'Anatomia Patologica di Melegnano gli esiti degli esami vengono valutati dai Medici, che provvedono a consegnare alle infermiere gli esami non patologici. Questi ultimi vengono imbustati e portati al CUP, che a sua volta li consegna alla paziente dopo esibizione di delega e verifica dei dati anagrafici. Gli esiti patologici vengono valutati dai Medici che provvedono a contattare direttamente le pazienti, invitate a presentarsi in Ambulatorio nei giorni di servizio per ritirare personalmente l'esito con le relative indicazioni diagnostico-terapeutiche. Nel frattempo i referti sono conservati nell'Ambulatorio. Solo nell'ipotesi in cui la paziente, ripetutamente contattata, non risulti reperibile, l'esito viene consegnato al CUP corredato di un appunto che invita la paziente a contattare il Medico prima possibile. In riferimento al caso in oggetto, la Signora C. ha ritirato l'esito in data venerdì 13-12-19 evidentemente al CUP, dato che si tratta di un giorno in cui il Medico che ha eseguito l'analisi non presta servizio.

La signora C. non ha mai contattato l'ASST, né per ritirare il proprio esito (rimasto giacente), né per la restituzione del referto erroneamente consegnato, peraltro mai rivendicato dalla Signora N.”;

- in relazione all’art. 83, par. 2, lett. b), del Regolamento: “si ritiene che la violazione abbia carattere colposo in quanto è stata dettata esclusivamente da un errore umano del personale aziendale autorizzato al trattamento dei dati personali”;

- in relazione all’art. 83, par. 2, lett. c), del Regolamento: “in ragione dell’evento, l’Azienda Socio Sanitaria Territoriale Melegnano e della Martesana ha avviato una verifica interna al fine di comprendere la motivazione dell’accaduto e contestualmente ha acquisito notizie per contattare l’interessata, alla quale è stata inviata la notifica di violazione di sicurezza dei dati personali”;

- in relazione all’art. 83, par. 2, lett. d), del Regolamento: “l’Azienda Socio Sanitaria Territoriale Melegnano e della Martesana nel marzo del 2018 ha provveduto a definire i ruoli interni per la tutela dei dati personali con: - Deliberazione del Direttore generale n. 297 del 22 – 03 – 2018 ad oggetto: Determinazioni in merito all’applicazione del Nuovo Regolamento UE. In tale documento vi è l’individuazione dei Direttori Medici di Presidio e Direttori dei Dipartimenti Sanitari e Socio Sanitari, sia funzionali che gestionali, nonché tutti i Dirigenti Responsabili di Strutture Semplici e Complesse sono inquadrati quali Responsabili territoriali del Trattamento; ha attivato fin dal 2008 un’attività costante di promozione in materia di data protection. La documentazione relativa ai corsi effettuati è agli atti dell’Azienda. Per la gestione della cartella clinica, nel XX, l’Azienda ha provveduto a revisionare la procedura aziendale “PROCEDURA GENERALE AZIENDALE «GESTIONE DELLA CARTELLA CLINICA»”. In ragione degli eventi sviluppatisi e notificati a Codesta Autorità, nonché a seguito di confronto con i referenti dell’Azienda e con il RPD, è emersa la necessità di revisionare e implementare ulteriormente la procedura in essere e istruire ulteriormente gli incaricati e i responsabili interni di trattamento. I referenti aziendali hanno deciso di intraprendere un’azione correttiva volta ad aggiornare la gestione della cartella clinica in tutta la realtà aziendale. Saranno pertanto avviate le seguenti attività: Condivisione con tutte le UU.OO. sanitarie di vademecum sulla corretta gestione della cartella clinica; Condivisione con tutte le UU.OO. di un questionario di valutazione sull’attuale gestione della cartella clinica con lo scopo di definire ulteriori controlli della qualità documentale, oltre quelli già presenti nella procedura in allegato; Implementazione di ulteriori azioni di monitoraggio e revisione oltre a quelle già definite in procedura; Calendarizzazione di incontri specifici con il RPD; Programmazione di ulteriori corsi formativi focalizzati sulla corretta gestione di documentazione e dati clinici e sanitari”;

- in relazione all’art. 83, par. 2, lett. f), del Regolamento: “sono stati forniti all’Autorità tutti gli elementi dalla stessa richiesta entro i termini individuati da codesta Autorità Garante”;

- in relazione all’art. 83, par. 2, lett. g), del Regolamento: “la violazione ha ad oggetto dati particolari idonei a rilevare lo stato di salute (ex articolo 9 del Regolamento 679/2016/UE)”;

- in relazione all’art. 83, par. 2, lett. h), del Regolamento: “codesta Autorità Garante è venuta a conoscenza delle violazioni sulla base di apposite comunicazioni sviluppate dall’Azienda Socio Sanitaria Territoriale Melegnano e della Martesana”;

- in relazione all’art. 83, par. 2, lett. i), del Regolamento: “nelle comunicazioni intercorse, codesta Autorità Garante non ha fino ad oggi richiesto provvedimenti di natura correttivi inerenti le violazioni segnalate”;

- in relazione all’art. 83, par. 2, lett. j), del Regolamento: “l’Azienda Socio Sanitaria Territoriale Melegnano e della Martesana non ha aderito a codici di condotta i quali non paiono attualmente essere stati approvati/realizzati in ambito sanitario”;

- in relazione all’art. 83, par. 2, lett. k), del Regolamento: “dato l’attuale allentarsi dell’emergenza sanitaria derivante da Covid-19 rispetto al momento dell’avvenimento delle violazioni, si ritiene che, con un paziente ritorno alla gestione ordinaria delle attività, la possibilità di errore umano sia fortemente limitata”.

