g-docweb-display Portlet

Ordinanza ingiunzione - 29 settembre 2021 [9720448]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9720448]

Ordinanza ingiunzione - 29 settembre 2021

Registro dei provvedimenti
n. 358 del 29 settembre 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il D.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTO il provvedimento n. 55 del 7 marzo 2019 recante i “Chiarimenti sull'applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario” e consultabile in www.gpdp.it, doc. web n. 9091942;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. La segnalazione e l’attività istruttoria.

In data 15 settembre 2020 l’Autorità ha ricevuto, dal sig. XX, una segnalazione avente ad oggetto una presunta violazione della disciplina in materia di protezione dei dati personali posta in essere dalla dott.ssa Manuela Mazzoli - C.F.  XX, domiciliata presso lo studio dell’Avv. XX, con studio in XX, XX (PEC: XX) – per aver comunicato informazioni personali del segnalante medesimo a soggetti terzi.

In particolare, il sig. XX ha lamentato che la dott.ssa Mazzoli, presso la quale si era recato in visita il 3 settembre 2020, ha comunicato alcuni suoi dati personali, comprensivi del numero di cellulare, alla sig.ra XX, consigliere nazionale marketing e consulente aziendale dei prodotti XX dei quali, la sopra citata dottoressa, aveva consigliato l’assunzione, al sig. XX.
 

Il segnalante ha specificato di essere stato raggiunto telefonicamente, in data 8 settembre 2020, dalla sopra menzionata consulente aziendale, la quale avrebbe dichiarato di essere stata contattata dalla dott.ssa Mazzoli “per sapere se (il sig. XX) l'avev(a) chiamata per fare l'ordine”.

Il segnalante ha, altresì, fatto presente di non aver “mai dato il consenso a divulgare i (…) (propri) dati personali e la (…) (propria) condizione clinica al di fuori del contesto ospedaliero”.

Con nota del 17 settembre 2020 (prot. n. 34470/20), l’Ufficio, al fine di valutare compiutamente la questione, ha richiesto alla dott.ssa Mazzoli di fornire, ai sensi dell’art. 157 del Codice, ogni elemento di informazione utile alla valutazione del caso.

In data 29 settembre 2020, la dott.ssa Manuela Mazzoli ha fornito riscontro, rappresentando, in particolare che “il sig. XX (…) il 3 settembre 2020, nel corso della visita aveva manifestato il desiderio di un prodotto naturale, per cui mi sono sentita di indirizzare il paziente verso questo prodotto antiossidante perché supportato da numerosi studi scientifici che allego. Questo prodotto si può ottenere online o tramite un consulente aziendale autorizzato. Il paziente mi ha detto che preferiva essere messo in contatto con un consulente, per cui ho chiesto al paziente se aveva piacere di essere contattato dal consulente ed il paziente ha dato consenso verbale, lo conferma che il paziente ha l'appunto con il nome e il telefono della consulente autorizzata (…).

È chiaro che nessun dato clinico del paziente sia stato in nessun momento fornito alla consulente o a terzi…”.

Alla luce di quanto dichiarato, l’Ufficio, con atto n. 41377 del 4 novembre 2020, ha notificato alla dott.ssa Mazzoli, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2 del Regolamento, invitando tale titolare del trattamento a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

In particolare l’Ufficio, nel predetto atto, ha rappresentato che, sulla base degli elementi in atti e delle relative valutazioni effettuate, considerato che la dott.ssa Mazzoli non ha dimostrato che l’interessato ha prestato il consenso al trattamento dei propri dati personali allo scopo di essere messo in contatto con il consulente aziendale dei prodotti XX, risulta accertato che la dott.ssa Manuela Mazzoli medesima ha comunicato i dati personali e sulla salute, relativi al sig. XX, alla sig.ra XX, consulente aziendale dei prodotti XX, in assenza dei presupposti giuridici a fondamento di tale comunicazione e, pertanto, in violazione dell’art. 9 del Regolamento, con conseguente violazione dei principi di base applicabili al trattamento e, in particolare, quelli di cui all’art. 5, lett. a), del Regolamento medesimo.

