Home

Uso di algoritmi e medicina d’iniziativa: annullata la sanzione del Garante nei confronti dell’Azienda Universitaria Friuli Occidentale

Fonte: Trib. Pordenone , 13 ottobre 2023
18 Marzo 2024

L'Azienda Sanitaria Friuli Occidentale (ASFO) presenta ricorso in opposizione avanti al Tribunale di Pordenone contro il provvedimento sanzionatorio del Garante il 15 dicembre 2022, relativo ad un trattamento di "stratificazione statistica" (con individuazione dei soggetti in condizione di complessità e comorbilità da segnalare ai fini di una migliore gestione della vaccinazione Covid-19) avvenuto su istruzioni della Regione. ASFO contesta la sua qualifica di titolare del trattamento e il Tribunale accoglie l’impugnazione, sostenendo che la titolarità deve riconoscersi in capo alla Regione.

Massima

«Il titolare è colui che tratta i dati senza ricevere istruzioni da altri, colui che decide "perché" e "come" devono essere trattati i dati. Il ruolo di titolare non dipende da designazioni formali bensì dall'effettiva attività svolta nello specifico trattamento dei dati; in altri termini, il titolare del trattamento non è chi gestisce i dati, ma chi in concreto decide il motivo e le modalità del trattamento».  L’azienda sanitaria, pur restando titolare del trattamento dei dati consistente nella gestione della banca dati degli assistiti, per finalità di cura, non può essere considerata tale anche per il trattamento costituito dall’estrazione dei dati, dalla profilazione degli assistiti e dalla suddivisione degli stessi in classi di rischio, per cui è titolare la Regione o l’Azienda Regionale per il Coordinamento alla Salute (ARCS).

Il caso

Il Garante per la protezione dei dati personali (“Garante Privacy” o “Autorità”), nel 2022 avviava  un'istruttoria nei confronti dell'Azienda Sanitaria Friuli Occidentale (di seguito anche “ASFO”) a seguito di una segnalazione relativa alla delibera della Regione del 20 novembre 2020, che indicava ai medici di medicina generale (MMG) di validare una lista di utenti individuati dall'ASFO come “in condizioni di complessità e comorbidità”, ai fini di stratificazione statistica, compilando schede informatiche e fornendo dati di salute relativi agli assistiti. Nell'allegato alla delibera era contenuto l'accordo sindacale tra Regione e sindacati dei MMG, per le attività relative all'emergenza epidemiologica Covid 19, con note su come compilare gli elenchi di assistiti da sottoporre ai piani di medicina di iniziativa e come scaricarli dal portale della continuità delle cure (gestito dalla società Insiel) per metterli poi a disposizione dell'ASFO. Nell'istruttoria emergeva che l'algoritmo di estrazione delle liste di assistiti fragili (“Johns Hopkins ACG System”, di seguito anche solo “ACG”) utilizzava informazioni estratte dal datawarehouse regionale e veniva implementato dalla società informatica in house, Insiel (con dei dataset di diagnosi, farmaci, costi del SSN, età e genere).

A seguito dell'istruttoria il Garante riteneva non presente un'ideona base giuridica, poiché la stessa non poteva rinvenirsi nella legge regionale FVG 22/2019 in combinato disposto con la DGR n. 2195/2019, né risultava essere stato chiesto un consenso specifico agli assistiti.

Pertanto, nel Provvedimento del 15 dicembre 2022 dichiarava l'illiceità del trattamento di dati personali effettuato dall'Azienda Universitaria Friuli Occidentale, per la violazione degli dell'art. 5, par. 1, lett. a), 9, 14 e 35 del Regolamento e dell'art. 2-sexies del Codice privacy, e comminava la sanzione amministrativa pecuniaria di 55.000 euro, oltre ad ingiungere di procedere alla cancellazione dei dati risultanti dall'elaborazione delle informazioni presenti nelle banche dati aziendali oggetto del provvedimento e a disporre la sanzione accessoria della pubblicazione integrale del provvedimento sul sito web del Garante.

L'Azienda Sanitaria Friuli Occidentale (ASFO) presentava ricorso in opposizione avanti al Tribunale di Pordenone, ai sensi degli artt. 152  d. lgs. n. 196/2003 e 10 d. lgs. n. 150/2011.

La questione

La questione che si è trovato ad affrontare il Tribunale di Pordenone è quella relativa al ruolo di titolare del trattamento dei dati personali: ASFO, che è titolare del trattamento dei dati per finalità di cura, ha la titolarità anche del trattamento di stratificazione statistica? O in tal caso è titolare del trattamento la Regione, con la sua Direzione centrale, che ha determinato le finalità del trattamento (di programmazione e valutazione dell'assistenza sanitaria) e i mezzi del trattamento (ovvero l’applicazione dell'algoritmo ACG alle banche dati presenti nel datawarehouse regionale)?

Le soluzioni giuridiche

Il Garante Privacy nella sua difesa sostiene che “la circostanza che un soggetto terzo (la Regione), chieda a un titolare (Azienda sanitaria), anche per il tramite del responsabile (lnsiel) di effettuare operazioni di trattamento su dati personali, non esclude che spetti comunque al titolare, anche in base al principio di responsabilizzazione (artt. 5, par. 2 e 24 del Regolamento), valutare la legittimità della richiesta e, in particolare, la sussistenza di una idonea base giuridica per effettuare le operazioni di trattamento richieste, tanto più che, nel caso di specie, le predette operazioni hanno riguardato dati sulla salute di migliaia di assistiti a livello regionale attraverso l'uso di algoritmi”. Il Tribunale, tuttavia, non condivide tali argomentazioni e fa propria la ricostruzione di ASFO: le finalità ed i mezzi del trattamento (di stratificazione) sono stati integralmente ed autonomamente decisi a livello regionale, e ASFO non aveva alcun potere nei confronti della Regione e della direzione centrale, dalla quale dipende, limitandosi a interventi meramente esecutivi di precise e vincolanti disposizione ricevute. Allo stesso modo, la società Insiel deve essere considerata responsabile del trattamento, ai sensi dell’articolo 28 GDPR, per conto della Regione, in quanto ha proceduto al trattamento mediante l’algoritmo autonomamente, in diretta esecuzione delle direttive della stessa. Nessun rilievo ai fini della titolarità di ASFO assume il fatto che la banca dati sia riferibile alla stessa, posto che la banca dati è stata utilizzata (direttamente da Insiel) secondo istruzioni e disposizioni di enti sovraordinati tanto a ASFO quanto a Insiel. ASFO dal canto suo, rimane titolare dei trattamenti per finalità di cura, ai sensi dell’art. 11 del D.p.c.m. n. 178/2015 (mentre le regioni lo sono per le attività di governo sanitario ai sensi dell’art. 19).

Il Tribunale, dunque, riconosce che il motivo di opposizione è fondato e l’accoglie, con conseguente annullamento dell'ordinanza ingiunzione impugnata e l'assorbimento degli ulteriori motivi fondati sul presupposto del riconoscimento della qualità di titolare del trattamento in capo ad ASFO. Vengono meno infatti le contestazioni relative alla necessità di individuare la base giuridica, di fornire l’informativa agli interessati, di individuare un presupposto ai sensi dell’articolo 9 GDPR e di effettuare una valutazione di impatto. Osserva infatti il Tribunale che si tratta di attività ed oneri che incombevano sul titolare del trattamento, e che “il fatto che questi non se ne sia adeguatamente fatto carico non fa ricadere la relativa responsabilità su altro soggetto, che detta qualità non rivestiva: risulta in tal senso contraddittoria l' imputazione svolta dalla difesa dal Garante ad ASFO di una condotta di carattere essenzialmente omissivo, poiché la condotta illegittima può certamente essere anche omissiva ma, come si è più volte osservato, sul presupposto che il soggetto rivesta, per aver determinato finalità e mezzi del trattamento, la qualità di titolare dello stesso”.

Osservazioni

Nel presente provvedimento il Tribunale di Pordenone non affronta le spinose e complesse questioni relative alla base giuridica per il caso di trattamento effettuati per finalità di medicina di iniziativa e tramite algoritmi, di cui al Provvedimento del 15 dicembre 2022, n. 415, ma si limita ad esaminare il motivo di impugnazione sollevato da ASFO e relativo alla corretta individuazione dei ruoli privacy. In particolare, il Tribunale evidenzia come debbano essere tenute distinte le diverse operazioni e finalità di trattamento, e come per ciascuna debba essere individuato correttamente il titolare, tenendo conto, come elemento fondamentale, dell'influenza del titolare in virtù dell'esercizio di un potere decisionale in forza di disposizioni di legge o di una concreta influenza fattuale. In tal senso, deve essere tenuto in considerazione quanto indicato anche dal Comitato Europeo per la Protezione dei Dati (European Data Protection Board -EDPB) nelle Linee Guida 7/2020 sul concetto di titolare e responsabile.

Interessante anche la notazione per cui “il Garante non ha diversamente provato alcun ruolo attivo di ASFO”, che richiama il principio per cui le autorità, nel comminare provvedimenti sanzionatori, devono dare prova degli elementi alla base della sanzione stessa.

In conclusione, pur nella difficoltà di individuare i ruoli privacy nel sistema sanitario, dove sono molti i soggetti da considerare, è necessario guardare agli elementi di fatto, caso per caso, focalizzandosi sugli elementi di decisione e determinazione del “perché” e del “come” devono essere trattati i dati.