Struttura sanitaria e non corretta conservazione di documenti sanitari

La struttura sanitaria risponde della non corretta conservazione di vecchi documenti sanitari abbandonati all’interno di un edificio dismesso.

Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioniI ricorsi al Garante della privacy

Indice

1. I fatti

Il Garante per la protezione dei dati personali aveva ricevuto una segnalazione in cui si lamentava la possibile violazione della normativa in materia di privacy con riferimento alla presenza di documentazione sanitaria di vario genere in stato di abbandono ed accessibile a chiunque all’interno di un edificio dismesso di proprietà di una ASL locale: a supporto della segnalazione, veniva anche inviato un video in cui era possibile vedere la presenza della documentazione.
Il Garante formulava quindi una richiesta di chiarimenti alla struttura sanitaria, aprendo successivamente il procedimento sanzionatorio nei suoi confronti e invitandola a fornire scritti difensivi.
La struttura sanitaria, in primo luogo, sosteneva che l’edificio non era in stato di abbandono, anche se non era utilizzato da decenni e che gli accessi di soggetti terzi che si erano verificati erano avvenuti in maniera illecita e non autorizzata (tra l’altro, la ASL affermava sul punto di aver anche sporto delle denunce all’autorità competente per detti accessi abusivi). In particolare, la struttura sanitaria sosteneva che l’accesso all’edificio era possibile solo attraverso l’apertura di un cancello principale collocato lungo una recinzione di mura, sempre chiuso con catena e lucchetti e dopo attraverso l’accesso dalla porta principale, anch’essa chiusa. Inoltre, l’azienda affermava di aver incaricato da sempre una ditta di vigilanza privata al fine di sorvegliare quotidianamente (anche se non continuativamente) l’edificio. Pertanto, gli ingressi nell’edificio erano avvenuti in maniera illecita.
In secondo luogo, la ASL sosteneva che la documentazione presente all’interno dell’edificio non era attuale e in gran parte non era leggibile: pertanto, la stessa era ininfluente rispetto ai diritti degli interessati. Inoltre, in gran parte dei documenti non vi erano dati personali e quindi gli interessati non erano identificabili.
In terzo luogo, l’azienda riferiva che la documentazione in questione era risalente a trenta anni fa e invece la normativa di settore prevede che l’azienda debba conservare la documentazione relativa alle radiografie solo per un massimo di 10 anni. Pertanto, l’ulteriore presenza della documentazione non poteva considerarsi idoneo a determinare un impatto negativo sugli interessati (anche in quanto la documentazione non era più attendibile, stante il decorso del tempo).
Infine l’azienda evidenziava di aver incaricato una apposita ditta specializzata e di aver rimosso tutta la documentazione ancora presente all’interno dell’edificio.
Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni:

FORMATO CARTACEO

I ricorsi al Garante della privacy

Giunto alla seconda edizione, il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce delle recenti pronunce del Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo sempre maggiore della rete. L’opera si completa con una parte di formulario, disponibile online, contenente gli schemi degli atti da redigere per approntare la tutela dei diritti dinanzi all’Autorità competente. Un approfondimento è dedicato alle sanzioni del Garante, che stanno trovando in queste settimane le prime applicazioni, a seguito dell’entrata in vigore della nuova normativa. Michele Iaselli Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II, nonché Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore in numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.

Michele Iaselli | Maggioli Editore 2022

2. Non corretta conservazione dei documenti da parte della struttura sanitaria: valutazione del Garante

Preliminarmente il Garante ha ricordato che il trattamento dei dati personali deve avvenire nel rispetto della normativa applicabile in materia di privacy, fra cui il Regolamento europeo per la protezione dei dati personali (GDPR) nonché della normativa di settore nei vari ambiti che disciplinano anche i tempi e le modalità di conservazione della documentazione sanitaria.
Per quanto concerne la normativa privacy, i dati personali devono essere trattati in modo lecito, corretto e trasparente e conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per cui i dati sono trattati. I dati personali possono essere conservati per periodi più lunghi soltanto se gli stessi sono trattati per fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici.
Inoltre, il GDPR stabilisce che i dati personali devono essere trattati in maniera da garantire un’adeguata sicurezza, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali. Spetta al titolare del trattamento, valutate le circostanze del caso concreto e i rischi connessi, individuare le misure tecniche e organizzative adeguate per garantire un livello di sicurezza sufficiente rispetto al tipo di rischio.
Infine, la normativa in materia di privacy individua fra i trattamenti anche la semplice conservazione dei dati personali.
Per quanto riguarda, invece, la normativa di settore, il Garante ha evidenziato che detta disciplina individua termini di conservazione specifici che le strutture sanitarie devono rispettare in base al tipo di documento sanitario in loro possesso. In mancanza di una specifica norma nella disciplina di settore, si applica comunque il termine di conservazione previsto dalla normativa privacy: cioè un termine congruo per raggiungere le finalità per cui i dati sono stati raccolti.
Nel caso di specie, il Garante ha ritenuto che la conservazione della documentazione sanitaria nei locali dell’edificio di cui di discute, con le modalità visibili nei predetti video, non può essere qualificata come una modalità di conservazione idonea e in linea con la disciplina di settore e con la normativa privacy. Infatti, l’abbandono di documentazione sanitaria all’interno di un edificio dismesso viola i principi di integrità e riservatezza dei dati nonché quello di limitazione della conservazione.

3. La decisione del Garante

In considerazione di quanto sopra, il Garante ha ritenuto che la condotta posta in essere dalla struttura sanitaria locale configuri una violazione della normativa in materia di privacy e conseguentemente ha ritenuto di applicare una sanzione amministrativa pecuniaria (non ritenendo invece necessario adottare alcuna misura correttiva, posto che l’azienda ha dichiarato di aver rimosso la documentazione che era presente all’interno dell’edificio).
Per quanto riguarda la sanzione da applicare a causa della condotta illecita, il Garante ha valutato tutte le circostanze del caso concreto.
In particolare, da un lato, il fatto che il trattamento effettuato è di particolare gravità, in quanto ha riguardato dati personali relativi allo stato di salute relativi a prestazioni sanitarie (anche se erogate 30 anni prima) e il fatto che l’autorità è venuta a conoscenza della violazione solo a seguito di una segnalazione, nonché la presenza di precedenti violazioni della normativa privacy eterogenee a carico del titolare del trattamento. Dall’altro lato, il Garante ha valutato che l’azienda ha collaborato pienamente nel corso dell’istruttoria e ha incaricato una ditta specializzata per rimuovere la documentazione sanitaria presente nell’edificio dimesso.
Sulla base di tutte tali circostanze, quindi, il Garante ha ritenuto di dover quantificare la sanzione amministrativa pecuniaria a carico del titolare del trattamento nell’importo complessivo di €. 50.000 (cinquantamila).

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento