La privacy dalla parte delle aziende
con spiegazioni semplici e operative, AI assisted
Osservatorio a cura del dott. V. Spataro 



   email 2024-09-16 ·  NEW:   Appunta · Stampa · Cita: 'Doc 98847' · pdf

45 email in cc in chiaro su istruzioni a pazienti affetti da scelerosi multipla, sanzione

abstract:



... l’addetto di segreteria, erroneamente disattendendo le istruzioni sul trattamento dati per finalità di invio comunicazioni, trasmetteva una circolare di istruzioni sul piano terapeutico (privo di indicazioni specifiche) a n. 45 indirizzi di pazienti affetti da sclerosi multipla, inserendo i relativi indirizzi in campo CC in chiaro

Fonte: GPDP
Link: https://www.gpdp.it/web/guest/home/docweb/-/docweb




analisi:

L'analisi è riservata agli iscritti. Segui la newsletter dell'Osservatorio oppure il Podcast iscrizione gratuita 30 giorni

... ....., ........ ... ....... . ............. ...... .'........

.............. ......

............... ............ .. ........ .. (... .' ........., .. ... ............ .. ...... .. ..... ..............).

"... .... ... .. . .. ............... ......... ...... ..., .. ....... ....................., .. .......... ... .......... .. .... ........., .. ..... ............... .. ... ..........., ..........., .. ..........., ... ......... .... .. .... ... ..:.., ................... (........) .......... ... .... ............. (........) .............. ....... .. ... ............. .. .... ........ .. .... .., . ....., ..... .......... ...................... .. .......... ... ..... (.................... ...................@..................) ... ....... ...................... ....... ..... .................., ....... .. ..... .. ......... ..... .. ...... ., .... ..... .............., ... ....... ..... .. ......... ..... ..... ... .. ........ ................ ......... .. ....... ..... ....... ............ ..........

"........ .... ...... ........ . ....... ..... .........., ........ ..... ....... ................. ......... ... ........ .. ..... ........... .. .................. .. ........ .. ................... ... ...... .............. ... .. ... ........ ... .... . ....... ....... ........................, .. .... .. ............ ......... ... ........ ... ..... ................... .. ...... ......... . ..... ........ ........ ........ ..... ....... ..... .......... .. ............, .. .... .., ......................... .. ..... ..... .............. .......... (........). ............... ........ .. .......... . ......... .. ........ ......... .. ..... ......... ... ........ .. ..... ........... ... ........... ..........., ... ..... ... ........ ...., ............... .. .. ........ .........

".. ....... .. ..... .......... ................. . ....... ..... ........ .. .......... .......... ..................

"........: .....

".... .... .. ...... ..... .......... ., .. ..........., ..... ......... .. .... ......... ........... ..... .........., ... ...... .. ........ ........... (..) . ... ......... ... ............ ..... .........., .. ....... ... .. ....... .. .............. ..... .......... ........ ..... ....... ... ...........

"........... .. .......... .. ..... ..... ......., ........ .......... .............. ..... ....... . ......... .................... ..... ........... ..... ....... ........, ............... .. ......... .. ...... ............ ............ ... ......... .................. ................., .......... ... ................... .. ........ ............... ............ (........)

"... ....., .. .............. ....... ... ........ ... ......... ...... .. ......... .. ... ..................... .. ......... . ...... .........., ... ....... ..., ... ........... ................ .. ..., ... ... ....., ....... ....... ................... ... .. .......... .. .......... .. ........... .. ........., ... .. ....... .. .......... ... ........ .. ......... ... .............. ... ..... ........... . ..........., .... ........... .. ...... ....... ... ................. ..........




index:




testo:

[

[doc. web n. 10037439]

Provvedimento del 23 maggio 2024

Registro dei provvedimenti
n. 306 del 23 maggio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al Trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al Trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”);

VISTO il d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al Trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il prof. Pasquale Stazione;

PREMESSO

1. La notifica di data breach

Con note del XX e XX l’Azienda Sanitaria Locale TO4, si seguito “Azienda”, ha notificato una violazione di dati personali, ai sensi dell’art. 33 del Regolamento, dichiarando, in particolare, che “in data XX alle ore 14:04, l’interessata (…) presentava via mail all’URP (…) circostanziato reclamo in cui rappresentava di aver ricevuto in data XX, h 10.32, dalla segreteria dell’ambulatorio di neurologia una email (dall’indirizzo ambulatoriosm.cirie@aslto4.piemonte.it) con oggetto “modalità rinnovo piano terapeutico”, inviata ad altri 44 indirizzi email in chiaro e, dopo circa mezz’ora, una seconda email di rettifica della prima con le medesime modalità. Lamentava la lesione della propria riservatezza personale. L’URP, con nota interna via email delle 14.35, comunicava il reclamo al direttore della SC Neurologia e al direttore sanitario del presidio ospedaliero Ciriè-Lanzo. In data 15/7, la S.C. Neurologia, con nota a firma del direttore, comunicava alla direzione di presidio l’esito della prima istruttoria interna, da cui risultava che l’evento si era prodotto per un errore umano dell’addetto di segreteria, il quale, erroneamente disattendendo le istruzioni sul Trattamento dati per finalità di invio comunicazioni, trasmetteva una circolare di istruzioni sul piano terapeutico (privo di indicazioni specifiche) a n. 45 indirizzi di pazienti affetti da sclerosi multipla, inserendo i relativi indirizzi in campo CC in chiaro. Successivamente, il XX, h. 16:24, il direttore sanitario di presidio di Ciriè Lanzo, inviava all’ufficio privacy aziendale il carteggio relativo all’episodio, allegando il reclamo, le due comunicazioni inviate dall’ambulatorio. L’ufficio privacy, non appena terminata l'istruttoria, provvedeva alla comunicazione preliminare all’Autorità Garante”.

Nelle citate note, l’Azienda ha indicato, quali misure tecniche e organizzative presenti al momento della violazione, adottate per garantire la sicurezza dei Dati personali coinvolti, le “istruzioni operative sull’uso della posta elettronica” e le “istruzioni specifiche sul Trattamento del dato sanitario, presenti nella lettera di autorizzazione al Trattamento dati”.

Secondo quanto comunicato dall’Azienda, i dati oggetto di violazione hanno riguardato “45 indirizzi email e, parzialmente, circa 45 riferimenti anagrafici relativi ai titolari di tali indirizzi; la natura della comunicazione consente di evincere lo stato di paziente affetto da sclerosi multipla e/o patologie demielinizzanti”.

L’Azienda ha, altresì, dichiarato che, a seguito della violazione, è stato effettuato un “richiamo verbale all’operatore che ha inviato in modo errato l’email” e come misure tecniche e organizzative adottate (o di cui si propone l’adozione) sono state elencate la “1 - Formazione specifica al personale dell’URP quale punto di ricevimento delle comunicazioni/reclami dell’utenza; 2 - Formazione specifica del personale della S.C. Neurologia quale unità colpita dal DB; 3 - Rinnovo delle istruzioni operative al personale URP per le comunicazioni interne (assegnazione per competenza); 4 - Rinnovo delle istruzioni specifiche sull’uso della posta elettronica ad uso del personale interno. 5 - Aggiornamento del manuale sull’uso degli strumenti informatici”.

2. Valutazioni del Dipartimento sul Trattamento effettuato e notifica della violazione di cui all’art. 166, comma 5 del Codice

In relazione ai fatti descritti nella notifica di violazione, l’Ufficio, con nota dell’XX (prot. n. XX), ha notificato all’Azienda, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitandola a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981). Ciò, in quanto è stato ritenuto che l’Azienda avesse effettuato una comunicazione di Dati personali e di dati relativi alla salute di 44 pazienti ad altrettanti pazienti, in assenza di un idoneo presupposto giuridico e, quindi, in violazione dei principi di base del Trattamento di cui agli artt. 5, 6 e 9 del Regolamento e dell’art. 2-ter del Codice.

Con nota del XX, l’Azienda ha fatto pervenire le proprie memorie difensive, nelle quali ha evidenziato, in particolare, che:

- “il Trattamento interessato dalla violazione riguarda la trasmissione di corrispondenza a supporto dell’attività di diagnosi e cura dell’Azienda; tale Trattamento è ricompreso nel Trattamento di dati sanitari (i.e. idonei a rivelare lo stato di salute dell’interessato) (…)”;

- “tale Trattamento avviene sulla base giuridica del combinato disposto delle seguenti norme: art. 9, comma 2 lett. “g”, “h” e “i” Reg. UE n. 2016/679 (“GDPR”); art. 2-sexies, comma 2, lett. t, u, v, cc, d.lgs. 196/2003 e s.m.i. (motivi di interesse pubblico rilevante relativi al caso di specie) (…)”;