Con nota del 30 novembre 2020, la dottoressa Mazzoli, per il tramite del proprio legale, ha fatto pervenire la propria memoria difensiva, nella quale, in aggiunta a quanto dichiarato, è stato rappresentato che:

- “I rapporti tra la Dott.ssa Mazzoli ed il Sig. XX sono sempre stati improntati alla massima correttezza e trasparenza reciproca e (…) quanto occorso successivamente alla visita del 3.09.2020 è evidentemente frutto di un mero fraintendimento (…) in quanto la Dott.ssa Mazzoli ha agito in perfetta buona fede e nella convinzione che il Sig. XX condividesse quanto da lei fatto”; 

- “(…) la Dott.ssa Mazzoli ha in effetti fornito alla Sig.ra XX il nominativo ed il numero di telefono del Sig. XX, ma non anche — si noti bene — ulteriori informazioni attinenti allo stato di salute o alla condizione clinica di quest’ultimo. (…) La Dott.ssa Mazzoli, nel coinvolgere la Sig.ra XX, non solo non ha mai fatto riferimento alla patologia di cui il XX era affetto, ma neppure l’ha informata di quale particolare prodotto — tra i vari commercializzati dalla XX — questi avesse bisogno. Tali circostanze sono state confermate anche dalla stessa Sig.ra XX nella dichiarazione che qui si allega (v. all. 1). Né, del resto, dalla stessa segnalazione trasmessa dal Sig. XX (…) emergono indicazioni contrarie”;

- “(…) tutti «i dati personali attinenti alla salute fisica» dell’odierno segnalante, ivi compresa la «assistenza sanitaria» prestatagli ed il piano terapeutico prescrittogli, rappresentavano   informazioni note solo ed esclusivamente al XX ed al suo medico curante”;

- “In ogni caso, si osservi che il prodotto della XX consigliato dalla Dott.ssa Mazzoli (…) (è) un prodotto, per così dire, aspecifico, cioè privo di un’univoca indicazione terapeutica. Nella “scheda prodotto” delle capsule prescritte dalla Dott.ssa Mazzoli (…) vi è riportato solo l'elenco degli ingredienti, e non anche la c.d, categoria farmacoterapeutica” per cui la “(…) Sig.ra XX (…)  non avrebbe potuto ricavarne (neppure indirettamente) alcuna indicazione utile in ordine alla patologia o alle necessità cliniche del Sig. XX”;

- “Si ritiene quindi che la contestazione di aver diffuso a terzi «dati (...) sulla salute, relativi al sig. XX, (...) in assenza dei presupposti giuridici previsti dall’art. 9 del Regolamento» non sia in alcun modo fondata poiché non corrisponde al reale svolgimento dei rapporti intercorsi tra la Dott.ssa Mazzoli ed il Sig. XX, da una parte, e tra la Dott.ssa Mazzoli e la Sig.ra XX, dall’altra. Se di trattamento illecito (o, comunque, ingiustificato) si tratta, questo, al massimo, ha avuto ad oggetto «dati personali», ma non anche «dati sulla salute»; con tutto ciò che ne consegue in termini di esatta individuazione dei presupposti giuridici legittimanti il trattamento”;

- “(…) assolutamente incontestato che la Dott.ssa Mazzoli avesse inizialmente dato al Sig. XX i recapiti della Sig.ra XX, affinché fosse direttamente il XX stesso ad attivarsi (…) che dimostra come il coinvolgimento di terze persone non fosse certo nelle originarie intenzioni dell’odierna incolpata. Quel che (…) il Sig. XX dimentica di dire (…) è che la Dott.ssa Mazzoli si è risolta ad interessare la Sig.ra XX della vicenda solo dopo che il primo aveva escluso di essere in grado di procedere all’acquisto attraverso canali telematici. Chiedendo di provvedere a contattare la Consulente lei stessa. Conseguentemente, la Dott.ssa Mazzoli, in altre parole, ha fornito alla Sig.ra XX il nominativo e il numero di telefono del Sig. XX nella convinzione — all’epoca dei fatti del tutto giustificata e quindi oggi scusabile — che questi, una volta condiviso ed accettato il piano terapeutico propostogli avesse anche prestato il proprio consenso affinché l’odierna incolpata facesse tutto quanto a tal fine necessario. Al riguardo il comportamento del Sig. XX è stato del tutto in linea”;

