g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Ordinanza ingiunzione o revoca
  4. Provvedimento del 17 luglio 2024 [10070330]

Provvedimento del 17 luglio 2024 [10070330]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 10070330]

Provvedimento del 17 luglio 2024

Registro dei provvedimenti
n. 445 del 17 luglio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. Il reclamo

Con nota del XX la signora XX, per il tramite del proprio legale, avv. XX, ha lamentato a questa Autorità di aver esercitato i diritti di cui agli artt. da 15 a 22 del Regolamento nei confronti del dott. Roy De Vita (C.F. XX) e di non avere ricevuto riscontro.

In particolare, la reclamante ha rappresentato di aver esercitato il diritto di cui all’art. 15 del Regolamento, in quanto con “comunicazione pec del XX (…), tramite i propri difensori, avanzava al dott. De Vita richiesta ex art. 15 Regolamento UE 679/2016 di copia conforme di tutte le fotografie effettuate sulla sua persona prima e dopo l’intervento chirurgico di rinosettoplastica (…); tuttavia, il dott. De Vita non ha mai dato riscontro (…) (a tale) richiesta”.

2. L’attività istruttoria

Successivamente a tale reclamo, l’Ufficio, con nota del XX (prot. n. XX), inviata a mezzo PEC, all’indirizzo professionale del citato medico,  ha invitato quest’ultimo, titolare del trattamento, ad aderire - entro 20 giorni dal ricevimento di tale nota - alle richieste della reclamante ai sensi dell’art. 15 del Regolamento n. 1/2019 del Garante per la protezione dei dati personali (doc. web n. 9107633) in modo puntuale ed esaustivo, richiedendo, contestualmente, l’invio della copia di tale riscontro anche all’Autorità medesima all’indirizzo protocollo@pec.gpdp.it.

Decorso il termine indicato per la risposta e verificato che all’invito citato non è stato fornito alcun seguito, l’Ufficio, con nota del XX (prot. n. XX) - inviata a mezzo PEC all’indirizzo professionale del titolare - ha richiesto al medico sopra citato informazioni in ordine alle motivazioni del mancato riscontro alla richiesta avanzata dalla reclamante e all’invito ad aderire effettuato dall’Autorità scrivente con la citata nota del XX (prot. n. XX), nonché al periodo di conservazione dei dati personali dei pazienti - con riguardo alle fotografie che precedono e seguono gli interventi chirurgici di competenza - e copia dell’informativa di cui all’art. 13 del Regolamento da rendere ai pazienti in relazione al trattamento dei dati personali.

3. Valutazioni del Dipartimento sul trattamento effettuato e notifica della violazione di cui all’art. 166, comma 5, del Codice

A fronte del fatto che alla richiesta poc’anzi citata non seguiva alcun riscontro, rilevata tale omissione attraverso verifiche interne presso il servizio di protocollo dell’Autorità, l’Ufficio, con atto datato XX (prot. n. XX), ha notificato al dott. Roy De Vita, titolare del trattamento, in data XX - attraverso il Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza - l’avvio del procedimento, di cui all’art. 166, comma 5, del Codice, finalizzato all’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento; ciò, per la violazione dell’art. 157 del Codice.

Ciò, invitando il titolare del trattamento a produrre al Garante scritti difensivi o documenti, ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, legge n. 689 del 24 novembre 1981).

Al contempo, sempre attraverso il citato Nucleo della Guardia di Finanza, l’Ufficio ha reiterato la richiesta di informazioni del XX (prot. n. XX), notificandola in pari data (con separata nota di accompagnamento datata XX (prot. n. XX)).

Anche a quest’ultima notifica non è seguito alcun riscontro da parte del dott. De Vita, il quale non ha fornito gli elementi informativi richiesti dall’Autorità.

L’Ufficio ha preso atto, altresì, del fatto che il titolare, con riferimento all’atto di avvio del procedimento, di cui all’art. 166, comma 5, del Codice, per la violazione dell’art. 157 del Codice medesimo, non si è avvalso della facoltà presentare scritti difensivi e/o richiedere di essere ascoltato dall’Autorità, ai sensi dell’art. 166, comma 6, del Codice e dell’art. 13 del Regolamento interno del Garante n. 1/2019.

4. Esito dell’attività istruttoria

Nell’ambito dello svolgimento delle attività di trattamento dei dati personali, i titolari sono tenuti ad osservare le norme in materia di protezione dei dati personali, in particolare del Regolamento e del Codice. Si evidenzia, in particolare che, l’Autorità di controllo, nell’ambito dei compiti e poteri attribuiti dal Regolamento, assicura, fra l’altro, l’applicazione delle disposizioni delle norme poc’anzi citate e svolge le opportune indagini, anche sulla corretta applicazione della disciplina di protezione dei dati personali da parte dei titolari (art. 57 par.1, lett. a), f) ed h) e 58 del Regolamento). A tale scopo l’Autorità ha il potere di ingiungere al titolare del trattamento di fornire ogni informazione di cui necessiti per l’esecuzione dei suoi compiti (art. 58 par.1, lett. a), del Regolamento). L’art. 157 del Codice prevede, a tal fine, che “nell’ambito dei poteri di cui all'articolo 58 del Regolamento, e per l’espletamento dei propri compiti, il Garante può richiedere al titolare, al responsabile, al rappresentante del titolare o del responsabile, all'interessato o anche a terzi di fornire informazioni e di esibire documenti anche con riferimento al contenuto di banche di dati” e che l’inosservanza di tale disposizione rende applicabile la sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5 del Regolamento (art. 166, comma 2, del Codice).

Si osserva, con riferimento alla vicenda oggetto di reclamo, che, anche alla luce dei principi generali di buon andamento, efficienza, efficacia ed economicità dell’azione amministrativa (art. 97 Cost., nonché art. 9, comma 1 e 10, comma 3, del Regolamento interno del Garante n. 1/2019 del 4 aprile 2019, doc. web n. 9107633), la condotta omissiva del titolare ha implicato l’intervento ripetuto dell’Autorità nella necessità di raccogliere elementi utili alle valutazioni e alla decisione del caso. Nonostante la reiterazione della richiesta del XX effettuata dal citato Nucleo della Guardia di Finanza e notificata il XX (nota prot. n. XX del XX) - presso lo studio professionale del titolare del trattamento (come risulta dalla “Relazione di notificazione” del XX presente agli atti del procedimento) - non è pervenuto alcun riscontro da parte del dott. Roy De Vita.

5. Conclusioni.

Alla luce delle valutazioni sopra richiamate, non ricorrendo, alcuno dei casi previsti dall’art. 11 del regolamento del Garante n. 1/2019, è accertato che il dott. Roy De Vita - con riferimento alla vicenda in questione riguardante il mancato riscontro alla richiesta di informazioni rivolta più volte al medesimo medico - ha tenuto una condotta omissiva illecita in violazione dell’art. 157 (richiesta di informazioni e di esibizione di documenti) in relazione all’art. 166, comma 2, del Codice.

La violazione di tale norma, ai sensi dell’art. 166, comma 2, del Codice, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5 del Regolamento. 

Pertanto il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone, altresì, in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento.

Anzitutto, considerato che le violazioni afferenti alla vicenda in questione rientrano nelle fattispecie elencate dall’art. 83, par. 5, del Regolamento, l’importo totale della sanzione è da quantificarsi fino a 20.000.000 di euro (massimo edittale cd “statico”).

Quanto alla valutazione della gravità della violazione (art. 83, par. 2, lett. a), b) e g) del Regolamento), si ritiene che il livello di gravità è da considerarsi grave, considerato il protrarsi della violazione determinata, con riferimento al profilo psicologico, dalla volontaria e intenzionale condotta omissiva del titolare del trattamento. Il dott. De Vita, infatti, non solo non aveva risposto all’invito ad aderire effettuato con nota del XX (prot. n. XX), ma, per quel che riguarda la violazione in questione, non ha risposto alla richiesta di informazioni formulata con nota del XX (prot. n. XX) e reiterata con nota datata XX (prot. n. XX), notificata dal Nucleo Speciale Privacy e Frodi tecnologiche della Guardia di Finanza in data XX, nelle mani stesse del citato medico (cfr. relata di notifica del XX).

In relazione alla valutazione degli ulteriori elementi previsti dall’art. 83, par. 2 del Regolamento, quali circostanze aggravanti e attenuanti, si tiene conto che:

- nei confronti del titolare del trattamento non sono stati in precedenza adottati provvedimenti riguardanti violazioni pertinenti (art. 83, par. 2, lett. e) del Regolamento);

- quest’ultimo non ha cooperato con l’Autorità (art. 83, par. 2, lett. f) del Regolamento): tale condotta omissiva ha implicato l’intervento ripetuto dell’Autorità nella necessità di raccogliere elementi utili alle valutazioni e alla decisione del caso, ostacolando in tal modo il buon andamento, l’efficienza, l’efficacia e l’economicità dell’azione amministrativa (art. 97 Cost., nonché art. 9, comma 1 e 10, comma 3, del Regolamento interno del Garante n. 1/2019 del 4 aprile 2019, doc. web n. 9107633),

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, del Regolamento, nella misura di euro 4.000,00 (quattromila/00) per la violazione di cui all’art. 157 del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019 in considerazione della tipologia della violazione accertata che ha riguardato l’obbligo di riscontrare le richieste di informazioni da parte del Garante;

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento dei dati personali effettuato dal dott. Roy De Vita, titolare del trattamento, per la violazione dell’art. 157 del Codice, in relazione all’art. 166, comma 2, del Codice nei termini di cui in motivazione;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, al titolare del trattamento sopra citato di pagare la somma di euro 4.000,00 (quattromila/00) a titolo di sanzione amministrativa pecuniaria per la violaziona indicata nel presente provvedimento; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al predetto titolare, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 4.000,00 (quattromila/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981;

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 17 luglio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
10070330
Data
17/07/24

Argomenti

Sanità e ricerca scientifica Stato di salute Pazienti

Tipologie

Ordinanza ingiunzione o revoca

Vedi anche (10)