La pubblicazione sul sito web aziendale della ASL dei dati relativi ai soggetti che hanno ottenuto un risarcimento danni dall’azienda sostanzia una illecita diffusione di dati anche relativi alla salute

Scarica PDF Stampa
Avv. Pier Paolo Muià

 

Garante per la protezione dei dati personali: Ordinanza ingiunzione n. 173 del 1 ottobre 2020

 

Il fatto

Il sostituto procuratore della Repubblica di Cosenza aveva inviato al Garante per la protezione dei dati personali una comunicazione con cui avvertiva l’autorità che il sito Web istituzionale dell’azienda sanitaria provinciale di Cosenza aveva illecitamente diffuso dati personali, anche alla salute, di alcuni interessati.

A seguito di detta segnalazione, il Garante aveva quindi effettuato un’attività preliminare di verifica, dalla quale era emerso che all’interno dell’area trasparenza e anticorruzione del sito Web dell’azienda sanitaria nonché nell’area dell’albo pretorio on-line era possibile scaricare una delibera del commissario ad acta dell’azienda che conteneva, sia all’interno del testo che nell’oggetto, i dati personali di alcune persone che avevano ottenuto dall’azienda sanitaria il risarcimento per i danni subiti a causa di prestazioni mediche non correttamente seguite dall’ azienda stessa. In particolare, all’interno di tale provvedimento era possibile rinvenire il nome e il cognome degli interessati, la loro residenza, il codice fiscale nonché l’importo che avevano percepito a titolo di risarcimento e il codice IBAN su cui dette somme erano state bonificate.

In secondo luogo, il Garante per la protezione dei dati personali aveva avuto modo di appurare che l’azienda sanitaria di Cosenza non aveva mai effettuato la comunicazione al Garante contenente i dati di contatto del responsabile della protezione dei dati dell’azienda stessa, secondo quanto previsto dal Regolamento europeo per la protezione dei dati personali (GDPR) (che aveva reso obbligatoria la nomina di tale soggetto, con decorrenza dal 25 maggio 2018).

In considerazione di ciò, il Garante aveva ritenuto che l’azienda sanitaria locale avesse violato la normativa in materia di privacy e conseguentemente aveva dato avvio al procedimento per l’adozione dell’ordinanza ingiunzione nei confronti del titolare del trattamento ed invitato quest’ultimo a fornire eventuali scritti difensivi.

L’azienda sanitaria cosentina, esercitando il diritto di difesa di cui sopra, inviava una memoria difensiva al Garante con cui giustificava le suddette violazioni individuate dal Garante, in base alle seguenti argomentazioni:

  • in primo luogo, evidenziava che la delibera contenente i dati personali degli interessati era stata adottata attraverso un procedimento e il conseguente atto finale autonomamente deciso e deliberato dal commissario ad acta che era stato nominato dal giudice amministrativo, per sostituirsi all’azienda sanitaria che non aveva emanato il provvedimento; in altri termini, l’azienda riteneva che il fatto che il provvedimento contestato fosse stato adottato e pubblicato sull’ albo pretorio on-line in maniera autonoma dal commissario ad acta nominato dal giudice, sollevasse l’azienda dalla conseguente responsabilità per l’illecita diffusione dei dati;
  • in secondo luogo, la struttura sanitaria rilevava come la stessa avesse designato il nuovo responsabile della protezione dei dati personali dopo che il primo dirigente a ciò incaricato era andato in pensione e dopo che si erano concluse le procedure per l’individuazione del nuovo responsabile;
  • in terzo luogo, rilevava come fosse stato comunque pubblicato sul sito Internet aziendale il regolamento interno in materia di protezione dei dati personali;
  • infine, evidenziava come subito dopo la segnalazione e l’apertura del procedimento da parte del Garante, l’azienda sanitaria abbia rimosso la delibera in questione dal sito Internet aziendale.

 

La decisione del Garante

il Garante per la protezione dei dati personali ha ritenuto di non accogliere le argomentazioni difensive proposte dalla struttura sanitaria ed ha confermato la propria valutazione di illeicità della condotta posta in essere dalla struttura stessa.

In particolare, l’autorità ha ritenuto che la diffusione dei dati personali che erano contenuti all’interno della delibera del commissario ad acta (cioè il nome e cognome, la residenza e il codice fiscale dei soggetti che avevano ricevuto un risarcimento danni per l’inadempimento – da parte della struttura sanitaria – nel fornire le proprie prestazioni, nonché l’indicazione delle somme liquidate a favore di costoro e il relativo codice IBAN su cui era stato effettuato il bonifico) costituisce un illecita diffusione di dati personali, anche riferibili alla salute, in considerazione del fatto che il pagamento atteneva ad un risarcimento per i danni causati dall’azienda a seguito delle non corrette prestazioni sanitarie erogate dalla stessa. In altri termini, attraverso le informazioni pubblicate si poteva risalire anche alle prestazioni sanitarie (non correttamente) erogate dalla struttura, che quindi costituiscono dati relativi alla salute degli interessati. In particolare, l’autorità ritiene che la pubblicazione in forma integrale della delibera del commissario ad acta violi il principio di minimizzazione dei dati, in quanto le informazioni comunicate non sono limitate a quanto necessario rispetto alle finalità del trattamento: in altri termini, posto che la finalità della pubblicazione del provvedimento era evidentemente quella di trasparenza dell’attività della pubblica amministrazione, tale finalità avrebbe potuto essere raggiunta oscurando i dati non necessari contenuti nel provvedimento (fra i quali, evidentemente, quelli personali e relativi alla salute degli interessati e alle prestazioni sanitarie erogate dalla struttura).

In secondo luogo, anche il fatto che la struttura sanitaria non abbia mai comunicato al garante per la protezione dei dati personali i dati di contatto del proprio responsabile per la protezione dei dati (DPO), sostanzia anch’esso una violazione del regolamento europeo (GDPR). Infatti, secondo il garante, l’azienda sanitaria locale, dopo il pensionamento del responsabile, e nell’attesa di individuare il nuovo, avrebbe dovuto comunque nominare un nuovo responsabile interno all’ente con funzioni temporanee di DPO, in modo da garantire la continuità della copertura della figura della responsabile, e comunicare al Garante tale nomina.

In considerazione di tutto quanto sopra, il Garante ha ritenuto di ingiungere alla struttura sanitaria cosentina di provvedere a comunicare allo stesso Garante i dati di contatto del responsabile della protezione dati aziendale (DPO) e di pubblicarli altresì sul sito Web istituzionale. Inoltre, ha comminato la sanzione pecuniaria a danno della struttura sanitaria per un importo di euro 30.000, in considerazione del fatto che la diffusione dei dati personali si è perpetrata per più di tre anni e che da quando è entrato in vigore il regolamento europeo e fino ad oggi l’azienda sanitaria non ha mai comunicato all’autorità di dati di contatto del responsabile della protezione dei dati, ma altresì tenendo conto, quali circostanze attenuanti, che l’azienda si è immediatamente attivata per oscurare i dati personali contenuti del provvedimento diffuso on-line e quindi per porre rimedio alla violazione nonché stante la mancanza di precedenti violazioni da parte della struttura.

Volume consigliato

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento