Pres. Pasquale Stanzione, Vice Pres. Ginevra Cerrina Ferroni, Componenti Agostino Ghiglia e Guido Scorsa, Segretario generale Fabio Mattei.
Dati personali – Comunicazione documentazione sanitaria a soggetti terzi – Illiceità del trattamento di dati personali – Violazione del Regolamento UE 2016/679 – Sussistente – Sanzione Amministrativa – Sanzione accessoria – Riconosciute.
L’Azienda Socio Sanitaria Territoriale (A.S.S.T.) Ovest Milanese notificava all’Autorità Garante per la protezione dei dati personali tre violazioni di dati personali ai sensi dell’art. 33 del Regolamento Generale sulla protezione dei dati personali (Reg. UE 2016/679).
Le violazioni oggetto di notifica hanno riguardato rispettivamente:
1) la trasmissione di una comunicazione, diretta a due persone, contenente una convocazione a visita da parte della Commissione aziendale per la valutazione dell’invalidità civile, a persona diversa dagli interessati;
2) l’inserimento nel campo denominato “copia conoscenza” dell’indirizzo di 198 destinatari di una mail proveniente dal Centro Sclerosi Multipla dell’Azienda e avente ad oggetto le “Raccomandazioni aggiornate su COVID in pazienti affetti da Sclerosi Multipla”;
3) la consegna ad un paziente di documentazione sanitaria contenente anche l’esito di un esame effettuato da un soggetto terzo.
In relazione ai fatti descritti, il Garante ha notificato all’Ente, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento.
Preso atto di quanto rappresentato dall’Ente nella documentazione in atti e nelle memorie difensive, l’Ufficio del Garante ha ritenuto che l’Azienda ha effettuato tre comunicazioni di dati sulla salute relative: a 2 persone, nel primo caso, in violazione dei principi di base del trattamento di cui agli artt. 5, 6 e 9 del Regolamento e dell’art. 2-ter del Codice; a 197 pazienti, nel secondo caso, in violazione dei principi di base del trattamento di cui agli artt. 5, 6 e 9 del Regolamento e dell’art. 2-ter del Codice; a una persona, nel terzo caso, in violazione dei principi di base del trattamento di cui agli artt. 5 e 9 del Regolamento e degli obblighi di sicurezza di cui all’art. 32 del Regolamento.
Alla luce delle valutazioni sopra richiamate, il Garante ha rilevato l’illiceità del trattamento di dati personali effettuato dall’Ente, in particolare, per aver trattato dati sulla salute in violazione dei principi di base del trattamento cui agli artt. 5 lett. f) e 9 del Regolamento nonché degli obblighi in materia di sicurezza di cui all’art. 32 del Regolamento.
Per tali ragioni il Garante ha comminato all’Azienda una sanzione amministrativa di 12 mila euro. L’Autorità ha, inoltre, ordinato all’Ente, come sanzione accessoria, la pubblicazione sul proprio sito del presente provvedimento.
S.d.G.