g-docweb-display Portlet

Provvedimento correttivo e sanzionatorio nei confronti dell’Azienda Universitaria Friuli Occidentale - 15 dicembre 2022 [9844989]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

VEDI ANCHE: Newsletter del 24 gennaio 2023

 

[doc. web n. 9844989]

Provvedimento correttivo e sanzionatorio nei confronti dell’Azienda Universitaria Friuli Occidentale - 15 dicembre 2022*
* Con sentenza del 13 ottobre 2023 il Tribunale di Pordenone ha annullato il provvedimento del Garante 15.12.2022, n. 415.

Si pubblica, di seguito, la sentenza: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9940829

 

 

Registro dei provvedimenti
n. 415 del 15 dicembre 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”);

VISTO il decreto legge 19 maggio 2020, n. 34 legge, convertito con modificazioni in legge 17 luglio 2020, n. 77, e, in particolare, l’art. 7 relativo alle metodologie predittive dell'evoluzione del fabbisogno di salute della popolazione;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Premessa

E’ stato segnalato a questa Autorità che la delibera della Giunta della Regione Friuli Venezia Giulia, n. 1737 del 20 novembre 2020 ha indicato ai Medici di Medicina Generale (di seguito anche solo MMG) di validare, al fine della corresponsione pro rata di parte del compenso variabile, “attraverso il portale informatico regionale, una lista di utenti/assistiti preventivamente individuati dall’Azienda sanitaria, secondo proprio criterio (non noto), come in condizioni di complessità e comorbidità al fine (apparente) di stratificazione statistica compilando schede informatiche in cui riportare dati bio-umorali personali, terapie, stato patologico, indirizzi familiari, condizioni/abitudini di vita, ecc.”. Unitamente alla segnalazione è stata fornita copia dell’allegato alla richiamata delibera recante il “verbale di intesa tra la Regione FVG e le organizzazioni sindacali dei MMG per la disciplina dei rapporti biennio 2020 -2021 e delle attività connesse all’emergenza epidemiologica da Covid-19”. Il primo degli obiettivi indicati nel predetto verbale riguarda la ”stratificazione, complessità e comorbidità ad alto rischio di complicanze maggiori per infezioni da Covid-19”, rispetto al quale nella sezione “note” del verbale sono fornite sintetiche indicazioni sulla predisposizione degli elenchi degli assistiti da sottoporre ai piani di medicina d’iniziativa e sulle modalità attraverso le quali gli stessi, tramite la società Insiel, sono scaricati “dal portale della continuità delle cure” e resi poi disponibili alle aziende sanitarie.

È stato inoltre segnalato che la predetta delibera imporrebbe ai MMG una comunicazione dei dati sulla salute dei propri pazienti senza possibilità per gli stessi di verificare “se l’Azienda sanitaria abbia [preventivamente] assunto il consenso” al trattamento dei dati personali degli stessi per finalità di “stratificazione statistica”, evidenziando, inoltre, come tale specifica disciplina preveda “la trasmissione ai fini statistici o amministrativi dei dati in modo anonimo”.

2. L’attività istruttoria

In relazione a quanto sopra richiamato, l’Ufficio ha avviato un’istruttoria preliminare (nota del XX, prot. n. XX) richiedendo alla Regione Friuli Venezia Giulia e ad altra azienda sanitaria regionale specifici elementi informativi in ordine in particolare a:

le iniziative assunte al fine di assicurare che i trattamenti necessari per svolgere le predette attività di medicina d’iniziativa fossero poste in essere in conformità alla disciplina in materia di protezione dei dati personali, con particolare riferimento a quanto indicato nei provvedimenti del Garante adottati sul tema (Parere al Consiglio di Stato sulle nuove modalità di ripartizione del fondo sanitario tra le regioni proposte dal Ministero della salute e basate sulla stratificazione della popolazione, del 5 marzo 2020, doc. web n. 9304455, parere sul disegno di legge della Provincia autonoma di Trento che reca specifiche disposizioni in materia di medicina di iniziativa, dell’8 maggio 2020, doc. web n. 9344635, parere sullo schema di regolamento relativo alle disposizioni attuative della legge provinciale trentino per la medicina di iniziativa nel servizio sanitario provinciale, del 1° ottobre 2020, doc. web 9469372, provvedimento del 17 dicembre 2020, doc. web n. 9529527; provvedimenti del 24 febbraio 2022 n. 63, 64, 65, 66, 67, 65, 68, 69 e 70, doc. web n. 9752177, 9752221, 9752260, 9752299, 9752410, 9752433, 9752490 e 9752524);

le finalità perseguite con il trattamento dei dati previsto dal verbale allegato alla citata delibera, e per ognuna di esse la relativa base giuridica del trattamento, nonché i relativi titolari e responsabili, ai sensi degli artt. 9, 24 e 28 del Regolamento;

qualora il trattamento sebbene volto al perseguimento di finalità di cura, non è strettamente necessario a tale scopo, le modalità di acquisizione preventiva del consenso informato e esplicito degli interessati, ai sensi dell’art. 9, par. 2, lett. a) del Regolamento;

la descrizione dei flussi di dati personali indicati nel verbale allegato alla delibera sopra richiamata, specificando se il trattamento avesse ad oggetto dati sulla salute ovvero anonimi e aggregati;

la valutazione d’impatto effettuata, ai sensi dell’art. 35 del Regolamento, considerato che trattasi di trattamenti su larga scala di categorie particolari di dati personali e quindi ad alto rischio.

La Regione, con nota del XX prot. n. XX ha dichiarato che: “per quanto riguarda, in particolare, l’obiettivo n. 1 [della richiama intesa] relativo alla validazione [della] lista assistiti in condizioni di complessità e comorbidità (popolazione target) ai fini della messa a disposizione degli Elenchi sul Portale Continuità delle Cure, si invitano i Direttori Generali dell’Azienda di pertinenza del singolo MMG a fornire quanto prima ad INSIEL, come per gli anni precedenti, l’indicazione operativa di rendere visibili le funzioni relative per i soli assistiti che abbiano espresso lo specifico consenso alla comunicazione dei loro dati al proprio MMG”. È stato precisato inoltre che, per tale finalità, “ARCS ha fornito il supporto metodologico per la predisposizione dell’algoritmo di definizione degli elenchi dei soggetti fragili appartenenti alle categorie RUB 4 e 5. Lo strumento utilizzato da ARCS per la predisposizione dell’algoritmo non contiene informazioni nominative dei pazienti ma un identificativo numerico anonimo, soggetto a variazione ogni 6 mesi. All’interno delle Regole sintattiche utilizzate è stato inserito un filtro di estrazione dei soggetti appartenenti alle categorie RUB 4 e 5 che avevano già manifestato il consenso alla visibilità da parte del MMG. (...). Le liste, già epurate, vengono pubblicate da INSIEL, per conto delle Aziende Sanitarie, per ogni MMG che, potendo identificare i loro assistiti, procedono alla validazione delle stesse”.

Con riferimento alle richiamate operazioni di trattamento di dati personali, la Regione ha dichiarato che “l’identificazione degli assistiti e il loro inserimento nelle liste trova il fondamento giuridico nel consenso generico fornito dall’interessato e relativo alla visibilità da parte del MMG”.

In relazione alla necessità di redigere una valutazione di impatto, è stato rappresentato anche che “nessuna attività di medicina di iniziativa può, pertanto, ravvisarsi nell’attività sopra descritta e, conseguentemente, nessuna attività di valutazione di rischio specifico risulta necessaria in primis da parte della Regione, che in ogni caso non ha mai accesso a dati personali, ma nemmeno da parte delle Aziende sanitarie regionali”.

L’Ufficio, nel prendere atto di quanto indicato dalla Regione e delle risultanze di un’analoga istruttoria avviata nei confronti di un’altra Azienda sanitaria regionale, ossia che il trattamento in esame aveva coinvolto tutte le aziende sanitarie regionali, ha effettuato un supplemento istruttorio nei confronti di queste ultime, tra le quali figura l’Azienda sanitaria Friuli Occidentale (di seguito anche ASFO o Azienda) e della Regione Friuli Venezia Giulia (nota del XX, prot. n. XX).

In particolare, l’Ufficio ha chiesto alla Regione e a Insiel S.p.a. di indicare le specifiche banche dati dalle quali sono state estratte le informazioni utilizzate per effettuare la predetta attività di stratificazione degli assistiti e i relativi titolari e responsabili del trattamento; la tipologia di informazioni e documenti clinici che sono stati trattati per l’attività di stratificazione, evidenziando le tecniche eventualmente utilizzate per assicurare la non identificabilità, anche indirettamente, dei soggetti interessati; il presupposto giuridico dei richiamati trattamenti; il numero di assistiti coinvolti dalla suddetta attività di stratificazione.

In risposta alla predetta richiesta di informazioni la Regione Friuli Venezia Giulia, con nota del XX (prot. n. XX), ha dichiarato, in particolare, che:

- “la scrivente, quale ente sovraordinato, gestisce il governo dell’infrastruttura sanitaria nell’ambito dei suoi compiti di programmazione sanitaria, verifica delle qualità delle cure e valutazione dell’assistenza sanitaria. Le Aziende sanitarie, per l’ambito di competenza, sono titolari dei dati contenuti nelle banche dati dell’infrastruttura ai sensi dell’art.24 del GDPR. ARCS è l’Azienda Regionale di coordinamento alla salute e svolge attività di supporto e collegamento fra la Regione e le Aziende. Insiel S.p.A. è la società in house nominata dalle Aziende responsabile ai sensi dell’art. 28 del GDPR”;

- “per fronteggiare la diffusione dei contagi e soprattutto prevenire accessi impropri alle strutture ospedaliere, in ottemperanza al DL 23/2020 e DL 34/2020, provvedeva alla promozione della vaccinazione attivando i MMG sulla base dell’intesa di cui alla delibera n. 1737/2020”;

- “In questo percorso la Regione, firmataria dell’accordo AIR con i MMG, ha avuto il ruolo di organizzazione e governo demandando alle Aziende sanitarie e ai MMG, titolari per le rispettive aree di competenza dei dati sanitari dei propri assistiti, nonché al Responsabile incaricato, la realizzazione del programma previsto dall’AIR”;

- “La coorte di soggetti così identificata da ogni medico diventa quindi la base per la valutazione delle attività successive: (…) qualora non fosse già stata compilata, così come previsto dalla normativa vigente (Nel DPCM n. 178/2015 viene introdotto il concetto di profilo sanitario sintetico o “patient summary”, che è il documento sociosanitario informatico redatto e aggiornato dal medico di medicina generale o pediatra di libera scelta, che riassume la storia clinica dell’assistito e la sua situazione corrente conosciuta. La finalità di tale documento è quella di favorire la continuità di cura, permettendo un rapido inquadramento dell’assistito al momento di un contatto con il SSN)”;

- “gli elenchi messi a disposizione ai MMG, come indicato espressamente nell’accordo AIR, sono definiti utilizzando lo strumento denominato ACG attraverso la selezione degli assistiti a cui il sistema ha assegnato le classi RUB 4 e 5”. In particolare, è stato rappresentato che i “RUBs (Resource Utilization Bands) sono delle misure sintetiche del grado di complessità assistenziale di una popolazione intesa in termini di consumi attesi di risorse” e che essi “classificano in una scala da 0 a 5 il livello atteso di assorbimento di risorse sanitarie, (…) e non forniscono una quantificazione economica o una descrizione della tipologia di risorse attese”.- L’algoritmo del “sistema Johns Hopkins ACG System viene implementato (…) da Insiel che ne ottiene i risultati”, ossia la lista degli assistiti che è stata fornita a ciascun medico di medicina generale (MMG), che relativamente ai propri assistiti, avrebbero potuto modificarla o validarla sulla base delle informazioni a sua disposizione.

Insiel S.p.a., con nota del XX (prot. n. XX), in qualità di responsabile delle aziende sanitarie regionali, ha dichiarato, in particolare, che:

− “Le informazioni utilizzate per effettuare l’attività di elaborazione richiesta sono state estratte dal data warehouse regionale. Ogni Azienda Sanitaria (ASU GI, ASU FC, AS FO) è Titolare del trattamento dei dati personali dei propri assistiti contenuti nel suddetto data warehouse regionale”.

L’ARCS ha rappresentato che Insiel avrebbe provveduto ad alimentare il “sistema Johns Hopkins ACG System” con dei dataset di input, contenenti informazioni su diagnosi codificate, farmaci assunti, costi sostenuti dal SSR, età e genere (cfr. nota ARCS del XX, prot. XX).

Secondo quanto dichiarato in atti, i dati trattati sono stati pseudonimizzati attraverso l’apposizione di codici numerici casuali elaborati da ARCS per l’attribuzione “dei filtri sulle classi Rub 4 e 5 e sulla presenza del consenso alla visualizzazione del fascicolo sanitario” e resi disponibili alla società Insiel. Tale società, “Al fine di comunicare i dati ad ogni MMG in relazione ai propri assistiti, ha aggiunto codice fiscale, cognome e nome all’estrazione e ha reso disponibile l’elenco dei pazienti sull’applicativo regionale Portale di Continuità della Cura secondo il seguente tracciato: − codice fiscale MMG − codice regionale MMG − codice fiscale assistito − cognome assistito − nome assistito − classe di età − piano assistenziale integrato − vaccinati antipneumococco − ACG-RUB”.

Infine, in relazione al numero dei pazienti convolti dalle richiamate operazioni di trattamento, è stato rappresentato che l’elenco si compone di oltre 40.000 (di cui 9.487 afferenti ad ASFO).

In relazione a quanto dichiarato in atti, l’Ufficio, con nota del XX (prot. n. XX), ha richiesto informazioni alle aziende sanitarie della Regione Friuli Venezia Giulia, tra cui ASUGI, affinché fossero indicate le banche dati dalle quali sono state estratte le informazioni utilizzate per effettuare la predetta attività di stratificazione degli assistiti; il presupposto giuridico in base al quale si è consentito ad ARCS di accedere, nelle forme sopra richiamate, ai dati degli assistiti di codeste Aziende, e ad Insiel di elaborare i dati attraverso l’impiego del sistema “Johns Hopkins ACG System”.

In risposta alla predetta richiesta di informazioni, l’Azienda, con nota del XX (prot. n. XX), ha rappresentato, in particolare, che:

- “con nota XX del XX la Direzione Centrale Salute (DCS) della Regione Friuli Venezia Giulia, trasmetteva a questa Azienda la delibera di giunta regionale n. XX del XX. Tale nota, ribadendo quanto stabilito nella delibera (punto 3 del dispositivo) prescriveva che le Aziende sanitarie regionali erano “tenute a dare seguito agli adempimenti attuativi dell’Intesa 2020-2021 nel rispetto delle disposizioni in essa contenute e coerentemente alle disposizioni nazionali e regionali in materia”;

- “Dagli atti sopraindicati risulta che i trattamenti oggetto dell’attuale richiesta di informazioni e, in particolare, la stratificazione di assistiti attraverso l’applicazione dell’algoritmo ACG e la conseguente elaborazione di elenchi di assistiti rientranti nelle categorie c.d. RUB 4 e RUB 5, venivano effettuati da ARCS e Insiel S.p.A., società in-house della Regione Friuli Venezia Giulia, su mandato regionale”;

- “Il ruolo di questa Azienda era esclusivamente quello di fornire a Insiel S.p.A. “l’indicazione operativa di rendere visibili le funzioni […] per i soli assistiti che abbiano espresso lo specifico consenso alla comunicazione dei loro dati al proprio MMG”, e di verifica del raggiungimento dell’obiettivo da parte dei MMG e conseguente pagamento degli incentivi ai MMG, sulla base della percentuale di raggiungimento dello stesso”;

- “Per quanto riguarda il presupposto giuridico in base al quale si consentiva ad ARCS e a Insiel S.p.A. di effettuare i trattamenti in questione, si ritiene che lo stesso possa essere individuato nella DGR n. 1737/2020 citata e nella legge regionale FVG n. 22/2019 recante “riorganizzazione dei livelli di assistenza norme in materia di pianificazione e programmazione sanitaria e sociosanitaria e modifica alla Legge regionale 26/2015 e alla Legge regionale 6/2006”.

Alla luce di tali riscontri, l’Ufficio ha chiesto ulteriori informazioni alla Regione, a Insiel S.p.a. e alle aziende sanitarie regionali in merito alle specifiche banche dati attraverso le quali Insiel ha alimentato il sistema John Hopkins ACGsystem da cui sono state estratte le informazioni utilizzate per effettuare l’attività di stratificazione degli assistiti in esame, nonché di indicare se le suddette banche dati di titolarità delle singole aziende sanitarie corrispondono a quelle utilizzate dalle stesse per alimentare il FSE ovvero, in caso negativo, di indicare da quali banche dati (nota del XX, prot. n. XX).

La Regione Friuli Venezia Giulia, con nota del XX (prot. n. XX), ha precisato che “i MMG avrebbero potuto redigere in autonomia i suddetti elenchi laddove il completamento dei patient summary fosse stato concluso, cosa che ancora non è avvenuta. Pertanto, stante il particolare momento emergenziale, la scrivente ha fornito indicazione ai soggetti autorizzati ed abilitati affinché dessero ai MMG il necessario supporto tecnico per la definizione delle liste”.

La Regione ha inoltre fornito una nota di Insiel S.p.a., del XX (prot. n. XX), con la quale la Società ha indicato le banche dati utilizzate per le predette attività tra le quali figurano anche quelle del Fascicolo sanitario elettronico.

In risposta alla richiamata richiesta di informazioni, l’Azienda ha rappresentato che “il proprio ruolo sia stato esclusivamente quello di dare seguito -in ottemperanza alla delibera di Giunta regionale n. 1737 del 20 novembre 2020 - agli adempimenti attuativi dell’Intesa 2020-2021 tra la Regione Friuli Venezia Giulia e le Organizzazioni Sindacali dei Medici di Medicina Generale (MMG), nel rispetto delle disposizioni in essa contenute e coerentemente alle disposizioni nazionali e regionali in materia” (nota del XX).

Nella predetta nota, l’Azienda ha inoltre ribadito di essere stata “invitata a fornire a Insiel S.p.A. “l’indicazione operativa di rendere visibili le funzioni […] per i soli assistiti che abbiano espresso lo specifico consenso alla comunicazione dei loro dati al proprio MMG” [..]; ha poi verificato il raggiungimento dell’obiettivo da parte dei MMG, pagando il loro relativi incentivi. Le finalità (programmazione e valutazione dell’assistenza sanitaria) e i mezzi del trattamento (applicazione dell’algoritmo ACG) alle banche dati presenti nel data wherehouse regionale sono, invece, stati interamente stabiliti a livello regionale con la delibera anzidetta”.

3. La normativa in materia di protezione dei personali e la specifica disciplina dei settori rilevanti

In base al Regolamento, per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, punto 1, del Regolamento).

Per pseudonimizzazione si intende “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile” (Cons. 26 e art. 4 (5) del Regolamento).

La normativa in materia di protezione dei dati personali non trova applicazione in riferimento “a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l'identificazione dell'interessato” (cfr. Cons. 26 del Regolamento e WP29 Opinion 05/2014 on Anonymisation techniques, adottato il 10 aprile 2014).

Il dato anonimizzato è tale solo se non consente in alcun modo l’identificazione diretta o indiretta di una persona, tenuto conto di tutti i mezzi (economici, informazioni, risorse tecnologiche, competenze, tempo) nella disponibilità di chi (titolare o altro soggetto) provi a utilizzare tali strumenti per identificare un interessato. L’anonimizzazione non può considerarsi realizzata attraverso la mera rimozione delle generalità dell’interessato o sostituzione delle stesse con un codice pseudonimo. Un processo di anonimizzazione non può definirsi effettivamente tale qualora non risulti idoneo ad impedire che chiunque utilizzi tali dati, in combinazione con i mezzi “ragionevolmente disponibili”, possa:

1. isolare una persona in un gruppo (single-out);

2. collegare un dato anonimizzato a dati riferibili a una persona presenti in un distinto insieme di dati (linkability);

3. dedurre nuove informazioni riferibili a una persona da un dato anonimizzato (inference) (cfr. Parere 05/2014 - WP 216 sulle tecniche di anonimizzazione, adottato il 10 aprile 2014).

Ciò premesso, il trattamento di dati personali deve avvenire nel rispetto dei principi stabiliti e delle ulteriori regole del Regolamento e delle rilavanti disposizioni del Codice.

In relazione al caso in esame si richiamano, in particolare, i principi di liceità, correttezza e trasparenza secondo cui i dati personali devono essere trattati in modo lecito, corretto e trasparente (art. 5, par. 1 lett. a), del Regolamento; cfr. anche Article 29 Data Protection Working Party, Opinion 03/2013 on purpose limitation del 2 aprile 2013).

Più nello specifico, il Regolamento prevede un generico divieto al trattamento delle particolari categorie di dati, tra cui rilevano quelli relativi alla salute degli interessati, a meno che non ricorra una delle particolari esenzioni da tale divieto di cui all’art. 9, par. 2 del Regolamento medesimo.

A tale riguardo, si segnalano le ipotesi in cui:

- l’interessato abbia prestato il proprio consenso esplicito, salvo nei casi in cui il diritto dell'Unione o degli Stati membri disponga diversamente (art. 9, par. 2, lett. a) del Regolamento);

- il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato (art. 9, par. 2, lett. g) del Regolamento). In tale ipotesi rileva altresì l’art. 2-sexies del Codice in base al quale “i trattamenti delle categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, del Regolamento, necessari per motivi di interesse pubblico rilevante ai sensi del paragrafo 2, lettera g), del medesimo articolo, sono ammessi qualora siano previsti dal diritto dell'Unione europea ovvero, nell'ordinamento interno, da disposizioni di legge o di regolamento o da atti amministrativi generali che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché' le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato”;

- il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell'Unione o degli Stati membri o conformemente al contratto con un professionista della sanità (art. 9, par. 2, lett. h) e par. 3 del Regolamento e 75 del Codice; provv. del Garante recante Chiarimenti sull'applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario del 7 marzo 2019 doc. web 9091942).

Con riferimento al principio di trasparenza si segnalano altresì i correlati oneri informativi di cui agli artt. 13 e 14 del Regolamento, in base ai quali ogni trattamento deve essere preceduto da una idonea informativa anche al fine di consentire agli interessai di esercitare i diritti loro spettanti (art. 15-22 del Regolamento). Tale principio impone inoltre che le informazioni e le comunicazioni relative al trattamento dei dati personali siano rese in una forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (cons. 39 e 58 e art. 12 del Regolamento).

Il Regolamento prevede, inoltre, che “quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi” (art. 35; Gruppo art. 29 Linee-guida n. 248 concernenti "La valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento" adottate in forma emendata il 4.10.2017).

Al riguardo, si evidenzia, sin da subito, che tale adempimento non è stato derogato dalla disciplina emergenziale adottata con riferimento al contesto pandemico, come può evincersi, ad esempio, dall’autorizzazione fornita dall’Autorità sulla valutazione di impatto effettuata dal Ministero della salute con riferimento ai trattamenti effettuati nell’ambito del sistema nazionale di contact tracing -App Immuni (cfr. provvedimenti del 1° giugno 2020, 25 febbraio 2021 e del 24 novembre 2022), nonché dai provvedimenti adottati in materia nel contesto emergenziale (cfr. provvedimenti del 13 maggio 2021, doc. web n. 9685332, del 13 gennaio 2022, doc. web n. 9744496).

Rilevato che l’iniziativa esaminata ha previsto l’estrazione di dati sulla salute degli assistiti dal Datawarehouse dell’Azienda per il tramite della Società Insiel SPA, Società ICT in house della Regione, nominata Responsabile del trattamento, attraverso l’utilizzo di un algoritmo fornito dalla Agenzia regionale per il coordinamento della salute, si evidenzia altresì quanto segue.

Tale attività determina la raccolta e l'elaborazione di dati sanitari al fine di realizzare, con riferimento a specifiche patologie (che, nel caso in esame, sono quelle che possono esporre gli assisti più fragili a contrarre infezioni più gravi da SARS Cov-2), un profilo sanitario di rischio dell'interessato, utile per mettere in atto interventi preventivi di presa in carico del paziente.

L’attività di stratificazione del rischio sanitario della popolazione si configura come un’attività amministrativa prodromica all’attività di cura, consistente nella presa in carico del paziente, in quanto consente di classificare gli assistiti ritenuti a maggior rischio, al fine di predisporre nei loro confronti una precoce e specifica attività di presa in carico.

3.1 Attività di stratificazione della popolazione assistita

Con specifico riferimento ai trattamenti effettuati dagli organi sanitari per fini di interesse pubblico, anche alla luce di quanto indicato dal Ministero della salute1 in materia e sostenuto dal Garante nei numerosi provvedimenti sul tema sopra richiamati, tali operazioni di trattamento rientrano nell’ambito della c.d. “medicina di iniziativa”, seppure rivolta, nel caso di specie, al solo contesto emergenziale.

Ciò in quanto, attraverso tali trattamenti, si effettua una stratificazione degli assistiti del Servizio sanitario ragionale in base alle informazioni relative allo stato di salute individuale, per la relativa collocazione in classi di rischio sanitario, al fine di individuare modelli assistenziali volti alla promozione attiva di interventi sanitari che mirano a una precoce presa in carico degli stessi (cfr. anche i citati parere sul disegno di legge della Provincia autonoma di Trento che reca specifiche disposizioni in materia di medicina di iniziativa, dell’8 maggio 2020, doc. web n. 9344635, parere sullo schema di regolamento relativo alle disposizioni attuative della legge provinciale trentino per la medicina di iniziativa nel servizio sanitario provinciale, del 1° ottobre 2020, doc. web n. 9469372, provv. nei confronti della dall’Azienda USL Toscana Sud Est del 17 dicembre 2020, doc. web n. 9529527, provvedimenti n. 63, 64, 65, 66, 67, 65, 68, 69 e 70 del 24 febbraio 2022 doc. web n. 9752177, 9752221, 9752260, 9752299, 9752410, 9752433, 9752490 e 9752524).

3.2. Attività di presa in carico del paziente

Con specifico riferimento alle finalità di cura e prevenzione, si rappresenta che il Garante ha già evidenziato che tali trattamenti devono essere considerati ulteriori e autonomi rispetto a quelli strettamente necessari alle ordinarie attività di cura e prevenzione (art. 9, par. 2 lett. h) del Regolamento), e quindi effettuabili solo sulla base dello specifico consenso informato dell’interessato (art. 9, par. 2 lett. a) del Regolamento) (cfr. ex multis, parere sul disegno di legge della Provincia autonoma di Trento che reca specifiche disposizioni in materia di medicina di iniziativa, dell’8 maggio 2020, doc. web n. 9344635).

3.3. I trattamenti effettuati attraverso il Fascicolo sanitario elettronico

Giova altresì evidenziare che attraverso il Fascicolo sanitario elettronico (FSE) possono essere perseguite le finalità previste dalla specifica disciplina di settore e in particolare quelle di: a) diagnosi, cura e riabilitazione; a-bis) prevenzione; a-ter) profilassi internazionale; b) studio e ricerca scientifica in campo medico, biomedico ed epidemiologico; c) programmazione sanitaria, verifica delle qualità delle cure e valutazione dell'assistenza sanitaria (art. 12, 18 ottobre 2012, n. 179, convertito con modificazioni in legge 17 dicembre 2012, n. 221, e dpcm 29 settembre 2015, n. 178).

Tra le finalità perseguibili attraverso il FSE non figura pertanto quella relativa alla medicina predittiva o di iniziativa. Il legislatore, infatti, anche nei recenti interventi effettuati in materia, non ha esteso tale finalità tra quelle perseguibili attraverso il FSE. I dati accessibili attraverso il FSE, privati degli elementi identificativi diretti, potranno invece essere trattati dal Ministero della salute, anche mediante l'interconnessione con altre fonti di dati, per le finalità e con le modalità che saranno stabilite con decreto del Ministro della salute, che dovrà essere adottato previo parere del Garante, nel rispetto di quanto previsto dal Regolamento, dal Codice, dal Codice dell'amministrazione digitale e dalle linee guida dell'Agenzia per l’Italia digitale in materia di interoperabilità (art. 2-sexies, comma 1-bis) (cfr. anche pareri resi dal Garante il 22 agosto 2022, n. 294 e 295 doc. web nn. 9802752 e 9802729).

L’avvenuta prestazione del consenso dell’interessato al trattamento dei dati presenti nel FSE per finalità di cura non legittima pertanto i soggetti che accedono a tale strumento informativo a elaborare le informazioni ivi presenti per delineare specifici profili di rischio sanitario dell’interessato.

3.3. Attività statistica

Tenuto conto che in sede istruttoria si è fatto riferimento ad una attività di “stratificazione statistica”, si evidenzia, infine, che il trattamento di dati personali, svolto per tali finalità da parte di soggetti che partecipano al sistema statistico nazionale (SISTAN), deve in ogni caso avvenire nel rispetto, non solo delle pertinenti disposizioni del Regolamento (artt. 5, par. 1, lett. c) e e) e 89) e del Codice (artt. 2-sexies, comma 2, lett. cc) e 104 e ss.), ma anche delle Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica effettuati nell’ambito del Sistema Statistico nazionale, Allegato A4 al Codice, nonché della specifica disciplina di settore di cui al d.lgs. n. 322/1989, recante “Norme sul Sistema statistico nazionale e sulla riorganizzazione dell’Istituto nazionale di statistica”.

4. Il procedimento sanzionatorio

A seguito dei richiamati riscontri, l’Ufficio, con atto n. XX del XX, ha notificato all’Azienda Universitaria Friuli Occidentale, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, paragrafo 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

In particolare, l’Ufficio ha rilevato la sussistenza di elementi idonei a configurare, da parte dell’Azienda, la violazione della normativa in materia di protezione dei dati personali in relazione al trattamento di dati personali relativi alla salute, seppur trattati in forma pseudonimizzata, in assenza di un idoneo presupposto giuridico e, quindi, in violazione dei principi applicabili al trattamento di cui agli artt. 5, par. 1 lett. a), 9, del Regolamento, nonché dell’art. 2-sexies del Codice; in violazione del principio di trasparenza, non avendo fornito agli interessati le informazioni specifiche in ordine a tali trattamenti di dati personali come previste dall’art. 14 del Regolamento; in violazione degli obblighi del titolare in ordine alla valutazione d'impatto sulla protezione dei dati personali ai sensi dell'art. 35 del Regolamento.

Con la nota del XX, prot. n. XX, l’ASFO ha fatto pervenire i propri scritti difensivi avanzando un’istanza formale di audizione.

Nei richiamati scritti, l’Azienda ha dichiarato “di rinvenire il presupposto giuridico delle scelte regionali nella legge FVG 19 dicembre 2019, n. 22”, che stabilisce che “[...] il Servizio sanitario regionale attiva modalità organizzative innovative di presa in carico, basate sulla proattività e sulla medicina di iniziativa”, precisando (art. 4, comma 5) che “Le attività per l'assistenza sociosanitaria sono definite nell'ambito delle linee annuali per la gestione del Servizio sanitario regionale”. L’Azienda ricorda poi che queste ultime, per il 2020 (approvate con DGR n. 2195/2019), prevedevano la necessità di “mappare e stratificare la popolazione di riferimento sulla base della complessità del case mix, del rischio di eventi e della fragilità, utilizzando strumenti quali l'Adjusted Clinical Groups (ACG) al fine di ottimizzare l'appropriatezza della presa in carico e degli interventi per livelli di intensità e di complessità”.

L’Azienda ha inoltre rappresentato che la stessa e “l’ufficio competente "Medicina Convenzionata" non hanno mai dato seguito all'invito regionale— riguardante l'obiettivo n. 1 dell'Intesa 2020-2021- di fornire a Insiel S.p.A. "l'indicazione operativa di rendere visibili le funzioni per i soli assistiti che abbiano espresso lo specifico consenso alla comunicazione del loro dati al proprio MMG" (cfr. nota DCS prot. n. XX del XX, allegato I alla risposta ASFO prot. n. XX cit.)”.

L’Azienda ha precisato di non aver mai “richiesto” a Insiel “di attivarsi nei termini suddetti”, tuttavia la predetta Società “con mera comunicazione e-mail del XX […], ha predisposto direttamente, già a partire dalle ventiquattro ore successive, il rilascio di "un adeguamento del SCC [Sistema Continuità delle Cure, ndr], come da indicazioni dell'Allegato alla delibera n._1737 del 20/11/2020, che consiste della lista degli assistiti del MMG in complessità e comorbidità (popolazione target), per consentirne la validazione del MMG stesso”.

L’Azienda ha quindi precisato che “Insiel S.p.A., in tal modo, si è adeguata al dettato della DGR n. 1737/2020 e dell'allegata Intesa 2020-2021 tra Regione FVG e Rappresentanze sindacali dei MMG, senza acquisire l'autorizzazione di questa Azienda sanitaria”. Alla luce di tali motivazioni l’Azienda dichiara che “non si reputa titolare del trattamento conseguente all’attività di stratificazione”.

L’Azienda, con successiva comunicazione del XX, ha rinunciato all’audizione.

5. Esito dell’attività istruttoria

Preso atto di quanto rappresentato dall’Azienda nella documentazione in atti e nelle memorie difensive, alla luce del quadro normativo sopra richiamato e di quanto emerso nell’ambito delle informazioni acquisite dalla Regione Friuli Venezia Giulia, da Insiel s.p.a. e da ARCS si confermano, nei limiti di cui alle seguenti motivazioni, le valutazioni preliminari dell’Ufficio.

5.1 Assenza di un idoneo presupposto giuridico per il trattamento

L’Azienda, ha rappresentato, in particolare, di rinvenire il presupposto giuridico delle scelte regionali da cui discendono i trattamenti in esame nella legge regionale FVG n. 22/2019, secondo cui  “[…] il Servizio sanitario regionale attiva modalità organizzative innovative di presa in carico, basate sulla proattività e sulla medicina di iniziativa […]” e “le attività per l’assistenza sociosanitaria sono definite […] nell’ambito delle linee annuali per la gestione del Servizio sanitario regionale. Tali linee annuali per l’anno 2020 sono state approvate con Delibera della Giunta della Regione Friuli Venezia Giulia, n. 2195/2019 prevedendo la necessità di “mappare e stratificare la popolazione di riferimento sulla base della complessità del case mix, del rischio di eventi e della fragilità, utilizzando strumenti quali l'Adjusted Clinical Groups (ACG) al fine di ottimizzare l'appropriatezza della presa in carico e degli interventi per livelli di intensità e di complessità”.

A tale riguardo, si evidenzia che il presupposto di liceità di tali trattamenti non può rinvenirsi nel quadro normativo sopra evidenziato e in particolare nella DGR n. 2195/2019, che non rispetta quanto richiesto dall’art. 2 sexies del Codice ed è privo dell’indicazione dei soggetti che possono effettuare il trattamento, delle operazioni eseguibili e dell’interesse pubblico rilevante (cfr. in tal senso parere sul disegno di legge della Provincia autonoma di Trento che reca specifiche disposizioni in materia di medicina di iniziativa, dell’8 maggio 2020, doc. web n. 9344635, parere sullo schema di regolamento relativo alle disposizioni attuative della legge provinciale trentino per la medicina di iniziativa nel servizio sanitario provinciale, del 1° ottobre 2020, doc. web 9469372).

Come già ribadito dall’Autorità anche nel parere al Consiglio di Stato, la profilazione dell’utente del servizio sanitario, sia questo regionale o nazionale, determinando un trattamento automatizzato di dati personali volto ad analizzare e prevedere l’evoluzione della situazione sanitaria del singolo assistito e l’eventuale correlazione con altri elementi di rischio clinico (nel caso di specie l’infezione da Sars Cov-2), può essere effettuata solo nel rispetto di requisiti specifici e garanzie adeguate per i diritti e le libertà degli interessati (cfr. art. 4, par. 1, n. 4 artt. 13, par. 1 lett. f); 14, par. 2, lett. g), 15, par. 1, lett. h) art. 21, par. 1 e 35, par 3, lett. a) del Regolamento), ovvero sulla base di una disposizione che abbia i requisiti previsti dalla disciplina in materia di protezione dei dati personali, di cui al richiamato articolo 2-sexies, comma 1, del Codice.

Al riguardo, si evidenzia che l’utilizzo di sistemi di medicina predittiva da parte del Ministero della salute è infatti stato previsto da una specifica disposizione normativa, ovvero dal richiamato art. 7 del c.d. decreto “Rilancio” (d.l. n. 34 del 2020), che prevede espressamente che il predetto Dicastero, nell’ambito dei propri compiti istituzionali e in particolare, delle funzioni relative a indirizzi generali e di coordinamento in materia di prevenzione, diagnosi, cura e riabilitazione delle malattie, nonché di programmazione tecnico sanitaria e indirizzo, coordinamento, monitoraggio dell'attività tecnico sanitaria regionale, possa trattare dati personali, anche relativi alla salute degli assistiti, raccolti nei sistemi informativi del Servizio sanitario nazionale, per lo sviluppo di metodologie predittive dell’evoluzione del fabbisogno di salute (art. 7, comma 1, d.l. n. 34/20). Tale articolo rinvia ad un regolamento, da adottarsi con decreto del Ministro della salute, previo parere del Garante, nel quale sono individuati i dati personali, anche inerenti alle categorie particolari di dati che possono essere trattati, le operazioni eseguibili, le modalità di acquisizione dei dati dai sistemi informativi dei soggetti che li detengono e le misure appropriate e specifiche per tutelare i diritti degli interessati, nonché i tempi di conservazione dei dati trattati (art. 7, comma 2).

Inoltre, con specifico riferimento alla circostanza che sarebbero stati estratti dalla società Insiel solo i dati di coloro che hanno prestato il consenso alla consultazione del FSE, tenuto conto delle specifiche finalità perseguite attraverso il Fascicolo che non comprendono quelle di medicina di iniziativa, si rappresenta che il consenso manifestato per i trattamenti effettuati attraverso il FSE non può considerarsi un idoneo presupposto di liceità per i trattamenti in esame svolti dell’Azienda.

Con specifico riferimento alla circostanza che Insiel abbia estratto dai data base dell’Azienda i dati sulla salute degli assistiti senza un’espressa autorizzazione del titolare, dando esecuzione alla citata delibera regionale, e che pertanto l’Azienda non si “consideri titolare di tale trattamento” si specifica quanto segue.

Come evidenziato dalla stessa Azienda, Insiel accede alla predetta banca dati in qualità di responsabile del trattamento, da ciò si evince che la titolarità del trattamento ricade sull’ASFO, titolarità derivante dalle disposizioni di settore, in quanto l’azienda sanitaria è l’unico soggetto legittimato a trattare le informazioni sulla salute degli assistiti sulla base del quadro normativo vigente.

Tale titolarità è del resto riconosciuta anche nelle dichiarazioni in atti della Regione (nota del XX, prot. n. XX) e di Insiel (nota del XX, prot. n. XX) a cui l’ASFO rinvia espressamente in merito a quanto sostenuto dai predetti enti in ordine alle banche dati da cui sono stati elaborati i dati da parte di Insiel (nota del XX).

Si rappresenta inoltre che, come evidenziato nelle Linee guida 07/2020 sui concetti di titolare e di responsabile del trattamento dell’EDPB del 7 luglio 2021, è compito del titolare del dato, in questo caso dell’Azienda, decidere cosa il responsabile del trattamento debba fare in relazione ai dati personali, il quale ha il dovere di rispettare le istruzioni del titolare del trattamento, ma ha anche l’obbligo generale di rispettare la normativa di settore (punti 139, 147). Spetta inoltre al titolare adottare la decisione finale con cui si approvano le modalità di esecuzione del trattamento nonché chiedere eventuali modifiche (punto 30 delle predette Linee guida).

Nonostante l’Azienda non abbia autorizzato il trattamento legato alla stratificazione della popolazione assistita attraverso l’elaborazione dei dati presenti nelle banche dati di cui è titolare, allo stato degli atti non risulta che sia intervenuta nei confronti del responsabile alcuna iniziativa per impedire tale trattamento o per chiederne la cessazione qualora lo avesse ritenuto illegittimo.

Si evidenzia inoltre che quanto dichiarato dall’Azienda con la nota del XX sopra richiamata contraddice quanto affermato dalla stessa nella nota del XX. Mentre infatti nella nota del 1° aprile l’ASFO dichiara di non aver fornito indicazioni ad Insiel sull’attuazione della predetta delibera regionale, avendo la predetta società agito in via autonoma, nella nota del 28 gennaio la stessa Azienda aveva riconosciuto che il proprio ruolo è “stato esclusivamente quello di dare seguito -in ottemperanza alla delibera di Giunta regionale n. 1737 del 20 novembre 2020 - agli adempimenti attuativi dell’Intesa 2020-2021 tra la Regione Friuli Venezia Giulia e le Organizzazioni Sindacali dei Medici di Medicina Generale (MMG), nel rispetto delle disposizioni in essa contenute e coerentemente alle disposizioni nazionali e regionali in materia” (incipit della nota).

A tale riguardo, giova ribadire che la circostanza che un soggetto terzo, nel caso in esame rappresentato dalla Regione, chieda a un titolare (Azienda sanitaria), anche per il tramite del responsabile, di effettuare operazioni di trattamento su dati personali rispetto ai quali quest’ultimo è titolare, indicandone anche le modalità, non esclude che spetta a quest’ultimo, anche in base al principio di responsabilizzazione (artt. 5, par. 2 e 24 del Regolamento), valutare la legittimità della richiesta e, in particolare, la sussistenza di una idonea base giuridica per effettuare le operazioni di trattamento richieste, tanto più che, nel caso di specie, le predette operazioni hanno riguardato dati sulla salute di un ingente numero di assistiti a livello regionale attraverso l’uso di algoritmi (cfr. in particolare provv. del Garante n. 63, 64, 65, 66, 67, 68, 69 e 70 del 24 febbraio 2022, doc. web n. 9752177, 9752221, 9752260, 9752299, 9752410, 9752433, 9752490 e 9752524).

Tutto ciò premesso, risulta accertato che l’Azienda ha effettuato un trattamento di dati personali, anche relativi alla salute degli assistiti del servizio sanitario regionale, in assenza di un idoneo presupposto giuridico e quindi in violazione dei principi applicabili al trattamento e delle disposizioni di cui agli artt. 5, par. 1, lett. a), 9, del Regolamento, nonché dell’art. 2-sexies del Codice.

5.2. Informativa agli interessati

Nelle proprie memorie difensive il titolare del trattamento non ha fornito chiarimenti in ordine alla contestazione relativa alla violazione dell’obbligo di rendere agli interessati un’ideona informativa sul trattamento dei dati personali ai sensi degli articoli 13 e 14 del Regolamento.

Ciò stante, atteso che per i trattamenti svolti non può ritenersi applicabile alcuna delle esenzioni dallo svolgimento di tale obbligo informativo, di cui all’art. 14, par. 5 del Regolamento e che i dati sono stati ottenuti dall’Azienda accendendo ai propri Datawarehouse, risulta accertata la violazione del principio di trasparenza di cui all’art. 5, par. 1, lett. a) e all’art. 14 del Regolamento.

5.3 Valutazione di impatto

I trattamenti effettuati dall’Azienda hanno riguardato dati relativi alla salute di un numero elevato di soggetti vulnerabili.

La fattispecie in esame rientra infatti tra quelle per le quali il titolare è tenuto ad effettuare, “prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali” (art. 35 del Regolamento). Ciò, in quanto, per il trattamento in esame, ricorrono certamente due dei criteri indicati dal Comitato Europeo per la protezione dei dati per individuare i casi in cui un trattamento debba formare oggetto di una valutazione di impatto. In particolare, si fa riferimento ai seguenti criteri: trattamento di “dati sensibili o aventi carattere altamente personale” e di “dati relativi ad interessati vulnerabili” tra i quali si annoverano i malati (cfr. Linee guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilità che il trattamento "possa presentare un rischio elevato" ai fini del regolamento (UE) 2016/679 adottate il 4 aprile 2017, come modificate e adottate da ultimo il 4 ottobre 2017, e fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018 -WP 248 rev.01, III, lett. B, punti 4 e 7). Si ritiene poi che, con riferimento al caso di specie, possano essere soddisfatti anche i criteri relativi al “trattamento di dati su larga scala” considerato che, secondo quanto dichiarato in atti il trattamento ha riguardato oltre 9.000 interessati e l’uso innovativo di nuove soluzioni tecnologiche od organizzative (cfr. richiamate Linee guida, III, lett. B, punti 5 e 8).

Si evidenzia inoltre che le disposizioni d’urgenza adottate nel corso degli ultimi mesi prevedono degli interventi emergenziali che implicano il trattamento dei dati e che sono frutto di un delicato bilanciamento tra le esigenze di sanità pubblica e quelle relative alla protezione dei dati personali, in conformità a quanto dettato dal Regolamento per il perseguimento di motivi di interesse pubblico nei settori della sanità pubblica (cfr. art. 9, par. 1, lett. i)). Resta ovviamente fermo che il trattamento dei dati personali connesso alla gestione della predetta emergenza sanitaria deve svolgersi nel rispetto della disciplina vigente in materia di protezione dei dati personali e, in particolare, dei principi applicabili al trattamento, di cui agli artt. 5 e 25, par. 2, del Regolamento, in parte sopra richiamati.

Ciò stante, si evidenzia che la predetta normativa di urgenza non ha derogato le disposizioni in materia di protezione dei dati personali relative alla valutazione di impatto sulla protezione dei dati (art. 35 del Regolamento), come dimostrano i numerosi interventi dell’Autorità in materia. Il Garante è infatti intervenuto con riferimento alla valutazione d’impatto con riferimento ai trattamenti effettuati in ambito emergenziale relativamente al sistema nazionale di contact tracing -App Immuni (cfr. provvedimenti del 1° giugno 2020, 25 febbraio 2021 e del 24 novembre 2022), alle certificazioni verdi Covid-19 (c.d. green pass, cfr. parere del 9 giugno 2021, doc. web n. 96680064, parere del 31 agosto 2021, doc. web n. 9694010, parere dell’11 ottobre 2021, doc. web n. 9707431, del 27 gennaio 2022, doc. web n. 9742129 e del 18 febbraio 2022, doc. web n. 9746905) e a specifici trattamenti effettuati da Aziende sanitarie in relazione all’emergenza da Covid-19 (cfr. provvedimenti del 13 maggio 2021, doc. web n. 9685332, del 13 gennaio 2022, doc. web n. 9744496).

Risulta pertanto accertata la violazione dell’obbligo di cui all’art. 35 del Regolamento.

6. Conclusioni

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dall’Azienda nel corso dell’istruttoria e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”, gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare tutti i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni, si confermano le sopra richiamate valutazioni preliminari dell'Ufficio e si rileva l'illiceità dei trattamenti di dati personali effettuati dall’Azienda Universitaria Friuli Occidentale in violazione dei principi del trattamento di cui agli artt. 5, par. 1 lett. a), 9, del Regolamento, nonché dell’art. 2-sexies del Codice; in violazione del principio di trasparenza, non avendo fornito agli interessati le informazioni specifiche in ordine a tali trattamenti di dati personali previste dall’art. 14 del Regolamento; in violazione degli obblighi del titolare in ordine alla valutazione d'impatto sulla protezione dei dati personali ai sensi dell'art. 35 del Regolamento.

La violazione delle predette disposizioni rende, altresì, applicabile la sanzione amministrativa prevista dall’art. 83, par. 4 e 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo.

In tale quadro, considerata l’assenza di un idoneo presupposto giuridico per il trattamento dei dati personali in esame e che l’ASFO non ha fornito indicazioni in merito alla cancellazione degli stessi, si ritiene di dover ingiungere alla predetta Azienda, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, la cancellazione dei dati  risultanti dalla predetta elaborazione delle informazioni presenti nelle banche dati aziendali oggetto del presente provvedimento da completarsi entro 90 giorni dall’adozione del presente provvedimento.

7. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice)

La violazione degli artt. 5 par. 1, lett. a), 9, 14 e 35 del Regolamento nonché degli artt. degli artt. 2-sexies e 75 del Codice, causata dalla condotta dell’Azienda Universitaria Friuli Occidentale è soggetta all’applicazione della sanzione amministrativa pecuniaria, ai sensi dell’art. 83, par. 4, lett. a) e 5, lett. a) e b) del Regolamento.

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2 del Regolamento. In relazione alla violazione di dati personali notificata dal titolare del trattamento, ai sensi dell’art. 33 del Regolamento, si osserva che:

- la condotta ha riguardato dati relativi alla salute di oltre 40.000 assistiti del servizio sanitario regionale di cui oltre 9.000 dell’ASFO;

- il trattamento ha avuto luogo nel contesto emergenziale causato dalla pandemia da covid-19;

- non sono pervenute al Garante segnalazioni o reclami da parte di specifici interessati in relazione alla questione esaminata;

- l’Azienda ha collaborato pienamente con l’Autorità nel corso dell’istruttoria e del presente procedimento;

- pur essendo stata destinataria di altro provvedimento sanzionatorio, lo stesso riguarda altre fattispecie di trattamento (dossier sanitario) con riferimento alle quali il titolare opera mediante il medesimo responsabile del trattamento (provvedimento del 26.5.2022, n. 200).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 4 lett. a) e 5, lett. a) e b) del Regolamento, nella misura di € 55.000 (cinquantacinquemila) per la violazione degli artt. 5, par. 1 lett. a), 9 e 14 e 35 del Regolamento e 2-sexies del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1 e 3, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dall’Azienda Universitaria Friuli Occidentale, per la violazione degli dell’art. 5, par. 1, lett. a), 9, 14 e 35 del Regolamento e dell’art. 2-sexies del Codice nei termini di cui in motivazione.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, all’Azienda Universitaria Friuli Occidentale, Via della Vecchia Ceramica, 1 33170 Pordenone (PN)Codice fiscale/partita iva n. 01772890933, di pagare la somma di € € 55.000 (cinquantacinquemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla predetta Azienda:

- In caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di € 55.000 (cinquantacinquemila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981;

- ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, all’Azienda Universitaria Giuliano Isontina entro il termine di giorni 90 dalla notifica del presente provvedimento, di procedere alla cancellazione dei dati risultanti dall’elaborazione delle informazioni presenti nelle banche dati aziendali oggetto del presente provvedimento.

- ai sensi dell’art. 58, par. 1 lett. a) del Regolamento e 157 del Codice, di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto sopra ingiunto con il presente provvedimento e di fornire comunque riscontro adeguatamente documentato, entro il termine di giorni 20 dalla scadenza del termine sopra indicato; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 15 dicembre 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei

 

 

(1) Per “medicina di iniziativa” si intende un modello assistenziale orientato alla “promozione attiva” della salute dell’individuo, specie se affetto da malattie croniche o disabilità, e alla responsabilizzazione delle persone nel proprio percorso di cura (fonte Ministero della salute http://www.salute.gov.it/portale/temi/p2_6. jsp?id=496 &area=Cure%20primarie&menu=cure, cfr., tra i molti richiami, Ministero della salute, Assemblea generale del Consiglio Superiore di Sanità, “Telemedicina- linee guida nazionali”, 10 luglio 2012, cfr. par. 2.3.2, Decreto 02 aprile 2015 , n. 70 -Regolamento recante definizione degli standard qualitativi, strutturali, tecnologici e quantitativi relativi all'assistenza ospedaliera, Accordo tra il Governo, le Regioni e le Province autonome di Trento e Bolzano sulle linee progettuali per l’utilizzo da parte delle Regioni delle risorse vincolate ai sensi dell’articolo 1, commi 34 e 34 bis, della legge 23 dicembre 1996, n. 662 per la realizzazione degli obiettivi di carattere prioritario e di rilievo nazionale per l’anno 2014.