g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Società triveneta di chirurgia - 15 aprile 2021 [9587089]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

VEDI ANCHE Newsletter del 19 maggio 2021

[doc. web n. 9587089]

Ordinanza ingiunzione nei confronti di Società triveneta di chirurgia - 15 aprile 2021

Registro dei provvedimenti
n. 145 del 15 aprile 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. La violazione dei dati personali e l’attività istruttoria

L’Azienda unità locale socio sanitaria n. 9 Scaligera (di seguito Azienda) ha inviato all’Autorità una comunicazione di violazione di dati personali, ai sensi dell’art. 33 del Regolamento, circa la diffusione dei dati sulla salute di un paziente, mediante la proiezione, da parte della dott.ssa XX (in servizio presso l’Azienda), in un congresso medico di alcune diapositive relative a un caso clinico, dalla stessa affrontato, e la successiva pubblicazione delle stesse sul sito della Società Triveneta di chirurgia (di seguito Società). In tale occasione, il suddetto caso clinico è stato premiato dalla predetta Società come “Migliore caso clinico 2017”.

Secondo quanto comunicato, a seguito dell’azione legale intrapresa dal predetto paziente, l’Azienda si è fatta parte attiva affinché fossero eliminate le suddette diapositive dal sito della Società, intervenendo, anche, sulla “possibilità di risalire alle immagini attraverso motore di ricerca”.

Dalla documentazione in atti emerge che, nelle predette diapositive, erano riportate: le iniziali del paziente, l’età, il sesso, l’anamnesi dettagliata della patologia sofferta dallo stesso, dettagli sui ricoveri effettuati dal 1980 al 2016 e sugli interventi chirurgici subiti in tale periodo, con l’indicazione delle date di ricovero e di intervento (in molti casi è riportato il giorno, il mese e l’anno degli stessi), l’unità di chirurgia che ha effettuato gli interventi, i giorni di degenza, numerose immagini diagnostiche (14), nonché 22 fotografie che ritraevano l’interessato durante gli interventi chirurgici.

Secondo quanto ritenuto dal legale rappresentante del paziente nella diffida in atti, le predette informazioni “non garantiscono l’impossibilità di individuare nella persona (del suo assistito) (…) il soggetto che ha subito l’intervento”.

A corredo della diffida del legale del suddetto paziente, sono state prodotte le stampe dei risultati effettuati sul motore di ricerca “Google” a seguito dell’interrogazione dello stesso con l’indicazione della peculiare tipologia di intervento effettuato e della diagnosi (laparostomia ileale; leiomiosarcoma paravescicale), dalle quali è stato possibile risalire agli indirizzi web in cui sono state pubblicate le predette diapositive.

Nell’ambito dell’istruttoria avviata dall’Ufficio in merito alla predetta comunicazione di violazione sono state acquisite informazioni dalla predetta Azienda, dalla dott.ssa XX e dalla citata Società.

In particolare, l’Ufficio ha richiesto informazioni alla Società Triveneta di chirurgia (nota del 22.11.2019, prot. n. 831733) che ha fornito riscontro con nota del 19 dicembre 2019, in cui ha rappresentato, in particolar modo, che:

“ai Relatori (o Candidati, in caso di concorso) veniva quindi richiesta dalla nostra Associazione la sottoscrizione di un modulo in cui veniva espressa la conferma che l’elaborato scientifico era stato da loro stessi presentato al Convegno e ne autorizzava la pubblicazione nella piattaforma web dell’Associazione”;

“con il rilascio dell’autorizzazione da parte del Relatore si presuppone che egli si sia attenuto al Codice Deontologico (che è tenuto a conoscere) ed al rispetto di eventuali policies e/o regolamenti imposti dalle stesse strutture in materia di trattamento dei dati personali ed anche in ordine all’utilizzo dei propri loghi e/o della pubblicazione di contributi ai fini della ricerca e/o divulgazione scientifica”;

“nel caso denunciato, il modulo di autorizzazione risulta compilato e sottoscritto dalla sola Dr.ssa XX che lo ha presentato personalmente in occasione dell’evento scientifico denominato “Casi clinici: tu cosa faresti?” del 03.02.2017”;

