Sanzionata l'azienda sanitaria che adotta ma non documenta procedure interne

In data XX, si è svolta l’audizione richiesta dall’Azienda ... ..., durante la quale la stessa ha ritenuto di mostrare una presentazione avente a oggetto le misure di remediation, tra cui la procedura per la gestione delle richieste del materiale biologico, adottata con delibera n. XXdell’XX, che è stata trasmessa in occasione dell’audizione.

Nella medesima occasione, a integrazione di quanto già evidenziato nelle memorie, è stato dichiarato che:

• - “la delibera sopra citata (n. XX dell’XX) formalizza la procedura già in uso e introduce degli elementi di miglioramento e semplificazione, allo scopo di ridurre le possibilità di errore;
• - le azioni di miglioramento della procedura consistono anche nell’accentramento della stessa presso l’Anatomia patologica;
• - la procedura permette la minimizzazione dei passaggi previsti e il migliore tracciamento delle operazioni svolte sui tasselli e vetrini;
• - l’Azienda, nell’ambito del piano triennale del fabbisogno, ha fatto richiesta di realizzare armadi informatizzati ai fini della gestione completamente digitalizzata dell’archivio, con la possibilità di essere avvertiti tramite un alert del mancato rientro del materiale biologico eventualmente consegnato al paziente;
• - nel breve periodo è stata già prevista una attività formativa sul campo sulla nuova procedura, già comunicata all’interno del servizio di anatomia patologica, e, inoltre, un corso/convegno sulle novità in materia di protezione dei Dati personali in sanità;
• - in relazione all’evento oggetto del reclamo, si precisa che nel XX non era previsto il codice a barre e i tasselli erano contrassegnati manualmente con la matita, resistente ai solventi utilizzati per processare il materiale;
• - attraverso le predette modifiche l’Azienda intende intraprendere un processo di continuo miglioramento, anche prevedendo degli audit periodici che permettano di controllare la concreta applicazione della procedura e la sua efficacia;
• - anche solo la procedura di reclamo ha avuto l’effetto di attivare ancor di più l’Azienda a intraprendere ogni azione possibile per migliorare le procedure e evitare la replicabilità dell’evento occorso;
• - il DPO è stato immediatamente coinvolto nel processo di analisi dei fatti oggetto di reclamo e nelle azioni migliorative”.

Dalla documentazione recante “Presentazione della procedura di cui alla delibera n. XX dell’XX”, trasmessa in occasione della predetta audizione, risulta che “il materiale biologico (tasselli in paraffina, vetrini istologici e citologici) viene conservato in appositi archivi secondo la numerazione (attribuita dal sistema informatico) con la quale sono stati accettati all’ingresso. Si tratta di una numerazione univoca e progressiva distinta per anno e per tipologia di campione. Su tasselli paraffinici e vetrini viene stampato il numero e il corrispondente codice a barre”.

4. Conclusioni

Alla luce delle valutazioni sopra esposte, tenuto conto delle dichiarazioni rese dal Titolare del Trattamento nel corso dell’istruttoria e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice (“Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”), si rileva che gli elementi forniti dall’Azienda ......nelle memorie difensive sopra richiamate e nel corso dell’audizione non sono idonei ad accogliere integralmente le richieste di archiviazione, non consentendo di superare i rilievi notificati dall’Ufficio con il citato atto di avvio del procedimento.

Preliminarmente, occorre rilevare che, indipendentemente dalla qualificazione dei vetrini e dei tasselli di un esame istologico quali “dati genetici”, certamente gli stessi possono, nel caso di specie, essere riconducibili, in ogni caso, alle categorie particolari di Dati personali previsti nell’art. 9 del Regolamento. Infatti i materiali biologici estratti dalla reclamante, associati ad elementi, nel caso di specie numerici (XX e XX), riferiti all’identità della persona fisica al quale appartiene (la signora XX), poiché rivelano informazioni in ordine all’avvenuta prestazione di servizi di assistenza sanitaria, costituiscono dati sulla salute, così come definiti dall’art. 4, par. 1, punto 15 del Regolamento e Cons. n. 35, protetti dalle peculiari garanzie dell’art. 9 del Regolamento.

Ciò premesso, si fa presente che, alla luce della documentazione acquisita, non risulta “mai esistito protocollo scritto per la gestione dei reperti in quanto procedura abbondantemente consolidata nel tempo (oltre 40 anni) e, nella custodia dei reperti in carico nell’archivio della U.O. di Anatomia Patologica (sono stati archiviati oramai decine di migliaia di casi), abbiamo avuto sempre massima cura e attenzione nel custodirli nel migliore dei modi. Allo scrivente NON risulta che vi siano protocolli scritti per gestione e custodia dei reperti, presso U.O. di Anatomia Patologica dove lavora e/o in Sardegna e/o in Italia” (cfr. Dichiarazione del direttore del servizio di anatomia patologica, All. n. 7 alla mail del XX).

Al riguardo, anche ove l’Azienda ......, come dalla stessa dichiarato, non fosse stata a conoscenza, nel XX, della pendenza di un giudizio che avrebbe potuto richiedere ulteriori indagini da effettuarsi sui campioni biologici prelevati e, quindi, anche ove non fosse stata posta in condizione di effettuare una valutazione -come richiesto dalle citate linee guida del Ministero della Salute-Consiglio Superiore di Sanità in materia di “Tracciabilità, Raccolta, Trasporto, Conservazione e Archiviazione di cellule e tessuti per indagini diagnostiche di ANATOMIA PATOLOGICA” di XX- in ordine  all’opportunità di conservare i campioni biologici anche oltre il termine decennale proposto, in ogni caso, le predette circostanze non esonerano l’Azienda dall’obbligo di documentare quale operazione di Trattamento (ivi compresa, l’eventuale cancellazione e distruzione) fosse stata effettuata sui Dati personali contenuti nei vetrini associati a persone identificate in modo univoco a fini sanitari.

Infatti, alla luce del principio di c.d. “accountability”, che impone ai titolari del Trattamento di essere in grado di dimostrare l’implementazione di misure idonee ad attuare in modo efficace i principi di protezione dei dati (art. 5, par. 2, del Regolamento), l’Azienda, anche nel caso in cui non fosse stato più riscontrabile un obbligo di conservazione dei campioni biologici, avrebbe dovuto, comunque, adottare modalità volte a garantire la tracciabilità degli stessi e individuare procedure documentate di gestione delle operazioni poste in essere, in tutte le fasi del trattamento, tenendo conto, in particolare, dei rischi derivanti dalla perdita dei Dati personali conservati, secondo quanto previsto dagli artt. 5, par. 1, lett. f) e 32 del Regolamento.

Per tali ragioni, in relazione al descritto smarrimento di Dati personali contenuti nei vetrini appartenenti alla reclamante, si rileva l’illiceità del Trattamento di Dati personali effettuato dall’Azienda, nei termini di cui in motivazione, per la violazione degli artt. 5, par. 1, lett. f) e par. 2 del Regolamento e dell’art. 32 del medesimo Regolamento, nonché del “Provvedimento recante le prescrizioni relative al Trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101” del Garante n. 146 del 5 giugno 2019 (pubblicato in G.U. n. 176 del 29 luglio 2019 e consultabile in www.gpdp.it, doc. web n. 9124510).

In tale quadro, considerato che l’Azienda ha provveduto ad adottare una procedura per la gestione e conservazione del materiale biologico, adottata con delibera n. XX dell’XX, non ricorrono allo stato i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.