- “la finalità del Trattamento dati in parola è pertanto quella di diagnosi, assistenza e terapia sanitaria del paziente interessato e, ad essa correlata, attività amministrative correlate all’assistenza specialistica in regime ambulatoriale (…)”;

- “per lo svolgimento dell’attività amministrativa in parola, consistente nel disbrigo di corrispondenza, mediante email, finalizzata alla corretta informazione del paziente neurologico circa il progresso delle attività di cura, l’Azienda ha provveduto a somministrare agli operatori formazione e informazione, e ciò benché l’impiego corretto della posta elettronica sia da considerarsi, nell’attuale contesto storico, patrimonio comune di persone di media istruzione, al pari di tutti gli altri strumenti di espletamento della corrispondenza epistolare”;

- “gli eventi riportati con la notificazione di violazione che ha originato il procedimento trovano radice nella mancata applicazione, da parte del personale preposto, per semplice svista, delle cautele normalmente utilizzate per la comunicazione epistolare. Infatti, l’errore umano nell’applicazione della procedura ha in effetti interferito con la attività di comunicazione, ma non ne ha certamente costituito la finalità”;

- “l’evento ha avuto natura assolutamente accidentale. L’utilizzo dell’email costituisce (…) normale procedura tesa alla comunicazione con i pazienti della S.C. Neurologia. Tale invio è, di regola, individuale o -nel caso di invii collettivi- caratterizzato dall’uso della modalità “copia carbone nascosta” (CCN) allo scopo di evitare il prodursi di comunicazioni a destinatari erronei. La ragione della scelta operata a favore della posta elettronica quale mezzo di comunicazione è dettata da un lato dalla larga diffusione di tale strumento, e dall’altro dal fatto che tale mezzo, essendo qualificato nella sostanza come “postale” è assistito dalle garanzie previste dalla legislazione vigente”;

- “in ordine alla gravità della violazione, (…), pur constatando che gli eventi di cui si discute abbiano un rischio teorico alto, tuttavia l’impatto, misurato sulla tabella 1 del manuale ENISA WP2017 0- 2-2-5 (tabella della gravità in ragione delle potenziali conseguenze per l’interessato), riportato al caso concreto ha evidenziato che in effetti gli interessati risultano aver patito conseguenze compatibili con la gravità “media” dell’evento (“Gli individui possono incontrare inconvenienti significativi, che potranno superare con qualche difficoltà (extra costi, negazione di accesso a servizi professionali, paure, incomprensioni, stress, piccoli inconvenienti fisici etc”.), ragionevolmente ascrivibili alle categorie “paure” e “stress””;

- “tali effetti risultano peraltro confermati dall’atteggiamento successivo della reclamante, che mediante il suo legale ha lamentato l’insorgere di timori circa la conoscenza dello stato patologico da parte di terzi, conoscenza parzialmente foriera di mutamenti nell’atteggiamento di questi verso la reclamante stessa”;

- “anche il prosieguo della corrispondenza con il legale della stessa ha ribadito tale circostanza, giacché anche a distanza di tempo non è risultata alcuna ulteriore allegazione circa ipotesi di danno, limitandosi a ribadire la presenza di “frustrazione e turbamento psico-emotivo”, tutte manifestazioni (al netto, comunque di riscontri oggettivi che finora non sono stati offerti) compatibili con la (citata) classificazione eziologica (…)”;

- “il numero di interessati coinvolti nella violazione è pari a 44. La violazione ha avuto complessivamente una durata contenuta; si osserva infatti che i due invii si sono svolti a pochi minuti di distanza l’uno dall’altro, tanto da poter considerare entrambi come frutto del medesimo errore umano”;

- “la violazione ha avuto carattere colposo. La condotta risulta essere stata accidentale, come risulta per ammissione della stessa operatrice coinvolta in sede di procedimento disciplinare”;

- “questa Amministrazione ha provveduto tempestivamente, non appena appreso dell’evento, alla notifica agli interessati dell’evento occorso. L’evento in sé (erronea comunicazione in chiaro di una lista di indirizzi connessi ad una informazione circa lo status di Destinatario di un piano terapeutico) non è suscettibile di attenuazione nei suoi effetti, se non mediante la comunicazione in sè dell’evento agli interessati, secondo il dettato dell’art. 34 GDPR”;

- “il Trattamento oggetto della violazione è caratterizzato da un livello di rischio potenziale stimato “alto”, come evidenziato nella relativa scheda di trattamento; esso è tuttavia operato interamente da personale in forza all’Azienda, personale comunque tenuto al rispetto del Codice di Comportamento di cui all’art. 54 D. Lgs. 30 marzo 2001, n. 165, e di cui l’Azienda si è dotata con delibera n. 907 del 2018 (…), aggiornato ora con deliberazione n. 920 del 21/10/2022; detto atto, all’art. 12 comma 6, declina chiaramente l’obbligo di riservatezza del dipendente ex art. 2105 cod. civ. come un obbligo di osservare il segreto d’ufficio e la normativa sul Trattamento dei dati personali, adoperandosi attivamente per non divulgare informazioni relative all’attività d’ufficio, e quindi anche i dati personali, di qualsiasi categoria, di cui divenga affidatario. Il personale amministrativo assegnato alla S.C. Neurologia (…) per tramite della Direzione Medica Ospedaliera di Ciriè, ha inoltre ricevuto formazione sul Trattamento dei Dati personali (….)”;

-  “il Trattamento in discorso è poi assistito dalla procedura di cui al (…) Regolamento Aziendale per l’Utilizzo dei Sistemi Informatici – delibera 3/07/2020 n. 713,(…). Tale documento era in fase di revisione, al momento dell’evento di data breach per cui si procede; tuttavia, già nell’attuale edizione, al par. 8, “uso della posta elettronica” si prevede che “Laddove sia invece necessario inviare documento contenente dati sensibili è obbligata la creazione di un file protetto da Password (nel caso di più documenti creare una cartella compressa sempre protetta da password). La Password deve essere comunicata con un altro strumento (per es. Sms, dettata al telefono etc.)”;

- “a seguito dell’evento in discorso, l’Azienda ha predisposto le seguenti ulteriori ed aggiuntive misure organizzative: a. Rinnovo delle istruzioni specifiche sull’uso della posta elettronica ad uso del personale interno; b. Formazione specifica al personale dell’URP quale punto di ricevimento delle comunicazioni/reclami dell’utenza; c. Formazione specifica al personale della S.C. Neurologia Ciriè quale unità colpita dall’evento; d. Rinnovo delle istruzioni operative al personale URP per le comunicazioni interne (assegnazione per competenza); e. Aggiornamento del manuale d’uso degli strumenti informatici”;

- “in particolare, il “manuale d’uso degli strumenti informatici”, (…), al momento in corso di approvazione, contempla ora, la seguente istruzione specifica: “Va evitata la diffusione incontrollata di sistemi per propagare messaggi a diffusione capillare e moltiplicata che inducono il Destinatario a produrne molteplici copie da spedire, a propria volta a nuovi destinatari, in quanto limitano l’efficienza del sistema di posta. Si invita l’utilizzo del Destinatario “CCN” (invio in Copia Conoscenza Nascosta) tutte le volte in cui è necessario informare privatamente dei contenuti dell'email un certo numero di destinatari, impedendo che tutti possano vedere gli altri destinatari; tale impiego è da preferire nelle comunicazioni in cui lo stesso contenuto deve essere inviato a più destinatari senza che gli altri riceventi ne siano a conoscenza. Nella fattispecie il Destinatario in Ccn al momento della risposta non invierà a tutti i destinatari ma solo al mittente”;

- “trattandosi di operazione in larga parte manuale, pertanto dipendente esclusivamente dalla perizia e diligenza dell’operatore nello svolgimento delle proprie mansioni, l’Azienda ha proceduto ad aprire procedimento disciplinare nei confronti dell’autrice dell’errore, conclusosi con l’irrogazione di sanzione giuslavoristica contrattuale (…)”;

- “l’Amministrazione sta inoltre esplorando la possibilità tecnica di inserire una procedura tecnica sul proprio sistema e-mail/antispam che faciliti l’intercettazione di invii multipli allo scopo di ridurre il rischio umano”;

- “OMISSIS";

