g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Ordinanza ingiunzione o revoca
  4. Ordinanza ingiunzione - 27 gennaio 2021 [9547225]

Ordinanza ingiunzione - 27 gennaio 2021 [9547225]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9547225]

Ordinanza ingiunzione - 27 gennaio 2021

Registro dei provvedimenti
n. 26 del 27 gennaio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTA la legge n. 689/1981 e successive modificazioni e integrazioni;

VISTO l’art. 1, comma 2, della legge sopra citata, ai sensi del quale le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e per i tempi in esse considerati;

VISTA la segnalazione pervenuta in data 24 marzo 2017, corredata di specifica documentazione, secondo la quale il dott. Massimo Candela, nato il XX a XX, e residente in XX, C.F.: XX, avrebbe trasmesso  i registri di casistica operatoria, contenenti l’elenco degli interventi chirurgici effettuati presso l’U.O. di Ortopedia del Presidio Ospedaliero di Livorno e dello Stabilimento Ospedaliero di Paola - ove il citato medico aveva prestato servizio -  in allegato alla domanda di partecipazione all’avviso pubblico, adottato dall’Azienda Ospedaliera di Cosenza per l’affidamento dell’incarico di direzione di struttura complessa ortopedia e traumatologia (cfr. deliberazione del Commissario straordinario del 17 dicembre 2015, n. 373). In particolare, la predetta documentazione allegata conteneva, in un caso, dati personali direttamente identificativi (nome e cognome) dei pazienti, nonché informazioni sulla salute degli stessi (diagnosi, data e tipo di intervento effettuato); in un altro, dati personali direttamente identificativi dei pazienti (nome, cognome, età), degli anestesisti e degli infermieri strumentisti (cognome), nonché informazioni sulla salute dei pazienti stessi (diagnosi, data dell’intervento, tipo di anestesia somministrata e di intervento effettuato);

VISTE le richieste di informazioni del Dipartimento Sanità e Ricerca di questa Autorità, con le quali si invitavano le Aziende Usl Toscana Nord-Ovest e Sanitaria Provinciale di Cosenza (note prot. nn. 0009201 e 0009209 del 15 marzo 2019), nonché il dott. Candela (note prot. n. 30721 del 17 ottobre 2018 e n. 9571 del 19 marzo 2019) a fornire ogni elemento e informazione utile in relazione a quanto segnalato;

PRESO ATTO delle dichiarazioni del Responsabile della Protezione dei Dati (RPD) dell’Azienda Usl Toscana Nord-Ovest contenute nella nota del 4 aprile 2019, secondo le quali, agli atti del protocollo generale non sarebbero risultate, né in entrata né in uscita, richieste di accesso e di rilascio di documenti contenenti casistica operatoria da parte di “Candela” e che “sulla base degli ulteriori approfondimenti eseguiti su più versanti dell’attività aziendale sembrerebbe potersi escludere quindi che la produzione del registro di sala operatoria da parte del professionista, per finalità di partecipazione alla selezione, possa essere avvenuta con il consapevole concorso dell’azienda”;

PRESO ATTO, altresì, della missiva dell’11 aprile 2019 con la quale il RPD dell’Azienda Sanitaria Provinciale di Cosenza, inoltrando una comunicazione inviata dal dott. Candela allo stesso RPD, ha dichiarato che i registri di casistica operatoria prodotti per partecipare al concorso pubblico, indetto dalla Azienda Ospedaliera di Cosenza per l’affidamento dell’incarico di direzione di struttura complessa Ortopedia e traumatologia, sarebbero “registri personali e non aziendali” appartenenti, cioè, all’azienda sanitaria;

TENUTO CONTO delle dichiarazioni del dott. Candela, secondo le quali lo stesso si sarebbe limitato a produrre, “per la sola finalità di partecipazione (e relativa corretta e legittima valutazione) al concorso (..), i registri operatori degli interventi eseguiti dallo scrivente, vidimati (attestati, cioè, conformi all’originale) dai responsabili amministrativi delle relative strutture sanitarie” (nota del 13 giugno 2019);

VISTA la nota prot. n. 32357 del 24 settembre 2019 del Dipartimento Sanità e Ricerca, con la quale veniva definito il procedimento, le cui motivazioni devono intendersi qui integralmente richiamate, nella quale risulta accertato che

- il dott. Candela “ha prodotto, nell’ambito di una selezione ad avviso pubblico, documentazione contenente dati personali dei pazienti sottoposti a intervento chirurgico presso l’U.O. di Ortopedia e Traumatologia dello Stabilimento Ospedaliero di Paola e del Presidio Ospedaliero di Livorno. La predetta documentazione conteneva, altresì, informazioni relative al personale (anestetisti e infermieri strumentisti) partecipante agli interventi chirurgici eseguiti nelle strutture pubbliche presso le quali la S.V. aveva prestato servizio”;

- gli enti ospedalieri coinvolti nell’istruttoria “hanno dichiarato che la documentazione in questione non risulta essere stata formalmente richiesta [dal dott. Candela], eventualmente anche attraverso istanze di accesso formulate ai sensi della legge n. 241/1990 e del d.P.R. n. 184/2006”;

- “il fatto che le informazioni relative alla salute dei pazienti operati [dal dott. Candela] siano usciti dalla disponibilità (e quindi dal controllo) dei legittimi titolari del trattamento (Enti ospedalieri) per essere utilizzati [dal dott. Candela] per partecipare a una selezione e, quindi, siano stati trasmessi a una commissione amministrativa incaricata da un ente terzo (Azienda Ospedaliera di Cosenza) non trova nessun fondamento nella base giuridica che aveva originariamente legittimato il trattamento. Peraltro, la comunicazione dei citati dati sulla salute non era stata richiesta dall’avviso pubblico che, invece, tra la documentazione da allegare alla domanda, richiedeva di accludere una “Certificazione del Direttore sanitario ... riguardante la tipologia qualitativa e quantitativa delle prestazioni effettuate dal candidato”, quindi un documento privo di dati personali. Analogamente, nell’ambito dell’attribuzione dei punteggi, si faceva riferimento alla “tipologia qualitativa e quantitativa delle prestazioni effettuate dal candidato anche con riguardo all’attività/casistica trattata nei precedenti, misurabili in termini di volume e complessità”, con la conseguenza che “il trattamento effettuato [dal dott. Candela] è avvenuto in assenza di idonei presupposti legittimanti e, segnatamente, senza che sia stata previamente fornita l’informativa ai pazienti interessati e acquisito il loro specifico consenso (artt. 11, 13 e 26 del Codice, vigenti al momento in cui si sono svolti i fatti oggetto della segnalazione)”;

CONSIDERATO che i fatti oggetto della segnalazione si sono verificati nel febbraio del 2016, in data, quindi, anteriore a quella nella quale il Regolamento (UE) 2016/679 è diventato pienamente applicabile (25 maggio 2018) e che, pertanto, ai trattamenti di dati personali in esame si applica il Codice in materia di protezione dei dati personali, nella versione antecedente alla riformulazione del medesimo operata a mezzo del d.lgs. n. 101/2018;

VISTO l'atto di contestazione prot. n. 0039728/115879 adottato il 18 novembre 2019, con cui è stato contestata al dott. Massimo Candela, nato il XX a XX e residente in XX - XX XX; C.F.: XX, la violazione delle disposizioni di cui agli artt. 13 e 26 del Codice, sanzionati, rispettivamente, dagli artt. 161 e 162, comma 2-bis del medesimo Codice, per aver effettuato un trattamento di dati sulla salute in assenza di idonei presupposti legittimanti e, segnatamente, senza aver fornito l’informativa ai pazienti interessati e acquisito il loro specifico consenso; 

RILEVATO che dal rapporto amministrativo predisposto ai sensi dell’art. 17 della legge 24 novembre 1981 n. 689, non risulta essere stato effettuato il pagamento in misura ridotta di cui all’art. 16 della legge 689/81;

VISTA la memoria difensiva datata 10 marzo 2020, presentata ai sensi dell'art. 18 della legge 24 novembre 1981 n. 689, con cui il dott. Candela ha dichiarato che “sono stati indicati solo il nome, cognome e l’età di ogni degente operato. Sicché, non si tratta di dati sensibili, ai sensi di quanto disposto dall’art. 4, comma 1, lett. d) del d.lgs. n. 196/2003, vigente ratione temporis; né si tratta di dati che permettono l’identificazione univoca ed esatta degli interessati, poiché è indicata solo l’età in anni e non la data e il luogo di nascita di ognuno. Né tantomeno è indicato il codice fiscale; (…) “inoltre per la natura stessa della procedura comparativa … dovendosi esaminare e valutare casistiche operatorie ed altri dati sanitari, è naturale che la commissione si dovesse trovare di fronte ed esaminare dati di altre persone. Inoltre il registro operatorio vidimato è strumento necessario all’Organo esaminatore per porre in essere verifiche puntuali sulla veridicità delle dichiarazioni dei candidati al concorso, ovvero per le ipotesi -tutt’altro che remote- di dichiarazioni false o mendaci” evidenziando che “il bando della selezione … prescriveva un particolare grado di dettaglio delle informazioni da produrre, sì da contenere tutti gli elementi utili per la valutazione da parte della commissione di esperti”; nella medesima nota il dott. Candela ha, altresì, rappresentato di aver “agito nella più assoluta buona fede e convinzione di correttezza. Senza il minimo intento o consapevolezza di porre in essere trattamenti illegittimi di dati personali e con il solo fine di ottemperare alla lex specialis della procedura selettiva in questione e presentare una documentazione il più possibile esaustiva e dettagliata, così da dar modo alla Commissione di esaminare e valutare nel modo migliore”. In chiusura, il dott. Candela ha chiesto, in via principale “l’annullamento e/o revoca della contestazione in epigrafe o, in subordine, (…) una sensibile riduzione delle due sanzioni comminate”;

