Proseguono gli accertamenti dell’Autorità Garante (Stefano Rodotà, Giuseppe Santaniello, Gaetano Rasi, Mauro Paissan) nei confronti di un’azienda sanitaria locale romana per verificare il rispetto di tutte le disposizioni in materia di misure minime di sicurezza per il trattamento di dati personali previste dal Codice sulla privacy (d. lg. n.196/2003). Il Garante dovrà accertare se l’episodio che si è verificato a fine dicembre, relativo a documentazione sanitaria (ricette, cartelle cliniche ancora leggibili, relativi ad un ingente numero di persone) rinvenuta nel corso di una ispezione nel cortile di una biblioteca comunale, liberamente accessibile al pubblico, costituisca un fatto imprevedibile, causato dall’incendio del magazzino in cui il materiale era raccolto, oppure non riveli una carenza da parte dell’azienda sanitaria nell’adozione delle misure minime di sicurezza.

I dati personali, in particolare quelli sensibili, devono essere custoditi in modo da ridurre al minimo i rischi di distruzione o perdita, anche accidentale, di accesso non autorizzato o di trattamento non consentito. La mancata adozione delle misure minime di sicurezza configura un illecito penale e può comportare l’ammenda da diecimila a cinquantamila euro o l’arresto sino a due anni. Dopo l’intervento del Garante l’azienda sanitaria ha rimosso la documentazione.

Il Garante, venuto a conoscenza della vicenda il 9 gennaio da fonti di stampa, ha disposto immediati accertamenti che hanno avuto luogo la mattina successiva. Il nucleo ispettivo dell’Autorità ha accertato che documenti sanitari, ricette di migliaia di cittadini, risalenti in prevalenza alla fine degli anni ’80, in cui sono ancora leggibili nomi, cognomi, prescrizioni, date di emissione, giacevano incustoditi all’aperto in una zona di passaggio al pubblico dopo un incendio che il 23 dicembre scorso aveva interessato anche il prefabbricato in cui la Asl li conservava. La Asl sentita dagli ispettori del Garante sulla vicenda ha “giustificato” la permanenza della documentazione all’esterno con il ritardo nel reperimento di una ditta, a causa delle festività, dopo che la Croce rossa cui l’archivio “morto” era destinato, aveva fatto sapere che non era più interessata al recupero della carta perché inservibile.

Il Garante, in considerazione della gravità dell’accaduto, ha deciso dunque di continuare gli accertamenti sulle misure minime di sicurezza che l’Azienda normalmente adotta nel trattamento dei dati e definirà al più presto il relativo procedimento.


Fonte: comunicazioni ufficiali del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).