Provvedimento del 14 settembre 2023 [9939623]
Provvedimento del 14 settembre 2023 [9939623]
Condividi[doc. web n. 9939623]
Provvedimento del 14 settembre 2023
Registro dei provvedimenti
n. 399 del 14 settembre 2023
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi, vice segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”);
VISTO il d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”;
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;
Relatore l’avv. Guido Scorza;
PREMESSO
1. La notifica di data breach
Con comunicazione del XX, l’Ente Provincia Italiana Suore Ospedaliere del Sacro Cuore di Gesù – Casa di Cura Villa San Benedetto (di seguito “Ente”) ha notificato una violazione di dati personali, ai sensi dell’art. 33 del Regolamento, dichiarando, in particolare, che la violazione si è verificata in due momenti. In particolare “nel primo caso (XX), il servizio amministrativo della struttura Villa San Benedetto Menni ha erroneamente intestato la fattura di un paziente A (…) ad un soggetto B (…), inviando la stessa al soggetto B. L’errore è avvenuto in quanto l’operatore, a causa dell'omonimia, ha scelto dal sistema CRS SISS della Regione Lombardia il nominativo errato. Nel secondo caso (XX), nel procedere all’invio della fattura intestata correttamente al paziente A (…), la stessa veniva inviata al soggetto B (….) a causa dell'errata trascrizione a mano dell'indirizzo sulla busta” con la conseguenza che “al soggetto B (…) è stata inviata in maniera errata una fattura inerente la prestazione legata al colloquio psichiatrico sostenuto dal paziente A (….). In tal modo il soggetto B è venuto a conoscenza che il paziente A ha sostenuto il colloquio psichiatrico con la nostra struttura e con il secondo invio è venuto a conoscenza anche dei dati anagrafici e di contatto”.
Oltre a chiedere al soggetto B di procedere alla distruzione dei dati del paziente A, provvedendo “a comunicare al paziente A quanto accaduto”, l’Ente, in relazione alle misure tecniche e organizzative adottate (o di cui si propone l’adozione) per prevenire simili violazioni future, ha dichiarato che “la struttura ha deciso di implementare ulteriori controlli in fase di accettazione per la corretta identificazione dei pazienti anche per le prestazioni erogate via web. A tal fine è stata incaricata la responsabile della qualità per avere la procedura operativa che è già stata introdotta tra le procedure aziendali”.
2. Valutazioni del Dipartimento sul trattamento effettuato e notifica della violazione di cui all’art. 166, comma 5 del Codice
In relazione ai fatti descritti nella notifica di violazione, l’Ufficio, con nota del XX (prot. n. XX), ha notificato all’Ente, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitandolo a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981). Ciò, in quanto è stato ritenuto che lo stesso Ente ha effettuato una comunicazione di dati relativi alla salute in assenza di un idoneo presupposto giuridico e, quindi, in violazione dei principi di base del trattamento di cui agli artt. 5 e 9 del Regolamento e degli obblighi in materia di sicurezza di cui all’art. 32 del Regolamento.
Con nota del XX, l’Ente ha fatto pervenire le proprie memorie difensive, nelle quali, in particolare, ha evidenziato che:
- “il sig. XX (C.F. XX), nato a XX(XX), il XX, nell’anno XX richiedeva una seduta di psicoterapia individuale, svolgendo il colloquio in modalità on-line”, “quindi, contattava personalmente il personale della Struttura, (…), e fissava un colloquio in data XX, terminato il quale l’Ufficio Amministrativo si rendeva conto dell’insufficienza rispetto ad alcuni dati necessari per la fatturazione”;
- “stante ciò, la sig.ra (…), impiegata dell’Ufficio Amministrativo, acquisiva i predetti dati attraverso il “Servizio di Anagrafe Regionale degli Assistiti e delle Strutture” presente nel “Sistema Informativo Socio-Sanitario” (c.d. SISS). Tale sistema, messo a disposizione da Regione Lombardia, permette agli operatori del settore di consultare tutti i dati relativi alle prestazioni socio-sanitarie di cui i cittadini usufruiscono nell'ambito della predetta regione, comprensivi di quelli anagrafici e di contatto”;
- “nel verificare, quindi, i dati del sig. XX (C.F. XX), per un mero caso di omonimia, la dipendente acquisiva quelli relativi ad un soggetto minore, XX (C.F. XX), nato a XX (XX), il XX e residente in XX (XX), XX”;
- “provvedeva, così, ad intestare la fattura allo stesso (…) (…) e ad inviarla, a mezzo posta ordinaria, alla sua residenza. A seguito dell’invio della fattura, la struttura veniva tempestivamente contattata dai (…) genitori del minore, i quali segnalavano l’errore”;
- “tale invio, tuttavia, non comportava alcuna violazione della normativa in materia di protezione dei dati, poiché il minore non veniva a conoscenza di alcun dato personale e/o sensibile; l’errore, infatti, si risolveva in un documento contabile “nullo”, intestato ad una persona del tutto estranea ad una prestazione sanitaria di cui non aveva usufruito”;
- “eseguite le opportune valutazioni, pertanto, la sig.ra (…) predisponeva a favore del minore una nota di credito a storno della fattura (…) e, contemporaneamente, provvedeva ad emettere nuova fattura (…), intestandola correttamente al paziente, sig. XX (C.F. XX) (…). A causa, probabilmente, di una disattenzione della dipendente, data dai sovrapporsi delle due attività da parte della dipendente stessa, sulla busta di invio della fattura corretta la dipendente riportava l’indirizzo di residenza del minore, inviando a lui l’originale e comunicando i dati anagrafici, di contatto e sanitari del paziente sig. XX (C.F. XX)”;
- “in data XX, i genitori del minore comunicavano l’errato invio della fattura e la Struttura si attivava tempestivamente per predisporre tutte le misure adeguate alla gestione della violazione. Preliminarmente veniva comunicata la violazione ex art. 34 del Regolamento (UE) 27 aprile 2016, n. 679 all’interessato ed al soggetto a cui erano stati comunicati i dati particolari. Con raccomandata del XX (…), l’interessato veniva puntualmente relazionato circa l’errore materiale in cui era incorsa la dipendente nella trascrizione dell’indirizzo di invio della fattura, comunicando in maniera puntuale tutte le misure correttive adottate in considerazione della violazione dei suoi dati”;
- “con raccomandata nella medesima giornata (…), la Struttura ragguagliava, altresì, i genitori del minore ribadendo il mero errore materiale in cui era incorsa la dipendente nella trascrizione dell’indirizzo di invio della fattura. Riferiva, poi, l’utilizzo di soli dati anagrafici e di contatto del minore; confermava l’impossibilità di cancellazione dei dati de quibus poiché necessari a fini fiscali e contabili; comunicava di non aver trattato e/o divulgato alcun dato sanitario del minore poiché non era stata erogata alcuna prestazione sanitaria; confermava di aver provveduto ai relativi adempimenti così come prescritti dalla normativa ed avvertiva di aver già predisposto, rispetto alle prestazioni erogate via Web, l’implementazione di ulteriori controlli in fase di accettazione ed identificazione dei pazienti. Si chiedeva, infine, ai genitori del minore di procedere alla distruzione della documentazione in originale a loro mani”;
- “contestualmente, la Struttura notificava la violazione ex art. 33 Regolamento (UE) 27 aprile 2016, n. 679 all’Autorità Garante” e “al fine di scongiurare il reiterarsi di episodi di violazione la Struttura apprestava, sin da subito, le opportune cautele; dapprima, avviava un procedimento disciplinare avverso la dipendente, (…), la quale ricevuta la lettera di contestazione disciplinare si riconosceva esclusivamente colpevole della causazione dell’evento, circostanza che ha portato la Struttura ad irrogare la sanzione della sospensione dal servizio per un giorno (…); pur avendo già compiutamente svolto specifiche attività formative in relazione alla protezione dei dati per l’intera struttura sanitaria, compreso il settore amministrativo (…), sin da subito, valutava l’implementazione di corsi di formazione ulteriori rispetto a quelli già svolti nel primo semestre dei XX (…); infine, predisponeva una revisione delle procedure di accettazione ed erogazione delle prestazioni ambulatoriali, con particolare riguardo a quelle eseguite in modalità telematica, a seguito della quale veniva divulgato un nuovo protocollo (…), riportante i necessari correttivi. Del nuovo protocollo veniva data compiuta comunicazione attraverso una e-mail ai coordinatori di reparto, incaricati di dettagliare le novità inserite dal documento e, per garantire una informazione capillare, il documento veniva pubblicato sulla intranet aziendale”;