- “la comunicazione di dati quali lo stato di Destinatario di un piano terapeutico è intesa quale comunicazione solo nella circostanza in cui tale comunicazione avvenga per (…) la finalità identificata dal Titolare, e in tale ambito è assoggettato a specifica procedura, designazione, istruzione e a formazione specifica dei soggetti incaricati a norma dell’art. 29 GDPR”;

- “l’operazione di comunicazione trovava la propria definizione, nel regime previgente, nell’abrogato art. 4, c.1, lett. l, del D.Lgs. n. 196/2003 (…). Attualmente, tale norma definitoria è venuta meno, ma la nozione di comunicazione è ricaduta all’interno delle operazioni di Trattamento di cui all’art. 4, n. 2 GDPR, e ciò in quanto essa si intende appunto come operazione di trattamento, pertanto come attività messa in atto scientemente dal Titolare per una finalità. Tale distinzione è essenziale per poter distinguere la comunicazione come operazione di Trattamento (ovvero la comunicazione effettuata con logica finalistica dal Titolare del trattamento, il quale opera il Trattamento per una finalità -anche a prescindere dalla liceità di questa-) dalla divulgazione al di fuori della previsione dell’informativa e della normativa di riferimento.

E in effetti, quest’ultimo evento costituisce una violazione della riservatezza (…), ma è pur sempre un evento che non rientrava nella finalità del trattamento”.

L’Azienda sanitaria ha, poi, effettuato considerazioni sulla qualificazione della violazione, ritenendo trattarsi di una divulgazione di dati relativi alla salute imprevista e accidentale determinante una violazione della riservatezza che non rientrava nella finalità del trattamento. Il Titolare ha, altresì, evidenziato di ritenere “che una violazione accidentale di riservatezza” non può “essere riqualificata come operazione di Trattamento (sub species, comunicazione) priva di base giuridica; infatti, tale valutazione comporterebbe in sé un giudizio anticipato circa l’esistenza di una finalità di Trattamento (che non sussiste) non sorretta da idonea base giuridica, il che equivarrebbe a dire che sia possibile imputare al contravventore un suo comportamento in assenza di coscienza e volontà, o in presenza di un fatto che interrompe il nesso causale (il che è escluso ai sensi dell’art. 3 L. 689/81)”, sottolineando, in ogni caso, che “la violazione in parola è stata segnalata da questa Amministrazione tempestivamente ai sensi dell’art. 33 e dell’art. 34 GDPR; che sono state introdotte misure che si prospettano idonee a ridurre ulteriormente il rischio di una ripetizione dell’evento in futuro, che la violazione ha interessato unicamente un set di indirizzi email, e che solo uno degli interessati ha lamentato effetti, peraltro apparentemente limitati”.

Nell’audizione che si è tenuta l’XX, è stato, altresì, dichiarato che:

-  “riguardo alle misure adottate a seguito della violazione, è stato chiesto all’attuale fornitore del servizio di posta elettronica la possibilità di adottare un “alert” che avvisi l’utente che si sta inviando una mail a persone esterne all’organizzazione, in modo da intercettare eventuali usi impropri del campo “c.c.”. Di questa richiesta e della relativa risposta è stata fornita prova attraverso la trasmissione, in data XX, all’Autorità di copia della corrispondenza intercorsa (…). L’Azienda dichiara di impegnarsi a replicare la medesima richiesta al nuovo fornitore del servizio di posta elettronica che sarà individuato, nel corso del prossimo anno, all’esito di un processo selettivo”;

-  “è attualmente in visione alle organizzazioni sindacali una bozza di nuovo regolamento per l’utilizzo degli strumenti informatici da parte dei dipendenti dell’Azienda, che contiene le specifiche indicate nella memoria per l’utilizzo del Destinatario in “c.c.n.”; tale regolamento potrà essere perfezionato e aggiornato in vista del prossimo cambio del fornitore”;

- “è stato previsto un aggiornamento della formazione, anche con riguardo ai profili critici che hanno determinato l’evento, con particolare riferimento all’utilizzo della posta elettronica, dei dispositivi aziendali e di Internet”.

