La pubblicazione sul sito web aziendale della ASL dei dati relativi ai soggetti che hanno ottenuto un risarcimento danni dall’azienda sostanzia una illecita diffusione di dati anche relativi alla salute

La pubblicazione sul sito web aziendale della ASL dei dati relativi ai soggetti che hanno ottenuto un risarcimento danni dall’azienda sostanzia una illecita diffusione di dati anche relativi alla salute

di Muia' Pier Paolo, Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

Versione PDF del documento

Avv. Pier Paolo Muià

 

Garante per la protezione dei dati personali: Ordinanza ingiunzione n. 173 del 1 ottobre 2020

 

Il fatto

Il sostituto procuratore della Repubblica di Cosenza aveva inviato al Garante per la protezione dei dati personali una comunicazione con cui avvertiva l’autorità che il sito Web istituzionale dell’azienda sanitaria provinciale di Cosenza aveva illecitamente diffuso dati personali, anche alla salute, di alcuni interessati.

A seguito di detta segnalazione, il Garante aveva quindi effettuato un’attività preliminare di verifica, dalla quale era emerso che all’interno dell’area trasparenza e anticorruzione del sito Web dell’azienda sanitaria nonché nell’area dell’albo pretorio on-line era possibile scaricare una delibera del commissario ad acta dell’azienda che conteneva, sia all’interno del testo che nell’oggetto, i dati personali di alcune persone che avevano ottenuto dall’azienda sanitaria il risarcimento per i danni subiti a causa di prestazioni mediche non correttamente seguite dall’ azienda stessa. In particolare, all’interno di tale provvedimento era possibile rinvenire il nome e il cognome degli interessati, la loro residenza, il codice fiscale nonché l’importo che avevano percepito a titolo di risarcimento e il codice IBAN su cui dette somme erano state bonificate.

In secondo luogo, il Garante per la protezione dei dati personali aveva avuto modo di appurare che l’azienda sanitaria di Cosenza non aveva mai effettuato la comunicazione al Garante contenente i dati di contatto del responsabile della protezione dei dati dell’azienda stessa, secondo quanto previsto dal Regolamento europeo per la protezione dei dati personali (GDPR) (che aveva reso obbligatoria la nomina di tale soggetto, con decorrenza dal 25 maggio 2018).

In considerazione di ciò, il Garante aveva ritenuto che l’azienda sanitaria locale avesse violato la normativa in materia di privacy e conseguentemente aveva dato avvio al procedimento per l’adozione dell’ordinanza ingiunzione nei confronti del titolare del trattamento ed invitato quest’ultimo a fornire eventuali scritti difensivi.

L’azienda sanitaria cosentina, esercitando il diritto di difesa di cui sopra, inviava una memoria difensiva al Garante con cui giustificava le suddette violazioni individuate dal Garante, in base alle seguenti argomentazioni:

  • in primo luogo, evidenziava che la delibera contenente i dati personali degli interessati era stata adottata attraverso un procedimento e il conseguente atto finale autonomamente deciso e deliberato dal commissario ad acta che era stato nominato dal giudice amministrativo, per sostituirsi all’azienda sanitaria che non aveva emanato il provvedimento; in altri termini, l’azienda riteneva che il fatto che il provvedimento contestato fosse stato adottato e pubblicato sull’ albo pretorio on-line in maniera autonoma dal commissario ad acta nominato dal giudice, sollevasse l’azienda dalla conseguente responsabilità per l’illecita diffusione dei dati;
  • in secondo luogo, la struttura sanitaria rilevava come la stessa avesse designato il nuovo responsabile della protezione dei dati personali dopo che il primo dirigente a ciò incaricato era andato in pensione e dopo che si erano concluse le procedure per l’individuazione del nuovo responsabile;
  • in terzo luogo, rilevava come fosse stato comunque pubblicato sul sito Internet aziendale il regolamento interno in materia di protezione dei dati personali;
  • infine, evidenziava come subito dopo la segnalazione e l’apertura del procedimento da parte del Garante, l’azienda sanitaria abbia rimosso la delibera in questione dal sito Internet aziendale.

 

La decisione del Garante

il Garante per la protezione dei dati personali ha ritenuto di non accogliere le argomentazioni difensive proposte dalla struttura sanitaria ed ha confermato la propria valutazione di illeicità della condotta posta in essere dalla struttura stessa.

In particolare, l’autorità ha ritenuto che la diffusione dei dati personali che erano contenuti all’interno della delibera del commissario ad acta (cioè il nome e cognome, la residenza e il codice fiscale dei soggetti che avevano ricevuto un risarcimento danni per l’inadempimento – da parte della struttura sanitaria – nel fornire le proprie prestazioni, nonché l’indicazione delle somme liquidate a favore di costoro e il relativo codice IBAN su cui era stato effettuato il bonifico) costituisce un illecita diffusione di dati personali, anche riferibili alla salute, in considerazione del fatto che il pagamento atteneva ad un risarcimento per i danni causati dall’azienda a seguito delle non corrette prestazioni sanitarie erogate dalla stessa. In altri termini, attraverso le informazioni pubblicate si poteva risalire anche alle prestazioni sanitarie (non correttamente) erogate dalla struttura, che quindi costituiscono dati relativi alla salute degli interessati. In particolare, l’autorità ritiene che la pubblicazione in forma integrale della delibera del commissario ad acta violi il principio di minimizzazione dei dati, in quanto le informazioni comunicate non sono limitate a quanto necessario rispetto alle finalità del trattamento: in altri termini, posto che la finalità della pubblicazione del provvedimento era evidentemente quella di trasparenza dell’attività della pubblica amministrazione, tale finalità avrebbe potuto essere raggiunta oscurando i dati non necessari contenuti nel provvedimento (fra i quali, evidentemente, quelli personali e relativi alla salute degli interessati e alle prestazioni sanitarie erogate dalla struttura).

In secondo luogo, anche il fatto che la struttura sanitaria non abbia mai comunicato al garante per la protezione dei dati personali i dati di contatto del proprio responsabile per la protezione dei dati (DPO), sostanzia anch’esso una violazione del regolamento europeo (GDPR). Infatti, secondo il garante, l’azienda sanitaria locale, dopo il pensionamento del responsabile, e nell’attesa di individuare il nuovo, avrebbe dovuto comunque nominare un nuovo responsabile interno all’ente con funzioni temporanee di DPO, in modo da garantire la continuità della copertura della figura della responsabile, e comunicare al Garante tale nomina.

In considerazione di tutto quanto sopra, il Garante ha ritenuto di ingiungere alla struttura sanitaria cosentina di provvedere a comunicare allo stesso Garante i dati di contatto del responsabile della protezione dati aziendale (DPO) e di pubblicarli altresì sul sito Web istituzionale. Inoltre, ha comminato la sanzione pecuniaria a danno della struttura sanitaria per un importo di euro 30.000, in considerazione del fatto che la diffusione dei dati personali si è perpetrata per più di tre anni e che da quando è entrato in vigore il regolamento europeo e fino ad oggi l’azienda sanitaria non ha mai comunicato all’autorità di dati di contatto del responsabile della protezione dei dati, ma altresì tenendo conto, quali circostanze attenuanti, che l’azienda si è immediatamente attivata per oscurare i dati personali contenuti del provvedimento diffuso on-line e quindi per porre rimedio alla violazione nonché stante la mancanza di precedenti violazioni da parte della struttura.

Volume consigliato

I Ricorsi al garante della privacy

I Ricorsi al garante della privacy

IASELLI MICHELE, 2019, Maggioli Editore

Il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce del regolamento n.1/2019, emanato dal Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo...



Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

pier-paolo-muia

Muia' Pier Paolo

Co-founder dello Studio Legale "MMP Legal", svolge la professione di avvocato in Firenze, Prato e Pistoia, occupandosi in via principale con il suo staff di responsabilità professionale e civile; internet law, privacy e proprietà intellettuale nonchè diritto tributario. In particolare, svolge attività di assistenza e difesa sia di professionisti destinatari di richieste di risarcimento  danni per inadempimento professionale sia di soggetti danneggiati da sinsitri, soprattutto per malpractice medica; consulenza relativamente alla gestione e alla tutela dei dati personali in ogni area e settore di attività nonché assistenza e difesa, stragiudiziale e giudiziale, per quanto riguarda i contratti e i rapporti tramite internet ed in generale tutte le problematiche relative ai servizi on line ed ai correlati diritti; redazione di accordi di licenza e cessione di marchi, dei diritti di sfruttamento economico delle opere dell'ingegno, di know-how e di brevetti; difesa giudiziale per la tutela dei diritti d'autore e di brevetti, marchi e disegni, nonché avverso attività di concorrenza sleale; difesa e rappresentanza nei giudizi dinanzi alle commissioni tributarie. Per Diritto.it è Referente delle sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio. Pagina Facebook: https://www.facebook.com/studiolegalemasimuia/?ref=br_rs Pagina Instagram: https://www.instagram.com/mmp_studiolegale/


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

Ricevi tutte le novità di Diritto.it attraverso le nostre newsletter. Se sei interessato a un ambito specifico effettua l’iscrizione direttamente a questo indirizzo.

Non abbandonare Diritto.it
senza iscriverti alle newsletter!