Scambio di cartelle cliniche e di referti: sanzione di 10.000 Euro ad Azienda USL Toscana Centro

Rispondi
Giancarlo Favero
Messaggi: 226
Iscritto il: dom gen 24, 2021 6:45 am

Scambio di cartelle cliniche e di referti: sanzione di 10.000 Euro ad Azienda USL Toscana Centro

Messaggio da Giancarlo Favero »

In ambito sanitario la consegna di (copia di) cartelle cliniche o di referti è una operazione molto delicata, per la quale bisogna fare molta attenzione, sia nell'identificare con precisione il richiedente, sia il contenuto del plico che si consegna.
In questo caso è stata sanzionata l'Azienda USL Toscana Centro, perché nel plico erano presenti cartelle cliniche e referti riferiti ad un altro paziente/utente.

Di seguito trovate il testo integrale del Provvedimento, consultabile anche al seguente link:

https://www.garanteprivacy.it/web/guest ... eb/9762945

Grazie e buona lettura,
Giancarlo Favero

Ordinanza ingiunzione nei confronti di Azienda USL Toscana Centro - 10 marzo 2022

Registro dei provvedimenti
n. 85 del 10 marzo 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante il “Codice in materia di protezione dei dati personali”, contenete disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito il “Codice”);

VISTO il d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Le violazioni dei dati personali

L’Azienda USL Toscana Centro con sede in Firenze, piazza Santa Maria Nuova, c.a.p. 50122 – C.F.: 06593810481 (d’ora in avanti l’“Azienda sanitaria”) ha notificato all’Autorità due violazioni di dati personali, ai sensi dell’art. 33 del Regolamento, in data XX e in data XX, aventi ad oggetto, rispettivamente:

a) la consegna “a causa di un mero errore materiale, in risposta a due distinte istanze di richiesta di copia di cartella clinica”, della copia di una cartella clinica a un soggetto diverso dall'interessato.

In relazione a tale accaduto l’Azienda sanitaria ha comunicato che:

“i due distinti richiedenti presentavano istanza per acquisire copia delle rispettive cartelle cliniche. L'archivio clinico aziendale territorialmente competente (Empoli) effettuava le copie e le inseriva, come da procedura, in plico chiuso per la consegna agli interessati. A causa del citato e mero errore materiale, venivano effettuate n. 2 copie della medesima cartella clinica della sig.ra (omissis) e inserite in due distinti plichi: uno destinato correttamente alla medesima (con modalità di ritiro in presenza regolarmente effettuata in data XX) e uno destinato all'altro richiedente sig. (omissis). Quest'ultimo, una volta aperto il plico e resosi conto dell'errore, inviava comunicazione via email all'Azienda (in data XX). Il successivo XX, presa visione della email, la Soc Servizi ai cittadini Firenze - Empoli ha prontamente contattato il sig. (omissis) e nella medesima mattina gli è stata consegnata la copia corretta della sua cartella clinica e ritirata quella erroneamente consegnata della sig.ra (omissis)”:

“la violazione ha coinvolto un interessato” e che “Non vi sono sistemi e/o infrastrutture IT coinvolte”;

“L'incidente si è verificato a causa di un mero errore del personale dell'archivio che ha effettuato n. 2 copie del medesimo documento”;

“I dati personali oggetto della violazione sono quelli presenti all'interno di una cartella clinica ovvero: dati anagrafici; dati di contatto; dati relativi alla salute. Con particolare riferimento a quest'ultima categoria, si evidenzia che il contenuto della cartella era riferito ad un episodio di ricovero presso il reparto di traumatologia”;

“È presente una procedura aziendale, attualmente in fase di aggiornamento, che disciplina tanto le modalità di produzione delle copie quanto quelle di predisposizione dei plichi, in busta chiusa, per la consegna agli istanti”;

“Alla luce del ridotto arco temporale nel quale i dati sono rimasti nella indebita disponibilità dell'errato destinatario [dal XX] e delle garanzie da questi prestate in relazione all'ipotetico ulteriore trattamento, il rischio che la confidenzialità sia stata compromessa può essere stimato in un livello medio”;

“A seguito della comunicazione ricevuta dal sig. (omissis) il Titolare del trattamento ha provveduto al tempestivo ritiro della documentazione de quo”.

Al riguardo è stato inoltre rappresentato che, con successiva nota, del XX, l’Azienda sanitaria ha comunicato la violazione di dati personali all’interessato, ai sensi dell’art. 34 del Regolamento, fornendo rassicurazioni in ordine al fatto di essersi prontamente attivata, al fine di richiedere al terzo massime garanzie volte a evitare ulteriori comunicazioni dei dati personali dell’interessato. Al riguardo, il terzo destinatario dell’erronea cartella clinica, con nota - allegata alla notificazione di violazione di dati personali- ha rappresentato a codesta Azienda sanitaria “di non aver effettuato copia di detta comunicazione né di averne acquisito immagini e/o fotografie, di aver prontamente restituito [a quest’ultima] la documentazione e di non aver comunicato e/o diffuso ad altri soggetti tale documentazione”.

b) l’invio - a mezzo di posta ordinaria - a un terzo non legittimato a riceverlo, del referto di un assistito e, a quest’ultimo, anch’egli non legittimato alla ricezione, del referto relativo al primo soggetto “a seguito di mero errore dell'operatore incaricato”.

Con riferimento a tale vicenda, l’Azienda sanitaria ha notificato che “due assistiti, a seguito dell'effettuazione di esami diagnostici effettuati presso la Radiologia di un presidio ospedaliero aziendale, richiedevano la consegna dei referti per posta analogica ordinaria presso le rispettive residenze. In data XX l'incaricato presso il presidio provvedeva alla predisposizione delle missive e, successivamente, le inviava a mezzo posta. In data XX i due assistiti segnalavano, rispettivamente recandosi presso l'ufficio protocollo e contattando telefonicamente la segreteria amministrativa di accettazione del presidio, l'erronea ricezione del referto. Eseguiti i necessari accertamenti il XX il Responsabile della struttura attivava la procedura per la gestione dell'incidente e conseguente data breach. Risultava, infatti, che a seguito di mero errore dell'operatore incaricato, i referti indirizzati ai due distinti assistiti venivano scambiati nelle buste e inviate scambiando i destinatari”.

Inoltre, l’Azienda sanitaria, evidenziando che “l'incidente di sicurezza si è verificato a causa di un errore dell'operatore incaricato che ha scambiato i due referti nelle buste di invio” ha, altresì, fatto presente che “a seguito della notizia dell'incidente, ovvero dello scambio dei referti degli assistiti, il personale aziendale in data XX ha prontamente provveduto alla rimozione delle conseguenze negative della violazione incaricando un autista aziendale perché provvedesse, nella medesima mattina del XX, al ritiro diretto e brevi manu della documentazione erroneamente consegnata avendo cura di: far sottoscrivere una specifica dichiarazione con la quale gli assistiti hanno dichiarato di non aver effettuato copie e/o riproduzioni dei referti, di non averli consegnati, anche in mera visione, ad ulteriori soggetti terzi e, infine, di non aver comunicato e/o diffuso le informazioni ivi presenti; consegnare il referto corretto”.

Con la medesima comunicazione, l’Azienda sanitaria ha dichiarato che le misure organizzative adottate, anche per evitare tali errori materiali, hanno riguardato la formazione del personale, l’aggiornamento di indicazioni e istruzioni operative condivise nell'intranet aziendale, nonché “la costituzione di un gruppo di lavoro aziendale sulla data protection composto da uno o più rappresentanti di ogni Dipartimento aziendale”.

2. L’attività istruttoria

L’Ufficio, in ordine alle fattispecie sopra descritte, sulla base di quanto rappresentato dal titolare del trattamento nei rispettivi atti di notifica di violazione, nonché delle successive valutazioni, ha notificato all’Azienda USL Toscana Centro, ai sensi dell’art. 166, comma 5, del Codice, l’avvio di due procedimenti per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981), rispettivamente:

a) l’atto n. XX del XX, con il quale l’Autorità ha comunicato che la violazione di dati personali notificata al Garante, ai sensi dell’art. 33 del Regolamento, in data XX, ha rilevato la sussistenza di elementi idonei a configurare, da parte dell’Azienda sanitaria, la violazione dei principi applicabili al trattamento di cui agli artt. 5, par. 1 lett. a) e f) e degli artt. 9 e 32 del Regolamento, in quanto la condotta descritta configura una comunicazione di dati relativi alla salute a terzi in assenza di un idoneo presupposto giuridico;

b) l’atto n. XX del XX con il quale il Garante ha comunicato che l’Azienda sanitaria ha effettuato una comunicazione di dati relativi alla salute in assenza di un idoneo presupposto giuridico e, quindi, in violazione dell’art. 9 e dei principi applicabile al trattamento di cui all’art. 5 del Regolamento.