- “Quanto sopra esposto consente di sviluppare un’ultima, decisiva riflessione in ordine alla contestazione mossa alla Dott.ssa Mazzoli, nella parte in cui le si rimprovera di non aver «dimostrato che l'interessato ha prestato il proprio consenso al trattamento dei propri dati personali per una finalità diversa da quella di cura, quale quella di essere messo in contatto con il consulente aziendale dei prodotti XX». (…) La Dott.ssa Mazzoli non ha mai perseguito una finalità diversa da quella di assistenza e di cura in senso proprio. Da questo punto di vista, si consideri anzitutto che la circostanza per la quale la Sig.ra XX, nella telefonata dell’8.09.2020, possa essersi presentata al Sig. XX come Consulente della XX, ovvero svolga anche attività di marketing per l'Azienda in eventi promozionali rivolti ad una platea indistinta di persone (v. link allegato dal Sig. XX alla propria segnalazione), non assume alcuna rilevanza o significato specifico. Nel caso di specie, infatti, è indubbio che l’intervento della predetta Sig.ra XX fosse (a) rivolto a soddisfare le specifiche esigenze del Sig. XX e (b) circoscritto alla mera fornitura dell’integratore alimentare prescritto dalla Dott.ssa Mazzoli nell’ambito (…) di un piano terapeutico conosciuto e condiviso dal XX stesso. È lo stesso segnalante, del resto, a riconoscere come la Sig.ra XX lo abbia contattato soltanto in relazione all’«ordine» delle «pastiglie che, a detta della dottoressa, avrebbero risolto il mio problema» e non per altri (e non meglio precisati) fini commerciali, al fine di promuovere la vendita di un qualsiasi altro prodotto della XX. Con ciò è dunque evidente che nelle intenzioni della Dott.ssa Mazzoli il coinvolgimento della Sig.ra XX rispondesse esclusivamente a finalità di cura e fosse funzionale ad assicurare la miglior assistenza sanitaria possibile al proprio paziente. Con la conseguenza che il trattamento dei dati personali del Sig. XX (nome e numero di telefono) qui in contestazione ben potrà essere ritenuto lecito proprio ai sensi dell’art. 9 del Regolamento, in quanto «necessario» al perseguimento di una specifica «finalità di cura»”.

Per le ragioni suddette, la parte ha richiesto l’archiviazione del procedimento in atto.

2. La normativa in materia di protezione dei dati personali

Preso atto di quanto rappresentato dalla dott.ssa Mazzoli, anche per il tramite del proprio legale, nella documentazione in atti e nelle memorie difensive, si osserva che:

1. Le informazioni oggetto di comunicazione a terzi riguardano dati personali comuni e dati relativi alla salute, laddove per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)” e per “dati relativi alla salute” “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, nn. 1 e 15 del Regolamento).

2. La disciplina in materia di protezione dei dati personali in ambito sanitario, prevede che le informazioni sullo stato di salute possono essere comunicate solo all’interessato e possono essere comunicate a terzi sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso, previa delega scritta di quest’ultimo (art. 9 Regolamento e art. 84 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101).

3. Per i trattamenti “necessari” al perseguimento di specifiche finalità di cura, effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale non è più necessario richiedere il consenso dell’interessato (art. 9, par. 2, lett. h) e par. 3 del Regolamento). Tali trattamenti, sono quelli ““essenziali” per il raggiungimento di una o più finalità determinate ed esplicitamente connesse alla cura della salute (cfr. considerando 53 del Regolamento) (…)”, come chiarito dal Garante nel provvedimento n. 55 del 7 marzo 2019 (consultabile sul sito istituzionale www.gpdp.it, doc. web n. 9091942). In tale provvedimento il Garante ha, altresì, espressamente evidenziato che “gli eventuali trattamenti attinenti, solo in senso lato, alla cura, ma non strettamente necessari, richiedono, quindi, anche se effettuati da professionisti della sanità, una distinta base giuridica da individuarsi, eventualmente, nel consenso dell’interessato o in un altro presupposto di liceità” e che, pertanto, i trattamenti effettuati da professionisti sanitari per finalità commerciali o promozionali richiedono il consenso esplicito dell’interessato (art. 9, par. 2, lett. a) del Regolamento). 

4. Per «consenso dell'interessato» si intende “(…) qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento (art. 4, n. 11, del Regolamento). “Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali” (art. 7 e considerando 42 del Regolamento). Tale consenso, nel caso di trattamento di particolari categorie di dati deve essere “esplicito” (art. 9 par. 2, lett. a) e considerando 51 del Regolamento).

5. Il titolare del trattamento è, in ogni caso, tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di «liceità, correttezza e trasparenza», secondo il quale i dati devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” (art. 5, par. 1, lett. a) del Regolamento).

