Fondamentale l’individuazione delle responsabilità, la trasparenza e la necessità di valutare preventivamente tutti i rischi dei trattamenti. È opportuno mettere mano alla corretta definizione dei ruoli privacy prima di avviare applicazioni, algoritmi e sperimentazioni mediche regolando le informative e valutando bene le basi giuridiche del trattamento.
Lo ha evidenziato il tribunale di Pordenone con la sentenza del 13 ottobre 2023. Durante l'emergenza pandemica alcune Aziende Sanitarie friulane hanno avviato dei sistemi sperimentali di valutazione dei pazienti fragili facendo ricorso anche ad algoritmi e nuove tecnologie. A seguito del reclamo di un medico il Garante per la protezione dei dati personali ha aperto un' istruttoria che si è conclusa con l' applicazione di una pesante sanzione amministrativa a carico dell'Azienda Sanitaria per evidenti carenze sostanziali come la mancanza di un'idonea base giuridica, di un'informativa e di una necessaria valutazione di impatto privacy . Il sistema sanitario regionale rappresenta un modello organizzativo complesso costituito da un organo politico, una serie di Direzioni intermedie e le Aziende Sanitarie, titolari del trattamento dei dati dei pazienti. A parere dell'Autorità centrale, infatti, la Regione è un soggetto terzo e solo l' Azienda Sanitaria è il titolare effettivo del trattamento dei dati . Ma per il tribunale di Pordenone le Aziende sanitarie sono titolari dei trattamenti effettuati per finalità di cura mentre le Regioni lo sono per le attività di governo sanitario . Inoltre, l'art. 28 del regolamento europeo sul trattamento dei dati personali, prosegue la sentenza, indica che, se un responsabile esterno , il fornitore tecnico, viola il regolamento , determinando le finalità e i mezzi del trattamento, diventa egli stesso il titolare del trattamento . In buona sostanza a parere del Tribunale la società partecipata della Regione il braccio tecnico ed operativo della stessa , ha determinato il trattamento con la creazione di un algoritmo e pertanto il titolare di tale operazione non può essere l'Azienda Sanitaria ma la Regione medesima. Quindi il provvedimento sanzionatorio del Garante , a parere del tribunale, è viziato per l' errata individuazione dei ruoli privacy . Emerge poi più di un dato oggettivo che non va trascurato. Il trattamento da attenzionare non è la gestione della banca dati degli assistiti per ordinari fini di cura, rilievo che farebbe quasi certamente propendere l'ago della titolarità del trattamento verso le aziende sanitarie locali, bensì la profilazione degli assistiti del servizio sanitario regionale in base alle informazioni relative allo stato di salute individuale e quindi la relativa collocazione in classi di rischio sanitario , per procedere alla presa in carico degli stessi . Un altro dato oggettivo. L'iniziativa è frutto di intese tra la Regione Friuli-Venezia Giulia e le Organizzazioni sindacali dei Medici di Medicina Generale nel perimetro, peraltro, delle attività connesse all'emergenza da Covid-19. Le linee Guida 07/2020 dell'EDPB sui concetti di titolare del trattamento e responsabile del trattamento, peraltro citate dal giudice di Pordenone, ricalcano una geometria piuttosto semplice. Il titolare del trattamento è l'entità che determina le finalità e i mezzi del trattamento dei dati personali. Il responsabile del trattamento agisce solo in base alle istruzioni fornite dal titolare e deve garantire la sicurezza e la riservatezza dei dati. Nel caso delle Aziende friulane, abbiamo finalità programmazione e valutazione dell'assistenza sanitaria e mezzi del trattamento applicazione dell'algoritmo sulle banche dati presenti nel sistema di archiviazione regionale che sono stati di fatto stabiliti tramite una delibera della Regione. Il disconoscimento della qualità di titolare del trattamento in capo all'Azienda Sanitaria travolge ed annulla, poi, con effetto domino anche gli oneri tipici della titolarità, fra cui l'idonea informativa che avvisa l'assistito che sarebbe stato profilato. In buona sostanza, l'esito della sentenza appare scontato e tuttavia non banale. Annullamento dell'ordinanza ingiunzione nei confronti dell'Azienda Sanitaria e pubblicazione della sentenza sul sito istituzionale dell'Autorità. In conclusione, la corretta individuazione dei ruoli nella gestione della privacy tra Regioni e Aziende Sanitarie continua ad essere un passo cruciale per garantire la sicurezza e la riservatezza dei dati sanitari. La collaborazione e la comunicazione costante tra Regioni e Aziende Sanitarie sono fondamentali per garantire una gestione efficiente e sicura dei dati. Le tecnologie digitali, se utilizzate correttamente, possono facilitare la trasmissione sicura delle informazioni tra i vari attori coinvolti, riducendo al minimo i rischi di violazione della privacy. Un altro aspetto fondamentale è rappresentato dalla trasparenza . È importante che le Regioni e le Aziende Sanitarie informino i pazienti in modo chiaro su come i loro dati vengono raccolti, utilizzati e protetti. La consapevolezza dei cittadini nella gestione di queste informazioni contribuisce a consolidare la fiducia degli utenti nella sanità pubblica e a promuovere la cultura della protezione dei dati.
Ragioni della decisione L'Azienda Sanitaria Friuli Occidentale ASFO ha presentato ricorso in opposizione avanti al Tribunale di Pordenone, ai sensi degli artt. 152 del d.lgs. n. 196/2003 Codice in materia di protezione dei dati personali e 10 del d.lgs. n. 150/2011. avverso il provvedimento prescrittivo e sanzionatorio 15 dicembre 2022, n. 415, adottato dal Garante per la protezione dei dati personali, che ha contestato l'illecito trattamento dei dati personali contenuti nelle banche dati aziendali e nel fascicolo sanitario elettronico FSE per effetto di una intervenuta elaborazione dei dati sulla salute degli assistititi desunti dalle banche dati di ASFO, per il tramite di Insiel SPA Società in house della Regione di Information and Communication Technologies mediante l'utilizzo di un algoritmo fornito dall'Agenzia Regionale di Coordinamento per la Salute ARCS , denominato ACG Adjusted Clinical Groups al fine di realizzare un profilo sanitario di rischio dell'interessato, con riferimento alle specifiche patologie che potevano esporre gli assisti più fragili a contrarre infezioni più gravi da SARS Cov-2, al fine di mettere in atto interventi preventivi di presa in carico del paziente. L'Autorità Garante si è costituita ricostruendo l'iter del procedimento amministrativo e difendendone la legittimità, anche quanto al provvedimento sanzionatorio che ne è stato l'esito. Negata dal giudice la sospensione dell'efficacia dell'ordinanza, la causa, precisate le conclusioni come in epigrafe trascritte, sulla base della sola acquisizione dei documenti offerti dalle parti è decisa alla predetta udienza mediante lettura della sentenza. *** L'opposizione è fondata e dev'essere accolta, per le ragioni di seguito esposte. Con l'impugnata ordinanza il Garante ha rilevato l'illiceità del trattamento di dati personali effettuato dall'Azienda Sanitaria Friuli Occidentale ASFO in applicazione della delibera della Giunta della Regione Friuli Venezia Giulia n. 1737 del 20 novembre 2020 per aver trattato dati personali in violazione degli artt. 5, par. 1, lett. a , 9, 14 e 35 del Regolamento UE 2016/679 GDPR , e dell' art. 2 sexies del d.lgs n. 196/2003 Codice privacy , e, per l'effetto a ai sensi dell'art. 58. part. 2, lett. d del Regolamento ha ingiunto entro il termine di giorni 90 dalla notifica del presente provvedimento, di procedere alla cancellazione dei dati risultati dall'elaborazione delle informazioni presenti nelle banche dati aziendali oggetto del presente provvedimento b ai sensi degli artt. 58. par. 2, lett. i e 83 del Regolamento, nonché dell'art. 166 del Codice, ha ordinato di pagare la somma di euro 55.000 cinquantamila a titolo di sanzione amministrativa pecuniaria c ai sensi dell'art. 166, comma 7, del Codice privacy, ha disposto quale sanzione accessoria la pubblicazione per intero del provvedimento sul sito web del Garante. L'attività che ha originato la sanzione si inserisce nel complesso sistema della sanità della Regione Friuli Venezia Giulia che vede partecipi la Regione, la quale, titolare del potere legislativo e regolamentare, detiene i codici sorgente delle applicazioni del sistema informatico sanitario regionale e stabilisce le linee guida che vengono attuate dalla Direzione Centrale Salute DCS e dall'Azienda Regionale per il Coordinamento alla Salute ARCS , le quali a propria volta stabiliscono le modalità di sviluppo software attraverso la propria società in house INSIEL S.p.a., e le Aziende sanitarie, titolari del trattamento per le fasi di cura ed erogazione delle prestazioni sanitarie, che pure si avvalgono dei servizi di INSIEL S.p.a. In altri termini le Aziende sanitarie, per l'ambito di competenza, sono titolari dei dati contenuti nelle banche dati dell'infrastruttura ai sensi dell' art. 24 del GDPR ARCS è l'Azienda Regionale di coordinamento alla salute e svolge attività di supporto e collegamento fra la Regione e le Aziende Insiel S.p.A. è la società in house nominata dalle Aziende responsabile ai sensi dell' art. 28 del GDPR . Nella specie, nell'ambito dell'emergenza dovuta alla pandemia da Covid 19, l'attività istruttoria condotta dal Garante ha riguardato le modalità di estrazione - attraverso sistemi informatici e con il supporto delle tecnologie fomite da INSIEL SPA, con la collaborazione di ARCS per lo sviluppo dell'algoritmo - di una lista di assistiti finalizzata a formare una c.d. stratificazione statistica , ovvero una propedeutica individuazione dei soggetti in condizione di complessità e comorbilità da segnalare ai Medici di Medicina Generale MMG ai fini di permettere una migliore gestione della vaccinazione nel contesto epidemiologico da Covid-19. Con il primo motivo di opposizione, ASFO ha eccepito di non aver assunto nella vicenda la qualità di titolare del trattamento, qualità che, secondo l' art. 24 Reg. UE n. 679/2016 GDPR , dipende dal potere di determinare le finalità del trattamento nella specie pertinenti alla programmazione e valutazione dell'assistenza sanitaria e i mezzi del trattamento nella specie applicazione dell'algoritmo ACG alle banche dati presenti nel c.d. datawarehouse regionale , nel caso in esame interamente stabiliti a livello regionale secondo l'opponente le condotte richieste dal Garante non potevano essere poste in essere da ASFO, dal momento che la stessa non aveva e non ha alcun potere nei confronti della Regione e della sua Direzione centrale, dalla quale, anzi, dipende, come pure Insiel S.p.a., che ha proceduto autonomamente in diretta esecuzione delle direttive regionali. Secondo la difesa del Garante, invece, la circostanza che un soggetto terzo la Regione , chieda a un titolare Azienda sanitaria , anche per il tramite del responsabile Insiel di effettuare operazioni di trattamento su dati personali, non esclude che spetti comunque al titolare, anche in base al principio di responsabilizzazione artt. 5, par. 2 e 24 del Regolamento , valutare la legittimità della richiesta e, in particolare, la sussistenza di una idonea base giuridica per effettuare le operazioni di trattamento richieste, tanto più che, nel caso di specie, le predette operazioni hanno riguardato dati sulla salute di migliaia di assistiti a livello regionale attraverso l'uso di algoritmi. Orbene, ai sensi del d.p.c.m. n. 178/2015 , le aziende sanitarie sono titolari dei trattamenti effettuati per finalità di cura art. 11 , mentre le regioni lo sono per le attività di governo