Omonimia: l’errata attribuzione di codice fiscale ed indirizzo di residenza durante la consegna di alcune fatture emesse a fronte di relative prestazioni medico-sanitarie

Provvedimento 1 giugno 2023 [9909889] - Garante Protezione dati Personali

L’evento si è realizzato a seguito di un’errata attribuzione di codice fiscale ed indirizzo di residenza per via dell’omonimia tra i due soggetti coinvolti, al momento della consegna di alcune fatture a fronte di relative prestazioni medico-sanitarie. Di conseguenza, le suddette fatture sono risultate presenti nel cassetto fiscale del reclamante, sebbene le relative prestazioni medico-sanitarie siano state usufruite dal soggetto omonimo, al quale le fatture sono state consegnate fisicamente, senza che però venisse evidenziato da parte sua alcun errore. Tale errore di attribuzione ha inoltre causato l’errato invio nei confronti del soggetto reclamante di sms automatici, che avrebbero dovuto essere invece indirizzati al soggetto omonimo, finalizzati a ricordare l’imminenza dei prossimi appuntamenti presso il Centro.

NELLA riunione odierna, alla quale hanno preso parte il prof. P.S, presidente, la prof.ssa G. C. F., vicepresidente, il dott. A.G., componente, e il cons. F.M, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”);

VISTO il d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. Il reclamo e l’attività istruttoria

Con nota del XX il sig. XX ha avanzato un reclamo nel quale ha lamentato una violazione in materia di protezione dei dati personali. In particolare, lo stesso ha dichiarato di aver ricevuto “periodicamente da Camedi Srl messaggi sul (…) numero privato per ricordarmi appuntamenti per visite mediche (…) mai richieste” e di aver rinvenuto, nella dichiarazione dei redditi 730 precompilata, talune fatture (che ammontavano complessivamente a 4.000,00 euro) emesse sul proprio codice fiscale concernenti prestazioni relative all’anno 2021 erogate dal Centro medico Camedi s.r.l. (di seguito “Centro”), dallo stesso mai effettuate.

Il reclamante ha, altresì, precisato che “da uno scambio PEC è emerso che (presso il Centro medico Camedi s.r.l.) seguono un paziente mio omonimo e che tutto quello che riguarda le sue prestazioni viene segnalato a me (ecco il perché dei continui SMS di appuntamento) e anche le sue fatture vengono attribuite al mio codice fiscale”, evidenziando, inoltre, di aver “nuovamente segnalato al centro l’accaduto con diverse PEC. Per iscritto non ho mai ricevuto conferma di nulla, mi hanno risposto solo una volta per telefono confermando di aver risolto il problema, ma invece continuo ancora a ricevere messaggi dal centro per visite che non ho mai richiesto e temo che nella prossima dichiarazione 730 precompilata troverò altre fatture attribuite a me”.

A seguito della richiesta di informazioni di questa Autorità, con la quale sono stati chiesti, ai sensi dell’art. 157 del Codice, taluni elementi informativi utili alla valutazione del caso (nota del XX, prot. n. XX), il Centro ha fornito riscontro, rappresentando che:

– “Camedi srl per motivi diversi è entrata in contatto e ha inserito nel proprio database utilizzato per attività medico-sanitarie il nominativo di 2 omonimi: il Sig. XX (che per chiarezza definiremo XX) e il Sig. XX (che per chiarezza definiremo XX). Entrambi sono stati inseriti nel nostro database correttamente con lo stesso Nome e Cognome ma ovviamente con indirizzi e soprattutto Codici Fiscali diversi”;

– “nel corso del 2021 il Paziente “XX” ha usufruito di alcune prestazioni a fronte delle quali sono state emesse n. 2 relative fatture (fatture che peraltro si evidenzia non riportano dati concernenti lo “stato di salute”). Le fatture sono state emesse dal Front Office e consegnate al “XX” il quale le ha prese e tenute con sé senza evidenziare che l’indirizzo e il codice fiscale non erano i suoi. Ovviamente l’Operatrice del Front Office e quindi Camedi a questo punto nulla potevano sapere dell’errore di omonimia”;

