[doc. web n. 9853446]

Ordinanza ingiunzione nei confronti di Azienda Sanitaria Locale di Brindisi - 11 gennaio 2023

Registro dei provvedimenti
n. 6 dell'11 gennaio 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito il “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante il “Codice in materia di protezione dei dati personali”, contenete disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito il “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Il reclamo e l’attività istruttoria

In data XX è stato presentato un reclamo all’Autorità per mezzo del quale la reclamante, per il tramite del proprio legale, ha lamentato di aver esercitato i diritti di cui agli artt. da 15 a 22 del Regolamento nei confronti della Azienda Sanitaria Locale di Brindisi, sita in Brindisi, Via Napoli 8, c.a.p. 72100 – C.F. 01647800745 (d’ora in avanti “Azienda sanitaria”) e di non aver ricevuto riscontro.

In particolare, l’interessata, in data XX, aveva richiesto all’Azienda sanitaria, ai sensi dell’art. 15 del Regolamento, l’accesso ai dati personali, nonché le motivazioni per le quali risultassero taluni dati, non corretti, sul proprio certificato vaccinale emesso dall’Azienda medesima.

Nello specifico della vicenda, l’interessata ha evidenziato che “in data XX alla suddetta veniva somministrata la prima dose del vaccino “anti-covid19” “AstraZeneca” presso la “Tensostruttura” di via Sandro Pertini in Castellana Grotte (BA); (…) in data XX la stessa si recava nuovamente presso la anzidetta struttura per ricevere la seconda dose del vaccino. (…) Il personale sanitario faceva presente alla (…) (interessata) di non poter procedere al trattamento poiché, dai controlli effettuati sulla propria tessera sanitaria risultava che alla stessa fosse già stata somministrata la seconda dose vaccinale in data XX presso I’ “Istituto Scolastico Falcone” in Mesagne (BR), mostrandole a tal merito copia di un attestato di vaccinazione rilasciato dalla ASL Brindisi (…). Tuttavia, la stessa non era mai stata presso il predetto centro vaccinale, né aveva ricevuto alcun trattamento sanitario in data XX presso alcun centro riferibile alla ASL Brindisi”.

Successivamente al mancato riscontro, l’interessata, in data XX, ha presentato reclamo all’Autorità, chiedendo “ogni opportuno provvedimento e, in particolare ingiungere al titolare del trattamento di soddisfare le richieste di esercizio dei diritti previsti dal Regolamento (in particolare art. 15 e ove applicabili artt. 17 e 19) (…)”.

Con nota del XX (prot. n. XX), l’Autorità ha invitato l’Azienda sanitaria ad aderire alle richieste della reclamante e tale Azienda ha provveduto a rispondere al legale della reclamante e, al contempo, all’Autorità con nota del XX (prot. n. XX), rappresentando, fra altro, che:

- “(…) dalle verifiche poste in essere si è potuto accertare che nella data del XX presso il centro vaccinale di Mesagne vi è stata un'ampia affluenza di popolazione per la vaccinazione anti-covid19, così come del resto accaduto in tutte le sedute svoltesi nei diversi HUB vaccinali della ASL di Brindisi nel primo semestre dell'anno XX. La gestione di un così elevato numero di utenti, in un lasso di tempo contingentato, al fine di evitare assembramenti all’interno dei vari hub vaccinali, con la necessità di procedere a una registrazione massiva di dati personali che richiede anche dei passaggi di tipo manuale, ha potuto determinare l'errore meramente materiale e assolutamente non intenzionale verificatosi nei confronti della (…) (reclamante), certamente addebitabile ad un'omonimia”;

- “(…) nessun indebito utilizzo dei dati personali della sig.ra si è potuto realizzare nell'occasione. La procedura prevede, infatti, che ogni operatore addetto alla vaccinazione debba preliminarmente procedere al controllo del nominativo presente sul modulo del consenso con la carta di identità verificando la coincidenza dei dati personali presenti sull’uno e l’altro documento. Quello che verosimilmente si è verificato nel caso di specie è che l'operatore addetto alla registrazione, dopo avere inserito i dati personali ed una volta apparso il menu a tendina che richiamava tutti gli assistiti con il cognome (…) (medesimo dell’interessata), abbia involontariamente registrato la vaccinazione a nome della sig.ra (…) e non dell'omonima che nella giornata del XX aveva effettivamente ricevuto la somministrazione”;

- “(…) si conferma pertanto, anche per le motivazioni su cui ci si soffermerà nel prosieguo, che non è più in corso alcun trattamento di dati personali inerenti (…) (l’interessata) ai sensi dell'art. 15 del GDPR. I dati erronei inseriti nell’anagrafe regionale vaccinale Giava risultano da tempo corretti, per cui il nominativo della sig.ra (…) non è più presente nei suddetti archivi. Infatti, rilevato l'inconveniente e considerate precedenti dinamiche similari già accadute, è stata sufficiente una comunicazione per le vie brevi fra gli operatori delle ASL interessate per una verifica del caso e la risoluzione dell'errore tramite cancellazione da parte dello stesso operatore del dato non corretto. (…) Analogamente, nessun ritardo ha dovuto subire la signora in ragione dell’erronea annotazione nei registri vaccinali, posto che ha potuto comunque ricevere la dose nell'occasione di tempo e di luogo da lei prescelta. Certamente criticabile è stato il mancato riscontro alla diffida del XX”;

- “A giustificazione di tale involontaria omissione devesi fare riferimento alle oggettive, e peraltro notorie, difficoltà in cui il Dipartimento di Prevenzione, articolazione aziendale competente, si è trovato ad operare nel corso della campagna vaccinale, con smaltimento di carichi di lavoro straordinari ed imprevisti conseguenti all'emergenza pandemica. Tale situazione straordinaria ha di fatto ostacolato l'adempimento nei tempi previsti della procedura adottata da quest'Azienda per l'esercizio dei diritti degli interessati, pubblicata sul sito istituzionale nell'apposita sezione “privacy” (…)”.

L’azienda ha documentato quanto rappresentato allegando, fra altro, la nota di “comunicazione della Sincon, software house che gestisce l’applicativo vaccinale GIAVA, che attesta la cancellazione del dato errato in data XX”.

Sulla base della documentazione in atti e delle valutazioni effettuate, l’Ufficio, con atto del XX (prot. n. XX), ha notificato all’Azienda sanitaria, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del Regolamento.

In particolare l’Ufficio, nel predetto atto, ha comunicato che, sulla base degli elementi acquisiti nel corso dell’attività istruttoria, nonché delle successive valutazioni effettuate, è risultato che l’Azienda sanitaria, a fronte dell’istanza  avanzate dall’interessata al fine di esercitare i propri diritti previsti dal Regolamento, nonché di ricevere spiegazioni in merito al dato non corretto sopra citato, non ha fornito alcun riscontro; in data XX, aveva, comunque, provveduto alla cancellazione del dato non corretto risultante dal certificato vaccinale anti Covid-19 dell’interessata, inserito da un proprio operatore per “(…) errore meramente materiale e assolutamente non intenzionale (…) addebitabile ad un'omonimia”.

L’Azienda sanitaria, quale titolare del trattamento, solo a seguito dell’invito di questa Autorità del XX - formulato dall’Ufficio nell’ambito del procedimento relativo al sopra citato reclamo - in data XX ha risposto alla reclamante; ciò, in violazione dell’art. 12, par. 3, in relazione all’art. 15 del Regolamento.

In riferimento a quanto rilevato, l’Ufficio ha, altresì, invitato il titolare del trattamento a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

Con nota del XX, l’Azienda sanitaria ha presentato una memoria difensiva, nella quale, ribadendo quanto già comunicato a seguito dell’invito ad aderire dell’Autorità, ha evidenziato, fra altro, che: 

- “Il Dipartimento di Prevenzione dell’ASL BRINDISI, ha provveduto prontamente alla materiale cancellazione del dato errato (in data XX) richiesta dalla (…) reclamante”;

- “I motivi del mancato riscontro scritto da parte del Dipartimento di Prevenzione, articolazione aziendale competente, sono da rinvenirsi nell’emergenza pandemica coronavirus che aveva determinato carichi di lavoro straordinari ed imprevisti, ostacolando in concreto l’adempimento nei termini previsti”;

- “Tale situazione straordinaria ha di fatto ostacolato l'adempimento nei tempi previsti della procedura adottata da quest'Azienda per l'esercizio dei diritti degli interessati, pubblicata sul sito istituzionale nell'apposita sezione “privacy” (v. deliberazione n. 481/2020)”;

- “Con nota in data XX la ASL Brindisi si è scusata nei confronti della reclamante per il mancato riscontro all’istanza di accesso formulata dalla reclamante, spiegandone i motivi”.

