TRATTAMENTO ILLECITO DI DATI SANZIONE ASL TOSCANA MEDICINA DI INIZIATIVA
100.000 euro di sanzione alla ASL Toscana per un trattamento dati illecito nell’ambito della medicina di iniziativa
Premessa
Nel corso del suddetto accertamento ispettivo, è risultato che:
– il modello di approccio assistenziale della c.d. “Sanità di iniziativa”, seguito in tutta la Toscana, si basa sull’anticipazione delle prestazioni a determinate categorie di assistiti, al fine di prevenire eventi morbosi. Tale modello vede la partecipazione di diversi attori del servizio sanitario regionale ed in particolare i medici di medicina generale (MMG) e gli ambulatori delle aziende sanitarie locali (reti cliniche integrate), che operano in qualità di autonomi titolari del trattamento, sotto un coordinamento organizzativo dell’Azienda sanitaria territorialmente competente. Il modello si realizza attraverso l’impulso del MMG, che, nella c.d. “fase di arruolamento”, provvede a selezionare, tra i suoi assistiti, quelli affetti dalle patologie croniche individuate a livello regionale (es. Diabete, scompenso cardiaco) e a offrire loro dei Piani di Assistenza Individuale (PAI), caratterizzati dall’offerta di un calendario di prestazioni strettamente connesso alle patologie sofferte dall’assistito. Qualora il paziente decida di non aderire a tale piano, potrà ugualmente usufruire delle prestazioni offerte dal servizio sanitario regionale, nonché accedere alle campagne di prevenzione;
– il modello di sanità di iniziativa promosso dall’Azienda, ha avuto una diversa articolazione nel tempo. In una prima fase, conclusasi nel 2017, i MMG inviavano all’Azienda solo il numero complessivo dei pazienti arruolati in relazione alle diverse cronicità indicate (es. diabete). L’Azienda, qualora il numero complessivo dei pazienti arruolati si fosse discostato significativamente dalla media regionale (verifica del numero plausibile come prevalenza), provvedeva a effettuare dei controlli a campione, nell’ambito delle funzioni di vigilanza alla stessa attribuite. A partire dal 2018, è stato deciso invece di ampliare il novero di informazioni che i MMG dovevano inviare all’Azienda nell’ambito del modello assistenziale di sanità di iniziativa promosso dalla stessa. A tale fine, l’Azienda ha inviato ai MMG l’elenco aggiornato dei loro assistiti su una tabella Excel (in formato zip con password per apertura del file). Previa acquisizione di uno specifico consenso informato da parte degli interessati (in atti), i MMG hanno provveduto a trasmettere all’Azienda il suddetto elenco, dopo aver riportato, accanto al nome di ciascun assistito, l’eventuale presenza di una o più delle condizioni morbose per le quali si intendeva arruolare lo stesso;
– l’invio di tali dati, da parte dei MMG, era stato considerato quale condizione per il riconoscimento al medico di una quota del finanziamento previsto dagli accordi collettivi (rispetto dei target di prevalenza);
– il fondamento giuridico della comunicazione di categorie particolari di dati personali dai MMG all’Azienda è stato individuato nel consenso dell’interessato e nella scheda n. 7, allegato B) al Regolamento per il trattamento dei dati sensibili e giudiziari della Regione Toscana;
– ai fini del predetto arruolamento, i MMG procedevano, attraverso l’interrogazione del proprio data base, scegliendo i singoli pazienti affetti dalle patologie indicate dall’Azienda. Individuati i pazienti da arruolare, il MMG proponevano ai pazienti, in occasione del primo contatto, o con un richiamo attivo, un piano di assistenza individuale (PAI);
– fino al 2018, il MMG provvedeva a comunicare all’Azienda solo il numero complessivo di PAI attivati e il numero globale delle prestazioni specialistiche che la stessa Azienda avrebbe dovuto successivamente garantire in funzione dei PAI attivati;
– successivamente è stata adottata una nuova procedura che prevedeva, differentemente dal passato, l’invio dei dati nominativi dei pazienti arruolati (e non più del numero complessivo). Secondo tale nuova procedura i MMG provvedevano a salvare la predetta tabella Excel con i dati dei pazienti arruolati su un supporto rimovibile di loro proprietà (pen drive) e a consegnare il suddetto supporto al medico di distretto, che a sua volta salvava il file Excel sul proprio pc e restituiva il supporto rimovibile al medico. Il medico di distretto procedeva poi a inviare il file, via e-mail, al medico di distretto referente per area provinciale. Successivamente, tale medico inoltrava, sempre via e-mail all’Ente di Supporto Tecnico Amministrativo Regionale (ESTAR), i file Excel che aveva ricevuto dai vari medici di distretto, allegandoli, in formato zip con password per l’apertura (messaggio in atti). Non sono state denunciate perdite o furti dei predetti supporti rimovibili utilizzati dai MMG per la comunicazione all’Azienda dei dati dei pazienti arruolati;
– l’ESTAR risulta designata dall’Azienda sanitaria quale responsabile esterno del trattamento nel 2016 (Prot. 0142457 del 03/10/2016 in atti). All’atto degli accertamenti ispettivi, l’Azienda sanitaria, nell’ambito del tavolo regionale privacy a cui partecipano i rappresentanti delle altre aziende sanitarie della Regione Toscana, stava procedendo alla revisione di tale designazione, al fine di conformarla alle nuove disposizioni dettate dal Regolamento;
– l’ESTAR, dopo aver ricevuto i suddetti file Excel dai medici distrettuali referenti per aree provinciali, provvedeva a consolidare tali informazioni e a inserirle in un data warehouse aziendale. L’ESTAR metteva poi a disposizione dell’Azienda un raccoglitore di dati (data mart) relativo allo stato di avanzamento del processo di arruolamento, per patologia e per medico, che consentiva all’Azienda di effettuare il calcolo di prevalenza anzidetto (verifica del numero plausibile come prevalenza);
– al momento dell’inserimento dei dati nel data warehouse da parte di ESTAR, le informazioni acquisite venivano private dei dati direttamente identificativi (nome e cognome) associando, a ciascun assistito arruolato, il codice univoco regionale utilizzato anche per assolvere ai debiti informativi verso la Regione e il Ministero della salute. Le attività di monitoraggio, valutazione gestione e controllo effettuate dalla Azienda sul predetto data warehouse si riferiscono a quelle descritte nella scheda n. 39, allegato B) al Regolamento per il trattamento dei dati sensibili e giudiziari della Regione Toscana. Al predetto data warehouse potevano accedere i dipendenti dell’Azienda a ciò autorizzati, attraverso specifiche credenziali di autenticazione;
– i dati sopra descritti non sono stati trasmessi alla Regione Toscana;
– in merito ai trattamenti sopra descritti, l’Azienda sanitaria non ha provveduto a effettuare una valutazione di impatto ai sensi dell’art. 35 del Regolamento;
– non è stato inoltre definito il tempo di conservazione dei dati raccolti attraverso i suddetti progetti di sanità di iniziativa da parte dei medici e dell’Azienda;
– alla data degli accertamenti ispettivi (27 novembre 2018) non era stato ancora adottato dall’Azienda sanitaria il Registro delle attività di trattamento di cui all’art. 30 del Regolamento, che risultava essere ancora in una versione di lavoro.
…………….
Conclusioni.
Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare e dai responsabili del trattamento nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Per tali ragioni si rileva l’illiceità del trattamento di dati personali effettuato dall’Azienda Unità Sanitaria Locale Toscana Sud Est, nei termini di cui in motivazione, per violazione degli artt. 5, par. 2, lett. f), 13, 14, 28, 30, 32, 35 del Regolamento.
In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che l’Azienda ha dichiarato di aver coordinato la modifica dei modelli contenenti le informazioni da rendere agli interessati ai sensi degli artt. 13 e 14 Regolamento, di aver rinnovato la designazione di ESTAR a responsabile dei trattamenti effettuati dall’Ente per conto dell’Azienda, che in futuro- per il modello della sanità di iniziativa- saranno trasmesse all’Azienda da parte dei MMG solo informazioni anonime e che è stato adottato il registro dei trattamenti effettuati dall’Azienda non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.
ORDINA
ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, all’Azienda Unità Sanitaria Locale Toscana Sud Est, con sede legale in Arezzo (AR), Via Curtatone, 54 – C.F./P. IVA 02236310518, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 100.000,00 (centomila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento, secondo le modalità indicate in allegato, entro 30 giorni dalla notifica in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.