- “ad oggi, quindi, le prenotazioni delle prime visite psichiatriche e psicologiche vengono effettuate esclusivamente dall’ambulatorio del Dipartimento di Neuroscienze Cliniche della Struttura, ovvero dal CEDANS, Centro Europeo Disturbi d’Ansia ed Emotivi, il quale, previa registrazione dell’anagrafica del paziente nel gestionale “PRIAMO”, si occupa di trasmettere al paziente la fattura da saldare in anticipo rispetto alla prestazione sanitaria prenotata”;
- “preme rilevare come” sia stato eccepito “erroneamente, la violazione della normativa rispetto a due episodi quando, nella realtà dei fatti puntualmente descritta nella premessa in fatto, il primo invio della fattura al minore risulta icto oculi del tutto irrilevante. Tale invio, infatti, non ha comportato alcuna violazione della normativa in materia di protezione dei dati personali, poiché il minore riceveva una semplice fattura riportante dati anagrafici e di contatto propri. In tale occasione, quindi, il minore non veniva a conoscenza di alcun dato personale e/o particolare. Né potrà rilevare la circostanza che la fattura rinviava a generiche prestazioni di “psicoterapia individuale”, poiché tale dicitura non rivelava informazioni relative allo stato di salute di alcuna persona fisica realmente esistente, essendo la fattura intestata, seppur erroneamente, al minore”;
- “quanto al secondo episodio (…) preme porre l’attenzione sulla natura della violazione che, pur riguardando la divulgazione di dati sanitari si è limitata esclusivamente a comunicare una tipologia di prestazione fornita dalla Struttura, senza indicare alcun dato ulteriore o più specifico che potesse fornire dettagli rispetto al quadro clinico del paziente. Proprio con riferimento alla gravità, quindi, si può affermare che l’episodio occorso, pur necessitando l’attenzione massima da parte della Struttura, la quale si è mostrata tempestiva, è inquadrabile in una violazione di “minore” gravità”;
- “con riferimento (…) alla durata della violazione, la Struttura ha contenuto la violazione rapidamente, eseguendo tutte le più opportune azioni atte a limitare la lesione dei diritti dell'interessato. D’altro canto, è oggettivo come rispetto alla fattispecie oggetto di discussione vi è stato il coinvolgimento di un unico interessato, il paziente sig. XX, il quale informato dell’evento non ha manifestato alcuna rimostranza tanto che, dopo oltre sei mesi dall'accaduto non sono pervenute lamentele, né richieste di risarcimento del danno da parte dello stesso”;
- “è evidente il carattere eccezionale dell’evento che esclude del tutto anche il solo carattere colposo della violazione. Ciò è chiaramente testimoniato dalle circostanze che hanno determinato la violazione dei dati personali del paziente, compiutamente specificate nella premessa; nello specifico, la dipendente dovendo stornare la fattura erroneamente intestata al minore e, contemporaneamente, dovendo inviare quella corretta all'interessato, ha compilato la busta di invio della fattura corretta con l’indirizzo del minore”;
- “attraverso specifiche misure tecniche ed organizzative (…)” si “poneva rimedio alla violazione, riducendone gli effetti negativi; in particolare, attivava indagini interne per individuare le esatte modalità di svolgimento dell'incidente, individuando la responsabilità di quanto accaduto in capo alla dipendente sig.ra (…), alla quale, al termine di un attento procedimento disciplinare in cui la stessa ammetteva il proprio esclusivo errore, veniva irrogata la pena della sospensione dal servizio per la durata di un giorno”;
- “in considerazione del contesto e delle finalità di trattamento, la Struttura adeguava le proprie procedure al fine di garantire un livello di sicurezza adeguato al rischio. Tanto che, ad oggi, la Struttura non ha mai contato alcuna violazione ulteriore”;
- “la violazione ha riguardato dati di natura sanitaria, con esclusivo riguardo, tuttavia, alla comunicazione di una generica tipologia di prestazione di cui l’interessato ha usufruito presso la Struttura. Non sono, quindi, stati comunicati ulteriori e/o specifici che potessero fornire dettagli rispetto ad una diagnosi o al quadro clinico dell'interessato”.
3. Esito dell’attività istruttoria
Preso atto di quanto rappresentato dall’Ente nella documentazione in atti e nelle memorie difensive, si osserva che:
1. le informazioni oggetto della notifica costituiscono dati relativi alla salute (art. 4, par. 1, n.15 del Regolamento), che meritano una maggiore protezione dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali (Cons. n. 51);
2. la disciplina in materia di protezione dei dati personali prevede –in ambito sanitario- che le informazioni sullo stato di salute possono essere comunicate solo all’interessato e possono essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico (art. 9 Regolamento e art. 84 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101);
3. il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di «integrità e riservatezza», secondo il quale i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. f) del Regolamento);
4. l’adeguatezza delle misure tecniche e organizzative deve essere valutata da parte del titolare del trattamento rispetto alla natura dei dati, all’oggetto, alle finalità del trattamento e al rischio per i diritti e le libertà fondamentali degli interessati, tenendo conto dei rischi che derivano dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso a dati personali trasmessi, conservati o comunque trattati (art. 32, par. 1 e 2 del Regolamento).
Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ si rappresenta che gli elementi forniti dall’Ente nella notifica di violazione e nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con il citato atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Per tali ragioni si rileva l’illiceità del trattamento di dati personali effettuato dall’Ente, nei termini di cui in motivazione, in particolare, per aver trattato dati sulla salute in violazione dei principi di base del trattamento cui agli artt. 5 e 9 del Regolamento nonché degli obblighi in materia di sicurezza di cui all’art. 32 del Regolamento.
Ciò premesso, considerato quanto sopra richiamato si ritiene, tuttavia, di dover in ogni caso considerare la particolarità del caso segnalato, che presenta una serie di circostanze meritevoli di un’attenta valutazione. In particolare, in considerazione:
• della circostanza che l’Autorità ha preso conoscenza della violazione all’esito della notifica della violazione stessa effettuata dall’Ente, ai sensi dell’art. 33 del Regolamento
• dell’assenza di precedenti violazioni commesse dall’Ente e dell’elevato grado di cooperazione sin da subito prontamente dimostrato durante tutta la fase istruttoria e procedimentale;
• del fatto che la comunicazione di dati sulla salute ha riguardato un solo interessato;
• dell’assenza di atteggiamenti intenzionali da parte del titolare, essendo la violazione stata determinata da un errore di una dipendente, comunque sottoposta a procedimento disciplinare;
• dell’immediato intervento dell’Ente che ha prontamente chiesto ai genitori del minore di procedere alla distruzione della documentazione ricevuta e che si è impegnato nell’implementazione delle procedure di formazione e nella modifica del protocollo di gestione delle procedure di accettazione;
inducono a qualificare il caso, in relazione a tali circostanze, come “violazione minore”, ai sensi del considerando 148 del Regolamento e delle Linee guida WP 253, riguardanti l’applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del Regolamento (UE) n. 2016/679.
Per tali ragioni, si ritiene che la misura dell’ammonimento nei confronti del titolare del trattamento per avere violato previsioni del Regolamento contenute negli artt. 5, 9 e 32 del Regolamento, ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento possa assolvere una funzione correttiva proporzionata, risultando anche una misura effettiva e dissuasiva (art. 83, par. 1, del Regolamento).
Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione dell’elevato numero di soggetti coinvolti dall’illecito trattamento.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
TUTTO CIÒ PREMESSO IL GARANTE
a) ai sensi dell’art. 57, par. 1, lett. a) del Regolamento, dichiara l’illiceità del trattamento dei dati personali effettuato dalla Provincia Italiana Suore Ospedaliere del Sacro Cuore di Gesù — Casa di Cura Villa San Benedetto, con sede legale in Roma, Via Urbisaglia 3/A - C.F. 02341270581 e P.IVA 01045701008, per la violazione dei principi di base del trattamento, di cui agli artt. 5 e 9 del Regolamento nonché degli obblighi in materia di sicurezza di cui all’art. 32 del Regolamento, nei termini di cui in motivazione;
b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce il citato Ente, quale titolare del trattamento in questione, per aver violato gli artt. cui agli artt. 5 e 9 del Regolamento nonché gli obblighi in materia di sicurezza di cui all’art. 32 del Regolamento, nei termini di cui in motivazione, come sopra descritto;
c) ai sensi dell’art. 166, comma 7, del Codice, dispone la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 14 settembre 2023
IL VICEPRESIDENTE
Cerrina Feroni
IL RELATORE
Scorza
IL VICE SEGRETARIO GENERALE
Filippi
