EntiOnLine
Categorie
indietro
12/04/2018 Ordinanza ingiunzione nei confronti dell'Azienda Ospedaliera Sant'Andrea di Roma - 12 aprile 2018 > Violazioni disciplina in materia di protezione dei dati personali

Con provvedimento in data 12 aprile 2018 ( Registro dei provvedimenti n. 220 del 12 aprile 2018 ) il Garante ha adottato una Ordinanza ingiunzione nei confronti dell' Azienda Ospedaliera Sant’Andrea di Roma, in persona del legale rappresentante pro-tempore, con sede legale in Roma, via di Grottarossa n. 1035, C.F. 06019571006, di pagare la somma di euro 32.000 (trentaduemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione;

Continua a leggere

Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

RILEVATO che l’Ufficio, con atto n. 25425/97258 del 2 settembre 2016 (notificato in pari data mediante posta elettronica certificata), che qui deve intendersi integralmente riportato, ha contestato all’Azienda Ospedaliera Sant’Andrea di Roma, in persona del legale rappresentante pro-tempore, con sede legale in Roma, via di Grottarossa n. 1035, C.F. 06019571006, la violazione delle disposizioni di cui agli artt. 13, 23, 161, 162, comma 2-bis, 164-bis, comma 3, e 167 del Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196, di seguito denominato “Codice”);

RILEVATO che dall’esame degli atti del procedimento sanzionatorio avviato con la contestazione di violazione amministrativa è emerso, in sintesi, quanto segue:

- il Garante ha adottato il provvedimento n. 273 del 22 giugno 2016 (in www.gpdp.it, doc. web n. 5410033), che qui si intende integralmente richiamato, a conclusione di un procedimento amministrativo avviato con riferimento ad una segnalazione che lamentava presunte violazioni della disciplina in materia di protezione dei dati personali con riferimento ai trattamenti di dati personali connessi alla gestione del sistema di archiviazione e refertazione delle prestazioni sanitarie dell’Azienda Ospedaliera Sant’Andrea;

- dall’istruttoria relativa al procedimento, nel corso della quale sono stati svolti anche accertamenti ispettivi presso l’Azienda Ospedaliera, in data 23 e 26 gennaio 2015, è stato possibile rilevare che i trattamenti di dati sanitari effettuati mediante il sistema informativo denominato Areas, il cui complesso di informazioni attinenti al percorso di cura di ciascun paziente rientrano nella definizione di dossier sanitario ai sensi delle “Linee guida in tema di Fascicolo sanitario elettronico (FSE) e di dossier sanitario” emanate dal Garante con deliberazione n. 25 del 16 luglio 2009 (in www.gpdp.it, doc. web n. 1634116), presentava alcune criticità;

- in particolare, è stato riscontrato che l’Azienda Sanitaria ha iniziato a fornire una specifica informativa e a raccogliere il correlato consenso, con riferimento ai trattamenti di dati personali effettuati tramite i dossier sanitari, soltanto da ottobre 2014, nonostante i predetti trattamenti siano iniziati nel 2001;

- inoltre è stato rilevato che anche il modello di informativa e di consenso relativo ai trattamenti di dati personali svolti per finalità di cura presentava talune criticità poiché non faceva menzione della ulteriore e correlata finalità amministrativa, della natura obbligatoria o facoltativa del conferimento dei dati per finalità di ricerca, delle specifiche garanzie di anonimato del paziente e degli estremi identificativi dei responsabili del trattamento;

- l’Ufficio, sulla base del richiamato provvedimento del Garante, ha adottato l’atto di contestazione indicato in epigrafe;

RILEVATO che con il citato atto del 2 settembre 2016 è stata contestata alla Azienda Ospedaliera, ai sensi dell’artt. 161 e 162, comma 2-bis, del Codice, la violazione degli artt. 13 e 23, per l’omessa informativa e la mancata acquisizione del consenso degli interessati in relazione ai trattamenti dei dati personali effettuati mediante dossier sanitario; rilevato altresì che, in ragione dell’elevato numero di interessati coinvolti (circa 380.000), l’Ufficio ha contestato all’Azienda l’aggravante di cui all’art. 164-bis, comma 3, del Codice;

PRESO ATTO, dall’esame del rapporto amministrativo redatto ai sensi dell’art. 17 della legge n. 689/1981, che l’Azienda Ospedaliera non ha effettuato il pagamento in misura ridotta in relazione alle violazioni contestate;

LETTO il verbale di audizione del 9 maggio 2017, nel corso della quale l’Azienda Ospedaliera ha depositato memorie difensive ove si osserva, in sintesi, quanto segue:

- “i modelli di informativa e consenso […] erano stati già acquisiti da codesta Autorità nell'ambito degli accertamenti ispettivi agli inizi del 2015; nell'ambito dei medesimi accertamenti, come confermato nelle motivazioni dello stesso Provvedimento (v. pag. 5), erano stati già acquisiti anche gli ulteriori elementi relativi alle dichiarazioni rilasciate dall'Azienda sulla raccolta del consenso informato per il dossier sanitario solo da ottobre 2014 (v. verbale 26.01.15, pag. 3) e, come si dirà sul popolamento del "sistema a far data dal 2001" (v. verbale 23.01.2015, pag. 5): nella Contestazione risulta invece indicato, erroneamente, che tali circostanze sarebbero state "accertate" nel Provvedimento e quindi nell'ulteriore attività istruttoria svolta dopo più di un anno; le predette modulistiche, dichiarazioni e circostanze erano dunque già all'epoca immediatamente percepibili e contestabili dall'Autorità, senza ulteriori indagini od istruttorie, e tuttavia, non sono state fatte oggetto da parte dell'Autorità di contestazione immediata o nei 90 giorni successivi, come avvenuto invece per i profili relativi alle misure di sicurezza;”;

- “si ritiene anzitutto che non corrisponda pienamente a quanto emerso in atti l'indicazione, riportata in Contestazione (ripresa dalle motivazioni del Provvedimento), secondo cui, in base alle dichiarazioni rilasciate nell'ambito degli accertamenti ispettivi, il c.d. dossier sanitario sarebbe risultato "in uso" presso l'Azienda già dal 2001 e "l'Azienda avrebbe trattato, quindi, i dati personali degli interessati, mediante il dossier sanitario, dal 2001 all'ottobre 2014, senza aver acquisito il consenso". A parte ogni considerazione in ordine alla manifesta infondatezza ed illogicità di tale ricostruzione sul piano giuridico, atteso che nel 2001 non esisteva ancora neanche il concetto di dossier sanitario e tanto meno nessun riferimento alla necessità di acquisire uno specifico consenso in proposito (evincibile, pur con tutta una serie di incertezze e problematiche interpretative, a partire solo dalle Linee guida del luglio 2009), si desidera precisare che, dalle dichiarazioni rilasciate a verbale, è stato fatto presente solo che il sistema informativo aziendale, denominato AREAS, era "popolato a far data dal 2001" (v. verbale 23.01.2015, pag. 5), con ciò facendosi evidentemente riferimento alla profondità storica di una parte dei dati (inerenti, nello specifico, alle schede di accettazione e dimissione ospedaliere registrate al sistema Win-ADT) che sono stati caricati nel sistema, attivato solo successivamente, a partire dal 2005, come funzionalità di base e, dal 2006, via via integrato progressivamente, con le ulteriori funzionalità ed informazioni provenienti anche da altri sistemi e reparti, per arrivare poi nel corso degli anni a quella configurazione ed operatività che sarebbe stata poi da far rientrare nel concetto di dossier sanitario, così come delineato da codesta Autorità dal luglio 2009 e poi più precisamente nel luglio 2015”;

- “in relazione all'informativa sul trattamento dei dati per fini di cura: riguardo alla presunta criticità relativa alle finalità del trattamento, le precedenti indicazioni contenute nell'informativa già facevano comunque riferimento, oltre alle finalità di cura, in modo separato anche alle altre finalità correlate a: "Attività amministrativo-contabile connessa all'attività di diagnosi e di cura in adempimento agli obblighi statali e/o regionali", oltre a quelle inerenti "Sanità pubblica" e "Certificazione dello stato di salute", nonché "Ricerca scientifica ..", e contenevano alcuni elementi, seppur ritenuti incompleti, sulla natura del conferimento dei dati; allo stesso modo sono da considerarsi le censure avanzate sul riferimento iniziale alla messa a disposizione dei dati a soggetti o categorie di soggetti che possono venirne a conoscenza quali responsabili ed incaricati di questa Azienda, che comunque erano stati indicati seppur nell'elenco dei soggetti destinatari di "comunicazione" dei dati, così come la criticità riguardante l'indicazione delle modalità per conoscere l'elenco dei responsabili del trattamento dell'Azienda, laddove comunque nell'informativa era comunque già presente una specifica e ben evidente indicazione sulla possibilità di richiedere tale elenco all'Ufficio Relazione con il Pubblico (URP): anche qui si tratterebbe dunque di imprecisioni o parziali carenze, più che di complete omissioni di elementi ex art. 13; anche per quanto concerne le criticità sulla formulazione della parte sulla garanzia del rispetto assoluto dell'anonimato nelle attività di ricerca scientifica, risultano essere emerse imprecisioni od imperfezioni da correggere riguardo al non appropriato utilizzo di tale terminologia da correlare più specificamente alla possibilità di diffusione dei dati in forma anonima a fini di ricerca”;

- “infine, in riferimento al documento contenente le dichiarazioni di consenso, l'unica censura avanzata dal Garante si riferisce alla parte finale relativa alla richiesta di consenso per il trattamento dei dati a fini di ricerca, che è comunque da correlare a quanto sopra rilevato riguardo all'inappropriato uso del termine anonimo: pure in questo caso, francamente, non sembra trattarsi di omissione o condotta tale da rendere applicabile la invece prospettata sanzione pecuniaria per la violazione dell'obbligo di consenso ex art. 23 del Codice privacy”.

RITENUTO che le argomentazioni addotte non risultano idonee a determinare l’archiviazione del procedimento sanzionatorio avviato con la contestazione di cui sopra per le ragioni di seguito esposte:

a) con riferimento alla lamentata decorrenza dei termini per la notificazione della contestazione delle violazioni amministrative in tema di informativa e consenso, si rileva che tale contestazione è stata notificata all’Azienda Ospedaliera il 2 settembre 2016, ossia 72 giorni dopo l’adozione, da parte del Garante, del provvedimento n. 273 del 22 giugno 2016. È stato pertanto rispettato il termine per la notificazione dell’atto di contestazione che, in base all’art. 14, comma 2, della legge n. 689/1981, è di 90 giorni a decorrere dalla data dell’accertamento. Nel caso in argomento deve evidenziarsi che l’atto di accertamento si individua proprio nel provvedimento che ha concluso il procedimento amministrativo il 22 giugno 2016. E' a tale data, infatti, che deve farsi riferimento per valutare il rispetto dei principi di tempestività di cui all'art. 14 della legge n. 689/1981 (Cass. Civ., Sez. lav. n. 5467/2008 e anche Cons. Stato, Sez. VI, 20 giugno 2012, n. 3583), in quanto solo in quella data, dall'esame del complesso dei documenti e delle dichiarazioni in atti (fra i quali il riscontro ad una richiesta di informazioni ed esibizione di documenti fornito il 2 maggio 2016, nel quale sono stati presentati dall’Azienda Ospedaliera ulteriori elementi riguardo i modelli di informativa e consenso e la gestione dei casi di consensi non acquisiti o non presenti a sistema), è stato possibile qualificare oggettivamente e soggettivamente, da parte del Dipartimento attività ispettive e sanzioni, competente per l'instaurazione del procedimento sanzionatorio, le violazioni in argomento. A nulla rileva la considerazione difensiva che, per altra violazione, emersa nel corso dell’accertamento ispettivo del 23 e 26 gennaio 2015, l’atto di contestazione è stato notificato all’Azienda Ospedaliera in data antecedente all’adozione del provvedimento. In tale caso, infatti, la violazione riguardava aspetti relativi all’adozione delle misure minime di sicurezza legate alla designazione degli incaricati del trattamento, aspetti da considerarsi incidentali rispetto all’istruttoria principale che, si ricorda, verteva sulle modalità di gestione del sistema di archiviazione e refertazione delle prestazioni sanitarie dell’Azienda Ospedaliera Sant’Andrea;

b) con riferimento alle censure relative alla ricostruzione “storica” dei trattamenti svolti dall’Azienda Ospedaliera, pur essendo emerso che detti trattamenti hanno avuto inizio fin dal 2001, ciò che rileva in questo caso è che essi si siano svolti, per un considerevole periodo certamente successivo all’adozione delle Linee guida in tema di Fascicolo sanitario elettronico e di dossier sanitario del 16 luglio 2009, in carenza della specifica informativa e dell’acquisizione del correlato consenso, come evidenziato nel provvedimento n. 273 del 22 giugno 2016. Tale provvedimento, occorre sottolineare, non ha formato oggetto di impugnazione da parte dell’Azienda Ospedaliera;

c) con riferimento alle censure legate alla natura delle irregolarità rilevate nei moduli di informativa e consenso predisposti dall’Azienda Ospedaliera in relazione ai trattamenti “per fini di cura”, che costituirebbero delle mere imprecisioni tali da non giustificare l’adozione di un provvedimento sanzionatorio, deve anche qui ribadirsi che tali irregolarità hanno formato oggetto di specifiche prescrizioni nell’ambito del richiamato provvedimento n. 273 del 22 giugno 2016, prescrizioni che non sono state impugnate dall’Azienda Ospedaliera e che, invece, sono state adempiute come rappresentato nella nota del 24 ottobre 2016. Poiché tali prescrizioni sono state adottate per rendere il trattamento conforme alle disposizioni vigenti ai sensi dell’art. 154, comma 1, lett. c), ne discende che le stesse sono intervenute per sanare, non certo delle mere imprecisioni, quanto degli elementi di inidoneità dei moduli di informativa e consenso presi in esame;

d) deve pertanto confermarsi la responsabilità della Azienda in ordine alle violazioni contestate;

RILEVATO, quindi, che l’Azienda Ospedaliera Sant’Andrea, sulla base delle considerazioni sopra richiamate, risulta aver commesso:

- la violazione prevista dall’art. 161 del Codice, per aver omesso di fornire agli interessati un’idonea informativa ai sensi dell’art. 13 del Codice, con riferimento ai trattamenti indicati in motivazione;

- la violazione prevista dall’art. 162, comma 2-bis, del Codice, per aver omesso di raccogliere il consenso specifico e informato previsto dall’art. 23, con riferimento ai predetti trattamenti;

VISTO l’art. 161 del Codice che punisce le violazioni dell’art. 13 del Codice con la sanzione amministrativa del pagamento di una somma da 6.000 a 36.000 euro; visto altresì l’art. 162, comma 2-bis, del Codice, che punisce la violazione delle disposizioni indicate nell’art. 167, fra cui quelle indicate nell’art. 23, con la sanzione amministrativa del pagamento di una somma da 10.000 a 120.000 euro;

Ritenuto che, per entrambe le violazioni contestate, in ragione dell’elevato numero di interessati coinvolti (circa 380.000), deve applicarsi l’aggravante di cui all’art. 164-bis, comma 3, che prevede il raddoppio degli importi minimi e massimi edittali delle sanzioni;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a) in ordine all’aspetto della gravità con riferimento agli elementi dell’entità del pregiudizio o del pericolo e dell’intensità dell’elemento psicologico, la violazione non risulta connotata da elementi specifici;

b) ai fini della valutazione dell’opera svolta dall’agente, deve essere considerato in termini favorevoli il fatto che l’Azienda ha dato adempimento alle prescrizioni impartite dal Garante con il provvedimento n. 273 del 22 giugno 2016;

c) circa la personalità dell’autore della violazione, l’Azienda Ospedaliera non risulta gravata da precedenti procedimenti sanzionatori definiti in via breve o con ordinanza-ingiunzione;

RITENUTO, quindi, di dover determinare, ai sensi dell’art. 11 della L. n. 689/1981, l’ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di:

- euro 12.000 (dodicimila), per la violazione di cui all’art. 161 del Codice, ritenuta l’aggravante di cui all’art. 164-bis, comma 3;

- euro 20.000 (ventimila), per la violazione di cui all’art. 162, comma 2-bis, ritenuta l’aggravante di cui all’art. 164-bis, comma 3;

VISTA la documentazione in atti;

VISTA la legge n. 689/1981, e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la prof.ssa Licia Califano;

ORDINA

all’Azienda Ospedaliera Sant’Andrea di Roma, in persona del legale rappresentante pro-tempore, con sede legale in Roma, via di Grottarossa n. 1035, C.F. 06019571006, di pagare la somma di euro 32.000 (trentaduemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione;

INGIUNGE

alla medesima Azienda Ospedaliera di pagare la somma di euro 32.000 (trentaduemila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Banca dati