“i Convegni di formazione continua in medicina (ECM) organizzati dalla nostra Associazione vengono patrocinati delle varie strutture sanitarie con delibere ad hoc” e che “le strutture sanitarie danno peraltro il loro patrocinio agli eventi congressuali in cui vengono illustrate le diapositive”

In relazione alle risultanze della predetta attività istruttoria, l’Ufficio, con atto n. 22811 del 22 giugno 2020, ha notificato alla Società Triveneta di chirurgia, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, paragrafo 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

In particolare, l’Ufficio, nel predetto atto ha rappresentato che:

- il modello di iscrizione al predetto Premio (in atti) non riporta alcuna autorizzazione della dott.ssa XX alla pubblicazione delle predette diapositive sul sito web della Società triveneta di chirurgia;

- la Società ha diffuso informazioni sullo stato di salute di un soggetto, attraverso la pubblicazione sul proprio sito web delle predette diapositive della dott.ssa XX. Le informazioni presenti nelle predette diapositive, in particolar modo, le inziali del paziente, l’età, i dettagli dei ricoveri e dell’anamnesi, nonché le numerose immagini fotografiche hanno reso identificabile il paziente, che, secondo quanto indicato dal relativo legale nella documentazione in atti, non ha prestato il proprio consenso informato in merito a tale diffusione di dati personali;

- la pubblicazione, sul sito della Società Triveneta di chirurgia, delle predette diapositive ha assunto il connotato della diffusione di dati sulla salute, espressamente vietata dall’art. 2-septies, comma 8 del Codice.

Nel richiamato atto del 22 giugno 2020, l’Ufficio ha, quindi, ritenuto che la Società avesse effettuato un trattamento di dati personali del soggetto a cui sono riferite le predette diapositive in violazione:

- degli obblighi del titolare, in ordine al rispetto dei principi di base del trattamento di cui agli artt. 5, par. 1, lett. a) e c), 6 e 9 del Regolamento;

- del divieto di diffusione di dati sulla salute, previsto dall’art. 2-septies, comma 8, del Regolamento.

Con nota del 21 luglio 2020, la Società ha chiesto di essere sentita dall’Autorità e ha fatto pervenire le proprie memorie difensive, in cui, in particolare, è stato rappresentato che:

“All'epoca è stato fatto sottoscrivere alla Dr.ssa XX un modulo di autorizzazione in cui ella dichiarava di concedere "indipendentemente dall'esito del concorso, a Associazione Triveneta Chirurgica l'uso in esclusiva di tale mio elaborato fino a/ 31.12.2017". Con tale formula, si intendeva evidentemente riferirsi all'utilizzo dell'opera in tutti i suoi diritti primari contemplati dalla normativa sul diritto d'autore, tra i quali senz'altro la pubblicazione sul nostro sito istituzionale, come da prassi consolidata nell'ambiente. Diversamente, la specifica clausola di esclusività per un tempo determinato non avrebbe avuto ragione di essere apposta”;

“Nel caso di specie, essendo un Premio non inserito in un contesto congressuale, non vi è stato patrocinio da parte di alcun ente, incluse le AUSLL, in quanto nemmeno richiesto dalla nostra Associazione”;

“ln merito alla durata, la presentazione è stata pubblicata nel febbraio 2017 (successivamente al 03.02.2017, data di presentazione del caso clinico; non siamo in grado di fornire con esattezza il giorno di pubblicazione) fino al 11.10.2019”;

“non si ritiene che la condotta posta in essere possa configurare ipotesi dolose, né colpose, dato che era stato fatto affidamento in completa buona fede sul rispetto da parte dei medici relatori, unici soggetti legittimati a fornire le presentazioni per le iniziative dell'Associazione, dell'art. 11 del Codice di Deontologia Medica. La pubblicazione è avvenuta solo ed esclusivamente per fini di condivisione e riconoscimento scientifici e senza finalità di lucro da parte dell'Associazione”;