In ragione di quanto sopra, l’Azienda ha chiesto all’Autorità di voler procedere all’archiviazione del procedimento de quo e, in subordine, di voler qualificare il caso come “violazione minore” ai sensi del dell’art. 83, par. 2 e del considerando 148 del Regolamento, “(…) nella considerazione delle seguenti circostanze:”

- “a) l’episodio risulta essere un caso isolato, riconducibile ad una condotta non dolosa dell’Azienda”;

- “b) la ASL Brindisi ha adottato misure tecniche ed organizzative adeguate per favorire l´esercizio dei diritti e il riscontro alle richieste presentate dagli interessati nei termini di legge. Ed invero, con deliberazione n°481/2020 ha approvato la “Procedura di gestione dei diritti degli interessati - Regolamento UE 2016/679”. La suddetta procedura è stata debitamente diffusa a tutto il personale ed è stata pubblicata sul sito istituzionale aziendale nella sezione “privacy”; inoltre tutte le strutture aziendali sono state sollecitate ad attenersi scrupolosamente alle procedure aziendali in materia di protezione di dati personali”.

2. Esito dell’attività istruttoria

Preso atto di quanto rappresentato e documentato nel corso dell’istruttoria dal titolare del trattamento sia con la nota del XX (prot. n. XX), successiva all’invito ad aderire formulato dall’Autorità, sia con la memoria difensiva del XX, prodotta dal titolare del trattamento a seguito della notifica dell’avvio del procedimento per l’adozione dei provvedimenti di cui all’art 58, par. 2, del Regolamento

- effettuata dall’Autorità ai sensi dell’art. 166, comma 5, del Codice - si osserva che:

- il Regolamento, agli artt. 12 e ss. disponendo in materia di “diritti dell’interessato”, prevede il diritto di quest’ultimo di ottenere dal titolare del trattamento quanto richiesto ai sensi degli artt. da 15 a 22 del Regolamento medesimo, senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta;

- se non ottempera alla richiesta dell’interessato, il titolare del trattamento informa quest’ultimo senza ritardo, al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale (art. 12, paragrafo 4, del Regolamento). In pari senso, il Considerando 59 del Regolamento medesimo, prevede che “il titolare del trattamento dovrebbe essere tenuto a rispondere alle richieste dell’interessato (…) e a motivare la sua eventuale intenzione di non accogliere tali richieste”;

- l’Azienda sanitaria, a fronte della richiesta avanzata dall’interessata in data XX, non ha fornito risposta, né ha rappresentato idonei motivi per giustificare tale inottemperanza, provvedendo, in tal senso, solo a seguito dell’invito di questa Autorità, del XX, formulato nell’ambito del procedimento relativo al sopra citato reclamo;

- l’Azienda sanitaria, in data XX, prima che l’interessata esercitasse i diritti previsti dal Regolamento, aveva, comunque, provveduto alla cancellazione del dato non corretto risultante dal certificato vaccinale anti Covid-19 relativo a quest’ultima;

- l’Azienda ha dichiarato che i “(…) motivi del mancato riscontro scritto da parte del Dipartimento di Prevenzione, articolazione aziendale competente, sono da rinvenirsi nell’emergenza pandemica coronavirus che aveva determinato carichi di lavoro straordinari ed imprevisti (…) (e) ostacolato l'adempimento nei tempi previsti dalla procedura adottata da quest'Azienda per l'esercizio dei diritti degli interessati, pubblicata sul sito istituzionale nell'apposita sezione “privacy” (v. deliberazione n. 481/2020)”;

- “Con nota in data XX la ASL Brindisi si è scusata nei confronti della reclamante per il mancato riscontro all’istanza di accesso formulata dalla reclamante, spiegandone i motivi”.

- quanto all’atteggiamento psicologico, si è trattato, da quanto dichiarato dall’Azienda, di caso “isolato, riconducibile ad una condotta non dolosa dell’Azienda”.

3.  Conclusioni

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗  si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Nel caso oggetto di reclamo, non avendo la struttura sanitaria fornito risposta a fronte della richiesta di accesso ai propri dati personali avanzata - ai sensi dell’art. 15 del Regolamento -  dall’interessata in data XX, né rappresentato idonei motivi per giustificare tale inottemperanza, provvedendo, in tal senso, solo a seguito dell’invito di questa Autorità, del XX, formulato nell’ambito del procedimento relativo al sopra citato reclamo, si confermano le valutazioni preliminari dell’Ufficio e si accerta la violazione dell’art. 12, par. 3, in relazione all’art. 15 del Regolamento. 

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice. In tale quadro, considerando, in ogni caso, che l’Azienda ha fornito riscontro alla reclamante, scusandosi per la mancata risposta nei termini previsti dal Regolamento, non ricorrono i presupposti per l’adozione di provvedimenti di tipo prescrittivo, di cui all’art. 58, par. 2, del Regolamento.

La violazione accertata nei termini di cui in motivazione non può essere considerata “minore”, tenuto conto della natura, della gravità e della durata della violazione stessa, del grado di responsabilità, della maniera in cui l'autorità di controllo ha preso conoscenza della violazione (cons. 148 del Regolamento). Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2 del Regolamento si dispone l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) Regolamento).

Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2, del Regolamento, in relazione ai quali si considera che:

- si è trattato di un caso isolato e non è rinvenibile alcun comportamento doloso da parte dell’Azienda sanitaria (art. 83, par. 2, lett. a) e b) del Regolamento);

- l’Azienda, fornendo riscontro a seguito dell’invito dell’Autorità, si è scusata dell’accaduto con la reclamante (art. 83, par. 2, lett. c) del Regolamento);

- nei confronti della Azienda sanitaria medesima non è stato in precedenza adottato alcun provvedimento riguardante una violazione pertinente (art. 83, par. 2, lett. e) del Regolamento);

- l’Azienda sanitaria ha tenuto un comportamento collaborativo con l’Autorità (art. 83, par. 2, lett. f) del Regolamento);

- l’Azienda ha dichiarato che i “(…) motivi del mancato riscontro scritto da parte del Dipartimento di Prevenzione, articolazione aziendale competente, sono da rinvenirsi nell’emergenza pandemica coronavirus che aveva determinato carichi di lavoro straordinari ed imprevisti (…) (e) ostacolato l'adempimento nei tempi previsti dalla procedura adottata (…) per l'esercizio dei diritti degli interessati, pubblicata sul sito istituzionale nell'apposita sezione “privacy” (v. deliberazione n. 481/2020)”; (art. 83, par. 2, lett. f) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria, nella misura di euro 2.500,00 (duemilacinquecento) per la violazione dell’art. 12, par. 3, in relazione all’art. 15 del Regolamento quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che, in considerazione della materia riguardante l’osservanza della normativa in materia di esercizio dei diritti, debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento effettuato dall’Azienda Sanitaria Locale di Brindisi, sita in Brindisi, Via Napoli 8, c.a.p. 72100 – C.F. 01647800745 per la violazione, nei termini di cui in motivazione, dell’art. 12, par. 3, in relazione all’art. 15 del Regolamento;

ORDINA

all’Azienda Sanitaria Locale di Brindisi, in persona del legale rappresentante pro-tempore, con sede in Brindisi, Via Napoli 8, c.a.p. 72100 – C.F. 01647800745 ai sensi degli artt. 58, par. 2, lett. i),  83, par. 5, del Regolamento e 166, comma 2, del Codice, di pagare la somma di euro 2.500,00 (duemilacinquecento) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla medesima struttura sanitaria di pagare la somma di euro 2.500,00 (duemilacinquecento), in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 11 gennaio 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei