Data del Provvedimento: 26 settembre 2024 Riferimento: [doc. web n. 10079346]

Un recente provvedimento (n. 581 del 26 settembre 2024) del Garante per la Protezione dei Dati Personali ha messo in luce la grave responsabilità dell’Azienda Sanitaria Territoriale (AST) di Ascoli Piceno, sanzionata complessivamente per € 17.000,00. La violazione è emersa in seguito a un trattamento illecito di dati sulla salute, classificato come alto in termini di gravità, che ha infranto principi fondamentali del GDPR, quali la minimizzazione e la protezione dei dati fin dalla progettazione.

1. La Genesi della Contestazione: Il Reparto Rivelato

L’istruttoria del Garante è partita da un reclamo presentato da una paziente (Sig.ra XX). La donna lamentava che l’AST di Ascoli Piceno, nel fornire l’attestato necessario per giustificare la propria assenza dal lavoro, riportava esplicitamente il reparto (ad esempio, neurologia, ginecologia, ortopedia) presso cui la prestazione sanitaria era stata effettuata.

Questa pratica è stata considerata illecita poiché vanifica il diritto dell’utente di non far sapere al datore di lavoro e all’ufficio del personale l’ambito specifico degli accertamenti, delle visite o dei trattamenti in corso, rivelando di fatto il suo stato di salute. I “dati relativi alla salute” sono, per definizione, informazioni che rivelano lo stato di salute fisica o mentale di una persona.

2. Le Gravi Violazioni Accertate

L’Ufficio del Garante ha notificato all’AST l’avvio del procedimento, riscontrando che il trattamento effettuato non era conforme alle normative vigenti. Le principali violazioni riguardano:

• Principio di Minimizzazione, Integrità e Riservatezza (Art. 5, par. 1, lett. c) e f) del Regolamento): L’Azienda ha trattato dati sulla salute non adeguati, pertinenti o limitati a quanto necessario. Includere il reparto o il timbro con la specializzazione del sanitario nei moduli di certificazione amministrativa vanifica il principio di minimizzazione dei dati. Il Garante ha un orientamento consolidato, risalente nel tempo, che impone cautele specifiche nelle certificazioni amministrative per prevenire la correlazione tra l’interessato e reparti/strutture, al fine di non rivelare lo stato di salute.
• Privacy by Design (Art. 25 del Regolamento): L’AST non aveva adottato misure tecniche e organizzative adeguate fin dalla predisposizione dei modelli di certificazione per garantire l’applicazione efficace del principio di minimizzazione.
• Obblighi di Sicurezza del Trattamento (Art. 32 del Regolamento): L’Azienda non ha adottato misure idonee a garantire un livello di sicurezza adeguato al rischio, specialmente contro la divulgazione non autorizzata di dati personali.

A queste si aggiunge la violazione dell’Art. 157 del Codice (Codice Privacy). Inizialmente, l’Azienda ha omesso di fornire riscontro alla richiesta di informazioni formulata dall’Autorità nei termini indicati, contravvenendo agli obblighi di collaborazione.

3. Le Difese dell’AST e la Risposta del Garante

Nelle sue memorie difensive, l’AST di Ascoli Piceno ha cercato di mitigare la propria posizione citando profonde difficoltà organizzative:

1. La riorganizzazione del Servizio Sanitario Regionale a partire dal XX (soppressione dell’ASUR Marche e costituzione delle AST).
2. Un periodo di commissariamento di 7 mesi.
3. L’avvicendamento di due Responsabili della Protezione dei Dati (DPO) in un arco temporale di 13 mesi.
4. L’evento contestato è stato qualificato come “violazione minore” e “isolato”, e si è sostenuto che il personale non avesse intenzione di arrecare alcun pregiudizio.

Il Garante ha respinto le richieste di archiviazione. L’Autorità ha ribadito che i principi di garanzia sulla riservatezza dei dati sanitari sono un orientamento consolidato da molto tempo, antecedente al nuovo assetto sanitario regionale e alle difficoltà della pandemia.

Inoltre, il Garante ha sottolineato che né le difficoltà organizzative né l’avvicendamento dei DPO (la cui designazione spetta al titolare in funzione delle qualità professionali) possono esonerare il titolare del trattamento (l’AST) dalla verifica del rispetto della normativa e dagli obblighi di accountability (responsabilizzazione).

4. Sanzione e Misure Correttive Adottate

Il Garante ha dichiarato l’illiceità del trattamento. Tuttavia, non sono state adottate ulteriori misure correttive (Art. 58, par. 2) perché l’Azienda aveva già modificato la condotta, dimostrando proattività dopo la notifica:

• L’AST ha provveduto ad avviare un’istruttoria interna.
• È stata creata una task-force e sono state adottate misure correttive urgenti per garantire che i certificati amministrativi non contengano indicazioni che possano ricondurre alla disciplina di erogazione della prestazione o allo stato di salute (ad esempio, l’eliminazione dei timbri con la specializzazione del sanitario e l’indicazione della struttura).
• È stata impartita specifica formazione ai Direttori e Responsabili delle Unità Operative.

Nonostante l’esaurimento degli effetti della condotta, per le violazioni accertate (illiceità del trattamento e mancato riscontro tempestivo), è stata inflitta una sanzione amministrativa pecuniaria complessiva di € 17.000,00:

• € 13.000,00 per la violazione degli Artt. 5, 25 e 32 del Regolamento (trattamento illecito di dati sulla salute, classificata come colposa e ad alta gravità).
• € 4.000,00 per la violazione dell’Art. 157 del Codice (omesso riscontro tempestivo all’Autorità).

Il Garante ha inoltre disposto la pubblicazione per intero del provvedimento sul proprio sito web. L’Azienda ha facoltà di definire la controversia pagando entro 30 giorni un importo ridotto pari alla metà della sanzione comminata.