| Garante per la protezione dei dati personali Pagamento dei corrispettivi per leprestazioni erogate da un'azienda sanitaria attraverso la rete "Sportelloamico" di Poste Italiane S.p.A. e mediante il proprio sito Internet PROVVEDIMENTO DEL 13 MARZO 2014 Registro dei provvedimenti n. 120 del 13 marzo 2014 IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia,segretario generale; VISTOil Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003,n. 196), di seguito "Codice"; ESAMINATEle segnalazioni pervenute all'Autorità in merito alle modalità con le quali èconsentito presso lo "Sportello amico" di Poste Italiane S.p.A. ilpagamento dei corrispettivi per le prestazioni sanitarie erogate dall'Aziendasanitaria di Firenze; VISTEle richieste di informazioni in atti; VISTIgli atti dell'accertamento ispettivo effettuato il 15 e il 16 ottobre 2013presso Poste Italiane S.p.A., Ufficio postale n. 1 di Firenze; VISTAla documentazione inviata dall'Azienda sanitaria di Firenze; VISTEle linee guida in tema di referti on-line adottate dal Garante il VISTOil decreto del Presidente del Consiglio dei Ministri dell'8 agosto 2013concernente le modalità di consegna, da parte delle aziende sanitarie, deireferti medici tramite web, posta elettronica certificata e altre modalitàdigitali, nonché di effettuazione del pagamento online delle prestazionierogate (pubblicato in GU Serie Generale n.243 del 16-10-2013), su cui ilGarante ha espresso parere favorevole il VISTOil provvedimento generale circa il rispetto dei diritti, delle libertàfondamentali e della dignità degli interessati nell'erogazione delleprestazioni da parte delle strutture sanitarie adottato dal Garante il VISTAla documentazione in atti; VISTEle osservazioni dell'Ufficio, formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante, n. 1/2000; RELATOREil dott. Antonello Soro; PREMESSO Sonopervenute alcune segnalazioni nelle quali si lamenta una presunta violazionedelle disposizioni in materia di protezione dei dati personali in relazione alservizio offerto dall'Azienda sanitaria di Firenze relativo al pagamento delcorrispettivo per le prestazioni sanitarie dalla stessa erogate presso la rete"Sportello amico" di Poste Italiane S.p.A.. Più precisamente, alcunicittadini lamentano che per effettuare il suddetto pagamento sia necessariopresentare allo "Sportello amico" il foglio di prenotazione dellaprestazione sanitaria. L'esibizione di tale documentazione, in base allesegnalazioni ricevute, consentirebbe all'operatore di sportello di venire aconoscenza di informazioni personali dell'interessato quali la natura delleprestazioni prenotate e la fascia di reddito di appartenenza. Isegnalanti lamentano, inoltre, una possibile violazione delle norme a tuteladei dati personali da parte della citata Azienda sanitaria nella realizzazionedel progetto di consegna dei referti per le prestazioni dalla stessa erogatetramite la citata rete "Sportello amico" di Poste Italiane S.p.A.. Inmerito a quanto segnalato, l'Ufficio ha provveduto a richiedere informazioniall'Azienda sanitaria di Firenze senza, tuttavia, ricevere alcun riscontro. Attesala necessità di verificare in loco le concrete modalità di erogazione deiservizi oggetto delle citate segnalazioni, in data 15 e 16 ottobre u.s.l'Ufficio ha effettuato un accertamento ispettivo presso Poste Italiane S.p.A.,Ufficio postale n. 1 di Firenze, allo scopo di verificare l'osservanza delledisposizioni in materia di protezione dei dati personali in relazione aiservizi offerti attraverso la rete "Sportello Amico" di PosteItaliane S.p.A., con specifico riferimento a quelli relativi al pagamento del tickete al ritiro dei referti per conto dell'Azienda sanitaria di Firenze. Duranteil suddetto accertamento ispettivo è stato verificato che il servizio diconsegna dei referti presso la rete "Sportello Amico" per conto dellarichiamata Azienda non è stato ancora attivato. Con successiva comunicazionel'Azienda sanitaria ha rappresentato a questa Autorità che detto servizio"prevede una fase di sperimentazione che non è stata ancora avviata,essendo in corso di perfezionamento il protocollo informatico di scambiodati" con Poste Italiane S.p.A. (nota dell'Azienda sanitaria di Firenzedell'8 novembre 2013). Nelcorso dell'accertamento ispettivo è stato verificato che il servizio dipagamento del corrispettivo per le prestazioni sanitarie erogate dall'Azienda sanitaria,oggetto delle segnalazioni sopra richiamate, è attivo ed è regolato da unaccordo stipulato tra le parti il 7 agosto 2012. Tale accordo prevede che larete degli sportelli di Poste Italiane S.p.A., denominati "SportelloAmico", acquisiscano il codice fiscale del cittadino quale chiave diricerca delle prestazioni sanitarie in relazione alle quali si intendeeffettuare il pagamento del corrispettivo (art. 3.1.a) dell'accordo). Alriguardo, è stato accertato che l'operatore di sportello provvede a chiedere alsoggetto che intende effettuare il pagamento solo il codice fiscaledell'interessato cui la prestazione sanitaria si riferisce e non anche ilfoglio di prenotazione della prestazione rilasciato dall'Azienda. Una voltainserito il codice fiscale dell'interessato nel sistema informativo in usopresso lo sportello, la procedura informatica genera una maschera nella qualesono presenti i numeri di prenotazione delle prestazioni sanitarie prenotate-senza l'indicazione della natura della prestazione-, la data di erogazione eil relativo importo da pagare. All'esito della registrazione del pagamentoeffettuato, l'operatore accede ad una maschera che consente di stamparel'informativa relativa al trattamento dei dati personali effettuato dallasuddetta Azienda connesso al pagamento della prestazione sanitaria che vienefatta firmare all'utente e conservata da parte dell'Ufficio postale. Successivamente,l'operatore accede ad un'altra maschera attraverso la quale effettua la stampadella ricevuta fiscale dell'avvenuto pagamento. Nella stampa della suddettaricevuta il sistema genera un primo foglio contenente la dicitura: "Posteitaliane documento contenente dati sensibili ai sensi dell'art. 4 comma 1 lett.d) d.lgs. 196/03" e i restanti due fogli contenenti la fattura dellaprestazione sanitaria pagata (copia per l'Azienda sanitaria e per l'utente)contenente anche la descrizione della natura della prestazione. Durantel'accertamento ispettivo è stato constatato che l'operatore di sportello nonverifica l'identità dell'utente che si presenta per effettuare il pagamento, alquale consegna le due copie della fattura relativa all'avvenuto pagamento. Nelcorso delle attività istruttorie effettuate dall'Ufficio è emerso poi chel'Azienda sanitaria di Firenze consente il pagamento del corrispettivo per leprestazioni sanitarie prenotate tramite il centro unico di prenotazione (CUP)dell'Azienda e dalla stessa erogate anche mediante il proprio sito Internet(http://wiasf.cupmet-fi.it/ASFWeb/WICUP/pagamenti/ricerca Appuntamenti.do). Analogamentea quanto avviene presso gli uffici postali nei termini sopra descritti,l'utente che intende usufruire di tale servizio on line deve inserire il codicefiscale dell'interessato cui si riferisce la prestazione sanitaria e sceglierela prestazione da pagare tra quelle prenotate. Nell'utilizzo di tale servizionon è previsto un sistema di identificazione dell'utente. Con la nota soprarichiamata dell'8 novembre 2013, l'Azienda sanitaria ha precisato che "ilservizio di pagamento di ticket attraverso il sito Internet (Š) prevede lavisualizzazione del solo codice di prenotazione, della data di esecuzione edell'importo" e non anche la dicitura relativa alla natura dellaprestazione erogata. OSSERVA L'Aziendasanitaria di Firenze è titolare del trattamento di dati personali effettuatotramite i servizi di pagamento del corrispettivo per le prestazioni sanitarieerogate dalla stessa offerti attraverso la rete "Sportello amico" diPoste Italiane S.p.A. e