Registro dei provvedimenti
n. 123 del 2 luglio 2020
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il dott. Antonello Soro, presidente, la dott.ssa Giovanna Bianchi Clerici e la prof.ssa Licia Califano, componenti, e il dott. Giuseppe Busia, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
Vista la documentazione in atti;
Viste le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;
Relatore il dott. Antonello Soro;
PREMESSO
1. La violazione di dati personali
Con nota del 24 dicembre 2019, la ASL “Città di Torino” con sede legale in Torino, Via San Secondo, 29 C.F./P.IVA 11632570013 (di seguito l’“Azienda sanitaria”), ha notificato, ai sensi dell’art. 33 del Regolamento, una violazione di dati personali consistente nella erronea consegna, a una paziente richiedente copia della propria cartella clinica, della cartella clinica relativa ad altro paziente. Nello specifico, da quanto notificato:
- in data 18 dicembre 2019 risulta essere avvenuta una “consegna accidentale di copia cartacea della cartella clinica (richiesta da una paziente) ad altro paziente per imbustamento errato”;
- di tale accadimento, il titolare del trattamento dell’Azienda sanitaria è stato informato dal Direttore della S.C. Direzione Sanitaria del Presidio Ospedaliero San Giovanni Bosco con nota prot. n. 176046 del 23.12.2019;
- “(…) il richiedente accortosi dello scambio, in data 20.12.2019 ha riportato indietro la documentazione non sua”;
- le categorie di dati personali, oggetto della violazione, riguardano sia dati anagrafici sia dati relativi alla salute.
2. L’attività istruttoria
Sulla base degli elementi acquisiti, attraverso la comunicazione della violazione di dati personali, l’Ufficio con nota 18 febbraio 2020 (prot. n. 6707), ha notificato alla Azienda sanitaria, in qualità di titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento, invitando l’Azienda sanitaria a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. n. 689 del 24 novembre 1981).
L’Azienda sanitaria con nota del 13 marzo 2020 (prot. n. 2020/0038603), ha fatto pervenire al Garante i propri scritti difensivi in relazione alla violazione notificata, rappresentando, in particolare che:
- “Nella violazione è rimasto coinvolto un solo interessato (solo paziente) (…)” e che “(…) tra i dati sanitari contenuti nella cartella clinica (…) (oggetto della segnalazione) non vi sono dati relativi a malattie infettive, tipo HIV o HCV, o sessualmente trasmesse, né i dati relativi a malattie psichiatriche, né dati genetici o relativi a dipendenze”;
- “(…) i dati non sono stati diffusi verso un numero indeterminato di soggetti, ma sono stati consegnati ad una sola persona (…) (la quale) ha prontamente contattato l'ospedale e riconsegnato (…), in data 20.12.2019, la documentazione”;
- “(…) non vi è stato uno scambio di cartelle cliniche: il paziente interessato nel violazione, infatti, ha ricevuto correttamente copia della propria cartella, come da richiesta”;
- “(…) la violazione è rimasta circoscritta ad una sola cartella clinica cartacea e non ha riguardato la sicurezza informatica dell'Azienda, né ha coinvolto alcun applicativo o archivio informatico”;
- “(…) si è trattato di un errore umano, non doloso, dovuto all'inserimento accidentale della documentazione nella busta etichettata con il nominativo di altro paziente”;
- “(…) gli operatori dell'Ufficio Cartelle Cliniche sono autorizzati e istruiti al trattamento dei dati specifici” e “(…) in seguito alla violazione (…), è stata ulteriormente dettagliata (attraverso istruzioni operative del 3.02.2020, antecedenti la notifica dell'avvio del procedimento in oggetto) la procedura di preparazione e di consegna (delle cartelle cliniche), inserendo all'atto della consegna della documentazione richiesta, un doppio controllo”;
- “(…) in merito alle misure tecnico-organizzative messe in atto ai sensi degli artt. 25 e 32 del GDPR, al fine di garantire la completa tracciabilità delle cartelle cliniche ed il corretto trattamento dei dati, in data 29.01.2020 (prima della notifica dell'avvio del procedimento in oggetto), è stata effettuata una mappatura dei rischi relativi alla tracciabilità e alla gestione dei dati con il personale coinvolto nel processo di gestione della documentazione, dal momento della chiusura della cartella clinica la sua archiviazione (…)”.
- in tale circostanza si è trattato di “(…) 1 errore (uno) tra le migliaia di consegne (di cartelle cliniche) eseguite complessivamente ogni anno” dall’Azienda sanitaria;
- “(…) L’Autorità Garante ha preso cognizione della violazione per effetto della notifica effettuata dal Titolare del trattamento ai sensi dell’art. 33 del GDPR (…), notifica effettuata dal titolare in data 24.12.2019 subito dopo essere avvenuto a venuto a conoscenza della violazione in seguito alla segnalazione, in data 23.12.2019 (…)”;
- “(…) il Garante non ha adottato, ad oggi, alcun provvedimento correttivo nei confronti della presente Azienda Sanitaria con riferimento alla specifica violazione contestata”.
L’Azienda sanitaria ha, altresì, illustrato la procedura per il rilascio delle cartelle cliniche, allegando documentazione relativa a quest’ultima e alla mappatura dei rischi sopra menzionata.
3. Esito dell’attività istruttoria
Ai sensi del Regolamento, i dati personali devono essere “trattati in modo lecito corretto e trasparente nei confronti dell’interessato” (principio di “liceità, correttezza e trasparenza” - art. 5, par. 1, lett. a) del Regolamento).
Per quanto attiene, specificamente, all’ambito sanitario, la disciplina in materia di protezione dei dati personali prevede, altresì, che le informazioni sullo stato di salute possano essere comunicate unicamente all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso previa delega scritta di quest’ultimo (art. 9 Regolamento e artt. 83 e 84 del Codice nella versione precedente la riformulazione del medesimo da parte del d.lgs. 10 agosto 2018, n. 101 in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101; cfr. anche provv. generale del 9 novembre 2005, consultabile in www.gpdt.it, doc. web n. 1191411, ritenuto compatibile con il suddetto Regolamento e con le disposizioni del decreto n. 101/2018; cfr. art. 22, comma 4, del citato d.lgs. n. 101//2018).
Al riguardo, si rileva che il trattamento di dati personali oggetto della comunicazione di “data breach” è stato effettuato in violazione dei richiamati principi e disposizioni, derivante dall’erronea consegna di copia della cartella clinica di una paziente ad altro paziente della medesima struttura sanitaria.
4. Conclusioni
Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti dal titolare del trattamento nella memoria difensiva, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Per tali ragioni, confermando le valutazioni preliminari dell’Ufficio, si rileva l’illiceità del trattamento di dati personali effettuato dalla Azienda sanitaria in quanto, l’avvenuta consegna di copia della cartella clinica di una paziente ad altro paziente, ha determinato una comunicazione di dati relativi alla salute dell’interessato a soggetti terzi priva di idoneo presupposto giuridico (art. 9 del Regolamento e artt. 83 e 84 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101), con conseguente violazione dei principi di base applicabili al trattamento, in particolare, quelli di cui all’art. 5, par. 1, lett. a) del Regolamento.
Infatti, a prescindere dalla notificazione della violazione di dati personali effettuata dal titolare del trattamento in osservanza dell’obbligo di cui all’art. 33 del Regolamento, i profili di illiceità del trattamento rilevati nel caso di specie, quale conseguenza della mancata adozione di misure tecniche e organizzative adeguate, richiedono comunque l'intervento correttivo di questa Autorità al fine di salvaguardare i diritti e le libertà fondamentali degli interessati.
In tale quadro, considerando che la condotta ha esaurito i suoi effetti atteso che l’Azienda ha dichiarato che il destinatario della cartella consegnata accidentalmente ha prontamente contattato l'ospedale e riconsegnato, in data 20.12.2019, la documentazione, si ritiene di qualificare il caso come “violazione minore”, ai sensi dell’art. 83, par. 2, e del considerando 148 del Regolamento.
Invero, va tenuto conto che, dalle risultanze degli atti (cfr. nota prot. n. 2020/0038603 del 13 marzo 2020), l’episodio risulta essere stato unico e isolato, determinato da un errore umano di un operatore in servizio presso il titolare del trattamento e che l’Autorità ha preso conoscenza della violazione a seguito della notifica effettuata, nei termini, dal titolare del trattamento il quale ha adottato - appena venuto a conoscenza dell’accaduto e prima della comunicazione di “data breach” al Garante - correttivi nella procedura di preparazione e di consegna delle cartelle cliniche (inserendo un doppio controllo all'atto della consegna della documentazione), istruendone gli operatori.
Si ritiene, pertanto, relativamente al caso in esame che sia sufficiente ammonire il titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, per la violazione della disciplina sulla protezione dei dati personali che disciplina la comunicazione terzi dei dati sanitari (cfr. art. 9 del Regolamento e artt. 83 e 84 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101), e, di conseguenza, dei principi di base del trattamento (cfr. art. 5, par. 1, lett. a), del Regolamento medesimo) e che non vi siano i presupposti per l’adozione di ulteriori provvedimenti correttivi da parte dell’Autorità, ai sensi dell’art. 58, par. 2, del Regolamento, e artt. 83 e 84 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019, concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
TUTTO CIÒ PREMESSO IL GARANTE
a) dichiara, ai sensi dell’art. 58, par. 1, lett. a), del Regolamento, l’illiceità della condotta e ammonisce, ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, la ASL “Città di Torino” con sede legale in Torino, Via San Secondo, 29 C.F./P.IVA 11632570013, quale titolare del trattamento in questione, per la violazione della disciplina sulla protezione dei dati personali che disciplina la comunicazione terzi dei dati sanitari (cfr. art. 9 del Regolamento e artt. 83 e 84 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101), e, di conseguenza, dei principi di base del trattamento (cfr. art. 5, par. 1, lett. a), del Regolamento medesimo);
b) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 2 luglio 2020
IL PRESIDENTE
Soro
IL RELATORE
Soro
IL SEGRETARIO GENERALE
Busia