g-docweb-display Portlet

Provvedimento del 1° ottobre 2020 [9483375]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9483375]

Provvedimento del 1° ottobre 2020

Registro dei provvedimenti
n.  173 del 1° ottobre 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida del Garante in materia di trasparenza”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal vice segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Introduzione

È pervenuta a questa Autorità una comunicazione del Sostituto Procuratore della Repubblica di Cosenza effettuata ai sensi dell’art. 167, comma 4, del Codice, in ordine alla diffusione sul sito web istituzionale dell’Azienda Sanitaria Provinciale di Cosenza (A.S.P. Cosenza) di dati personali, anche relativi alla salute.

In particolare – dalla verifica preliminare effettuata dall’Ufficio – è emerso che sul sito web istituzionale della predetta Azienda (http://www.asp.cosenza.it/), sia dall’area «Trasparenza e anticorruzione» (sezione «XX») che da quella dell’albo pretorio online (sezione «XX») era possibile scaricare, tramite l’apposita maschera di ricerca, la Delibera del Commissario ad acta n. XX dell’XX avente a oggetto «XX» (url http://...).

La predetta Delibera n. XX dell’XX, diffusa online, conteneva sia nell’oggetto che nel testo, dati personali delle persone fisiche aventi diritto al risarcimento dei danni subiti dall’Azienda sanitaria per un importo di circa XX euro in totale, con indicazione dei dati identificativi (nome e cognome), residenza, codice fiscale, importo da liquidare, codice iban su cui accreditare le somme dei soggetti interessati. Ciò anche se nella delibera era espressamente riportato che «contenendo il presente provvedimento dati sensibili di soggetti terzi, se ne omette la pubblicazione integrale».

2. Normativa applicabile.

Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)» e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).

In tale quadro, il trattamento dei dati personali deve avvenire nel rispetto dei principi indicati dall’art. 5, fra cui quelli di «liceità, correttezza e trasparenza» e di «minimizzazione dei dati», secondo i quali i dati personali devono essere – rispettivamente – «trattati in modo lecito, corretto e trasparente nei confronti dell'interessato» nonché «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (par. 1, lett. a e c).

Inoltre, è vietata, in ogni caso, la diffusione di dati relativi alla salute dei soggetti interessati (art. 2-septies, comma 8, del Codice, cfr. anche art. 9, parr. 1, 2, 4, del RGPD), ossia di «dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute» (art. 4, par. 1, n. 15; considerando n. 35 del RGPD).

3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.

Dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX del XX ha accertato che A.S.P. Cosenza ha pubblicato in forma integrale sul proprio sito web istituzionale la Delibera del Commissario ad acta n. XX dell’XX diffondendo online i dati e le informazioni personali ivi contenuti

Inoltre, dalle ricerche esperite all’Ufficio del protocollo del Garante non è risultata alcuna comunicazione a questa Autorità – ai sensi dell’art. 37, par. 7, del RGPD – dei dati di contatto del Responsabile della Protezione dei Dati (RPD) da parte della predetta Azienda, la cui designazione, ai sensi del predetto articolo, è divenuta obbligatoria dal 25/5/2018.

Pertanto, tenuto conto che la descritta condotta non è risultata conforme alla disciplina rilevante in materia di protezione dei dati personali, con la medesima nota prot. n. XX, l’Ufficio ha notificato all’A.S.P. Cosenza le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando la predetta Azienda a far pervenire al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentita da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

Poiché non è stato ricevuto alcun riscontro alla citata nota prot. n. XX, e considerando la necessità di pervenire in ogni caso a una compiuta verifica di quanto con essa richiesto, con successiva nota prot. n. XX del XX è stato chiesto al Comando Provinciale della Guardia di finanza di Cosenza di notificare alla predetta A.S.P. un’ulteriore nota prot. n. XX del XX nella quale è stata evidenziata all’amministrazione sanitaria la mancata risposta al Garante e la necessità di prendere contatti con l’Ufficio.

4. Memorie difensive.

A seguito della citata richiesta dell’Ufficio (prot. n. XX), con la nota prot. n. XX dell’XX l’A.S.P. Cosenza ha inviato i propri scritti difensivi in relazione alle violazioni notificate.

In merito alle dichiarazioni rese, occorre preliminarmente ricordare come, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».

Ciò chiarito, con specifico riferimento alla mancata risposta a quanto richiesto nella nota dell’Ufficio prot. n. XX, l’azienda sanitaria ha rappresentato che «già con nota pec del XX si era provveduto ad istruire la presente, ma solo per una serie di disguidi la stessa non è stata inoltrata [al Garante]».

In ordine invece alle altre questioni, è stato evidenziato, fra l’altro, che:

- «la determina n. XX dell’XX è stata adottata, con atto e procedimento autonomi, dal Commissario ad Acta […] che, in virtù dei poteri conferiti dal Giudice dell’ottemperanza, si è sostituito a tutti gli effetti agli organi dell’Azienda, pertanto lo stesso, al pari di ogni altro Commissario ad Acta, dispone l’adozione e la pubblicazione dello stesso sull’Albo Pretorio on line di questa Azienda, come se fosse il Direttore Generale dell’Ente»;

- «Per ciò che riguarda la mancata comunicazione [al Garante] – ai sensi 37, par. 7, del RGPD – dei dati di contatto del Responsabile della Protezione dei Dati (RPD), divenuta obbligatoria dal 25/05/2018, si fa presente che […] con deliberazione n. XX dell’XX […] l’ASP Cosenza ha designato XX quale Responsabile della Protezione dei Dati Personali-Data Protection Officer (DPO) […]», la quale è stata collocata in pensione dall'XX;

- «L’ASP di Cosenza ha pertanto avviato nel frattempo le procedure per la individuazione del nuovo DPO in sostituzione della dott.ssa XX [e sono state attivate] procedure di affidamento diretto a Società specializzata giusta delibera Asp di Cosenza n. XX del XX»;

- è stato adottato apposito regolamento interno in materia di protezione die dati personali pubblicato sul sito dell’ASP Cosenza;

- «Si ritiene altresì che […] la Responsabilità della pubblicazione dei dati ricade sul dirigente del settore che ha generato l’atto, che nel caso risulta essere non dipendente di questa Azienda, ma del Dipartimento Tutela Salute della Regione Calabria»;

-  «Si conferma che è stata oscurata dall’Albo Pretorio dell’Asp di Cosenza la delibera n. XX dell’XX del Commissario ad Acta».

5. Esito dell’istruttoria relativa alla segnalazione presentata

La questione oggetto dello specifico caso sottoposto all’esame del Garante ha a oggetto due specifici profili.

Da un lato, l’avvenuta diffusione dei dati e informazioni personali – contenuti nella Delibera del Commissario ad acta n. XX dell’XX avente a oggetto «XX» pubblicata online – quali: nome e cognome, residenza, codice fiscale, importo da liquidare, codice iban dei soggetti aventi diritto al risarcimento dei danni subiti dall’Azienda sanitaria per un importo di circa XX Euro. Tali dati risultano riferibili anche alla salute e alle prestazioni sanitarie erogate (art. 4, par. 1, n. 15; cons. n. 35 del RGPD), considerando che la vicenda attiene al risarcimento di danni causati dall’Azienda sanitaria alla XX.

Dall’altro, la comunicazione a questa Autorità dei dati di contatto del predetto RPD non risulta mai avvenuta sin dalla data di applicazione del RGPD (25/5/2018).

Al riguardo, l’A.S.P. Cosenza, nelle memorie difensive, ha sostanzialmente confermato quanto contestato dall’Ufficio in relazione sia all’avvenuta diffusione online dei dati personali sopra descritti, rappresentando comunque di aver provveduto alla relativa rimozione dal sito web, sia di aver omesso la prevista comunicazione al Garante dei dati di contatto del nuovo RPD ai sensi dell’art. 37, par. 7, del RGPD, seppure ha rappresentato di aver adottato la delibera n. XX del XX per l’affidamento diretto del servizio di RPD a una Società esterna specializzata.

Con particolare riferimento a quest’ultimo punto, si rappresenta, tuttavia, che, nelle more della selezione del nuovo RPD esterno, avrebbe dovuto comunque essere temporaneamente individuato, all’interno dell’Ente, in ossequio al principio generale di continuità dell’azione amministrativa che è strettamente correlato a quello di buon andamento dell’azione stessa, un dirigente/funzionario da designare interinalmente in questo ruolo, effettuando la comunicazione prevista dall’art. 37, comma 7 del RGPD all’Autorità.

Per tutto quanto sopra rappresentato, le osservazioni dell’A.S.P., seppur meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con la nota prot. n. XX del XX, in quanto non risultano sufficienti a consentire l’archiviazione del presente procedimento ai sensi dell’art. 11 del Regolamento del Garante n. 1/2019.

In tale contesto, in relazione alla condotta tenuta, si ritiene di confermare le valutazioni preliminari dell’Ufficio, rilevando, di conseguenza, l’illiceità del trattamento di dati personali effettuato dall’A.S.P. Cosenza. Ciò in quanto la citata Azienda con la pubblicazione in forma integrale sul sito web istituzionale della Delibera del Commissario ad acta n. XX dell’XX ha causato una diffusione di dati personali ivi contenuti:

1. non «limitati a quanto necessario rispetto alle finalità» del trattamento, con riferimento alla indicazione dei nominativi, dell’indirizzo di residenza, del codice fiscale, dell’importo da liquidare a titolo di risarcimento del danno, del codice iban su cui accreditare le somme dei soggetti interessati, in violazione dei principi di base del trattamento contenuti nell’art. 5, par. 1, lett. c), del RGPD (minimizzazione dei dati);

2. relativi alla salute e alle prestazioni sanitarie erogate (art. 4, par. 1, n. 15; cons. n. 35 del RGPD), considerando che la vicenda attiene al risarcimento di danni causati dall’Azienda sanitaria alla XX, in violazione dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a) e c); 9, parr. 1, 2 e 4, del RGPD, nonché nell’art. 2-septies, comma 8, del Codice.

Inoltre, l’omessa comunicazione a questa Autorità dei dati di contatto del predetto Responsabile della Protezione dei Dati (RPD), che non risulta mai essere avvenuta da quando è divenuta obbligatoria dalla data di applicazione del RGPD (25/5/2018), comporta la violazione dell’art. 37, par. 7, del citato regolamento europeo.

6. Adozione di provvedimenti correttivi (art. 58, par. 2, lett. d, RGPD)

La rilevata condotta illecita tenuta dall’A.S.P. Cosenza non ha esaurito completamente i suoi effetti, in quanto, allo stato, anche se l’Azienda ha rimosso dal sito web la delibera n. XX del Commissario ad acta, per altro verso non risulta invece ancora essere stata effettuata la comunicazione a questa Autorità dei dati di contatto del Responsabile della Protezione dei Dati (RPD) da parte dell’Azienda, i quali allo stato non risultano nemmeno pubblicati in maniera completa sul sito web istituzionale come previsto dalla normativa europea dove risulta solo un numero di telefono di un “Ufficio gestione privacy” e l’indirizzo p.e.c. del protocollo.

Al riguardo, l’art. 58, par. 2, lett. d), del RGPD prevede che il Garante ha il potere correttivo di «ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine».

In tale quadro si ritiene necessario, in ragione della mancata attuazione degli adempimenti richiesti dal RGPD, ingiungere, ai sensi dell’art. 58, par. 2, lett. d), del RGPD, all’A.S.P. Cosenza di provvedere alla comunicazione a questa Autorità (seguendo in proposito l’apposita procedura disponibile sul sito del Garante all’indirizzo https://servizi.gpdp.it/comunicazionerpd/s/) dei dati di contatto del Responsabile della Protezione dei Dati designato dall’Azienda, nonché di disporre la corrispondente pubblicazione sul sito web istituzionale, ai sensi dell’art. 37, par. 7, del RGPD.

7. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (artt. 58, par. 2, lett. i; 83 RGPD)

L’Azienda Sanitaria Provinciale di Cosenza risulta aver violato gli artt. 5, par. 1, lett. a) e c); 9, parr. 1, 2 e 4; 37, par. 7, del RGPD, nonché l’art. 2-septies, comma 8, del Codice. Per la violazione delle predette disposizioni – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – è prevista l’applicazione delle sanzioni amministrative di cui all’art. 83, parr. 4 e 5, del RGPD.

Al riguardo, l’art. 83, par. 3, del RGPD, prevede che «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave».

Nel caso di specie, pertanto, la violazione delle disposizioni citate è soggetta alla sanzione amministrativa pecuniaria più grave prevista dall’art. 83, par. 5, del RGPD, che si applica pertanto al caso di specie.

Occorre altresì tenere conto che, seppure il documento oggetto del reclamo pubblicato online risale a XX, per la determinazione della norma applicabile, sotto il profilo temporale, deve essere richiamato in particolare il principio di legalità di cui all’art. 1, comma 2, della l. n. 689/1981 che sancisce come «Le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati». Ciò determina l’obbligo di prendere in considerazione le disposizioni vigenti al momento della commessa violazione, che nel caso in esame – data la natura permanente dell’illecito contestato – deve essere individuato all’atto di cessazione della condotta illecita, verificatasi successivamente alla data del 25/5/2018 in cui il RGPD è divenuto applicabile. Dagli atti dell’istruttoria è, infatti, emerso che l’illecita diffusione online si è protratta almeno fino al riscontro fornito dall’Azienda sanitaria con nota dell’XX (prot. n. XX).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso». In tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.

In tal senso, va tenuto in considerazione che la condotta tenuta in violazione della disciplina in materia di protezione dei dati personali ha avuto a oggetto – da un lato – la diffusione per più di tre anni di dati personali di due soggetti interessati (anche relativi alla salute) e – dall’altro – la mancata comunicazione a questa Autorità dei dati di contatto del Responsabile della Protezione dei Dati (RPD) dell’Azienda. Vanno in ogni caso considerate quali circostanze attenuanti, ai fini della determinazione della sanzione, l’attivazione dell’amministrazione per oscurare i dati personali diffusi online al fine di porre rimedio alla violazione, il cui carattere appare di natura colposa, e il fatto che non risultano eventuali precedenti violazioni del RGPD pertinenti commesse dall’A.S.P. Cosenza.

In ragione dei suddetti elementi, valutati nel loro complesso, tenuto conto anche del complesso quadro gestionale e finanziario dell’ente, attualmente sottoposto a una gestione commissariale, si ritiene di dover determinare ai sensi dell’art. 83, parr. 2 e 3, del RGPD l’ammontare della sanzione pecuniaria, prevista dall’art. 83, par. 5, del RGPD, nella misura di euro 30.000,00 (trentamila) per la violazione degli artt. 5, par. 1, lett. a) e c); 9, parr. 1, 2 e 4; 37, par. 7, del RGPD, nonché l’art. 2-septies, comma 8, del Codice, quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD.

In relazione alle specifiche circostanze del presente caso, si ritiene altresì – anche in considerazione della natura dei dati oggetto di illecita diffusione e della durata dell’illecito – che debba essere applicata la sanzione accessoria della pubblicazione sul sito web del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità del trattamento nei termini di cui in motivazione, effettuato dall’Azienda Sanitaria Provinciale di Cosenza (A.S.P. Cosenza) con sede legale in Viale Degli Alimena, 8 - 87100 Cosenza (CS) – C.F. 02853720783:

1. ai sensi dell’art. 58, par. 2, lett. d), del RGPD, ingiunge all’Azienda Sanitaria Provinciale di Cosenza di provvedere alla comunicazione a questa Autorità (seguendo in proposito l’apposita procedura disponibile sul sito del Garante all’indirizzo https://servizi.gpdp.it/comunicazionerpd/s/) dei dati di contatto del Responsabile della Protezione dei Dati designato, nonché di disporre la corrispondente pubblicazione sul sito web istituzionale, ai sensi dell’art. 37, par. 7, del RGPD

2.  ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD nonché dell’art. 166 del Codice, infligge all’Azienda Sanitaria Provinciale di Cosenza la sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. a) del succitato Regolamento ordinando e contestualmente ingiungendo al predetto trasgressore, di pagare la somma di euro 30.000,00 (trentamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981. Al riguardo, si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro 30 giorni dalla data della notifica del presente provvedimento, ai sensi dell’art. 166, comma 8, del Codice (cfr. anche art. 10, comma 3, del d. lgs n. 150 dell’1/9/2011);

3. ai sensi dell’art. 157 del Codice, richiede all’Azienda Sanitaria Provinciale di Cosenza di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto disposto al precedente punto n. 1 del presente provvedimento entro trenta giorni dalla notifica dello stesso;

4. ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019, dispone la pubblicazione del presente provvedimento sul sito web del Garante;

5. ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, dispone l’annotazione nel registro interno dell’Autorità delle violazioni e delle misure adottate, ai sensi dell’art. 58, par. 2, del RGPD, con il presente provvedimento.

Si ricorda, che l’inosservanza di quanto ordinato al precedente punto n. 1 è punita con la sanzione amministrativa di cui all’art. 83, par. 6, del RGPD. Si evidenzia, altresì, che il mancato riscontro alla richiesta, formulata ai sensi dell’art. 157, di cui al precedente punto 3 è punito con la sanzione amministrativa di cui all’art. 166, comma 2, del Codice.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 1° ottobre 2020

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL VICE SEGRETARIO GENERALE
Filippi