“Associazione Triveneta di Chirurgia in data 11.10.2019 è stata informata telefonicamente da parte del Responsabile per la Protezione dei Dati della AUSLL9 Dott. Franco Margonari della diffida rivolta alla stessa AUSLL9 dal legale del paziente interessato, nella quale si significava, tra le altre cose, anche la violazione del suo diritto alla riservatezza tramite la pubblicazione della presentazione della Dr.ssa XX sul nostro sito. Ancora nella stessa giornata (11.10.2019) la nostra Associazione ha precauzionalmente provveduto a togliere dal proprio sito istituzionale l'elaborato oggetto della doglianza. È stato quindi dato incarico ad un consulente informatico di verificare ed eventualmente intervenire affinché non vi fosse più traccia di indicizzazione dei contenuti rimossi”;

“La Associazione ha adottato un documento di Politica di sicurezza e procedura per la protezione dei dati personali e un Regolamento per la presentazione e pubblicazione degli elaborati da parte dei Relatori agli eventi organizzati dalla nostra Associazione, nonché ha previsto un esplicito impegno scritto da parte dei Relatori stessi a fornire esclusivamente elaborati predisposti nel rispetto dell'art. 11 del Codice di Deontologia Medica, delle disposizioni del GDPR, del Codice Privacy e dei contenuti dei provvedimenti del Garante”;

“Stando al contenuto della contestazione, l'Autorità ha preso conoscenza della violazione tramite notifica di violazione da parte dell'Azienda AUSSL9 (..). Provvedevamo in conseguenza ad inserire a Registro delle violazioni annotazione in punto, non appena ricevuta notizia della stessa, non ritenendo tuttavia che fosse necessario procedere ad ulteriore notifica all'Autorità Garante, avendovi già provveduto la AUSLL9”;

in futuro la “pubblicazione sarà in ogni caso subordinata alla realizzazione di un'area riservata sul sito istituzionale in cui sarà raccolto il materiale pubblicato, limitandone l'accesso ai Soci di Associazione Triveneta di Chirurgia, ai Relatori e gli addetti alle professioni sanitarie, curando altresì che le pagine dell’area riservata del sito non vengano indicizzate dai motori di ricerca, in modo che - neppure inserendo il nome del medico, della struttura o della patologia (che ovviamente non potranno essere rimossi dalle presentazioni) - si possa risalire a contenuti minimi della pagina stessa”;

“La nostra Associazione è costituita con lo scopo di favorire lo studio, l'aggiornamento, gli scambi culturali, la ricerca, il progresso e l'immagine della Chirurgia nelle sue varie branche, valorizzando e promuovendo l'attività scientifica dei nostri soci mediante l'organizzazione dello studio, della ricerca, della reciproca informazione ed acquisizione comune di dati e di sperimentazioni in ambito chirurgico e — di fatto — è basata sull'attività di volontariato dei propri associati e del Consiglio Direttivo”.

In relazione alla richiesta della Società, in data 24 novembre 2020, presso l’Ufficio del Garante, ai sensi degli artt. 166, commi 6 e 7, del Codice 18, comma 1, dalla legge n. 689 del 24/11/1981 si è svolta l’audizione con modalità telematiche nel corso della quale la Società ha ribadito quanto già rappresentato, precisando in particolar modo che:

- “nel periodo intercorrente tra il 1° luglio 2019 e l’11 novembre 2019, tenuto conto che la data di rimozione della predetta documentazione è stata l’11 ottobre 2019 (dall’analisi dei file di log) può desumersi che i soggetti che possono aver avuto accesso ai predetti documenti sono un numero esiguo e che i predetti documenti sono stati rimossi dal sito della Società contestualmente alla notizia della vicenda in esame da parte dell’Azienda Scaligera. In via cautelativa, nei giorni successivi sono stati rimossi anche i documenti relativi alle presentazioni di altri casi clinici che erano disponibili sul predetto sito”;

- “l’assoluta buona fede e diligenza nella gestione della vicenda oggetto di esame, (è) dimostra(ta) l’attività prontamente prestata di richiesta di deindicizzazione su Google dei predetti documenti”;

- “a seguito della vicenda sono stati modificati i modelli utilizzati per la partecipazione dei professionisti agli incontri scientifici promossi dalla Società e sono state implementate le azioni di analisi della documentazione presentata dai suddetti professionisti, al fine di verificare che non vi siano elementi che rendano identificabile il paziente e che gli stessi professionisti abbiano avuto tutte le autorizzazioni richieste dalla disciplina di settore sia dall’interessato che dalla struttura sanitaria ove operano”;

- ha intenzione “di uniformarsi alle indicazioni che verranno rese in materia anche a seguito dell’adozione del codice di condotta per l’uso dei dati a fini didattici e di pubblicazioni scientifiche, attualmente in fase di analisi da parte dell’Autorità”;

- “l’opera del Presidente della Società e dei loro consiglieri è svolta a titolo gratuito, con l’unico scopo di offrire occasioni di condivisione del sapere scientifico nella comunità medica e quindi di migliorare l’offerta di cura ai pazienti. La riprova dell’assenza dello scopo di lucro della Società è data anche dall’esiguità della quota sociale richiesta agli iscritti (10 euro per gli specializzandi e 25 euro per gli altri professionisti)”.

2. Esito dell’attività istruttoria.

L’attività istruttoria effettuata dall’Ufficio ha riguardato la diffusione sul sito della Società Triveneta di chirurgia delle diapositive presentate dalla dott.ssa XX in occasione della presentazione del proprio elaborato al Premio “Migliore caso clinico 2017”, patrocinato dalla predetta Società.

Ai sensi del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, il “Regolamento”), i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («integrità e riservatezza»)” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»)” (art. 5, par. 1, lett. a) e c) del Regolamento).

La disciplina in materia di protezione dei dati personali prevede –in ambito sanitario- che le informazioni sullo stato di salute possano essere comunicate solo all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso previa delega scritta di quest’ultimo (art. 9 Regolamento e art. 83 d.lgs. n. 196 del 30 giugno 2003 (Codice in materia di protezione dei dati personali – di seguito, il “Codice”) in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101; cfr. anche provv. generale del 9 novembre 2005, consultabile in www.gpdt.it, doc. web n. 1191411, ritenuto compatibile con il suddetto Regolamento e con le disposizioni del decreto n. 101/2018; cfr. art. 22, comma 4, del citato d.lgs. n. 101/2018).

La normativa vigente, inoltra, vieta espressamente la diffusione dati idonei a rivelare lo stato di salute degli interessati (art. 2-septies, comma 8 e art. 166, comma 2, del Codice).

Con specifico riferimento alla pubblicazione di casi clinici, il Codice di deontologia medica approvato dalla Federazione nazionale degli ordini dei medici chirurghi e degli odontoiatri nel 2014 (così come modificato nel 2016 e nel 2017) prevede che “il medico assicur(a)(i) la non identificabilità dei soggetti coinvolti nelle pubblicazioni o divulgazioni scientifiche di dati e studi clinici” (art. 11 - Riservatezza dei dati personali).

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

In particolare, si rileva che la Società triveneta di chirurgia ha diffuso informazioni sullo stato di salute di un soggetto, attraverso la pubblicazione sul proprio sito web delle predette diapositive della dott.ssa XX. Le informazioni presenti nelle predette diapositive, in particolar modo, le inziali del paziente, l’età, i dettagli dei ricoveri e dell’anamnesi, nonché le numerose immagini fotografiche hanno reso identificabile il paziente, che, secondo quanto indicato dal relativo legale nella documentazione in atti, non ha prestato il proprio consenso informato in merito a tale diffusione di dati personali.
Al riguardo, si evidenzia che il modello di iscrizione al predetto Premio (in atti) non riporta alcuna autorizzazione della dott.ssa XX alla pubblicazione delle predette diapositive sul sito web della Società triveneta di chirurgia.

La pubblicazione sul sito della Società Triveneta di chirurgia delle predette diapositive ha assunto il connotato della diffusione di dati sulla salute, espressamente vietata dall’art. 2-septies, comma 8 del Codice e, quindi, ha determinato una violazione dei principi di base del trattamento di cui all’art. 5 par. 1, lett. a) e c) e - in assenza di un idoneo presupposto normativo, in violazione degli artt. 2-septies del Codice e 6 e 9 del Regolamento. La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, lett. a) del Regolamento.

Ciò stante, considerato che le predette diapositive sono state rimosse dal sito della Società triveneta di chirurgia, che i predetti documenti sono stati deindicizzati e che sono stati rimossi anche i documenti relativi alle presentazioni di altri casi clinici che erano disponibili sul predetto sito non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par. 1, lett. a) e c), 6 e 9 del Regolamento e art. 2-septies, comma 8, del Codice, causata dalla condotta posta in essere dalla Società triveneta di chirurgia è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par.5, lett. a) del Regolamento anche ai sensi dell’art. 166, comma 2 del Codice.

Nel caso di specie – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, che si applica pertanto al caso di specie.

Si consideri che il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 85, par. 2, del Regolamento in relazione ai quali si osserva che:

- la diffusione dei dati ha riguardato informazioni sulla salute di un paziente (art. 83, par. 2, lett. a) e g) del Regolamento);

- dall’analisi dei file di log effettuata dalla Società può desumersi che i soggetti che possono aver avuto accesso alle predette diapositive è esiguo (art. 83, par. 2, lett. a) del Regolamento);

- la diffusione dei dati sulla salute dell’interessato è avvenuta nell’ambito di una occasione di condivisione del sapere scientifico nella comunità medica in quanto la Società è costituita con lo scopo di favorire lo studio, l'aggiornamento, gli scambi culturali, la ricerca, il progresso e l'immagine della Chirurgia nelle sue varie branche, valorizzando e promuovendo l'attività scientifica dei nostri soci mediante l'organizzazione dello studio, della ricerca, della reciproca informazione ed acquisizione comune di dati e di sperimentazioni in ambito (art. 83, par. 2, lett. k) del Regolamento);

- la Società si è prontamente attivata per rimuovere le predette diapositive dal sito web e per richiedere la deindicizzazione dei predetti documenti (art. 83, par. 2, lett. c) del Regolamento);

- a seguito della vicenda sono stati modificati i modelli utilizzati per la partecipazione dei professionisti agli incontri scientifici promossi dalla Società e sono state implementate le azioni di analisi della documentazione presentata dai suddetti professionisti, al fine di verificare che non vi siano elementi che rendano identificabile il paziente e che gli stessi professionisti abbiano avuto tutte le autorizzazioni richieste dalla disciplina di settore sia dall’interessato che dalla struttura sanitaria ove operano (art. 83, par. 2, lett. c) del Regolamento);

- la Società ha dichiarato di volersi uniformare alle indicazioni che verranno rese in materia anche a seguito dell’adozione del codice di condotta per l’uso dei dati a fini didattici e di pubblicazioni scientifiche, che è stato recentemente approvato dall’Autorità (provvedimento del 14 gennaio 2021) (art. 83, par. 2, lett. j) e f) del Regolamento);

- l’Autorità ha preso conoscenza dell’evento a seguito della notifica di violazione dei dati personali effettuate dalla citata Azienda e che la predetta Società non ha ritenuto che fosse necessario procedere ad ulteriore notifica all'Autorità, avendovi già provveduto l’Azienda (art. 83, par. 2, lett. h) del Regolamento);

- l’opera del Presidente della Società e dei loro consiglieri è svolta a titolo gratuito e il coinvolgimento della Società medesima nella vicenda è stato minimale (art. 83, par. 2, lett. k) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, nella misura di euro 2.000,00 (duemila) per la violazione degli artt. 5, par. 1, lett. a) e c), 6 e 9 del Regolamento e dell’art. 2-septies, comma 8, del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della potenziale numerosità dei soggetti interessati e della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dalla Società triveneta di chirurgia, per la violazione degli artt. 5, par. 1, lett. a) e c), 6 e 9 del Regolamento e dell’art. 2-septies, comma 8, del Codice, nei termini di cui in motivazione.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, alla Società triveneta di chirurgia, con sede legale c/o Clinica Chirurgica, Policlinico, via N. Giustiniani 2, 35128 Padova, P.I. 04988660280, C.F. 92033430288, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 2.000,00 (duemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento, secondo le modalità indicate in allegato, entro 30 giorni dalla notifica in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla predetta Società, di pagare la somma di euro 2.000,00(duemila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981. Al riguardo, si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro 30 giorni dalla data della notifica del presente provvedimento, ai sensi dell’art. 166, comma 8, del Codice (cfr. anche art. 10, comma 3, del d. lgs n. 150 dell’1/9/2011);

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 15 aprile 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei