[doc. web n. 10037411]

Provvedimento del 20 giugno 2024

Registro dei provvedimenti
n. 378 del 20 giugno 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

RELATORE l’avv. Guido Scorza;

PREMESSO

1. Il reclamo

Con reclamo presentato all’Autorità in data XX, la sig.ra XX, per il tramite del proprio legale, ha lamentato di aver esercitato, in data XX, nei confronti del dott. XX, nato a XX il XX e appartenente all’Ordine dei Medici Chirurghi e degli Odontoiatri di XX, C.F.: XX - PEC: XX., il diritto di accesso ai propri dati personali di cui all’art. 15 del Regolamento, al fine di accedere alle fotografie preoperatorie relative a un intervento effettuato da quest’ultimo professionista, in data XX, presso la struttura sanitaria XX con sede in XX e di non avere ricevuto riscontro.

2. L’attività istruttoria

Successivamente a tale reclamo, l’Ufficio, con nota del XX (prot. n. XX), ha invitato XX e il dott. XX ad aderire - ai sensi dell’art. 15 del Regolamento n. 1/2019 del Garante per la protezione dei dati personali (doc. web n. 9107633) - alle richieste della reclamante.

A tale invito, XX forniva riscontro con nota del XX, mentre il dott. XX rispondeva con nota del XX, rendendo, al contempo, edotta la scrivente Autorità.

In particolare quest’ultimo, nel riscontro inviato, unitamente alle fotografie pre-operatorie richieste dalla reclamante, ha, fra altro, rappresentato che:

- “la stessa mattina dell’intervento chirurgico, ma prima di esso, il sottoscritto, in via del tutto autonoma, incaricava espressamente il proprio aiuto-chirurgo (…) di scattare - come di prassi - alcune fotografie al corpo della predetta paziente: fatte da parte le finalità indicate nel consenso e nelle autorizzazioni concesse, la primaria finalità di siffatte immagini fotografiche è costituita dal loro uso intra-operatorio, ovvero quella di consentire al chirurgo operatore, ovvero al sottoscritto, di visionare l’immagine della parte del corpo della paziente “ante-intervento”, quando il paziente è in cd. “chiusura””;

- “(…) nel corso della stessa mattinata tali fotografie venivano consegnate al sottoscritto dal predetto (…) (aiuto-chirurgo) il quale (…) è stato mero esecutore di un preciso compito affidatogli dal sottoscritto e perciò incaricato del trattamento di eventuali dati personali”;

- “per quanto sopra, la decisione della raccolta dei dati è stata esclusivamente del sottoscritto e, pertanto, circa l’attività del trattamento non può essere attribuita alcuna responsabilità (ad altri)”;

-  “tali immagini fotografiche non ritraevano il volto della paziente, ma esclusivamente la parte del corpo d’interesse per l’intervento chirurgico (nel caso di specie l’addome)”;

-  “in data XX per conto della Sig.ra XX, (il legale di fiducia) trasmetteva, tra le tante altre recriminazioni, richieste, diffide e pretese risarcitorie, tutte inviate con ulteriori numerose PEC nell’arco di poco tempo, richiesta delle fotografie scattate prima dell’esecuzione dell’intervento”;

- “(…) (al) sottoscritto, trascorso (…) 1 anno e 5 mesi dall’intervento, il reperimento di tali immagini fotografiche si rivelava estremamente complicato, proprio perché trattavasi di fotografie, siccome non ritraenti il volto, non immediatamente riconducibili alla paziente (…)”;

- “medio tempore, nel corso di tale ricerca, la (…) (reclamante) depositava innanzi al Tribunale Ordinario di Velletri ricorso per accertamento tecnico preventivo teso a cristallizzare, attraverso consulenza tecnica d’ufficio medico-legale, un presunto danno fisiognomico patito in conseguenza dell’intervento chirurgico eseguito dal sottoscritto al quale veniva asseritamente ascritta responsabilità sanitaria per errore medico”;

- “il sottoscritto medesimo, pur avendo egli stesso, prima di chiunque altro, (…) (inteso) depositare in Tribunale le immagini fotografiche “ante-intervento” della paziente (esse avrebbero costituito ulteriore conferma dell’infondatezza dell’assunto della Sig.ra XX), è stato purtroppo in ciò impossibilitato per l’esito vano della ricerca (fortunatamente v’erano elementi comunque sufficienti per sconfessare gli assunti e le pretese della ricorrente XX: ne è prova la consulenza preliminare del Consulente del Tribunale che allo stato nega qualsivoglia errore medico)”;

-  “(…) duole non esser stato in grado di reperire in tempi brevi il materiale richiesto ma, come già detto, la non diretta ed immediata riconducibilità di determinate immagini, e non altre di altri soggetti, alla Sig.ra XX, unita poi alla sopravvenuta esigenza e necessità di difendersi nel contenzioso giudiziale incardinato dalla predetta, ed unita anche al dispendio di tempo ed alla distrazione per esser stato destinatario nelle more di numerose PEC (…) (del legale dell’interessata), hanno determinato la quasi impossibilità a soddisfare la domanda”;

- “dopo affannosa ricerca, sono state reperite le immagini fotografiche, scattate prima dell’intervento chirurgico, ritraenti il solo corpo della paziente corrispondente al nome di XX e che, pertanto, si allegano alla presente (in formato compresso per ragioni di trasmissione telematica) inviandole al solo indirizzo PEC del patrocinatore della predetta (…) (paziente)”.

A seguito delle risposte sopra citate l’Ufficio, con nota del XX (prot. n. XX), al fine di assumere le determinazioni definitive in ordine al procedimento aperto a seguito del reclamo in oggetto, ha invitato la reclamante a formulare eventuali osservazioni in merito al riscontro fornito.

Con nota del XX, la reclamate, per il tramite del proprio legale, ha presentato le proprie osservazioni, evidenziando, in particolare, il tempo trascorso tra la data della richiesta e la data della consegna delle fotografie citate - con pregiudizievole impossibilità di produrle nel giudizio pendente nei confronti del medico medesimo.

Sulla base di quanto sopra, l’Ufficio, alla luce dei rapporti e dell’articolazione dei ruoli privacy intercorrenti tra XX e il dott. XX – autore dell’intervento al quale si riferiscono i dati concernenti le fotografie preoperatorie richieste dalla reclamante – nonché alla luce delle circostanze concrete del trattamento, ha disposto l’archiviazione nei confronti della sopra citata struttura sanitaria e ha chiesto, con nota del XX (prot. n. XX), al medico sopra citato, quale titolare del trattamento dei dati della reclamante, di fornire - ai sensi dell’art. 157 del Codice - ogni informazione utile in relazione alla vicenda sopra rappresentata, entro il termine di 30 gg. dalla ricezione della nota stessa, al fine di completare l’istruttoria dell’istanza avanzata dal reclamante.

In data XX, il titolare del trattamento ha fornito riscontro alla richiesta dell’Autorità scrivente, dichiarando, fra altro, che:

“In primo luogo (…) è inveritiero e del tutto strumentale da parte della reclamante classificare “pregiudizievole” la mancata disponibilità della documentazione fotografica de qua in tempo utile per il procedimento per accertamento tecnico preventivo ormai conclusosi dinanzi il giudice ordinario: tale documentazione costituisce invece prova e conferma dell’infondatezza dell’asserito errore medico”;

“In secondo luogo, circa l’informativa di cui all’art. 13 del Regolamento, (…) era ed è affissa e ben visibile nello studio medico (…) in XX dove il sottoscritto svolge la sua attività professionale medica intramoenia extramuraria (…) e quindi dove la (…) (paziente) ha effettuato le visite pre-operatorie e i controlli post operatori. A prova di tale ultima circostanza (…) si fornisce copia della predetta informativa con dichiarazione sottoscritta (di due dipendenti dello studio (…)), nonché immagine fotografica raffigurante la presenza dell’informativa stessa all’interno dei predetti locali”.

3. Valutazioni del Dipartimento sul trattamento effettuato e notifica della violazione di cui all’art. 166, comma 5, del Codice

In relazione alla documentazione in atti e a quanto dichiarato dal titolare del trattamento, l’Ufficio, con atto del XX (prot. n. XX), ha avviato, ai sensi dell’art. 166, comma 5, del Codice, il procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2 del Regolamento nei confronti del dott. XX, in qualità di titolare del trattamento, invitandolo a produrre al Garante scritti difensivi o documenti, ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, legge n. 689 del 24 novembre 1981).

A seguito di quanto emerso, l’Ufficio ha ritenuto che il sopra citato medico abbia trattato dati personali della reclamante nell’inosservanza della normativa in materia dei dati personali. In particolare, è stato rilevato che il dott. XX non abbia fornito riscontro all’istanza di esercizio dei diritti dell’interessata nei termini previsti dall’art. 12 in relazione all’art. 15 del Regolamento, ma solo a seguito dell’invito ad aderire alle richieste della reclamante, formulato ai sensi dell’art. 15 del Regolamento n. 1/2019 del Garante per la protezione dei dati personali (doc. web n. 9107633) e non abbia rispettato gli obblighi di trasparenza per insufficiente indicazione del periodo di conservazione dei dati da fornire agli interessati (art. 13, par. 2, lett. a) del Regolamento).

4. Esito dell’attività istruttoria

A seguito del contestato atto del XX (prot. n. XX), considerato che il titolare del trattamento non si è avvalso della facoltà di produrre scritti difensivi o documenti e di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, legge n. 689 del 24 novembre 1981), tenuto conto di tutto quanto rappresentato in atti e dichiarato, si osserva quanto segue.

4.1 Mancato riscontro all’istanza di esercizio dei diritti (art. 12, par. 3, in relazione all’art. 15 del Regolamento)

Con riferimento alla questione prospettata, si evidenzia che per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)” e per “dati relativi alla salute” “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, nn. 1 e 15 del Regolamento).

In questi ultimi “(…) dovrebbero rientrare tutti i dati riguardanti lo stato di salute dell'interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso. Questi comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria (…); un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari; le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici; e qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie, l'anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell'interessato, indipendentemente dalla fonte, quale, ad esempio, un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro” (Considerando 35).

Questi ultimi meritano una maggiore protezione dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali (Considerando n. 51). 

In tale circostanza, la reclamante attraverso l’esercizio del diritto di accesso ai dati ai sensi dell’art. 15 del Regolamento, ha richiesto copia delle fotografie preoperatorie, le quali, per orientamento consolidato dell’Autorità (cfr. pronunce del Garante già a partire dall’anno 2002, in Bollettino n. 28, pag. 34 - doc. web 1064753), nonché per quanto dispone il sopra richiamato Considerando 35 del Regolamento, costituiscono dati personali, in tal caso relativi alla salute. 

In tema di informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato, l’art. 12, par. 3, del Regolamento stabilisce che il titolare del trattamento debba dare riscontro alla richiesta dell’interessato, avanzata in tal caso ai sensi dell’art. 15 del Regolamento, senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste, fermo restando che l’interessato deve essere informato di tale proroga e dei motivi del ritardo entro un mese dal ricevimento della richiesta.

Se non ottempera alla richiesta dell'interessato, il titolare del trattamento deve, in ogni caso, informare l'interessato senza ritardo e, al più tardi, entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’Autorità di controllo e di proporre ricorso giurisdizionale (Considerando 59 e art. 12, par. 4, del Regolamento).

Sulla base degli elementi acquisiti a seguito dell’attività istruttoria, nonché delle successive valutazioni di questo Dipartimento, in ordine alla vicenda lamentata dalla reclamante, è accertato che il dott. XX in relazione alla richiesta di fornire copia dei propri dati personali consistenti nelle fotografie preoperatorie, non ha fornito riscontro alla richiesta formulata dall’interessata ai sensi dell’art. 15 del Regolamento, nei termini previsti dall’art. 12 del Regolamento medesimo.

Nello specifico, all’istanza avanzata dall’interessata in data XX, il titolare del trattamento ha fornito riscontro solo a seguito del sopra citato invito ad aderire alle richieste del reclamante, inviato dall’Autorità medesima, con nota del XX, ovverosia dopo 302 giorni dalla data dell’istanza dell’interessata.

4.2 Inosservanza degli obblighi di trasparenza per insufficiente indicazione nella informativa di cui all’art. 13 del Regolamento del periodo di conservazione dei dati da fornire agli interessati (art. 13, par. 2, lett. a) del Regolamento)

Il titolare del trattamento, in caso di raccolta - presso l’interessato - dei dati che lo riguardano, è tenuto a fornire a quest’ultimo, nel momento in cui tali dati personali sono ottenuti, le informazioni previste dall’art. 13 del Regolamento.

In particolare, il titolare deve fornire, fra altro, “(…) il periodo di conservazione dei dati personali, oppure, se non è possibile, i criteri utilizzati per determinare tale periodo” (art. 13, par. 2, lett. a) del Regolamento). Il predetto obbligo non sussiste soltanto se, e nella misura in cui, l’interessato già disponga delle informazioni (art. 13, par. 4).

