menu

Sanità e violazione dei dati personali: il caso dell’ASP di Cosenza 

Un recentissimo caso di violazione della privacy vede coinvolta l’Azienda Sanitaria Provinciale di Cosenza: dopo aver riconosciuto un risarcimento per danni a causa di prestazioni mediche eseguite in modo non corretto, la stessa ha diffuso sul proprio sito web i dati personali di alcuni pazienti.

 

La segnalazione e l’indagine preliminare

La comunicazione al Garante per la protezione dei dati personali arriva dal sostituto procuratore della Repubblica di Cosenza. 

Dopo una verifica preliminare, il Garante ha rilevato che:

– nell’area trasparenza e anticorruzione del sito web dell’ASP e in quella dell’albo pretorio on-line era possibile scaricare una delibera del commissario ad acta dell’azienda che conteneva, sia all’interno del testo che nell’oggetto, i dati dei pazienti risarciti – in particolare, il nome e cognome, l’indirizzo di residenza, il codice fiscale, l’importo del risarcimento e l’IBAN su cui sono state versate  le somme;

– l’ASP di Cosenza non aveva mai comunicato i dati di contatto del responsabile della protezione dei dati, non rispettando quanto prescritto dal Regolamento europeo per la protezione dei dati personali (GDPR) che ne rende obbligatoria la nomina.

Accertata la violazione della privacy, è stato avviato il procedimento per l’adozione dell’ordinanza di ingiunzione nei confronti dell’ASP, in quanto titolare del trattamento.

 

La risposta dell’ASP

Esercitando il diritto di difesa, l’ASP si è giustificata con le seguenti argomentazioni:

– secondo l’azienda, il fatto che il commissario ad acta nominato dal giudice avesse adottato e pubblicato autonomamente la delibera online la sollevava dalla conseguente responsabilità per l’illecita diffusione dei dati;

– l’ASP avrebbe designato il nuovo responsabile della protezione dei dati personali dopo che il primo dirigente incaricato era andato in pensione e dopo che si erano concluse le procedure per l’individuazione del nuovo responsabile

– il regolamento interno in materia di protezione dei dati personali era disponibile sul sito web

– subito dopo la segnalazione e l’apertura del procedimento da parte del Garante, l’azienda ha rimosso la delibera in questione dal sito Internet aziendale.

 

La decisione finale del Garante

Le argomentazioni dell’ASP non sono state accolte. Il Garante ha confermato la violazione della privacy, sulla base delle seguenti motivazioni:

– attraverso le informazioni pubblicate dal commissario ad acta si poteva risalire anche alle prestazioni sanitarie non correttamente erogate dall’ASP, che quindi costituiscono dati relativi alla salute degli interessati; riportando integralmente queste informazioni, l’azienda ha violato il principio di minimizzazione dei dati, secondo cui i dati da comunicare devono essere limitati a quanto necessario rispetto alle finalità del trattamento. Oscurando i dati personali e sulla salute degli interessati, l’azienda avrebbe comunque raggiunto l’obiettivo della trasparenza dell’attività della pubblica amministrazione

– dopo il pensionamento del responsabile, e nell’attesa di individuare il nuovo, l’ASP avrebbe dovuto comunque nominare e un nuovo responsabile con funzioni temporanee di DPO, comunicarlo al Garante e pubblicarlo sul sito web istituzionale, in modo da garantire che il ruolo non rimanesse scoperto.

 

La sanzione per l’ASP

L’ASP di Cosenza aveva due attenuanti, che il Garante ha tenuto in considerazione: l’assenza di precedenti negativi in fatto di violazione della privacy, e il fatto di essersi subito attivata per oscurare i dati personali contenuti nel  provvedimento online. Tuttavia, i dati sono stati illecitamente diffusi per più di tre anni, e fino a oggi non erano mai stati comunicati i dati di contatto del responsabile della protezione dei dati.

Oltre a provvedere alla nomina del DPO ad interim, l’azienda è quindi stata condannata al pagamento di una sanzione pecuniaria di 30.000 euro.