– “essendo le fatture state consegnate fisicamente al Paziente “XX”, cioè al Paziente che ha usufruito delle prestazioni, nessuna violazione della privacy lamentata dal Paziente “XX” è avvenuta poiché non si trattava di suoi dati personali ma, se mai del Paziente “XX” stesso, fruitore delle prestazioni. A seguito della segnalazione del Paziente “XX” abbiamo contattato il Paziente “XX” per segnalare la situazione e per la corretta compilazione del suo 730. Il Paziente “XX” ha compreso il problema, peraltro generato in parte anche da lui, non ha presentato nessuna contestazione ed è ancora nostro paziente”;

– “nessuna informazione del Paziente “XX” pertanto è stata inviata ad altri e l’unica informazione che Egli ha del Paziente “XX” è “(…) desumibile dal cassetto fiscale ovvero il numero e data delle 2 fatture “incriminate”, i dati di Camedi srl, l’importo e la dicitura “SR – Visita o intervento di specialistica”;

– “per risolvere la problematica del 730/Cassetto Fiscale il Sig. “XX” ha più volte avuto i necessari chiarimenti sia telefonicamente con la nostra Referente Amministrativa sia via Pec; in particolare l’ultima Pec del XX riportava chiaramente che eravamo in contatto con il nostro Commercialista e l’Agenzia delle Entrate per risolvere la situazione e che l’Agenzia ci aveva confermato esistere altri casi simili in altre Società dovuti ad omonimia e si dava indicazione che l’Utente poteva segnalare direttamente nel suo cassetto fiscale quanto non congruo e poteva toglierlo dai conteggi delle spese da detrarre poiché essendo un importo di “detrazione” e non di “reddito” (tassabile) il passaggio non creava problemi con l’Agenzia. Per quanto riguarda il “timore” del Sig. “XX” di trovare errori nella prossima dichiarazione 730 precompilato possiamo confermare che da parte nostra al momento ci risulta tutto sistemato”;

– “il problema dell’omonimia che coinvolgeva il nostro sistema gestionale di agendazioni e causava la generazione dell’SMS automatico che il Sig. “XX” lamentava giustamente di ricevere è stato risolto definitivamente dai nostri tecnici prima dell’estate e non dovrebbe ripetersi in futuro; anche questo problema era stato generato dall’emissione della fattura al Sig. “XX” legando l’emissione della fattura alle Prestazioni” (nota del XX).

2. Valutazioni del Dipartimento sul trattamento effettuato e notifica della violazione di cui all’art. 166, comma 5 del Codice

In relazione ai fatti descritti nel reclamo e all’esito del riscontro fornito dal titolare del trattamento dei dati in questione, l’Ufficio, con nota del XX (prot. n. XX), ha notificato al Centro, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitandolo a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

In particolare, l’Ufficio, nel predetto atto, ha ritenuto che il Centro ha effettuato un trattamento di dati in violazione del principio di esattezza e di integrità e riservatezza dei dati (art. 5 par. 1, lett. d) e f) del Regolamento) e, mediante la compilazione della fattura relativa alle prestazioni usufruite dall’omonimo contenente le informazioni (indirizzo e codice fiscale) del reclamante, ha effettuato una comunicazione di dati relativi alla salute (desumibili dalla prestazioni effettuate presso il Centro, con riferimento alle quali sono state emesse le relative fatture) in assenza di un idoneo presupposto giuridico, in violazione dei principi di base del trattamento di cui all’art. 9 del Regolamento e degli obblighi in materia di sicurezza di cui all’art. 32 del Regolamento.

Con mail del XX, il Centro ha fatto pervenire le proprie memorie difensive, nelle quali, in particolare, ha evidenziato che:

“l’evento si è realizzato per via della presenza nel database per attività medico-sanitarie di due soggetti omonimi. Tale omonimia ha contribuito ad un’errata attribuzione di codice fiscale ed indirizzo di residenza al momento della consegna di alcune fatture, emesse a fronte di relative prestazioni medico-sanitarie. Di conseguenza, le suddette fatture sono risultate presenti nel cassetto fiscale del reclamante, sebbene le relative prestazioni medico-sanitarie siano state usufruite dal soggetto omonimo, al quale le fatture sono state consegnate fisicamente, senza che però venisse evidenziato da parte sua alcun errore. Tale errore di attribuzione ha inoltre causato l’errato invio nei confronti del soggetto reclamante di sms automatici, che avrebbero dovuto essere invece indirizzati al soggetto omonimo, finalizzati a ricordare l’imminenza dei prossimi appuntamenti presso il Centro”;

– “l’evento si è realizzato a seguito di un’errata attribuzione di codice fiscale ed indirizzo di residenza, per via anche dell’omonimia tra i due soggetti coinvolti, al momento della consegna di alcune fatture, emesse a fronte di relative prestazioni medico-sanitarie. Nessuna segnalazione è stata evidenziata dal paziente omonimo al momento della consegna delle fatture e neppure in seguito”;

– “a seguito della segnalazione del soggetto reclamante, il paziente omonimo è stato informato dell’errata comunicazione dei suoi dati a un soggetto terzo con suo stesso nome e cognome, il quale però non è in grado di risalire in modo univoco alla sua identità, dal momento che il codice fiscale e l’indirizzo di residenza presenti in fattura sono invece del terzo medesimo. Sono inoltre state date le opportune informazioni per la correzione nella compilazione del 730, in seguito anche a confronto con Commercialista ed Agenzia delle Entrate, che ha confermato l’esistenza di altre casistiche analoghe di omonimia. Si segnala infine come il soggetto omonimo non abbia sollevato reclami o osservazioni particolari una volta che gli è stata comunicata la situazione in essere”;

– “al fine di evitare il ripetersi degli eventi segnalati, è stata inserita all’interno del database una specifica nota di attenzione in merito all’omonimia in oggetto”;

– “con nota del XX, la Società ha dato riscontro all’Autorità Garante, entro il termine di 30 giorni definito dall’Autorità medesima nella richiesta di informazioni inviata alla Società in data XX”;

– “l’errata comunicazione al soggetto terzo, reclamante, è limitata alla presenza nel cassetto fiscale di quest’ultimo di alcune fatture, emesse a fronte di relative prestazioni medico-sanitarie, usufruite però da un paziente omonimo, al quale tali fatture sono state consegnate fisicamente, senza che però venisse evidenziato da parte sua alcun errore. Il reclamante ha tuttavia unicamente informazione che un altro soggetto suo omonimo (tra le centinaia con lo stesso nome e cognome presenti in Italia) ha effettuato tali prestazioni sanitarie, non essendo però in grado di risalire in modo univoco all’identità del soggetto omonimo, dal momento che il codice fiscale e l’indirizzo di residenza presenti in fattura sono invece i suoi”.

3. Esito dell’attività istruttoria

Preso atto di quanto rappresentato dal Centro nella documentazione in atti e nelle memorie difensive, si osserva che:

1. per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)”; e, per “dati relativi alla salute”, ricompresi tra le categorie “particolari” di informazioni personali, i “dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, n. 1 e 15 del Regolamento; considerando n. 35);

2. le informazioni personali devono essere trattate nel rispetto dei principi applicabili al trattamento dei dati personali, elencati nell’art. 5 del Regolamento. In particolare, i dati devono essere “esatti e, se necessario, aggiornati” e “devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono stati trattati” (principio di «esattezza»); i dati devono essere, altresì, “trattati in maniera da garantire un’adeguata sicurezza (…) compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti o dalla perdita, dalla distruzione o dal danno accidentali” (principio di «integrità e riservatezza») (art. 5, par. 1, lett. d) e f) del Regolamento). L’adeguatezza di tali misure deve essere valutata da parte del titolare del trattamento rispetto alla natura dei dati, all’oggetto, alle finalità del trattamento e al rischio per i diritti e le libertà fondamentali degli interessati, tenendo conto dei rischi che derivano dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso a dati personali trasmessi, conservati o comunque trattati (art. 32, par. 1 e 2 del Regolamento);

3. in ambito sanitario le informazioni sullo stato di salute possono essere comunicate solo all’interessato e possono essere comunicate a terzi sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso, previa delega scritta di quest’ultimo (art. 9 del Regolamento e art. 84 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101).