2.  Esito dell’attività istruttoria

Preso atto di quanto rappresentato dall’Azienda nella documentazione in atti e nelle memorie difensive, si osserva che:

- le informazioni oggetto della notifica costituiscono dati personali relativi alla salute, che meritano una maggiore protezione dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali (Cons. n. 51);

- la disciplina in materia di protezione dei dati personali prevede –in ambito sanitario- che le informazioni sullo stato di salute possono essere comunicate solo all’interessato e possono essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico (art. 9 Regolamento e art. 84 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101);

- il titolare del trattamento è, in ogni caso, tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di «integrità e riservatezza», secondo il quale i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. f) del Regolamento).

3. Conclusioni

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”, gli elementi forniti dal titolare del trattamento nelle memorie difensive sopra richiamate, che riconoscono quanto contestato nell’atto di avvio del procedimento di cui all’art. 166, comma 5, del Codice, non sono idonee ad accogliere le richieste di archiviazione formulate nelle memorie difensive, e non consentono di superare, integralmente, i rilievi notificati dall’Ufficio con il citato atto di avvio del procedimento.

Per tali ragioni si rileva l’illiceità dei trattamenti di dati personali effettuati dall’Azienda, in violazione dei principi di base del trattamento, di cui agli artt. 5 e 9 del Regolamento.

In tale quadro, considerato, in ogni caso, che la condotta ha esaurito i suoi effetti, non ricorrono allo stato i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

4. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i) e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par. 1, lett. f) e 9 del Regolamento, causata dalla condotta posta in essere dall’Azienda è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, lett. a) del Regolamento (cfr. art. 166, comma 2, del Codice).

Si consideri che il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2, del Regolamento in relazione ai quali si osserva che:

- i trattamenti effettuati dall’Azienda oggetto del presente provvedimento riguardano dati sulla salute di una sola interessata (art. 83, par. 2, lett. a) e g) del Regolamento);

- la violazione ha carattere colposo e deriva da un errore dell’autorizzato nell’imbustamento dei referti (art. 83, par. 2, lett. b) e d) del Regolamento);

- il titolare ha pienamente collaborato con il Garante nel corso del presente procedimento per rimediare all’errore umano riguardante un caso isolato (art. 83, par. 2, lett. f) del Regolamento);

- l’Autorità ha preso conoscenza della violazione a seguito della notifica di violazione da parte del titolare e non sono pervenuti reclami o segnalazioni al Garante sull’accaduto (art. 83, par. 2, lett. h) del Regolamento).

Sul punto, si fa presente, altresì, che l’Azienda è già stata destinataria di un provvedimento disposto ai sensi dell’art. 58 del Regolamento per aver effettuato dei trattamenti in violazione degli artt. 5, par. 1, lett. f), e 32 del Regolamento, in relazione a due episodi di smarrimento di dati sulla salute verificatosi in un ristretto arco temporale (provv.  29 aprile 2021, doc. web n. 9672313). Tuttavia, le citate violazioni non possono essere qualificate “precedente violazione” ai sensi dell’art. 83, par. 2, lett. e) del Regolamento, in quanto sono avvenute (o il titolare ne è venuto a conoscenza) successivamente alla condotta da cui ha avuto origine l’odierna notifica di violazione ai sensi dell’art. 33 del Regolamento.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, nella misura di euro 3.500,00 (tremilacinquecento) per la violazione degli artt. 5, par. 1, lett. f) e 9 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, considerato che l’Azienda è stata destinataria di un altro provvedimento e che i dati oggetto di trattamento illecito rientrano nella categoria particolare di cui all’art. 9, par.1, del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dall’Azienda socio sanitaria territoriale Melegnano e della Martesana, per la violazione degli artt. 5, par. 1, lett. f) e 9 del Regolamento.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, all’Azienda socio sanitaria territoriale Melegnano e della Martesana, con sede legale in Vizzolo Predabissi (MI),  via Pandina 1, 20070 P.IVA: C.F. e P. Iva 09320650964, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 3.500,00 (tremilaecinquecento) a titolo di sanzione amministrativa pecuniaria per la violazione indicata nel presente provvedimento; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla predetta Azienda socio sanitaria territoriale Melegnano e della Martesana, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 3.500,00 (tremilaecinquecento), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma,10 febbraio 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
9754355
Data
10/02/22

Argomenti

Sanità e ricerca scientifica Dati sanitari Aziende sanitarie Pazienti

Tipologie

Ordinanza ingiunzione o revoca

Vedi anche (10)