RITENUTO che le argomentazioni addotte dal dott. Candela non siano idonee ad accogliere le richieste formulate nella memoria difensiva. Infatti, con riferimento alla nozione di dato personale, si fa presente che, ai sensi dell’art. 4, comma 1, lett. b) del Codice, vigente al momento in cui si sono svolti i fatti oggetto della segnalazione, per “dato personale”, si intende qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale (cfr. ora anche art. 4, par. 1, punto 1 del Regolamento (UE) 2016/679 e Considerando nn. 26, 27 e 30); pertanto, la circostanza che non fossero indicati alcuni elementi, quali la data, il luogo di nascita e il codice fiscale dei pazienti, non rileva ai fini dell’asserita esclusione delle citate informazioni dal novero della categoria del “dato personale”; perdipiù, diversamente da quanto affermato, dall’esame degli atti, si rileva che le predette informazioni costituiscono dati sensibili, in quanto idonei a rivelare lo stato di salute (art. 4, comma 1, lett. d) del Codice, nella versione antecedente al d.lgs. n. 101/2018; ora appartenenti alla categoria particolare di dati personali, v. art. 4, par. 1, punto 15, e art. 9 del citato Regolamento), soggetti ad un regime di protezione più stringente evidenziato nell’art. 26 del Codice.

In relazione, poi, alla buona fede evidenziata dal medico, si fa presente che secondo consolidata giurisprudenza (Cass. Civ. sez. I del 21 febbraio 1995 n. 1873; Cass. Civ. sez II del 13 marzo 2006, n. 5426), per l’applicazione dell’art. 3 della legge n. 689/1981 è necessario che la buona fede o l’errore, affinché siano scusabili, si fondino su un elemento positivo, estraneo all’agente e idoneo a determinare in lui la convinzione della liceità del suo comportamento. Tale elemento positivo deve risultare non ovviabile dall’interessato con l’uso dell’ordinaria diligenza. In tal caso, il medico avrebbe dovuto diligentemente conoscere la normativa applicabile, concernente la produzione della documentazione richiesta ai fini della valutazione da parte della commissione esaminatrice, e, quindi, considerare con attenzione quali documenti fossero richiesti nella procedura di selezione, verificando, nel caso specifico, che l’avviso pubblico richiedeva, tra la documentazione da allegare alla domanda, di accludere una “Certificazione del Direttore sanitario ... riguardante la tipologia qualitativa e quantitativa delle prestazioni effettuate dal candidato”, quindi un documento privo di dati personali. Analogamente, nell’ambito dell’attribuzione dei punteggi, si faceva riferimento alla “tipologia qualitativa e quantitativa delle prestazioni effettuate dal candidato anche con riguardo all’attività/casistica trattata nei precedenti, misurabili in termini di volume e complessità”; ciò, peraltro, in linea con il d.m. 30 gennaio 1992, n. 283 che, disciplinando i criteri di valutazione della casistica operatoria da parte della commissione esaminatrice, non fa riferimento alla necessità di produrre un documento contenente dati personali, prevedendo che “ai fini della valutazione della casistica operatoria la commissione esaminatrice deve prestare particolare attenzione ai documenti esibiti dal candidato concernenti il riferimento al registro operatorio da cui risulti il tipo di intervento ed il grado di partecipazione del candidato stesso. Detta documentazione deve essere munita del «visto per conferma» del direttore sanitario” (art. 4, comma 5, del citato decreto); ove fosse stata effettuata una diligente disamina dell’avviso pubblico in questione, si sarebbe potuto desumere, pertanto, che non era richiesta la trasmissione di documentazione contenente dati personali sulla salute dei pazienti per poter partecipare alla procedura di selezione;

RILEVATO che, sulla base delle considerazioni sopra richiamate, il dott. Candela, di propria iniziativa e quindi in qualità di titolare del trattamento, risulta aver commesso le violazioni delle disposizioni di cui agli artt. 13 e 26 del Codice sanzionate, rispettivamente, dagli artt. 161 e 162, comma 2-bis, del Codice medesimo, per aver effettuato un trattamento di dati, in parte anche idonei a rivelare le condizioni di salute degli interessati, in assenza di idonei presupposti legittimanti e, segnatamente, senza aver fornito l’informativa ai pazienti interessati e acquisito il loro specifico consenso;

VISTO l’art. 161 del Codice che punisce la violazione dell’art. 13 del medesimo Codice con la sanzione amministrativa del pagamento di una somma da euro 6.000,00 (seimila) a euro 36.000,00 (trentaseimila);

VISTO l’art. 162, comma 2-bis del Codice, che punisce le violazioni indicate nell’art. 167, tra cui la violazione relativa all’art. 26, del medesimo Codice, con la sanzione amministrativa del pagamento di una somma da euro 10.000,00 (diecimila) a euro 120.000,00 (centoventimila);

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, in relazione alla gravità della violazione, il trattamento, pur avendo avuto ad oggetto anche dati sulla salute, è consistito nella comunicazione degli stessi alla sola commissione esaminatrice nominata dall’Azienda Ospedaliera di Cosenza che ha adottato l’avviso pubblico;

CONSIDERATO, altresì, che il medico ha prodotto i registri di casistica operatoria, contenenti dati personali, nell’erroneo convincimento che ciò fosse indispensabile per offrire “una documentazione il più possibile esaustiva e dettagliata, così da dar modo alla Commissione di esaminare e valutare nel modo migliore”;

RITENUTO che ricorrono le condizioni per applicare l’art. 164-bis, comma 1, del Codice che prevede che, se taluna delle violazioni di cui agli artt. 161, 162, 162-ter, 163 e 164, è di minore gravità, i limiti minimi e massimi sono applicabili in misura pari a due quinti;

RITENUTO, quindi, in ragione dei suddetti elementi valutati nel loro complesso di dover determinare, ai sensi dell’art. 11 della legge n. 689/1981, l’ammontare della sanzione pecuniaria prevista dall’art. 161 del Codice, nella misura minima di euro 6.000,00 (seimila) per la violazione dell’art. 13 del medesimo Codice, ridotta dei due quinti, secondo quanto previsto dall’art. 164-bis, comma 1, del Codice per la ricorrenza del requisito della minore gravità, per un importo pari a euro 2.400,00 (duemila quattrocento), nonché l’ammontare della sanzione pecuniaria prevista dall’art. 162, comma 2-bis del Codice, nella misura minima di euro 10.000,00 (diecimila) per la violazione dell’art. 26 del medesimo Codice, ridotta dei due quinti, secondo quanto previsto dall’art. 164-bis, comma 1, del Codice per la ricorrenza del requisito della minore gravità, per un importo pari a euro 4.000,00 (quattromila), per la somma complessiva pari a euro 6.400,00 (seimila e quattrocento); 

VISTA la documentazione in atti;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE l’avv. Guido Scorza;

ORDINA

Al dott. Massimo Candela, residente in XX - XX; C.F.: XX di pagare la somma di euro 6.000,00 (seimila), prevista dall’art. 161 del Codice, ridotta dei due quinti, secondo quanto previsto dall’art. 164-bis, comma 1, del Codice medesimo, per un importo pari a euro 2.400,00 (duemila quattrocento), a titolo di sanzione amministrativa pecuniaria per la violazione della disposizione di cui all'art. 13 Codice per aver omesso di fornire l’informativa agli interessati, nonché la somma di euro 10.000,00 (diecimila) prevista dall’art. 162, comma 2-bis del Codice, ridotta dei due quinti, secondo quanto previsto dall’art. 164-bis, comma 1, del Codice medesimo, per un importo pari a euro 4.000,00 (quattromila), a titolo di sanzione amministrativa pecuniaria per la violazione della disposizione di cui all'articolo 26 del Codice per aver omesso di acquisire il consenso degli interessati, per un importo complessivo pari a euro 6.400,00 (seimila e quattrocento);

INGIUNGE

al medesimo dott. Candela di pagare euro 4.000,00 (quattromila) ed euro 2.400 (duemila quattrocento), per la somma complessiva pari a euro 6.400,00 (seimila e quattrocento), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 27 gennaio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
9547225
Data
27/01/21

Argomenti

Sanità e ricerca scientifica Dati sanitari Aziende sanitarie Operatori sanitari Pazienti

Tipologie

Ordinanza ingiunzione o revoca

Vedi anche (9)