Fondamentale la constatazione che le Aziende sanitarie locali facciano affidamento su una piattaforma creata e gestita dalla Regione. Ciò significa che è proprio la Regione a dovere garantire l’aggiornamento dei dati personali presenti nella piattaforma e utilizzati per effettuare gli inviti a partecipare ai differenti screening oncologici programmati.
Multa da 100mila euro per la Regione Lazio, censurata dal Garante per la privacy a fronte della discutibile gestione della piattaforma digitale utilizzata dalle aziende sanitarie locali per invitare i cittadini a sottoporsi a precisi screening oncologici. A porre sotto accusa la Regione Lazio è stata la comunicazione ricevuta da una madre, ritrovatasi a casa un invito rivolto alla giovane figlia deceduta e mirato all'effettuazione di un controllo preventivo in materia di tumore al collo dell'utero. Garante privacy, ord., 15 settembre 2022, n. 304 . Invito. Ad allertare il Garante è stata una madre, colpita al cuore da un invito recapitatole a casa e rivolto alla figlia, deceduta quasi trent'anni fa, e mirato ad ottenere l'adesione a un programma di screening del tumore del collo dell'utero. A firmare l'invito era stata un'Azienda sanitaria locale, subito chiamata in causa dal Garante per fornire chiarimenti in merito all'origine dei dati personali utilizzati e alle misure adottate per assicurare l'esattezza e l'aggiornamento delle informazioni relative ai propri assistiti impiegate nell'ambito delle campagne di sensibilizzazione per l'effettuazione di screening oncologici . E dall'Azienda sanitaria locale hanno prontamente chiarito che la Regione Lazio stabilisce che il Sistema informativo dei programmi di screening oncologici, istituito nel marzo del 2014, è la piattaforma regionale messa a disposizione delle strutture di screening per la gestione e il monitoraggio dei percorsi organizzati e hanno poi aggiunto che tale piattaforma regionale contiene già nel database tutti i parametri necessari alla generazione degli inviti ed è posta sotto la piena ed esclusiva titolarità della Regione Lazio che, tecnicamente, la gestisce mediante una propria controllata , mentre i coordinamenti screening di tutte le Aziende sanitarie locali del Lazio utilizzano tale piattaforma e la banca dati regionale senza potere direttamente modificarla . Passo successivo del Garante è stato il confronto diretto con la Regione Lazio, che ha confermato, in sostanza, il quadro tracciato dall'Azienda sanitaria locale, precisando che le Aziende sanitarie locali sono abilitate esclusivamente alla visualizzazione dei dati per poter poi procedere alla individuazione dei soggetti cui trasmettere gli inviti allo screening programmato . Non a caso, in merito all'invito rivolto a una ragazza deceduta da tempo, l'Azienda sanitaria locale ha evidenziato che interrogando a sistema la scheda dettaglio assistito relativa alla ragazza, è emerso che ella risultava regolarmente inserita nella piattaforma regionale, sia per ciò che riguarda il dato anagrafico sia l'indirizzo ove spedire l'invito a screening. Per tale ragione, sulla base delle informazioni messe a disposizione dalla piattaforma regionale, al momento della spedizione della missiva, non erano apparsi elementi ostativi all'invio dell'invito, ciò anche in considerazione del fatto che la piattaforma risultava aver subito un recente aggiornamento . Aggiornamento. A fronte della tematica, è palese, secondo i giudici, la gravità dell'inadempimento attribuibile alla Regione Lazio. Ci si trova di fronte, difatti, a una piattaforma che ha come finalità individuazione, selezione, invito rispetto alla popolazione di riferimento del programma di prevenzione diagnosi e cura nell'ambito di percorsi diagnostico-terapeutici che prevedono accettazione dell'utenza, raccolta dell'anamnesi personale e famigliare, richiamo per ulteriori accertamenti diagnostici, prenotazione di visite ed esami, refertazione, invio esiti delle procedure diagnostiche, richiamo per analisi di follow up . In sostanza, secondo il Garante, il trattamento dei dati personali posto in essere dalla Regione Lazio risulta essere stato effettuato in violazione dei principi di liceità, correttezza e trasparenza e di esattezza del dato, nonché delle disposizioni concernenti la responsabilità del titolare del trattamento, le basi giuridiche del trattamento, le informazioni da fornire agli interessati e l'esercizio dei diritti da parte degli interessati . In particolare, è stato rilevato che non sono stati correttamente individuati i ruoli ricoperti dai soggetti che a vario titolo trattano dati personali attraverso il suddetto sistema informativo in considerazione del fatto che, in base alla normativa vigente in materia di programmi di prevenzione sanitaria, alla Regione sono attribuite funzioni di programmazione dell'offerta di prevenzione, mentre alle Aziende sanitarie quella di erogazione della prestazione sanitaria . Per fare maggiore chiarezza, poi, il Garante precisa che per dato personale si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile e per dati relativi alla salute si intendono i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione sanitaria, che rivelano informazioni relative al suo stato di salute , e aggiunge che comunque anche ai dati personali concernenti le persone decedute continuano ad applicarsi le tutele previste dalla disciplina in materia di privacy . Di sicuro le informazioni trattate attraverso il Sistema informativo dei programmi di screening oncologici si qualificano come informazioni sulla salute degli interessati, in quanto indicano prestazioni sanitarie erogate, nonché in quanto attraverso la suddetta piattaforma è possibile gestire anche la raccolta dell'anamnesi personale e famigliare, richiami per ulteriori accertamenti diagnostici, prenotazione di visite ed esami, refertazione, invio esiti delle procedure diagnostiche, richiamo per analisi di follow up . Acclarato che il titolare del trattamento deve garantire che i dati siano esatti e, se necessario, aggiornati, adottando tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti , è palese, osserva il Garante, che le misure adottate dalla Regione Lazio non hanno assicurato l'esattezza dei dati della ragazza deceduta, dati che sono stati trattati attraverso la piattaforma predisposta proprio dalla Regione, e la circostanza che la ragazza fosse deceduta da anni rende evidente come le misure adottate dalla Regione, in qualità di titolare del trattamento, non siano state idonee ad assicurare l'aggiornamento dei dati trattati attraverso tale sistema informativo . Sacrosanta, perciò, la multa di 100mila euro decisa nei confronti della Regione Lazio.
Garante privacy, ord., 15 settembre 2022, n. 304