mediante il proprio sito Internet:http://wiasf.cupmet-fi.it/ASFWeb/WICUP/pagamenti/ ricercaAppuntamenti.do. Dalpunto di vista della disciplina in materia di protezione dei dati personali,tali servizi presentano profili di criticità con riferimento alla mancataidentificazione dell'utente che effettua il pagamento e che, quindi, ha accessoad informazioni personali, anche idonee a rivelare lo stato di salute,dell'interessato cui la prestazione sanitaria si riferisce. L'Aziendasanitaria di Firenze, come indicato anche nel citato accordo del 7 agosto 2012con Poste Italiane S.p.A., è titolare del trattamento di dati personalieffettuato nell'ambito del servizio di pagamento delle prestazioni sanitariedalla stessa erogate offerto attraverso la rete "Sportello amico". Intale contesto, Poste Italiane S.p.A. effettua un trattamento di dati personaliin qualità di responsabile del trattamento designato dall'Azienda sanitaria diFirenze (art. 8 del citato accordo del 7 agosto 2012). Il personale addettoallo sportello è stato nominato incaricato del trattamento da parte di PosteItaliane S.p.A., ai sensi dell'art. 30 del Codice, ed è stato formato in meritoalle procedure da porre in essere nell'erogazione del suddetto servizio(documentazione acquisita nel corso della richiamata attività ispettiva). Glioperatori di sportello, in qualità di incaricati del trattamento, nell'erogareil suddetto servizio, vengono, pertanto, correttamente a conoscenza di datipersonali dell'interessato cui la prestazione sanitaria si riferisce sia nellafase di pagamento (elenco dei codici di prenotazione delle prestazioni, data dierogazione, importo), sia di stampa della ricevuta fiscale (descrizione dellanatura della prestazione sanitaria di cui si è effettuato il pagamento). Taledocumento, infatti, a norma di legge, deve contenere la descrizione dellanatura della prestazione oggetto della fattura; tale descrizione, riportando ladicitura in chiaro relativa alla visita o al trattamento medico effettuato (es.visita chemioterapica, radioterapia), può, in taluni casi, essere idonea arivelare anche lo stato di salute dell'interessato. All'atto della stampa dellafattura l'operatore di "Sportello amico" viene reso edotto di taletrattamento di dati sensibili attraverso la dicitura che appare sul video e nelprimo foglio della stampa del documento: "Poste italiane documentocontenente dati sensibili ai sensi dell'art. 4 comma 1 lett. d) d.lgs.196/03". L'operatore di sportello, quindi, in qualità di incaricato deltrattamento, tratta lecitamente informazioni personali dell'interessato cui laprestazione sanitaria si riferisce, che possono, in taluni casi, anche essereidonee a rivelare lo stato di salute di questo. Analogamente,l'utente che effettua il pagamento, qualora sia persona diversadall'interessato, viene a conoscenza dei dati personali di quest'ultimo -intaluni casi anche idonei a rivelare il suo stato di salute- attraverso lalettura della descrizione della natura della prestazione sanitaria presentenella fattura. Sullabase di quanto accertato in loco, l'operatore di sportello, tuttavia, non identifical'utente che si presenta per effettuare il pagamento; in particolare, nonaccerta che tale soggetto sia l'interessato ovvero altro soggetto da questodelegato. L'operatore di sportello, inoltre, consegna a tale soggetto nonpreventivamente identificato la ricevuta fiscale dell'avvenuto pagamento, induplice copia, nella quale, come già evidenziato, è riportata in chiaro ladescrizione della natura della prestazione sanitaria da erogare. Intale quadro, pertanto, si ravvisano profili di criticità in materia diprotezione dei dati personali in relazione alla circostanza, accertata in loco,che l'operatore di sportello non verifica che il soggetto che effettua ilpagamento sia l'interessato cui la prestazione sanitaria si riferisce ovverosia un soggetto da questo delegato e consegna a tale soggetto la ricevutafiscale contenente dati personali, anche sensibili, dell'interessato. L'Aziendasanitaria di Firenze consente ai propri utenti di effettuare il pagamento delcorrispettivo per le prestazioni sanitarie prenotate tramite CUP e dalla stessaerogate mediante il proprio sito Internet(http://wiasf.cupmet-fi.it/ASFWeb/WICUP/pagamenti/ricercaAppuntamenti.do). L'utente,collegandosi alla pagina del suddetto sito denominata "Pagamentoticket", accede ad una maschera contenente le istruzioni per effettuare ilpagamento "delle visite, degli esami specialistici prenotati tramite CUP edegli esami di laboratorio erogati dall'Azienda sanitaria di Firenze". Secondoquanto indicato nel predetto sito, non è previsto un sistema di identificazionedell'utente che intende utilizzare tale servizio. Sullabase di quanto indicato nella pagina "Pagamento ticket" e affermatodall'Azienda sanitaria con la nota sopra richiamata dell'8 novembre 2013,l'utente-non previamente identificato- deve inserire il codice fiscaledell'interessato cui si riferisce la prestazione sanitaria e cliccare sulpulsante "Ricerca prestazioni". Attraverso tale operazione, l'utenteaccede ad una maschera contenente l'elenco dei codici di prenotazione delleprestazioni sanitarie riferite all'interessato di cui sia stato inserito ilcodice fiscale, con l'indicazione della data di erogazione della prestazione edel relativo importo. Visualizzato il suddetto elenco, l'utente seleziona laprestazione da pagare ed effettua il pagamento mediante carta di credito,attraverso il collegamento al sito Internet dell'Istituto bancario Intesa SanPaolo S.p.A.. Nella suddetta procedura è previsto che l'utente che effettua ilpagamento inserisca un indirizzo e-mail al quale è inviato "l'esito delpagamento". Secondo quanto indicato nella pagina "Pagamentoticket" del predetto sito dell'Azienda sanitaria di Firenze, "altermine dell'operazione di pagamento (l'utente ha) (Š) la possibilità distampare la ricevuta che attesta il pagamento della prestazione". Analogamentea quanto rilevato nel paragrafo 2 del presente provvedimento, nella stampadella fattura relativa all'avvenuto pagamento della prestazione sanitaria èpresente la descrizione della natura della prestazione che, in taluni casi, puòessere idonea a rivelare lo stato di salute dell'interessato cui la prestazionesanitaria si riferisce. Ilservizio di pagamento delle prestazioni sanitarie offerto dall'Aziendasanitaria di Firenze attraverso il proprio sito Internet è realizzato in modotale che chiunque, senza essere preventivamente identificato, attraversol'inserimento del codice fiscale di un assistito della stessa Azienda, possaaccedere all'elenco dei codici di prenotazione delle prestazioni sanitarierichieste dall'assistito stesso (con l'indicazione della data di erogazione edel relativo importo). Come già precedentemente indicato, il predetto codice diprenotazione, anche se privo dell'indicazione della natura della prestazione,costituisce, unito al codice fiscale dell'interessato, alla data di erogazionedella prestazione e al relativo importo, un dato personale dell'interessato. Siosserva, inoltre, che il medesimo utente all'atto del pagamento dellaprestazione sanitaria, senza essere stato preventivamente identificato, può,inoltre, venire a conoscenza anche dei dati idonei a rivelare lo stato disalute dell'interessato mediante la stampa della relativa ricevuta fiscale.Come già rilevato, infatti, tale documento contiene la descrizione della naturadella prestazione oggetto della fattura; idonea, in taluni casi, a rivelare lostato di salute dell'interessato. Ilsuddetto servizio, infatti, non identifica l'utente che effettua il pagamentoe, quindi, non verifica che questo coincida con l'interessato cui si riferiscela prestazione sanitaria o con altro soggetto a ciò delegato dall'interessato. Ciòpremesso, si ritiene, pertanto, che il servizio sopra descritto consenta ad unutente non identificato in possesso del codice fiscale dell'interessato cheabbia prenotato una prestazione sanitaria erogata dall'Azienda sanitaria diFirenze di accedere ad informazioni personali di quest'ultimo (elenco deicodici di prenotazione delle prestazioni, data di erogazione e importo), chepossono essere, in taluni casi, anche idonee a rivelare il suo stato di salute,qualora tale utente proceda al pagamento delle suddette prestazioni e allastampa della relativa fattura, recante, in chiaro la descrizione della naturadella prestazione sanitaria. Occorrepreliminarmente riconoscere l'indubbia semplificazione che l'Azienda sanitariadi Firenze intende introdurre attraverso l'utilizzo dei servizi sopra descritticon specifico riferimento alle modalità attraverso le quali gli utenti possonopagare il corrispettivo per le prestazioni sanitarie dalla stessa erogateavvalendosi della rete "Sportello amico" di Poste Italiane S.p.A. edel servizio on line. In tale contesto, tuttavia, il Garante, al fine diassicurare che la conoscenza dei dati personali, anche idonei a rivelare lostato di salute, avvenga solo da parte dell'interessato o da persona da questodelegata, ritiene necessario che l'Azienda sanitaria, in qualità di titolaredel trattamento, introduca nelle modalità di erogazione dei citati servizispecifiche misure di sicurezza per ridurre al minimo i rischi di accesso nonautorizzato (art. 31 del Codice). 4.1.Con specifico riferimento al servizio di pagamento del corrispettivo per leprestazioni sanitarie erogate dall'Azienda sanitaria di Firenze attraverso larete "Sportello amico" di Poste Italiane S.p.A., si ritiene chel'operatore di sportello debba verificare l'identità del soggetto che effettuail pagamento attraverso l'esibizione di un documento di riconoscimento eprovvedere alla registrazione degli estremi dello stesso. Ciò, in analogia conle concrete modalità di ritiro allo sportello della documentazione relativa adun destinatario determinato (es. raccomandata, plico postale). Qualoral'operatore di sportello accerti che il soggetto che effettua il pagamento siadiverso dall'interessato, deve procedere all'erogazione del servizio soloprevia esibizione, oltre al codice fiscale dell'interessato, anche del codicedi prenotazione della prestazione sanitaria rilasciato dal CUP all'atto dellaprenotazione. In tal caso, la consegna della documentazione relativaall'avvenuto pagamento deve avvenire in busta chiusa o con modalità che nonconsentano in via diretta di visualizzarne il contenuto (es. foglio piegato espillato) (cfr. provvedimento del 9 novembre 2005 citato). Ciò, in quanto laricevuta fiscale reca, in chiaro, la descrizione della natura della prestazionesanitaria, che, in taluni casi, è idonea a rivelare lo stato di salutedell'interessato. Iltitolare del trattamento deve, inoltre, verificare che Poste Italiane S.p.A.fornisca agli incaricati del trattamento idonee istruzioni al riguardo, nonchéeffettuare controlli periodici -anche a campione- in merito al rispetto dellemisure sopra descritte (artt. 28, 29 e 30 del Codice). 4.2.Con riferimento al servizio di pagamento delle prestazioni sanitarie offertodall'Azienda sanitaria di Firenze attraverso il proprio sito Internet(http://wiasf.cupmet-fi.it/ASFWeb/WICUP/pagamenti/ricercaApputamenti.do), siritiene che l'Azienda debba introdurre idonee misure volte a garantire chel'accesso ai dati personali, anche idonei a rivelare lo stato di salute,mediante l'utilizzo del suddetto servizio sia consentito solo all'interessatoovvero ad altro soggetto da questo delegato. Ciòstante, il titolare del trattamento deve prevedere che l'utente che intendeprocedere al pagamento delle prestazioni attraverso il sito Internetdell'Azienda debba inserire in un apposito campo della maschera di accesso alpredetto servizio di pagamento, oltre al codice fiscale dell'interessato, ancheil codice di prenotazione della prestazione sanitaria rilasciato dal CUPall'atto della prenotazione. TUTTO CIO' PREMESSO IL GARANTE: Roma, 13 marzo 2014
|