sanitario art. 19 , che possono essere tuttavia perseguite solo con informazioni private dei dati identificativi diretti dell'assistito l' art. 28 par. 10 GDPR indica che se un responsabile del trattamento viola il presente regolamento, determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione osserva l'Azienda ricorrente che, posto che Insiel S.p.a. responsabile del trattamento ha determinato il trattamento mediante l'algoritmo sulla base di una indicazione della Regione, si deve dedurre che, ai sensi dell' art. 28, par. 10 GDPR , il titolare di tale operazione non possa essere ASFO, ma semmai la Regione. Tale motivo di opposizione è fondato ed il suo accoglimento determina l'annullamento dell'ordinanza ingiunzione impugnata e l'assorbimento degli ulteriori motivi, tutti fondati sul presupposto del riconoscimento della qualità di titolare del trattamento in capo ad ASFO. Premesso che la nozione di trattamento copre una vasta gamma di operazioni eseguite su dati personali, con mezzi manuali o automatizzati, comprese la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione di dati personali, si deve precisare che è titolare del trattamento la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali art. 4. par. 1, n. 7 GDPR . In sostanza il titolare è colui che tratta i dati senza ricevere istruzioni da altri, colui che decide perché e come devono essere trattati i dati. II ruolo di titolare non dipende da designazioni formali bensì dall'effettiva attività svolta nello specifico trattamento dei dati in altri termini, il titolare del trattamento non è chi gestisce i dati, ma chi in concreto decide il motivo e le modalità del trattamento. Il Comitato Europeo per la Protezione dei Dati European Data Protection Board -EDPB nel settembre del 2020 ha pubblicato le Linee Guida sul concetto di titolare e responsabile del trattamento indicando come elemento fondamentale l'influenza del titolare in virtù dell'esercizio di un potere decisionale determina , in forza di disposizioni di legge o di una concreta influenza fattuale. Si deve in tal senso osservare che il trattamento di cui si discute è precisamente individuato dal Garante e dalla sua rappresentanza in giudizio nella profilazione degli assistiti del Servizio sanitario ragionale in base alle informazioni relative allo stato di salute individuale e nella relativa collocazione in classi di rischio sanitario, al fine di una precoce presa in carico degli stessi che, in quanto fragili, si prevede possano essere più facilmente soggetti a complicanze in caso di contagio da Covid memoria conclusiva Garante, pag. 28-29 . Orbene, nel trattamento del quale si discute che non è dunque la gestione della banca dati agli ordinari fini di cura ma la specifica estrapolazione ed elaborazione dei dati anzidetta l'ASFO non ha avuto il ruolo descritto dalla normativa che assume rilievo semmai ricoperto dalla Regione o da ARCS , come si evince dalla copiosa documentazione progressivamente acquisita dal Garante nella scrupolosa istruttoria posta in essere, e ciò pur essendo state utilizzate banche dati di pertinenza di ASFO. Il trattamento ha tratto origine dalla delibera della Giunta Regionale n. 1737 del 20 novembre 2020 che a propria volta faceva seguito ad una Intesa raggiunta tra la Regione FVG e le organizzazioni sindacali dei medici di medicina generale MMG intesa cui erano pertanto estranee le aziende sanitarie per la disciplina dei rapporti biennio 2020-2021 e delle attività connesse all'emergenza epidemiologica da Covid-19, Intesa indicata come parte integrante della delibera. Il complesso meccanismo operativo col quale l'iniziativa è stata attuata è risultato sufficientemente chiarito all'esito della predetta istruttoria esso non ha previsto interventi da parte delle aziende sanitarie se non, al più, meramente esecutivi di precise e vincolanti disposizione ricevute. Lo stesso Garante ha sottolineato che nel corso dell'istruttoria, ASFO, con nota del 28 gennaio 2022 docomma 16 Garante ha rappresentato che il proprio ruolo sia stato esclusivamente quello di dare seguito - in ottemperanza alla delibera di Giunta regionale n. 1737 del 20 novembre 2020 - agli adempimenti attuativi dell'Intesa 2020-2021 tra la Regione Friuli Venezia Giulia e le Organizzazioni Sindacali dei Medici di Medicina Generale MMG , nel rispetto delle disposizioni in essa contenute e coerentemente alle disposizioni nazionali e regionali in materia l'Azienda ha indicato di essere stata invitata a fornire a Insiel S.p.A. l'indicazione operativa di rendere visibili le funzioni [ ] per i soli assistiti che abbiano espresso lo specifico consenso alla comunicazione dei loro dati al proprio MMG [ ] ha poi verificato il raggiungimento dell'obiettivo da parte dei MMG, pagando il loro relativi incentivi. Le finalità programmazione e valutazione dell'assistenza sanitaria e i mezzi del trattamento applicazione dell'algoritmo ACG alle banche dati presenti nel datawarehouse regionale sono, invece, stati interamente stabiliti a livello regionale con la delibera anzidetta . Con successiva memoria del 1° aprile 2022 docomma 21 Garante ASFO ha precisato addirittura che la stessa e l'ufficio competente Medicina Convenzionata non hanno mai dato seguito all'invito regionale - riguardante l'obiettivo n. 1 dell'Intesa 2020-2021- di fornire a Insiel S.p.A. l'indicazione operativa di rendere visibili le funzioni per i soli assistiti che abbiano espresso lo specifico consenso alla comunicazione del loro dati al proprio MMG cfr. nota DCS prot. n. 27073/P del 25 novembre 2020, allegato I alla risposta ASFO prot. n. 90559/P cit. , e di non aver mai richiesto a Insiel di attivarsi nei termini suddetti , bensì quest'ultima ha predisposto direttamente il rilascio di un adeguamento del SCC [Sistema Continuità delle Cure, n.d.r.], come da indicazioni dell'Allegato alla delibera n. 1737 del 20/11/2020, che consiste della lista degli assistiti del MMG in complessità e comorbidità popolazione target , per consentirne la validazione del MMG stesso . L'Azienda ha in altri termini sottolineato che Insiel S.p.A., in tal modo, si è adeguata al dettato della DGR n. 1737/2020 e dell'allegata Intesa 2020-2021 tra Regione FVG e Rappresentanze sindacali dei MMG, senza acquisire l'autorizzazione di questa Azienda sanitaria ciò è risultato possibile in forza del ruolo ricoperto dalla Regione nell'organizzazione del servizio sanitario regionale e del ruolo di responsabile del trattamento relativo alla gestione tecnologica delle predette banche dati di pertinenza delle aziende già assunto da Insiel, che hanno fatto sì che il secondo potesse eseguire direttamente le operazioni richieste dalla prima. Se così è - ed in ogni caso il Garante non ha diversamente provato alcun ruolo attivo di ASFO - il trattamento come disposto e realizzato poiché non vi è dubbio che un trattamento di dati sensibili sia avvenuto vede quale titolare , sulla base del sistema normativo come sopra ricostruito, gli enti che ne hanno individuato finalità e mezzi tra tali enti non può essere ricompresa l'ASFO, non essendo sufficiente a raggiungere la contraria conclusione la riferibilità alla stessa della banca dati, utilizzata da Insiel secondo le disposizioni di enti sovraordinati tanto ad Insiel quanto ad ASFO. La negazione della qualità di titolare del trattamento in capo a quest'ultima rende infondati gli addebiti alla stessa mossi dal Garante circa l'assenza di valutazione della mancante o del tutto carente base giuridica del trattamento circa l'assenza di informativa in favore degli assistiti dell'Azienda sanitaria relativamente al fatto che i loro dati personali sarebbero stati trattati mediante un algoritmo finalizzato a realizzare un profilo sanitario di rischio dell'interessato, con riferimento a specifiche patologie quelle che potevano/possono esporre gli assistiti più fragili a contrarre infezioni più gravi da SARS Cov-2 , non potendo in effetti in tal senso essere sufficiente l'informativa generica fornita agli assistiti in riferimento al fascicolo sanitario elettronico in quanto limitate alle finalità per le quali questo è stato istituito, che non contemplano la profilazione degli assistiti secondo un profilo di rischio sanitario circa l'insussistenza della ulteriore condizione di legittimità del trattamento dei dati sanitari di cui all'art. 9 del Regolamento, rappresentato dal consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche , posto che il consenso reso per il trattamento dei dati presenti nel fascicolo sanitario elettronico costituiva una idonea base giuridica esclusivamente per il trattamento dei dati personali per finalità di cura art. 12, comma 5, d.l. n. 179/2012 circa l'inottemperanza all'obbligo di effettuare la valutazione di impatto di cui agli artt. 35 e 36 del Regolamento. Si tratta infatti di attività ed oneri che incombevano sul titolare del trattamento. Il fatto che questi non se ne sia adeguatamente fatto carico non fa ricadere la relativa responsabilità su altro soggetto, che detta qualità non rivestiva risulta in tal senso contraddittoria l'imputazione svolta dalla difesa dal Garante ad ASFO di una condotta di carattere essenzialmente omissivo, poiché la condotta illegittima può certamente essere anche omissiva ma, come si è più volte osservato, sul presupposto che il soggetto rivesta, per aver determinato finalità e mezzi del trattamento, la qualità di titolare dello stesso. Non rileva in senso contrario quanto statuito dall'intestato Tribunale nella recente sentenza 16.5.2023 tra le medesime parti, in quanto relativa a caso affatto diverso, relativo ad un accesso abusivo alla banca dati di pertinenza dell'ASFO per le ordinarie finalità di cura per la mancata predisposizione di adeguati meccanismi di protezione e sicurezza, non essendo in quel caso revocabile in dubbio la qualità di titolare del trattamento in capo all'azienda sanitaria. In conclusione, sulla base delle precedenti considerazioni, l'ordinanza ingiunzione impugnata dev'essere annullata dev'essere altresì ordinato al Garante di pubblicare la sentenza sul proprio sito web, sul quale è stato pubblicato il provvedimento annullato. Le spese seguono la soccombenza e sono liquidate in dispositivo secondo i parametri medi espressi dal D.M. 55/14 come aggiornato con D.M. n. 147/22 per le cause ricomprese nello scaglione € 52.001,00 - 260.000,00, ad eccezione della fase di decisione, liquidata in conformità al parametro minimo, attesa la limitata attività svolta in tale fase dalla parte vittoriosa, e con esclusione della fase istruttoria per la quale non è stata sostanzialmente svolta attività. P.Q.M. Ogni contraria e difesa istanza, eccezione e deduzione disattesa o assorbita, definitivamente pronunciando nella causa n. 228/2023, il Tribunale di Pordenone, in composizione monocratica, così provvede 1 accoglie il ricorso e, per l'effetto, annulla l'ordinanza ingiunzione n. 415 del 15.12.2022, notificata il 30.12.2022, dal Garante per la Protezione dei Dati Personali ai sensi dell 'art. 18 L. n. 689/198 1 2 ordina al Garante per la Protezione dei Dati Personali di provvedere alla pubblicazione della sentenza in forma integrale dispositivo e motivazione , a propria cura e a proprie spese, mediante comunicazione sul proprio sito web istituzionale 3 condanna il Garante per la Protezione dei Dati Personali alla rifusione delle spese di lite in parte ricorrente Azienda Sanitaria Friuli Occidentale, che liquida in complessivi 7.093,00 di cui € 6.307,00 per compensi professionali, € 786.00 per esborsi, oltre al 15% per rimborso forfettario spese generali, IVA e CPA se ed in quanto dovute per legge. Così deciso in Pordenone, il 13.10.2020.