Successivamente alle richiamate notificazioni delle violazioni ai sensi dell’art. 166, comma 5, del Codice, da parte dell’Autorità, l’Azienda sanitaria ha fatto pervenire le proprie memorie difensive. In particolare:

a) con riferimento alla prima vicenda sopra descritta (cfr. punto 1, lett. a)), con nota del XX (prot. n. XX), senza avanzare una specifica richiesta di audizione ai sensi dell’art. 166, comma 6 del Codice, l’Azienda, in aggiunta a quanto già rappresentato in sede di notificazione della violazione di dati personali ai sensi dell’art. 33 del Regolamento, ha dichiarato che:

- “la causa della violazione deve essere individuata nel mero errore materiale dell'operatore il cui comportamento ha portato alla conoscenza, da parte di un soggetto non autorizzato, dei dati personali di un distinto interessato (omissis). Trattasi, (omissis), di un comportamento colposo senza alcuna intenzione di arrecare, consapevolmente, un ingiusto pregiudizio alla riservatezza dei dati personali dell'interessata”;

- “Prontamente, a sole 36 ore circa dall'avvenuta conoscenza del soggetto, il personale aziendale si è attivato per eliminare le conseguenze della violazione che, pur rientranti nel giudizio della violazione in re ipsa per ciò che attiene al pregiudizio della riservatezza, consente di giudicare come di contenuta entità per i seguenti motivi:

1. “dal dialogo con il personale aziendale che ha gestito il contatto con il soggetto, è emerso che questi (al quale è stata contestualmente consegnata la copia della sua cartella) aveva necessità di ottenere copia della propria cartella per successivi interventi sanitari;

2. al momento in cui, il giorno XX, ha aperto e preso visione del contenuto della busta, si è immediatamente reso conto dell'errore poiché sul frontespizio della cartella è riportato il nominativo del paziente interessato;

3. immediatamente ha, quindi, inviato la comunicazione via email all'Azienda. Si può pertanto ragionevolmente escludere l'accesso al dettaglio delle informazioni contenute nel corpo documentale della cartella”;

- “Si evidenzia, infine e come già anticipato, che l'erroneo destinatario, nel riconsegnare la cartella clinica ha provveduto a rilasciare specifica e mirata dichiarazione con la quale escludeva ulteriori operazioni di trattamento quali, nel dettaglio: comunicazione, diffusione, copia, ecc.”;

- “Considerate le cause della violazione, che non hanno coinvolto infrastrutture o strumenti ICT, la scelta dell'Azienda, nel rispetto del principio di accountability, è stata orientata dal rafforzamento delle misure di carattere organizzativo volte a segregare le funzioni e introdurre immediatamente un cd "doppio controllo" nella procedura di creazione delle copie e consegna delle cartelle cliniche. Tale controllo, anche al fine di integrare gli strumenti a presidio del trattamento, sarà documentato informaticamente con soluzioni ad accesso limitato e protette da password”;

- “l’interessata contattata telefonicamente anche dal Responsabile della protezione dei dati personali, affiche venisse ulteriormente resa edotta di tutti gli elementi rilevati e rilevanti scaturiti dalla violazione, non ha avanzato alcuna pretesa risarcitoria e/o qualsivoglia richiesta nei confronti dell’Azienda (….), ha peraltro e come chiarito verbalmente, apprezzato la tempestività di intervento del personale aziendale”;

- “da quanto rilevato, la mitigazione delle conseguenze negative garantita dalla dichiarazione circa l’omessa comunicazione/diffusione dei dati personali indebitamente acquisiti dall’erroneo destinatario ha consentito di contenere la gravita dell’impatto a tutela dell’interessata che ha peraltro e come chiarito verbalmente apprezzato la tempestività di intervento del personale aziendale;

- Inoltre, l’Azienda ha confermato “la necessità che la cartella clinica sia contenuta in una busta sigillata” tenuto anche conto che il ritiro della stessa può essere curato da un delegato e aver adottato una specifica “Istruzione operativa”, dettagliatamente descritta in tutti i suoi passaggi, il cui scopo è proprio quello di introdurre il richiamato “doppio controllo” al fine di “ridurre al minimo il rischio di incidenti di sicurezza nel trattamento dei dati durante le attività di fotocopiatura della documentazione sanitaria e di preparazione della copia da consegnare all'interessato”.

Su tali basi, l’Azienda ha chiesto all’Autorità di disporre l’archiviazione del procedimento ovvero di applicare i provvedimenti di cui all'art. 58, par. 2 lett. b) del Regolamento;

b) in relazione alla seconda vicenda sopra rappresentata (cfr. punto 1, lett. b)), con nota del XX, l’Azienda sanitaria, oltre a ribadire quanto già rappresentato nella notifica di violazione effettuata ai sensi dell’art. 33 del Regolamento, ha evidenziato, fra altro, che:

- “la causa della violazione deve essere individuata nel mero errore materiale dell’operatore il cui comportamento ha portato alla conoscenza, da parte di soggetti non autorizzati, dei dati personali di un distinto interessato. (…) Risultava, infatti, che a seguito di mero errore dell'operatore incaricato, i referti indirizzati ai due distinti assistiti venivano scambiati nelle buste e inviate scambiando i destinatari”;

- “gli interessati, con i quali è stato avviato un dialogo costruttivo da parte del personale aziendale, non hanno palesato ulteriori conseguenze rispetto alla violazione verificatasi escludendo, di fatto, pregiudizi ai propri diritti e libertà”;

- “Considerate le cause della violazione, che non hanno coinvolto infrastrutture o strumenti ICT, la scelta dell’Azienda, nel rispetto del principio di accountability, è stata orientata dal rafforzamento delle misure di carattere organizzativo. E’ stata adottata una specifica istruzione operativa che introduce un meccanismo del c.d. “doppio controllo” nella procedura di formazione/stampa della copia del referto, imbustamento del medesimo e controllo precedente all’invio. Tale controllo è ritenuto idoneo al fine di verificare la relativa corrispondenza del referto rispetto all’intestatario e destinatario del medesimo”;

“Gli interessati (…) sono stati contattati e costantemente aggiornati al fine di render loro ulteriormente edotti di tutti gli elementi rilevati e rilevanti scaturiti dalla violazione, non hanno avanzato alcuna ulteriore richiesta e/o pretesa risarcitoria. Da quanto rilevato, infatti, la mitigazione delle conseguenze negative garantita dalle dichiarazioni circa l’omessa comunicazione e/o diffusione dei dati personali indebitamente acquisiti dall’erroneo destinatario, ha consentito di contenere la gravità dell’impatto a tutela degli interessati che hanno (…) apprezzato la tempestività di intervento del personale aziendale”.

Per i motivi sopra esposti, l’Azienda sanitaria ha chiesto all’Autorità, in qualità di contravventore, di “disporre l’archiviazione del procedimento per le violazioni evidenziate nella Notifica di violazione Prot.XX, in accoglimento dei motivi sopra esposti (…) (o) applicare i provvedimenti di cui all’art. 58, par. 2 lett. b) del Regolamento UE 2016/679 per i medesimi motivi sopra esposti”.

Tenuto conto che le violazioni oggetto di notifica ai sensi dell’art. 33 del Regolamento riguardano il medesimo titolare del trattamento e fattispecie analoghe, l’Ufficio ha disposto la riunione dei due procedimenti istruttori, ai sensi dell’art. 10, comma 4 del regolamento del Garante n. 1/2019, e ha comunicato tale circostanza al titolare del trattamento con nota del XX, prot. n. XX.

3. Esito dell’attività istruttoria

Preso atto di quanto rappresentato e documentato dalla Azienda sanitaria nel corso dei due procedimenti istruttori di cui al punto 1, lett. a) e b), dapprima con gli atti di notifica di violazione e, successivamente, con le relative memorie difensive, si osserva che:

il trattamento di dati personali deve avvenire nel rispetto della normativa applicabile in materia di protezione dei dati personali e, in particolare, delle disposizioni del Regolamento e del Codice;

per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)”; per “dati relativi alla salute” si intendono “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, punti nn. 1 e 15 del Regolamento). Questi ultimi dati meritano una maggiore protezione dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali (Cons. n. 51 del Regolamento);

con particolare riferimento alle questioni prospettate, la normativa in materia prevede che le informazioni sullo stato di salute possono essere comunicate solo all’interessato e possono essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico (art. 9 Regolamento e art. 84 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101);

i dati personali devono essere trattati nel rispetto dei principi di “liceità, correttezza e trasparenza”, nonché di “integrità e riservatezza” in maniera da garantirne un'adeguata sicurezza, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (art. 5, par. 1 lett. a) e f) del Regolamento);

“tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso (...) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento” (art. 32, par. 1, lett. b) del Regolamento).

3. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive sopra richiamate, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con i richiamati atti di avvio dei procedimenti, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del regolamento del Garante n. 1/2019.

In particolare, le argomentazioni addotte dall’Azienda non sono idonee ad accogliere le richieste di archiviazione formulate nelle memorie difensive.

Per tali ragioni si confermano le valutazioni preliminari dell'Ufficio e si accerta l’illiceità del trattamento di dati personali effettuato dall’Azienda USL Toscana Centro, nei termini di cui in motivazione, in violazione dell’artt. 5 par. 1, lett. a) e f), 9 e 32 del Regolamento.

In tale quadro, considerato, in ogni caso, che la condotta ha esaurito i suoi effetti -poiché, nei due casi di violazione in questione, l’Azienda sanitaria ha dichiarato che la documentazione sanitaria erroneamente consegnata a terzi è stata prontamente ritirata e che gli erronei destinatari, al momento della riconsegna di tali documenti, hanno provveduto a rilasciare specifica e mirata dichiarazione con la quale hanno escluso ulteriori operazioni di trattamento, quali comunicazioni, e di aver implementato ulteriori misure tecniche e organizzative ritenute necessarie per scongiurare futuri analoghi accadimenti e, comunque, per ridurre al minimo l’errore umano- non ricorrono i presupposti per l’adozione di provvedimenti, di tipo prescrittivo o inibitorio, di cui all’art. 58, par. 2, del Regolamento.

4. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par. 1, lett. a) e f), 9, e 32 del Regolamento causata dalle condotte poste in essere dall’Azienda, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 4, lett. a) e par. 5, lett. a) del Regolamento.

Si consideri che il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2, del Regolamento in relazione ai quali, per il caso di specie, si osserva che:

l’Autorità ha preso conoscenza dell’evento a seguito delle notifiche di violazione dei dati personali effettuate dal titolare e non sono pervenuti reclami o segnalazioni al Garante sull’accaduto e che gli interessati, in entrambi i casi, hanno “apprezzato la tempestività di intervento del personale aziendale” (art. 83, par. 2, lett. a), h) e k) del Regolamento);

il trattamento dei dati effettuato dall’Azienda riguarda dati idonei a rilevare informazioni sulla salute di tre interessati (art. 4, par. 1, n. 15 del Regolamento e art. 83, par. 2, lett. g) del Regolamento);

sotto il profilo riguardante l’elemento soggettivo non emerge alcun atteggiamento intenzionale da parte del titolare del trattamento essendo le violazioni avvenute per errore nella fase di imbustamento della documentazione sanitaria (art. 83, par. 2, lett. b) del Regolamento);

l’Azienda ha tempestivamente preso in carico la problematica introducendo soluzioni correttive volte a ridurre al minimo l’errore umano e dunque la replicabilità degli stessi eventi occorsi (art. 83, par. 2, lett. c del Regolamento);

il titolare ha dimostrato un elevato grado di cooperazione con l’Autorità al fine di porre rimedio alle violazioni e attenuarne i possibili effetti negativi (art. 83, par. 2, lett. f) del Regolamento);

nei confronti della Azienda sanitaria medesima è stato in precedenza adottato un provvedimento di ammonimento riguardante una violazione pertinente (provv. n. 174 del 29 aprile 2021 doc. web n. 9676143) (art. 83, par. 2, lett. e) del Regolamento);

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 4, lett. a) e par. 5, lett. a) del Regolamento, nella misura di euro 10.000,00 (diecimila) per la violazione degli artt. 5, par. 1, lett. a) e f), 9 e 32 del Regolamento quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che, debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati all’Autorità.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dalla Azienda USL Toscana Centro, per la violazione degli artt. 5, par. 1, lett. a) e f), 9 e 32 del Regolamento nei termini di cui in motivazione.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, alla Azienda USL Toscana Centro, con Sede legale Piazza Santa Maria Nuova, 1 - Firenze - P.I. e C.F.: 06593810481, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 10.000,00 (diecimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla predetta Azienda, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 10.000,00 (diecimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso giurisdizionale dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 10 marzo 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei

Rispondi