A valle di un’approfondita attività istruttoria, il Garante per la Protezione dei Dati Personali ha previsto una sanzione di oltre 50.000,00 € nei confronti dell’Asl Toscana. L’accusa principale – violazione della disciplina dei dati sensibili – è sopraggiunta in seguito del ritrovamento di alcuni documenti di pazienti all’interno e all’esterno un ex sanatorio abbandonato da 30 anni.
La vicenda
In seguito alle denunce di due gestori – con documentazione inerente ammessa – della pagina Facebook “Salviamo l’ex sanatorio Guido Banti”, l’Asl Toscana Centro ha ricevuto, pochi giorni fa, un’ammenda di 50.0000,00 €. Già nel 2021, le segnalazioni effettuate erano state numerose a seguito dell’abbandono di cartelle cliniche, ricette e documenti sanitari nella struttura dell’ex sanatorio Banti, in territorio fiorentino.
L’ azienda Usl Toscana Centro aveva constatato che, come affermato anche dal Garante, vi era la possibilità che alcuni documenti sanitari potessero essere stati dimenticati dal team incaricato dell’attività di trasloco. Inoltre, l’azienda sanitaria ha affermato che tutti i documenti presenti nella struttura erano illeggibili, mentre tutto il materiale comprensibile era stata trasferito presso gli archivi aziendali.
Durante l’istruttoria dell’Autorità, è emerso che l’azienda sanitaria aveva già fatto richiesta di un’equipe specifica che si occupasse della rimozione dei documenti. Pochi mesi fa, una ditta ha fatto due interventi di controllo di tutti i locali della struttura per verificare la presenza di documentazione sanitaria.
Dopo un’approfondita verifica, sono stati trovati quattro sacchi di documentazione, la quale è stata analizzata e, infine, scartata. Proprio per questo motivo, i gestori della pagina Facebook precedentemente citati hanno rinnovato la denuncia, al fine di far rimuovere definitivamente il materiale presente all’interno e all’esterno dell’edificio.
Provvedimento del Garante
Secondo il Garante, le azioni compiute non sono state sufficienti a tutelare i dati personali dei pazienti coinvolti. Pertanto, il Garante della Privacy ha emanato una maxi sanzione nei confronti dell’Asl, posteriormente ad un’altra segnalazione presentata a fine 2022 (a distanza di 12 mesi da quella precedente).
Il Garante ha confermato che l’abbandono di documentazione sanitaria -che non considera le tempistiche e le modalità di conservazione- è in forte contrasto rispetto ai i principi di integrità e riservatezza dei dati.
Inoltre, non sono state rispettate le specifiche del regolamento aziendale, in quanto i documenti sanitari e gli archivi dell’Asl – esattamente come i documenti degli enti pubblici – sono classificati come beni culturali. Per questa ragione, questi dovrebbero essere conservati ai sensi della norma vigente, al fine di preservarli dai fenomeni di deterioramento, asportazione, manomissione e falsificazione.
Il garante, dunque, ha predisposto una sanzione per la violazione dei seguenti articoli:
- 5 par.1 lettera a) del GDPR: i dati devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato, secondo i principi di liceità, correttezza e trasparenza”;
- 32 del Regolamento europeo: il titolare del trattamento deve attuare “misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio”;
- 75 del Codice Privacy: specifiche condizioni da attuare in ambito sanitario.
È proprio a causa dell’inosservanza di questi articoli che è stata emessa la maxi sanzione nei confronti dell’azienda sanitaria.
L’azienda sanitaria Toscana Centro, tuttavia, sta valutando – insieme al Responsabile della Protezione dei Dati dell’organizzazione e all’avvocatura della Ausl – le eventuali azioni da intraprendere.