4. Conclusioni

Alla luce delle valutazioni sopra esposte, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice (“Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”), gli elementi forniti dal Centro, in qualità di titolare del trattamento, nelle memorie difensive sopra richiamate non sono idonei ad accogliere le richieste di archiviazione, non consentendo di superare i rilievi notificati dall’Ufficio con il citato atto di avvio del procedimento.

Infatti, considerato che l’avvenuta prestazione di un servizio di assistenza sanitaria riferita ad una persona specificatamente indicata costituisce un’informazione riconducibile alla nozione di dato sulla salute ai sensi dell’art. 4, par. 1, n. 15 del Regolamento e del Cons. n. 35, si rileva che il Centro ha effettuato un trattamento di dati in violazione del principio di esattezza e di integrità e riservatezza dei dati del reclamante e del suo omonimo (art. 5 par. 1, lett. d) e f) del Regolamento) e, mediante l’erronea compilazione della fattura, ha effettuato una comunicazione di dati relativi alla salute  (desumibili dalle prestazioni effettuate presso il Centro, con riferimento alle quali sono state emesse le relative fatture) in assenza di un idoneo presupposto giuridico, in violazione dei principi di base del trattamento di cui all’art. 9 del Regolamento e degli obblighi in materia di sicurezza di cui all’art. 32 del Regolamento.

Per tali ragioni si rileva l’illiceità del trattamento di dati personali effettuato dal Centro, nei termini di cui in motivazione, per la violazione degli artt. 5, par. 1, lett. d) e f), 9 e 32 del Regolamento.

In tale quadro, considerato che la condotta ha esaurito i suoi effetti e il Centro ha dichiarato di aver adottato misure atte a evitare la ripetizione della condotta lamentata, richiamando l’attenzione sui casi di omonimia, non ricorrono allo stato i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i) e 83 del Regolamento; art. 166, comma 7, del Codice). 

La violazione degli artt. 5, par. 1, lett. d) e f), 9 e 32 del Regolamento causata dalla condotta del Centro è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 4, lett. a) e par. 5, lett. a) del Regolamento.

Si consideri che il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2, del Regolamento in relazione ai quali si osserva che:

l’Autorità ha preso conoscenza dell’evento a seguito di reclamo da parte di un interessato (art. 83, par. 2, lett.  h) del Regolamento);

il trattamento dei dati effettuato dal Centro ha riguardato dati idonei a rilevare informazioni sulla salute di due interessati (art. 83, par. 2, lett.  a) e g) del Regolamento);

sotto il profilo riguardante l’elemento soggettivo non emerge alcun atteggiamento intenzionale da parte del titolare del trattamento, sebbene l’interessato abbia ripetutamente rappresentato il trattamento non corretto (art. 83, par. 2, lett. b) del Regolamento);

il titolare ha collaborato con l’Autorità e non è stato destinatario di precedenti provvedimenti del Garante per violazioni pertinenti (art. 83, par. 2, lett. f) e e) del Regolamento);

l’episodio si è determinato anche a causa dell’omonimia dei nomi e cognomi degli interessati (art. 83, par. 2, lett. k) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 4, lett. a) e 5, lett. a) del Regolamento, nella misura di euro 10.000,00 (diecimila) per la violazione degli artt. 5, 9 e 32 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dal Centro medico Camedi s.r.l. per la violazione degli artt. 5, 9 e 32 del Regolamento.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, al Centro Medico Camedi s.r.l., con sede in Via Antonio Tantardini n. 15 – 20136 Milano – C.F./P.Iva: 05920700969, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 10000,00 (diecimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

al predetto Centro, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 10.000,00 (diecimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 1° giugno 2023