Provvedimento del 28 settembre 2023 [9946369]
Provvedimento del 28 settembre 2023 [9946369]
Condividi[doc. web n. 9946369]
Provvedimento del 28 settembre 2023
Registro dei provvedimenti
n. 423 del 28 settembre 2023
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e il dott. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del Garante n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;
RELATORE il dott. Agostino Ghiglia;
PREMESSO
1. L’attività istruttoria.
Nel mese di XX, è pervenuta al Garante una segnalazione in cui è stata lamentata una violazione della disciplina in materia di protezione dei dati personali relativamente alla decisione della Casa di cura Salvator Mundi International Hospital s.r.l (di seguito Casa di cura) di limitare l’accesso alla stessa solo a coloro che fossero in possesso di una certificazione verde Covid-19. Da un preliminare accertamento effettuato dall’Ufficio all’atto del ricevimento della predetta segnalazione è stato rilevato che tale indicazione era riportata anche sul sito della Casa di cura nella pagina dedicata alle “Misure di sicurezza per accedere in clinica” (https://upmcsalvatormundi.it/covid-19-modalita-accesso-clinica) (documentazione in atti).
Alla luce di quanto rilevato sono state richieste informazioni alla predetta Casa di cura (nota del XX, prot. n. XX), che, con nota del XX, a firma del responsabile per la protezione dei dati personali, ha rappresentato, in particolare, che:
- “la struttura ha adottato delle proprie politiche di accesso, in osservanza della normativa vigente, in considerazione della particolare conformazione dei locali della stessa e della popolazione degente relativamente al rischio epidemiologico associato a tale fattori, e sulla base di una valutazione effettuata ai sensi dell’art. 271 D.l.vo n. 81/08”;
- “l’accesso ai locali della clinica era stato disciplinato originariamente (doc. 3 del XX) sulla base delle prescrizioni governative in materia emergenziali. In considerazione all’evolversi della situazione pandemica, le misure sono state modificate e in data XX veniva adottato un Regolamento Accessi (…) richiedendo l’esibizione del green pass o di un referto negativo di tampone naso faringeo (TNF) per tutti i pazienti ad esclusione unicamente di quelli che richiedevano servizi ambulatoriali”;
- “In conseguenza della maggior diffusione del virus che si è registrata nel mese di XX, però, tale regime di accesso ai locali della clinica è stato oggetto di revisione, per evitare il rischio di una maggiore esposizione dei pazienti della struttura al rischio patogeno.” “(…) nel mese di XX, quindi, la Direzione Sanitaria ha ritenuto necessario, anche ai sensi di quanto previsto dalla normativa, adottare misure precauzionali più restrittive a tutela dei degenti ed in considerazione della particolare fragilità degli stessi”;
- “i commi 1, 1-bis ed 1-ter (dell’art. 1 bis del decreto-legge 1° aprile 2021, n. 44) ha disciplinato le modalità di accesso sia dei visitatori sia in generale di tutti i soggetti alle strutture sopra menzionate. Il comma 1-sexies del predetto articolo prevedeva che “Ai direttori sanitari è data facoltà di adottare misure precauzionali più restrittive in relazione allo specifico contesto epidemiologico, garantendo un accesso minimo giornaliero non inferiore a quarantacinque minuti”, pertanto “SMIH disciplinava i requisiti per poter accedere alla struttura clinica, prevedendo, sulla base di quanto stabilito dalla normativa delle misure più cautelative in ragione di quanto sopra illustrato quali misure di contenimento del virus SARS-CoV-2”;
- “tali misure comunque garantivano la possibilità di accedere ai servizi prevenzione e cura degli interessati prevedendo, in via alternativa alla esibizione della cd. certificazione verde, la possibilità di esibire un referto negativo di tampone naso faringeo (TNF) antigenico rapido non antecedente le 48 ore dalla data di ricovero, nonché, per i servizi di primo soccorso, l’effettuazione di un TNF antigenico rapido direttamente presso la struttura”;
- “l’unica ipotesi in cui ai fini della prestazione di servizi sanitari era stata prevista esclusivamente la necessità di esibizione della certificazione verde (senza possibilità di esibizione del referto del TNF) era quella relativa alla prestazione di servizi ambulatoriali ciò proprio in considerazione del fatto che i locali della clinica non consentono di creare percorsi diversi di diagnosi e cura tra i pazienti “non gravi” e “pazienti fragili” e della nota possibilità di “falsi negativi” che avrebbe potuto verificarsi con il TNF antigenico rapido”;
- ”la Regione Lazio, con propria Circolare n. XX del XX, richiamando quanto previsto nel D.L. 44/2021, chiariva le modalità di accesso alle strutture sanitarie e ospedaliere della regione, specificando sulla proprio portale che “L'accesso a tutte le strutture sanitarie per approvvigionamento di farmaci e dispositivi medici come anche per ragioni di diagnosi, cura attività di prevenzione è consentito anche senza green pass salvo diverse indicazioni fornite dal personale per ragioni sanitarie”;
- ”In seguito, il XX, successivamente all’entrata in vigore del D.L. 24 marzo 2022 n. 24 recante “Disposizioni urgenti per il superamento delle misure di contrasto alla diffusione dell’epidemia da COVID-19, in conseguenza della cessazione dello stato di emergenza”, il Regolamento Accessi è stato modificato (doc. 6), tenuto conto della diminuzione della circolazione del virus nel nostro Paese, prevedendo anche per i pazienti di prestazioni ambulatoriali la possibilità di accedere alla struttura con esibizione di certificazione attestante l’esito negativo di un test antigenico rapido o molecolare eseguito nelle 48 ore precedenti all’accesso.”;
- “Il sistema di controllo è effettuato all’ingresso esclusivamente da personale dedicato, cd “soggetti verificatori”, designato dalla Direzione Sanitaria ed appositamente autorizzati al trattamento dei dati personali. Ai fini del controllo è utilizzata, secondo le indicazioni normative, l’applicazione ufficiale rilasciata dal Ministero della Salute (per il tramite di Sogei) denominata “VerificaC19”;
- “Inoltre, qualora trattasi di una visita urgente o di un paziente che ha necessità di prestazioni di pronto soccorso, la procedura accessi prevede che il medesimo venga fatto accedere ai locali dall’ingresso separato dedicato al pronto soccorso. In tal caso il paziente è ricevuto in una stanza isolata da un operatore munito degli appositi dispositivi di protezione anticontagio e, se in condizioni urgenti, viene sottoposto ai trattamenti sanitari o, se non urgenti, viene effettuato un tampone naso faringeo”.
In relazione a quanto emerso dalla documentazione in atti, l’Ufficio ha notificato alla Casa di cura, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981) (nota del XX, prot. n. XX).
In tale atto, l’Ufficio ha rilevato che in pari data nella pagina del sito della Casa di cura era ancora indicato che ”Per poter accedere alla struttura è obbligatorio per tutti (…) esibire certificazione verde Covid-19 rilasciata: – a seguito della somministrazione della dose di richiamo successivo al ciclo vaccinale primario; – a seguito del completamento del ciclo vaccinale primario o dell’avvenuta guarigione unitamente ad una certificazione che attesti l’esito negativo del test antigenico rapido o molecolare, eseguito nelle 48 ore precedenti l’accesso”.
Considerata la cessazione dello stato di emergenza a partire dal XX, l’Ufficio ha pertanto rilevato che la richiesta di esibizione della certificazione verde Covid-19 a tutti i pazienti diretti ai servizi sanitari della Casa di cura risultava priva di una idonea base giuridica, atteso che tale limitazione non era prevista dalla disciplina di settore vigente all’epoca dei fatti lamentati dal segnalante e non era tantomeno disposta dalla normativa allo stato vigente, ponendosi quindi in violazione degli artt. 5, par. 1, lett. a) e b) e 9 del Regolamento, dell’art. 75 del Codice e della specifica disciplina di settore (legge n. 87/2021, D.L. 01/04/2021, n. 44 e dPCM 17 giugno 2021).
Con nota del XX, la Casa di cura ha fatto pervenire le proprie memorie difensive, nell’ambito delle quali ha chiesto di essere sentita in audizione e ha rappresentato che “le informazioni fornite dalla SMIH, con il riscontro del XX, erano basate solamente su risultanze documentali. In seguito sono state oggetto di approfondimento e risultano solo parzialmente corrispondenti a quella che è stata la reale prassi applicativa dei regolamenti di accesso formalmente approvati nella struttura, emergendo alcune differenze rispetto a quanto riportato nella nota di riscontro del XX”.
In particolare, la Casa di cura, nel discostarsi da quanto indicato nella predetta nota del XX, ha precisato che:
“la clinica non ha mai limitato l’accesso alle prestazioni sanitarie solo a coloro che fossero in possesso di certificazione verde: qualora un paziente fosse risultato non in possesso della predetta certificazione, la SMIH offriva gratuitamente la possibilità di sottoporsi ad un test antigenico rapido o, in caso di rifiuto, permetteva di usufruire delle prestazioni all’interno di locali appositamente adibiti per l’erogazione dei servizi con misure anticontagio rafforzate”;
“a maggiore specificazione dell’effettivo trattamento di dati personali eventualmente effettuato (consistente nella verifica della certificazione verde tramite il personale dedicato, cd “soggetti verificatori”, designato dalla Direzione Sanitaria ed appositamente autorizzati al trattamento dei dati personali mediante l’applicazione “VerificaC19”) è bene sottolineare che tali controlli in verità non hanno mai riguardato tutti i pazienti e visitatori della clinica, ma venivano effettuati in modalità “a campione”, comprendendo anche i controlli effettuati verso i dipendenti nelle modalità consentite dall’art. 9 septies del decreto legge n. 52/2021. Ciò sia precedentemente sia nel periodo successivo alla cessazione dello stato di emergenza. La SMIH ha interrotto i predetti controlli a campione dal XX. A riprova di ciò è la circostanza che i due soggetti cd. verificatori sono stati rimossi da tale incarico). pertnato Il controllo, a differenza di quanto previsto nel Regolamento Accessi, non è mai stato effettuato su tutti i soggetti che accedevano alla struttura, ma solo a campione sui pazienti in ingresso della clinica”;
“Il regolamento accessi del XX, pertanto, è stato formalmente adottato, ma non ha avuto attuazione. Anche la permanenza dello stesso sul sito internet è stata frutto di una mera dimenticanza, dato che la clinica, successivamente al primo riscontro del XX, ha immediatamente provveduto ad aggiornare le regole di accesso alla struttura (doc. 1), secondo le previsioni del Dl. N. 24 del 24/03/2022, dell’Ordinanza del Ministero della Salute del XX”;
“le indicazioni in merito alle regole di accesso emanate dalla Regione Lazio alle strutture del territorio hanno contribuito a rendere non chiara la disciplina e hanno influenzato la SMIH nella stesura delle modalità di accesso ai locali della clinica”;
“Ai pazienti non provvisti di green pass era permesso l’accesso dando la possibilità di eseguire gratuitamente sempre presso la clinica un test antigenico; In ogni caso, qualora il paziente sprovvisto di green pass non intendesse effettuare il test antigenico, era assicurata la prestazione sanitaria in appositi locali con misure aggiuntive anti-contagio”;
“Successivamente ai chiarimenti richiesti da codesta Autorità la clinica ha provveduto immediatamente ad aggiornare il regolamento accessi (dimenticando, per mero errore materiale, di sostituire di conseguenza la pagina del sito internet) rinviando alla disciplina di cui al Dl. n. 24 del 24/03/2022 e all’Ordinanza del Ministero della Salute del 28/04/2022, con applicazione delle casistiche previste dalla tabella pubblicata dalla Presidenza del Consiglio dei Ministri”;
“Il trattamento è stato posto in essere indicativamente da metà del mese di XX sino alla metà del mese di XX”; “il numero di interessati coinvolti può essere ricavato solo attraverso dati presuntivi: sulla base di quanto realmente effettuato si stima che, tenuto conto che presso la clinica hanno accesso in media circa 1.500 pazienti al mese e che le verifiche a campione hanno coinvolto un numero approssimativo tra il 10% nel periodo iniziale ed il 5% nei mesi di XX e XX, il numero totale di interessati coinvolti potrebbe essere pari a n. 675” in un arco temporale di 5 mesi;
“Alcun dato di tali soggetti relativo al possesso o meno della certificazione verde è stato conservato o trattato ulteriormente o con strumenti diversi rispetto all’app VerificaC19”;
“nell’affermare che le disposizioni oggetto di istruttoria sono allo stato cessate, ha ribadito il peculiare contesto nel quale è stato posto in essere il sistema oggetto di istruttoria, considerato, in buona fede come misura necessaria a prevenire possibili trasmissioni di infezione”;
In data XX si è svolta l’audizione a distanza della Casa di cura ai sensi dell’art. 166, commi 6 e 7 del Codice, in cui è stato ulteriormente ribadito che “i controlli delle certificazioni verdi venivano effettuati con modalità ben più ristrette di quelle indicate nella nota di settembre, che sono state descritte compiutamente nella nota del 12 novembre u.s.”. Ad integrazione di quanto indicato nelle memorie difensive inviate, la Casa di cura ha evidenziato che “la buona fede dell’Ospedale era dovuta anche alla circostanza che il regolamento di accesso presso la Salvator Mundi era stato inviato, unitamente ad altra documentazione, alla Asl territorialmente competente in occasione del rinnovo dell’autorizzazione sanitaria senza ricevere alcun richiamo da parte della stessa”.
La Casa di cura ha poi ribadito che “eseguiva gratuitamente un tampone per chi non era provvisto di green pass proprio al fine di non impedire l’accesso alle prestazioni sanitarie erogate dalla struttura. Per i pazienti ambulatoriali che avessero rifiutato di sottoporsi al tampone era comunque previsto un percorso differenziato per consentire di accedere alle prestazioni in modalità protetta sia per il paziente che per l’intera comunità ospedaliera” e che “non ha ricevuto specifici reclami o doglianze in merito alla fattispecie in esame”.
2. Esito dell’attività istruttoria.
Preso atto di quanto rappresentato dalla Casa di cura nella documentazione in atti e nelle memorie difensive, si osserva che:
i dati personali devono essere “trattati in modo lecito corretto e trasparente” (principio di “liceità, correttezza e trasparenza”), “raccolti per finalità determinate, esplicite e legittime” («limitazione della finalità») (art. 5, par. 1, lett. a) e b), del Regolamento);
sin dalla dichiarazione dello stato di emergenza deliberato dal Consiglio dei Ministri in data 31 gennaio 2020, sono state adottate molti atti normativi d’urgenza, che contengono disposizioni anche relative al trattamento dei dati personali effettuato nell’ambito degli interventi sanitari resi durante la predetta emergenza sanitaria. Ciò premesso, si evidenzia che le disposizioni d’urgenza adottate nel corso degli ultimi anni che hanno previsto degli interventi emergenziali che implicano il trattamento dei dati sono frutto di un delicato bilanciamento tra le esigenze di sanità pubblica e quelle relative alla protezione dei dati personali, in conformità a quanto dettato dal Regolamento europeo per il perseguimento di motivi di interesse pubblico nel settore della sanità pubblica (cfr. art. 9, par. 2, lett. i), del Regolamento). Come ribadito anche dalle disposizioni adottate in periodo emergenziale, resta fermo che il trattamento dei dati personali connesso alla gestione della predetta emergenza sanitaria deve svolgersi nel rispetto della disciplina vigente in materia di protezione dei dati personali e, in particolare, dei principi e dei limiti applicabili al trattamento, di cui all’art. 5 del Regolamento in parte sopra richiamati;
in tale quadro, pertanto il trattamento dei dati effettuato attraverso il controllo delle certificazioni verdi Covid-19 si qualifica come un trattamento effettuato per motivi di sanità pubblica e in quanto tale trova la relativa base giuridica nella specifica disciplina di settore e non anche nel consenso dell’interessato da cui non può dipendere un uso delle stesse non disciplinato dalla normativa di rango primario (cfr. art. 9, par. 2, lett. i), del Regolamento;
con specifico riferimento al trattamento dei dati effettuato attraverso le certificazioni verdi, come noto, il Garante ha reso il parere sullo schema d decreto del Presidente del Consiglio dei Ministri, adottato ai sensi dell’art. 9, comma 10, del d.l. n. 52/2021, di concerto con il Ministro della salute, il Ministro per l’innovazione tecnologica e la transizione digitale e il Ministro dell’economia e delle finanze, in relazione ai trattamenti dei dati personali, anche relativi alla salute, effettuati attraverso la Piattaforma nazionale digital green certificate (“Piattaforma nazionale-DGC”) per l’emissione, il rilascio e la verifica delle certificazioni verdi Covid-19 (EU Digital COVID Certificate, già Digital Green Certificate, di seguito certificazioni verdi) (provvedimento consultabile su www.gpdp.it, doc. web n. 9668064; dpcm 17 giugno 2021). Successivamente, il Garante ha rilasciato il proprio parere anche sui decreti che hanno modificato la predetta disciplina (parere del 31 agosto 2022, doc. web n. 9694010; parere dell’11 ottobre 2022, doc. web n. 9707431, parere del 18 febbraio 2022, doc. web n. 9746905). In tali pareri il Collegio dell’Autorità ha ritenuto che le certificazioni attestanti l’avvenuta vaccinazione o guarigione da Covid-19 o l’esito negativo di un test antigenico o molecolare non possano essere ritenute una condizione necessaria per consentire l’accesso a luoghi o servizi o per l’instaurazione o l’individuazione delle modalità di svolgimento di rapporti giuridici se non nei limiti in cui ciò è previsto da una norma di rango primario, nell’ambito dell’adozione delle misure di sanità pubblica necessarie per il contenimento del virus SARS-CoV-2;
con riferimento al caso di specie, si evidenzia che la disciplina di settore, richiamata anche sul sito del Ministero della salute e del Governo nel corso degli interventi normativi che si sono succeduti dopo l’entrata in vigore delle disposizioni sulle certificazioni verdi, non ha mai previsto che fosse richiesta la certificazione verde per esigenze di salute, per le quali è sempre stato infatti consentito l’accesso per l’approvvigionamento di farmaci e dispositivi medici e, comunque, per ogni finalità di prevenzione, diagnosi e cura (https://www.dgc.gov.it/web/per-cosa-serve.html#strutture);
a ciò si aggiunga che la normativa vigente all’epoca dei fatti prevedeva che fosse consentito permanere nelle sale di attesa dei dipartimenti d'emergenza e accettazione dei reparti di pronto soccorso nonché dei reparti delle strutture ospedaliere entri di diagnostica, dei poliambulatori specialistici solo agli accompagnatori dei pazienti non affetti da Covid-19, muniti delle certificazioni verdi, nonché agli accompagnatori dei pazienti in possesso del riconoscimento di disabilità con connotazione di gravità (art. 2- bis decreto legge 22 aprile 2021, n. 52 e dPCM 21 gennaio 2022). Salvi i casi di oggettiva impossibilità dovuta all’urgenza, valutati dal personale sanitario, per l’accesso alle prestazioni di pronto soccorso era inoltre sempre necessario sottoporsi contestualmente al test antigenico rapido o molecolare (art. 2-bis del decreto-legge 22 aprile 2021, n. 52);
gli accompagnatori dei pazienti in possesso del riconoscimento di disabilità con connotazione di gravità ai sensi dell’articolo 3, comma 3, della legge 5 febbraio 1992, n. 104, è stato inoltre sempre consentito di accedere e permanere nelle sale di attesa dei dipartimenti d’emergenza e accettazione e dei reparti di pronto soccorso nonché dei reparti delle strutture ospedaliere, dei centri di diagnostica e dei poliambulatori specialistici. Agli stessi accompagnatori era sempre consentito, inoltre, prestare assistenza, anche nel reparto di degenza, nel rispetto delle indicazioni del direttore sanitario della struttura;
dal XX, considerata la fine dello stato di emergenza, l’accesso degli utenti e dei loro accompagnatori a strutture sanitarie, sociosanitarie e studi medici, pubblici o privati, per ogni finalità di prevenzione, diagnosi e cura è stato consentito senza che gli stessi dovessero esibire la propria certificazione verde Covid-19;
a decorrere dal XX e fino al XX, per l’accesso dei visitatori ai reparti di degenza delle strutture ospedaliere era consentito altresì l'accesso con la certificazione verde COVID-19 c.d. rafforzata (rilasciata a seguito della somministrazione della dose di richiamo successiva al ciclo vaccinale primario) e in taluni casi anche unitamente ad una certificazione che attesti l'esito negativo del test antigenico rapido o molecolare, eseguito nelle quarantotto ore precedenti l'accesso (art. 1 bis, comma 1 sexies, D.L. 01/04/2021, n. 44). Ai direttori sanitari era stata data facoltà di adottare misure precauzionali più restrittive in relazione allo specifico contesto epidemiologico, garantendo comunque un accesso minimo giornaliero non inferiore a quarantacinque minuti (comma aggiunto dall'art. 7, comma 1, lett. b), D.L. 24 dicembre 2021, n. 221, convertito, con modificazioni, dalla L. 18 febbraio 2022, n. 11, e, successivamente, così modificato dall'art. 7, comma 2, lett. b), D.L. 24 marzo 2022, n. 24);
l’Autorità ha più volte evidenziato che la competenza in merito all’introduzione di misure di limitazione dei diritti e delle libertà fondamentali che implichino il trattamento di dati personali ricade nelle materie assoggettate alla riserva di legge statale (Corte cost., sent. 271/2005 sulla riserva di legge statale sulla protezione dati; Corte cost., sent. 37/21), richiamando anche quanto indicato dalla Corte Costituzionale, secondo cui “la pandemia in corso ha richiesto e richiede interventi rientranti nella materia della profilassi internazionale di competenza esclusiva dello Stato ai sensi dell’art. 117, secondo comma, lettera q), Cost.” (Ordinanza della n. 4/21) (provvedimenti del 25 maggio 2021, doc. web n. 9590466 e del 18 giugno 2021, doc. web n. 9671917);
il Garante ha inoltre più volte ritenuto che la limitazione delle libertà personali effettuata anche attraverso il trattamento di dati sulla salute degli interessati e realizzata mediante la previsione di subordinare l’accesso a luoghi e a servizi al possesso di una certificazione attestante l’avvenuta vaccinazione o guarigione da Covid-19, o l’esito negativo di un test antigenico o molecolare, è ammissibile infatti solo se prevista da una norma di legge statale (artt. 6, par. 2, e 9 del Regolamento e artt. 2-ter e 2-sexies del Codice in materia di protezione dei dati personali, Considerando n. 48 del Regolamento del Parlamento europeo e del Consiglio sull’EU digital COVID certificate adottato il 14 giugno 2021; cfr. anche Corte cost., sent. 271/2005 sulla riserva di legge statale sulla protezione dati; Corte cost., sent. 37/2021, cfr. anche citato provvedimento del 18 giugno 2021);
l’Autorità ha infatti ritenuto che le certificazioni attestanti l’avvenuta vaccinazione o guarigione da Covid-19, o l’esito negativo di un test antigenico o molecolare, non possano essere ritenute una condizione necessaria per consentire l’accesso a luoghi o servizi se non nei limiti in cui ciò sia previsto da una norma di rango primario. Sul punto, si evidenzia che la Corte Costituzionale nella sentenza n. 164/2022 ha ribadito la “competenza esclusiva statale in tema di profilassi internazionale (art. 117, secondo comma, lettera q, Cost.),” e che “l’art. 9, comma 10-bis, del d.l. n. 52 del 2021, come convertito, stabilisce che «[o]gni diverso o nuovo utilizzo delle certificazioni verdi COVID-19 è disposto esclusivamente con legge dello Stato», così confermando espressamente, con previsione aggiunta in sede di conversione in legge, quanto già deducibile dal comma 10 precedente, che affida la regolamentazione della richiamata Piattaforma nazionale-DGC ad un d.P.C.M”. In tale sentenza la Corte ha infine riconosciuto che “spetta allo Stato, e per esso al Garante per la protezione dei dati personali, limitare in via definitiva il trattamento dei dati connessi all’impiego della certificazione verde”;
al riguardo, si rappresenta che il testo del decreto-legge 22 aprile 2021, n. 52 (in G.U. n. 96 del 22 aprile 2021), coordinato con la legge di conversione 17 giugno 2021, n. 87 recante: «Misure urgenti per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell'epidemia da COVID-19» (in G.U. n. 146 del 21-06-2021) prevede espressamente che le certificazioni verdi possono essere utilizzate esclusivamente ai fini di cui agli articoli 2, comma 1, 2-bis, comma 1, 2-quater, 5, 9 -bis, 9-bis.1, 9-quinquies, 9-sexies e 9-septies del predetto decreto, nonché all'articolo 1-bis del decreto-legge 1° aprile 2021, n. 44, nell’ambito del quale ricadono le previsioni relative al settore sanitario sopra richiamate (art. 9, comma 10-bis, legge n. 87/2021);
in relazione ad alcune iniziative locali nell’ambito delle quali veniva richiesta l’esibizione delle certificazioni verdi nel contesto sanitario anche per finalità diverse da quelle tassativamente previste dalla norma citata, questo Ufficio, con nota del XX (prot. XX), ha richiamato l’attenzione delle Regioni e della Conferenza Stato Regioni sulla necessità di soprassedere dall’adottare o dal dare attuazione ad iniziative territoriali che prevedano l’uso delle certificazioni verdi per finalità ulteriori e con modalità difformi rispetto a quelle espressamente previste dalla legge nazionale;
nel contemperamento tra la tutela dei diritti degli interessati e la tutela della salute dei pazienti, va tenuto in considerazione che, in tutto il periodo emergenziale, non è stata effettuata una completa mappatura dell’intera popolazione in merito al contagio da Covid-19. Pertanto, coerentemente a quanto raccomandato dall’Istituto superiore di sanità (ISS), fino al perdurare della diffusione del virus Sars Cov 2, le misure di protezione individuale dovevano essere adottate in occasione di ogni visita di ogni paziente, in quanto lo stato di positività al Coronavirus del visitatore poteva non essere stata ancora accertata;
tenuto conto che il possesso della certificazione verde Covid-19 non attesta la negatività al virus, la misura adottata da codesta Casa di cura, secondo cui l’interessato privo di una certificazione verde veniva invitato a produrre l’esito di un tampone nasofaringeo o a effettuare la visita con modalità differenziate (“percorso differenziato per consentire di accedere alle prestazioni in modalità protetta”), oltre a non essere prevista da alcuna previsione di rango primario e ad essere in contrasto con le richiamate indicazioni nazionali, ha determinato un trattamento di dati in contrasto con i principi di liceità e correttezza del trattamento e di limitazione della finalità; ciò anche considerando che, secondo quanto dichiarato da ultimo dalla Casa di cura, i controlli delle certificazioni verdi venivano effettuati con modalità più ristrette rispetto a quelle indicate nel regolamento adottato dalla stessa e indicate nel primo riscontro fornito all’Autorità, in quanto non venivano effettuate nei confronti di tutti i pazienti ma “in modalità “a campione””;
la decisione della Casa di cura di offrire gratuitamente a chi non era “in possesso di certificazione verde” la possibilità di sottoporsi ad un test antigenico rapido o, in caso di rifiuto, di consentire loro di usufruire delle prestazioni “all’interno di locali appositamente adibiti per l’erogazione dei servizi con misure anticontagio rafforzate” ha determinato pertanto un trattamento di dati dei pazienti che decidevano di non mostrare le loro certificazioni verdi al di fuori di quanto previsto dalla normativa di rango primario sopra richiamata, in contrasto quindi con il principio di liceità e correttezza del trattamento e di limitazione della finalità. Le modalità di accesso alle prestazioni sanitarie indicate dalla Casa di cura, in contrasto con le specifiche raccomandazioni dell’ISS sulle azioni da adottare per la prevenzione del contagio sopra evidenziate, hanno inoltre determinato di fatto un trattamento differenziato e potenzialmente discriminatorio di tali interessati;
la circostanza riportata dalla Casa di cura secondo cui il predetto trattamento è stato determinato anche dalle non chiare indicazioni della Regione Lazio, appare inconferente in quanto le indicazioni regionali richiamate dalla Casa di cura non indicavano la necessità dell’esibizione della certificazione verde per l’accesso alle cure da parte dei pazienti. Al riguardo, si evidenzia inoltre che le istituzioni coinvolte sul tema, ivi inclusa l’Autorità Garante, hanno più volte messo in evidenza lo specifico ambito di applicazione delle certificazioni verdi Covid-19, come dimostrano anche le pagine informative del Ministero della salute e del Governo dedicate a tale tema che sono state costantemente aggiornate e le relative FAQ pubblicate sul sito del predetto Dicastero, nell’ambito delle quali erano riportati anche puntuali chiarimenti in merito alla circostanza che l’accesso alle cure non era subordinato all’esibizione della certificazione verde;
la fattispecie richiamata dalla Casa di cura secondo cui il regolamento di accesso alla Salvator Mundi, che prevedeva la richiesta di esibizione della certificazione verde da parte dei pazienti, “era stato inviato alla Asl territorialmente competente in occasione del rinnovo dell’autorizzazione sanitaria senza ricevere alcun richiamo da parte della stessa” non appare pertinente rilevata l’incompetenza delle Aziende sanitarie su tale materia e considerato il rango primario della disciplina sulle certificazioni verdi;
l’Autorità ha recentemente adottato un provvedimento sanzionatorio nei confronti di una struttura sanitaria per un trattamento analogo a quello in esame (provvedimento del 20 ottobre 2022, doc. web n. 9827446).
3. Conclusioni.
Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Per tali ragioni, si rileva l’illiceità del trattamento di dati personali effettuato dalla Casa di cura Salvator Mundi International Hospital s.r.l nei termini di cui in motivazione, in violazione degli artt. 5, par.1, lett. a) e b), e 9 del Regolamento, dell’art. 75 del Codice e della disciplina di settore (legge n. 87/2021, D.L. 01/04/2021, n. 44 e dPCM 17 giugno 2021).
In tale quadro, fermo restando che la casa di cura ha dichiarato di aver modificato le procedure per l’accesso degli interessati alle prestazioni ambulatoriali, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.
4. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).
La violazione degli artt. 5, par.1, lett. a) e b), e 9 del Regolamento, dell’art. 75 del Codice e della disciplina di settore (legge n. 87/2021, D.L. 01/04/2021, n. 44 e dPCM 17 giugno 2021), causata dalla condotta posta in essere dalla Casa di cura, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, del Regolamento e dell’art. 166, comma 2 del Codice.
Si consideri che il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).
La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 85, par. 2, del Regolamento in relazione ai quali si osserva che:
l’Autorità ha preso conoscenza dell’evento a seguito di una segnalazione (art. 83, par. 2, lett. h), del Regolamento);
il trattamento, che si è protratto per 5 mesi fino al XX, ha riguardato, secondo quanto dichiarato in atti, un numero presumibile di interessati pari a 675 (art. 83, par. 2, lett. a) e g), del Regolamento);
l’Autorità è già intervenuta sul tema con i numerosi provvedimenti citati nel presente provvedimento (art. 83, par. 2, lett. a) del Regolamento);
la Casa di cura ha cooperato al fine di porre rimedio alla violazione (art. 83, par. 2, lett. f) del Regolamento);
la Casa di cura ha asserito di aver operato in buona fede al fine di tutelare lo stato di salute dei pazienti e dei professionisti sanitari (art. 83, par. 2, lett. k), del Regolamento).
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a), del Regolamento, nella misura di 60.000 euro (sessantamila), pari allo 0.3 % del massimo edittale, per la violazione degli artt. 5, par.1, lett. a) e b), e 9 del Regolamento, dell’art. 75 del Codice e della disciplina di settore (legge n. 87/2021, D.L. 01/04/2021, n. 44 e dPCM 17 giugno 2021), quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.
Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e dall’art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
TUTTO CIÒ PREMESSO IL GARANTE
dichiara l’illiceità del trattamento di dati personali effettuato Casa di cura Salvator Mundi International Hospital s.r.l, per la violazione degli artt. 5, par.1, lett. a) e b), e 9 del Regolamento, dell’art. 75 del Codice e della disciplina di settore (legge n. 87/2021, D.L. 01/04/2021, n. 44 e dPCM 17 giugno 2021) nei termini di cui in motivazione.
ORDINA
ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento, nonché dell’art. 166 del Codice, alla Casa di cura Salvator Mundi International Hospital s.r.l,, C.F. e P.I. 09023871008, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 60.000 euro (sessantamila), a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.
INGIUNGE
alla predetta Casa di cura, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 60.000 euro (sessantamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.
DISPONE
ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento.
ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 28 settembre 2023
IL PRESIDENTE
Stanzione
IL RELATORE
Ghiglia
IL SEGRETARIO GENERALE
Mattei