3.  Esito dell’attività istruttoria

Preso atto di quanto rappresentato dall’Azienda nella documentazione in atti, nelle memorie difensive, si osserva che:

1. gli indirizzi e-mail sono riconducibili alla nozione di dato personale, anche se privi di riferimenti al nome e al cognome o comunque ad altre informazioni direttamente identificative degli interessati; la circostanza per la quale, dal contesto della comunicazione poteva desumersi che i destinatari delle mail, trasmesse dalla segreteria dell’ambulatorio di neurologia e aventi ad oggetto le “modalità rinnovo piano terapeutico”, erano pazienti in cura presso il citato ambulatorio, ha comportato che il Trattamento descritto ha avuto ad oggetto dati sanitari, in quanto concernenti informazioni relative a prestazioni di assistenza sanitaria, che rivelano informazioni sullo stato di salute (art. 4, par. 1, n. 15 del Regolamento; cfr., sulla riconducibilità dell’indirizzo email alla nozione di dato personale, v., tra gli altri, già il provv. 25 giugno 2002, doc. web n. 29864, provv. del 9 gennaio 2020, doc. web 9261234, provv. 24 giugno 2003, doc. web n. 1132562); tali dati meritano una maggiore protezione dal momento che il contesto del loro Trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali (Cons. n. 51);

2. il Codice, nella versione riformulata ad opera del d.lgs. n. 101/2018, definisce la comunicazione di dati personali, intendendosi per essa “il dare conoscenza dei Dati personali a uno o più soggetti determinati diversi dall’interessato, dal rappresentante del Titolare nel territorio dell’Unione europea, dal Responsabile o dal suo rappresentante nel territorio dell’Unione europea, dalle persone autorizzate, ai sensi dell’art. 2-quaterdecies, al Trattamento dei Dati personali sotto l’autorità diretta del Titolare o del responsabile, in qualunque forma, anche mediante la loro messa a disposizione, consultazione o mediante interconnessione” (art. 2-ter, comma 4, lett. a);

3. la disciplina in materia di protezione dei Dati personali prevede –in ambito sanitario- che le informazioni sullo stato di salute possono essere comunicate solo all’interessato e possono essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico (art. 9 Regolamento e art. 84 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101);

4. il Titolare del Trattamento è tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di «integrità e riservatezza», secondo il quale i Dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. f) del Regolamento).

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal Titolare del Trattamento nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ si rappresenta che gli elementi forniti dall’Azienda nella notifica di violazione, nelle memorie difensive e nel corso dell’audizione non consentono di superare i rilievi notificati dall’Ufficio con il citato atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Come sopra descritto, l’invio delle due comunicazioni, trasmesse a distanza di circa mezz’ora, l’una dall’altra, provenienti dalla segreteria dell’ambulatorio di neurologia e aventi ad oggetto le “modalità rinnovo piano terapeutico”, è avvenuto mediante un unico messaggio di posta elettronica indirizzato a un numero plurimo di destinatari, i cui indirizzi erano stati inseriti in chiaro nel campo copia conoscenza (c.c.); tale circostanza ha, di fatto, senza giustificato motivo e in assenza di presupposto giuridico, rivelato reciprocamente, ai destinatari delle medesime comunicazioni, lo stato di salute degli altri pazienti, dando vita ad una comunicazione di dati sulla salute degli interessati (cui afferiscono gli indirizzi email), in violazione dei principi base di cui agli artt. 5, par. 1, lett. f), e 9 del Regolamento.

Sul punto, le argomentazioni addotte dal Titolare non risultano idonee ad escludere la sua responsabilità in relazione a quanto contestato, dal momento che, con riferimento all’errore in cui, per due volte, sarebbe incorso l’autorizzato che ha effettuato le operazioni di Trattamento in questione, non si ravvisa la condizione che permette di affermare che l’errore sia stato inevitabile e incolpevole, tale cioè da essere evitato con l’ordinaria diligenza. Alla luce di consolidata giurisprudenza della S.C. (Cass. n. 7885/2011, Cass. n. 16320/2010, Cass. n. 19759/2015, Cass. n. 33441/2019 e Cass. n. 17822/2021), ai fini dell’applicazione dell’invocato art. 3 della legge n. 689/1981 è necessario che la buona fede o l’errore si fondino su un elemento positivo, estraneo all’agente e idoneo a determinare in lui la convinzione della liceità del suo comportamento (errore scusabile). Tale elemento positivo deve risultare non ovviabile dall’agente con l’uso dell’ordinaria diligenza. Nel caso di specie, l’operatore avrebbe potuto diligentemente accertare, attraverso un più accurato controllo, la correttezza delle operazioni effettuate in occasione dell’invio delle mail, evitando in tal modo di comunicare dati sulla salute a soggetti terzi, non autorizzati.

Per tali ragioni si rileva l’illiceità del Trattamento di Dati personali effettuato dall’Azienda, nei termini di cui in motivazione.

In tale quadro, considerato, in ogni caso, che la condotta ha esaurito i suoi effetti e che l’Azienda ha manifestato l’intenzione di implementare misure tecniche e organizzative ritenute necessarie per scongiurare futuri analoghi accadimenti e, comunque, per ridurre al minimo l’errore umano, non ricorrono i presupposti per l’adozione di provvedimenti, di tipo prescrittivo o inibitorio, di cui all’art. 58, par. 2, del Regolamento.

4. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i) e 83 del Regolamento; art. 166, comma 7, del Codice). 

La violazione degli artt. 5, par. 1, lett. f) e 9 del Regolamento è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5 del Regolamento.

Si consideri che il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, sulla base degli elementi previsti dall’art. 83, par. 2, del Regolamento.

Alla luce di quanto sopra illustrato e, in particolare, della categoria di Dati personali interessata dalla violazione, del numero di soggetti interessati (44) e del carattere non intenzionale della violazione, si ritiene che il livello di gravità della violazione commessa dalla Azienda sia medio (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60).

Si rappresenta, inoltre, che l’Azienda è già stata destinataria di un provvedimento adottato ai sensi dell’art. 58 del Regolamento, che ha riguardato, tuttavia, l’attivazione di sistemi di videosorveglianza in violazione dell’art. 4 della legge 20 maggio 1970, n. 300 (cfr. provv. del 5 marzo 2020, n. 53, doc. web n. 9433080) Pertanto, la citata violazione non può essere qualificata “precedente violazione pertinente” ai sensi dell’art. 83, par. 2, lett. e) del Regolamento.

Ciò premesso, valutati nel loro complesso taluni elementi e, in particolare, che:

- il Garante ha preso conoscenza dell’evento a seguito della notifica di violazione effettuata dall’Azienda, ai sensi dell’art. 33 del Regolamento, non appena la stessa ha ricevuto una segnalazione in tal senso (art. 83, par. 2, lett.  h) del Regolamento);

- il titolare, al fine di evitare la ripetizione dell’evento occorso, si è impegnato nell’implementazione dell’attività di formazione degli operatori autorizzati al Trattamento dei Dati personali e nella progettazione di procedure di “alert” per l’utilizzo del campo “c.c.” della mail (art. 83, par. 2, lett. c) e f) del Regolamento);

- la violazione ha riguardato una specifica articolazione interna del Titolare del Trattamento e non la complessiva organizzazione dello stesso e ed è stata determinata da un errore di una operatrice, comunque sottoposta a procedimento disciplinare (art. 83, par. 2, lett. k) del Regolamento).

si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5 del Regolamento, nella misura di euro 8.400,00 (ottomilaquattrocento) per la violazione degli artt. 5 e 9 del medesimo Regolamento quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di Dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del Trattamento di Dati personali effettuato dalla Azienda Sanitaria Locale TO4, per la violazione dei principi di base del trattamento, di cui agli artt. 5 e 9 del Regolamento, nei termini di cui in motivazione;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, all’Azienda Sanitaria Locale TO4, con sede legale in Via Po n. 11 - 10034 Chivasso (TO), C.F./P.IVA n. 09736160012, di pagare la somma di euro 8.400,000 (ottomilaquattrocento) a titolo di sanzione amministrativa pecuniaria per la violazione indicata nel presente provvedimento; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Azienda, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 8.400,00 (ottomilaquattrocento) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981;

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 23 maggio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei


Link: https://www.gpdp.it/web/guest/home/docweb/-/docweb

Testo del 2024-09-16 Fonte: GPDP




Commenta



i commenti sono anonimi e inviati via mail e cancellati dopo aver migliorato la voce alla quale si riferiscono: non sono archiviati; comunque non lasciare dati particolari. Si applica la privacy policy.


Ricevi gli aggiornamenti su 45 email in cc in chiaro su istruzioni a pazienti affetti da scelerosi multipla, sanzione e gli altri post del sito:

Email: (gratis Info privacy)






Nota: il dizionario è aggiornato frequentemente con correzioni e giurisprudenza










La privacy dalle basi fino all'attualità.
Udemy lo consiglia alle aziende.
adv IusOnDemand