Con riferimento alle informazioni da fornire all’interessato nell’ambito dell’attività posta in essere da titolari del trattamento operanti in ambito sanitario, qualora “(…) i tempi di conservazione di specifici documenti sanitari non siano stabiliti da una disposizione normativa, il titolare del trattamento, in virtù del principio di responsabilizzazione, dovrà individuare tale periodo in modo che i dati siano conservati, in una forma che consenta l’identificazione degli interessati, per un arco di tempo non superiore al conseguimento delle finalità per le quali i dati sono trattati (principio di limitazione della conservazione, art. 5, par. 1, lett. e) del Regolamento) e indicare tale periodo (o i criteri per determinarlo) tra le informazioni da rendere all’interessato” (cfr. altresì, il par. 2 del Provvedimento del 7 marzo 2019, n. 55, doc. web n. 9091942, recante “Chiarimenti sull'applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario”).

Nello stesso senso, secondo quanto indicato nell’Allegato alle Linee guida sulla trasparenza ai sensi del Regolamento 2016/679 - elaborate dal Gruppo Art. 29 e adottate in data  29 novembre 2017, nonché, nella versione emendata, in data 11 aprile 2018 (WP260 rev.01) - recante “Informazioni da fornire all’interessato ai sensi dell’articolo 13 o 14”, il periodo di conservazione (o i criteri per determinarlo) “dovrebbe essere indicato in maniera tale da consentire all’interessato di stabilire quale sarà, in base alla sua specifica situazione, il periodo previsto per i dati/fini specifici. Non è sufficiente che il titolare del trattamento affermi in maniera generica che i dati personali saranno conservati finché sarà necessario per le finalità legittime del trattamento. Ove pertinente, dovrebbero essere fissati periodi di conservazione diversi per le diverse categorie di dati personali e/o finalità del trattamento, inclusi, se del caso, i periodi di archiviazione”.

Dall’esame della documentazione in atti, nel testo della copia dell’informativa prodotta dal titolare del trattamento, denominata “Informativa al trattamento dei dati personali ai sensi e per gli effetti dell’art. 13 e 14 del Regolamento UE 2016/679 “Regolamento GDPR”, è indicato, con riferimento al periodo di conservazione dei dati personali, che “I Dati Personali dell’Interessato saranno conservati solo per il tempo necessario ai fini per cui sono raccolti, rispettando il principio di minimizzazione di cui all'articolo 5, comma 1, lettera c) del GDPR nonché gli obblighi di legge cui è tenuto il Titolare”. In relazione a ciò, si rappresenta che, alla luce delle disposizioni in materia di protezione dei dati personali sopra richiamate, tali indicazioni non integrano la previsione contenuta nell’art. 13, par. 2, lett. a) del Regolamento (secondo il quale l’informazione sul periodo di conservazione dei dati può essere fornita dal titolare anche attraverso l’indicazione dei criteri utilizzati per determinarlo) a fronte della genericità della formulazione utilizzata.

5. Conclusioni.

Sulla base delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” - tenuto anche conto che il titolare del trattamento, come sopra accennato, non si è avvalso della facoltà di produrre scritti difensivi o documenti, né di essere sentito dall’Autorità - non ricorre alcuno dei casi previsti dall’art. 11 del regolamento del Garante n. 1/2019.

Pertanto, tutto quanto premesso, allo stato degli atti e delle dichiarazioni fornite, in relazione alla vicenda in questione, è accertato che il dott. XX, titolare del trattamento, ha trattato i dati della reclamante nella vicenda in questione:

- in violazione dell’art. 12, in relazione all’art. 15 del Regolamento, per non aver fornito riscontro, entro i termini previsti dall’art. 12 del Regolamento, all’istanza di esercizio del diritto di accesso ai dati avanzata dalla reclamante in data XX. Tale riscontro è stato fornito in data XX a seguito dell’invito ad aderire alle richieste della reclamante formulato dall’Autorità scrivente;

- in violazione dell’art. 13, paragrafo 2, lett. a) del Regolamento, per non aver individuato nel documento “Informativa al trattamento dei dati personali ai sensi e per gli effetti dell’art. 13 e 14 del Regolamento UE 2016/679 “Regolamento GDPR”, i tempi di conservazione dei dati personali trattati o i criteri per determinarli, attesa la formulazione generica in esso adottata.

6. Misure correttive (art. 58, par. 2, lett. d), del Regolamento).

L’art. 58, par. 2, lett. d), del Regolamento prevede che il Garante ha i poteri correttivi di “ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente Regolamento, se del caso, in una determinata maniera ed entro un determinato termine”.

In tale quadro, alla luce delle norme indicate, si ritiene necessario disporre, ai sensi della norma poc’anzi citata, che il dott. XX, in ragione della incompletezza delle informazioni presenti nella informativa fornita ai pazienti riferite al periodo di conservazione dei dati personali di cui  all’art. 13, par. 2, lett. a) del Regolamento medesimo, provveda a integrare tali informazioni individuando il periodo di conservazione dei dati personali o i criteri utilizzati per determinarlo, nel rispetto del principio di limitazione della conservazione di cui all’art. 5, par. 1, lett. e) del Regolamento.

Diversamente, per quanto attiene alla violazione concernente il mancato riscontro alla richiesta di accesso ai propri dati personali di cui agli artt. 12 in relazione all’art. 15 del Regolamento, considerato che la consegna di copia dei dati personali consistenti nelle fotografie preoperatorie richieste dalla reclamante è avvenuta in data XX, avendo tale condotta esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

7. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione dell’art. 12, par. 3, in relazione all’art. 15 del Regolamento e dell’art. 13, par. 2, lett. a) del Regolamento medesimo, causata dalla condotta posta in essere dal titolare del trattamento, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, lett. b) del Regolamento e dell’art.166, comma 2, del Codice.

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento.

Anzitutto, considerato che le violazioni afferenti alla vicenda in questione rientrano nelle fattispecie elencate dall’art. 83, par. 5, lett. b) del Regolamento, l’importo totale della sanzione è da quantificarsi fino a 20.000.000 di euro (massimo edittale cd “statico”).

Quanto alla valutazione della gravità della violazione (art. 83, par. 2, lett. a), b) e g) del Regolamento), si ritiene che il livello di gravità è da considerarsi basso, in quanto si è trattato di un caso isolato e in assenza di dolo e si tiene conto che la vicenda ha riguardato dati relativi alla salute di un solo soggetto interessato.

In relazione alla valutazione degli ulteriori elementi previsti dall’art. 83, par. 2 del Regolamento, quali circostanze aggravanti e attenuanti, si tiene conto che:

- nei confronti del titolare del trattamento non sono stati in precedenza adottati provvedimenti riguardanti violazioni pertinenti, né sono stati precedentemente disposti provvedimenti di cui all’art. 58 del Regolamento (art. 83, par. 2, lett. e) del Regolamento);

- il titolare ha cooperato pienamente con l’Autorità in tutte le fasi del procedimento (art. 83, par. 2, lett. f) del Regolamento);

- l’Autorità ha preso conoscenza della fattispecie in esame a seguito di un reclamo proposto dall’interessata (art. 83, par. 2, lett. h) del Regolamento);

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, del Regolamento, nella misura di euro 4.000,00 (quattromila/00) per la violazione dell’art. 12, in relazione all’art. 15 e dell’art. 13, par. 2, lett. a) del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019 in considerazione della tipologia dei dati personali oggetto della presente vicenda e del fatto che la violazione riguarda i diritti degli interessati.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento dei dati personali effettuato dal dott. XX, nato a XX il XX e appartenente all’Ordine dei Medici Chirurghi e degli Odontoiatri di XX, C.F.: XX per la violazione dell’art. 12, par. 3, in relazione all’art. 15 del Regolamento e dell’art. 13, par. 2, lett. a) del Regolamento medesimo nei termini di cui in motivazione;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, al titolare del trattamento sopra citato di pagare la somma di euro 4.000,00 (quattromila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

al predetto titolare, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 4.000,00 (quattromila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981;

ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, di conformare i trattamenti alle disposizioni del Regolamento, adottando entro 40 giorni dalla notifica del presente provvedimento, la misura correttiva di rielaborare il documento denominato “Informativa al trattamento dei dati personali ai sensi e per gli effetti dell’art. 13 e 14 del Regolamento UE 2016/679 “Regolamento GDPR”, provvedendo a integrare le informazioni relative al periodo di conservazione dei dati personali di cui all’art. 13, par. 2, lett. a), individuando tale periodo o i criteri utilizzati per determinarlo, nel rispetto del principio di limitazione della conservazione di cui all’art. 5, par. 1, lett. e) del Regolamento. L’inosservanza di un ordine formulato ai sensi dell'art. 58, par. 2, del Regolamento, è punita con la sanzione amministrativa di cui all’art. 83, par. 6, del Regolamento;

ai sensi dell’art. 58, par. 1, lett. a), del Regolamento e dell’art. 157 del Codice, di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto (nel par. 6 e nel dispositivo) e di fornire comunque riscontro, adeguatamente documentato, entro e non oltre il termine di 20 giorni dalla scadenza del termine dei 40 giorni sopra indicato.  Il mancato riscontro a una richiesta formulata ai sensi dell’art. 157 del Codice è punito con la sanzione amministrativa, ai sensi del combinato disposto di cui agli artt. 83, par. 5, del Regolamento e 166 del Codice.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 20 giugno 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei