Sanzione di 20.000,00 Euro nei confronti di Synlab Med Srl

Rispondi
Giancarlo Favero
Messaggi: 226
Iscritto il: dom gen 24, 2021 6:45 am

Sanzione di 20.000,00 Euro nei confronti di Synlab Med Srl

Messaggio da Giancarlo Favero »

Sulla base della mia esperienza, inviare mail a soggetti sbagliati, oppure inviare ai soggetti giusti l'allegato sbagliato, è una delle cause più frequenti di violazioni dei dati.
Questa volta è successo a Synlab, un colosso internazionale nel campo degli esami di laboratorio (in realtà Synlab è posseduta da un fondo di investimento austriaco, che ad un certo punto ha cominciato a fare shopping aggressivo anche in Italia, acquisendo centinaia di laboratori di analisi), dove un medico, sembra per mero errore materiale, ha inviato gli esiti positivi dell'esame Covid-19 di 31 utenti/pazienti, ad una ASL non di competenza dei pazienti stessi, causando quindi una violazione dei dati.

Di seguito il fatto viene spiegato meglio:

1. La segnalazione e l’attività istruttoria.

L’Azienda sanitaria locale di XX ha segnalato al Garante che la Società Synlab Med srl (di seguito Società), il 19 maggio 2020, ha inviato alla stessa una e-mail allegando, oltre ai risultati positivi del test sierologico per Covid-19 del paziente afferente alla stessa Azienda, anche i referti positivi dei pazienti assistiti presso le aziende sanitarie di XX (8 pazienti), XX (5 pazienti), XX (6 pazienti), XX (10 pazienti) e XX (2 pazienti), per un totale di 31 interessati non assistiti dalla predetta ASL di XX (e-mail del 19 maggio 2020 10:57:39, mittente XX" XX, destinatari “XX” <XX>, "XX" XX, e-mail in atti). I documenti allegati riportano i dati anagrafici dei 31 soggetti interessati, il loro codice fiscale e, per la maggior parte degli stessi, anche il numero di telefonia mobile e l’indirizzo e-mail.


Di seguito trovate il testo integrale del provvedimento, consultabile anche al seguente link:

https://www.garanteprivacy.it/web/guest ... eb/9678535

Grazie e buona lettura,
Giancarlo Favero

[doc. web n. 9678535]

Ordinanza ingiunzione nei confronti di Synlab Med srl - 13 maggio 2021

Registro dei provvedimenti
n. 202 del 13 maggio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. La segnalazione e l’attività istruttoria.

L’Azienda sanitaria locale di XX ha segnalato al Garante che la Società Synlab Med srl (di seguito Società), il 19 maggio 2020, ha inviato alla stessa una e-mail allegando, oltre ai risultati positivi del test sierologico per Covid-19 del paziente afferente alla stessa Azienda, anche i referti positivi dei pazienti assistiti presso le aziende sanitarie di XX (8 pazienti), XX (5 pazienti), XX (6 pazienti), XX (10 pazienti) e XX (2 pazienti), per un totale di 31 interessati non assistiti dalla predetta ASL di XX (e-mail del 19 maggio 2020 10:57:39, mittente XX" XX, destinatari “XX” <XX>, "XX" XX, e-mail in atti). I documenti allegati riportano i dati anagrafici dei 31 soggetti interessati, il loro codice fiscale e, per la maggior parte degli stessi, anche il numero di telefonia mobile e l’indirizzo e-mail.

A seguito della predetta segnalazione, l’Ufficio ha richiesto informazioni alla Società (nota prot. 32643 del 7 settembre 2020), che ha risposto con nota del 25 settembre 2020, rappresentando che:

- “sulla base della Determinazione (…) (Determinazione n. 7459 del 04 maggio 2020) e con riferimento alla Delibera di Regione (Emilia Romagna) n. 350 del 11 maggio 2020, tutti i laboratori, tra cui Synlab, per il tramite del Direttore di Laboratorio, devono comunicare tempestivamente in maniera individuale i dati relativi alle risultanze dei Test alle competenti articolazioni dei Dipartimenti di Sanità Pubblica a cadenza giornaliera”;

- “il Dott. XX in data 19 maggio 2020 procedeva all’invio agli indirizzi di posta elettronica XX e XX appartenenti ad ASL XX, dei referti positivi di n. 32 soggetti interessati, di cui 31 non afferenti alla stessa ASL XX, per un mero errore materiale, come, tra l’altro, riferito alla scrivente Società dallo stesso Dott. XX (all’uopo vedasi relazione del Dott. XX)”;

- “La riprova che si sia trattato di un mero errore materiale, peraltro isolato, è che in quel giorno l’anomalia si verificava solo l’ASL XX, che riceveva sia la documentazione di propria competenza sia quella relativa alle altre ASL”;

- “presso gli indirizzi di posta elettronica comunicati dalla Regione appartenenti alle altre ASL territoriali venivano inviati unicamente i referti positivi dei soggetti interessati afferenti correttamente ad ogni singola ASL territoriale, senza dunque condividere con le ASL alcun tipo di documentazione sanitaria non di competenza delle stesse”;

- “ad oggi un fatto analogo o simile al caso oggetto della segnalazione a Codesta Autorità non si è mai verificato”;

- “il Dott. XX è stato verbalmente richiamato da Synlab a prestare la massima attenzione nell’osservanza delle procedure privacy di Synlab nonché di quelle comunicate dalle ASL con riferimento all’esecuzione dei Test e alla trasmissione dei relativi referti”;

-“questa Società ha provveduto e provvederà nuovamente ad effettuare l’opportuna formazione ai propri dipendenti e collaboratori in ambito privacy”.

In relazione alle risultanze della predetta attività istruttoria, l’Ufficio, con atto n. 36153 del 29.9.2020, ha notificato alla Società, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, paragrafo 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

In particolare, l’Ufficio, nel predetto atto, ha rappresentato che, sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, la Società ha effettuato una comunicazione di informazioni sullo stato di salute (esito positivo per Covid-19) di 31 interessati che si erano rivolti alla stessa per l’effettuazione test sierologico, all’Azienda sanitaria locale di XX, pur non essendo gli stessi assistiti da tale ASL e, quindi, in difformità a quanto stabilito dalla specifica disciplina di settore dettata in relazione allo stato emergenziale in atto, secondo cui la Società avrebbe dovuto inviare i referti positivi per Covid-19 degli interessati che avevano eseguito il test sierologico presso la stessa solo alle aziende sanitarie territorialmente competenti (art. 17- bis D.L. 17/03/2020, n. 18, Delibera di Regione Emilia Romagna n. 350 del 11 maggio 2020 e Determinazione n. 7459 del 04 maggio 2020).

Con nota del 27 ottobre 2020, la Società ha fatto pervenire le proprie memorie difensive, in cui sono stati rappresentati elementi ulteriori e, in particolare, che:

“Synlab veniva a conoscenza del fatto solamente in seguito alla ricezione della richiesta di informazioni di Codesta Autorità”;

“provvederà all’esecuzione di una formazione mirata in relazione al trattamento dei dati sanitari al proprio personale di laboratorio entro il 31 dicembre 2020”;

“ha già programmato l’esecuzione di un audit mirato presso il laboratorio della sede di Faenza, luogo in cui si è verificato l’errore materiale, entro il 31 dicembre 2020”;

“la trasmissione è avvenuta nei confronti di un ente sanitario soggetto ai medesimi obblighi di riservatezza”.

2. Esito dell’attività istruttoria.

Preso atto di quanto rappresentato dalla Società nella documentazione in atti e nelle memorie difensive, si osserva che:

1. ai sensi del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, il “Regolamento”), i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («integrità e riservatezza»)” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»)” (art. 5, par. 1, lett. a) e c) del Regolamento);

2. la disciplina in materia di protezione dei dati personali prevede –in ambito sanitario- che le informazioni sullo stato di salute possano essere comunicate solo all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso previa delega scritta di quest’ultimo (art. 9 Regolamento e art. 83 d.lgs. n. 196 del 30 giugno 2003 -Codice in materia di protezione dei dati personali – di seguito, il “Codice”- in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101; cfr. anche provv. generale del 9 novembre 2005, consultabile in www.gpdt.it, doc. web n. 1191411, ritenuto compatibile con il suddetto Regolamento e con le disposizioni del decreto n. 101/2018; cfr. art. 22, comma 4, del citato d.lgs. n. 101/2018);

3. con particolare riferimento all’epidemia da Covid-19, fino al termine dello stato di emergenza deliberato dal Consiglio dei Ministri in data 31 gennaio 2020, per motivi di interesse pubblico nel settore della sanità pubblica e, in particolare, per garantire la protezione dall'emergenza sanitaria a carattere transfrontaliero determinata dalla diffusione del COVID-19 mediante adeguate misure di profilassi, nonché per assicurare la diagnosi e l'assistenza sanitaria dei contagiati ovvero la gestione emergenziale del Servizio sanitario nazionale, i soggetti operanti nel Servizio nazionale della protezione civile e i soggetti attuatori, nonché altri soggetti, tra cui i soggetti deputati a monitorare e a garantire l'esecuzione delle misure disposte ai sensi dell'art. 2 del d.l. n. 19/2020, anche allo scopo di assicurare la più efficace gestione dei flussi e dell'interscambio di dati personali, possono effettuare trattamenti, ivi inclusa la comunicazione tra loro, dei dati personali, anche relativi alla salute, che risultino necessari all'espletamento delle funzioni ad essi attribuite nell'ambito dell'emergenza determinata dal diffondersi del COVID-19 (art. 17- bis D.L. 17/03/2020, n. 18). Tali trattamenti di dati personali devono comunque essere effettuati adottando misure appropriate a tutela dei diritti e delle libertà degli interessati e nel rispetto dei princìpi di cui all'articolo 5 del citato Regolamento (UE) 2016/679);

4. come indicato nell’atto di avvio del procedimento istruttorio, la Società ha comunicato informazioni sullo stato di salute (esito positivo per Covid-19) di 31 interessati che si erano rivolti alla stessa per l’effettuazione test sierologico, all’Azienda sanitaria locale di XX, pur non essendo gli stessi assistiti da tale ASL e, quindi, in difformità a quanto stabilito dalla specifica disciplina di settore dettata in relazione allo stato emergenziale in atto, secondo cui la Società avrebbe dovuto inviare i referti positivi per Covid-19 degli interessati che avevano eseguito il test sierologico presso la stessa solo alle aziende sanitarie territorialmente competenti (art. 17- bis D.L. 17/03/2020, n. 18, Delibera di Regione Emilia Romagna n. 350 del 11 maggio 2020 e Determinazione n. 7459 del 04 maggio 2020).

3. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni si rileva l’illiceità del trattamento di dati personali effettuato dalla Società Synlab Med Srl nei termini di cui in motivazione, per violazione degli artt. 5, par. 2, lett. a) e c) e 9 del Regolamento, nonché dell’art. 2 sexies del Codice.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti e che la Società ha dichiarato di aver programmato l’esecuzione di specifici audit nonché di eventi formativi rivolti al personale che effettua operazioni di trattamento come quella in esame non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par. 2, lett. a) e c), e 9 del Regolamento e 2 sexies del Codice, causata dalla condotta posta in essere dalla Società Synlab Med Srl, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par.5, del Regolamento anche ai sensi dell’art. 166, comma 2 del Codice (cfr. lett. a) con riferimento alla violazione degli artt. 5 e 9 del Regolamento).

Nel caso di specie – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, che si applica pertanto al caso di specie.

Si consideri che il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 85, par. 2, del Regolamento in relazione ai quali si osserva che:

- l’Autorità ha preso conoscenza dell’evento a seguito della segnalazione dell’Asl di XX; non sono pervenuti reclami o ulteriori segnalazioni al Garante sull’accaduto (art. 83, par. 2, lett. h) del Regolamento);

- il trattamento dei dati effettuato dalla Società riguarda dati idonei a rilevare informazioni sulla salute di 31 interessati assistiti presso diverse aziende sanitarie dislocate sul territorio della Regione (art. 83, par. 2, lett. a) e g) del Regolamento);

- l’assenza di elementi di volontarietà da parte della Società nella causazione dell’evento (art. 83, par. 2, lett. b) del Regolamento);

- l’evento è stato immediatamente preso in carico da parte della Società cui è seguita l’individuazione di interventi volti ad evitare il ripetersi di quanto accaduto (art. 83, par. 2, lett. c) e d) del Regolamento);

- la Società ha, fin da subito, dimostrato un elevato grado di cooperazione (art. 83, par. 2, lett. f) del Regolamento);

- la comunicazione di dati, seppure effettuata a un soggetto non competente a trattarli, è comunque avvenuta nei confronti di una azienda sanitaria, soggetto istituzionalmente deputato a ricevere tali comunicazioni per i soggetti assistiti dalla stessa (art. 83, par. 2, lett. a) del Regolamento);

- la comunicazione dei dati è avvenuta in perduranza dello stato di emergenza dichiarato dal Presidente del Consiglio dei Ministri il 31 gennaio 2020 (art. 83, par. 2, lett. k) del Regolamento
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, nella misura di euro 20.000 (ventimila) per la violazione degli artt. 5, par. 1, lett. a) e c) e 9 del Regolamento e dell’art.2 sexies del Codice quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato da Synlab Med srl per la violazione degli art. 5, par. 1, lett. a) e c) e 9 del Regolamento e dell’art. 72 sexies5 del Codice nei termini di cui in motivazione.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice a Synlab Med srl, Via Case Nuove, 44 – 48018 Faenza (RA) P.IVA 00463660399, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 20.000 (ventimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento, secondo le modalità indicate in allegato, entro 30 giorni dalla notifica in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 20.000 (ventimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 13 maggio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei

Rispondi