4. Valutazioni del Garante ed esito dell’attività istruttoria

Alla luce di quanto sopra, tenuto conto delle dichiarazioni rese dalla dott.ssa Mazzoli, anche per il tramite del proprio legale, nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti dal titolare del trattamento nella memoria difensiva, per il tramite del proprio legale, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento ai sensi dell’art. 166 del Codice e, pertanto, di disporre l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Anzitutto, in relazione alle argomentazioni addotte dalla parte a sostegno della prospettata natura delle informazioni oggetto della vicenda, qualificate, nella memoria difensiva, unicamente quali dati personali comuni e non dati relativi alla salute e, pertanto, alla infondatezza della “contestazione (alla dott.ssa Manuela Mazzoli) di aver diffuso a terzi «dati (...) sulla salute, relativi al sig. XX, (...) in assenza dei presupposti giuridici previsti dall’art. 9 del Regolamento», si fa presente che, sebbene, come rappresentato nella nota difensiva, “la Dott.ssa Mazzoli, nel coinvolgere la Sig.ra XX, non (…) (abbia) mai fatto riferimento alla patologia di cui il XX era affetto, ma neppure l’ha informata di quale particolare prodotto — tra i vari commercializzati dalla XX — questi avesse bisogno (…)” e benché “il prodotto della XX consigliato dalla Dott.ssa Mazzoli (…) (è ) un prodotto (…), aspecifico, cioè privo di un’univoca indicazione terapeutica”, dagli atti risulta evidente che la sig. XX fosse a conoscenza del rapporto di cura intercorrente tra la dott.ssa Mazzoli e il segnalante.

Invero, nella nota del 25 novembre 2020 - allegata alla memoria difensiva - a firma della consulente aziendale e indirizzata al legale della dott.ssa Mazzoli, tale consulente faceva presente che la dott.ssa Mazzoli le riferiva di aver dato i propri “(…) riferimenti ad un suo paziente, il quale le aveva espresso la volontà di essere curato con prodotti naturali ed al quale aveva quindi indicato gli integratori della XX”. Le informazioni riguardanti il fatto che il sig. XX si era sottoposto a visita presso la dottoressa medesima e fosse, quindi, suo paziente - comunicate  alla consulente aziendale sopra menzionata da parte della dott.ssa Mazzoli - costituiscono  dati personali relativi alla salute ai sensi dell’art. 4, par. 1, n. 15, del Regolamento, sebbene non sia stata posta in essere, da parte della dott.ssa Mazzoli, alcuna comunicazione afferente alle motivazioni cliniche e/o alla patologia dell’odierno segnalante, determinanti la necessità della prestazione medica ricevuta.

In tal senso, l’Autorità, nel corso degli anni, è intervenuta sovente a chiarire che, ad esempio, può evincersi lo stato di salute del paziente attraverso la correlazione tra la sua identità e l'indicazione della struttura o del reparto (nel caso di strutture ospedaliere) presso il quale tale paziente si è recato o è stato ricoverato (cfr. Relazione annuale 2014, pag. 64). Pertanto, il fatto che il segnalante abbia ricevuto una prestazione medica dalla dottoressa Mazzoli, è atto idoneo a rivelare lo stato di salute del segnalante medesimo e, conseguentemente, un suo dato personale relativo alla salute nei termini indicati dall’art. 4, par. 1, n. 15, del Regolamento.

Non può accogliersi, poi, il riferimento all’invocata buona fede della dott.ssa Mazzoli sia in ordine al perseguimento, da parte della stessa, della “finalità di cura” anche nel porre in essere il trattamento oggetto di segnalazione sia in ordine al prospettato rilascio del consenso, da parte del sig. XX, al fine di essere contattato dalla consulente commerciale.

Quanto al primo aspetto, per il quale “la Dott.ssa Mazzoli non ha mai perseguito una finalità diversa da quella di assistenza e di cura in senso proprio (…)” e per cui “nelle intenzioni della Dott.ssa Mazzoli il coinvolgimento della Sig.ra XX risponde(va) esclusivamente a finalità di cura e (…) (era) funzionale ad assicurare la miglior assistenza sanitaria possibile al proprio paziente. Con la conseguenza il trattamento dei dati personali del Sig. XX (nome e numero di telefono) qui in contestazione ben potrà essere ritenuto lecito proprio ai sensi dell’art. 9 del Regolamento, in quanto «necessario» al perseguimento di una specifica «finalità di cura»”, si fa presente che la dott.ssa Mazzoli medesima era tenuta a sapere che i trattamenti di cui all’art. 9, par. 2, lett. h), necessari al perseguimento delle specifiche “finalità di cura” previste dalla norma, sono quelli – come sopra evidenziato - “essenziali” per il raggiungimento di una o più finalità determinate ed esplicitamente connesse alla cura della salute e che i trattamenti effettuati da professionisti sanitari per finalità commerciali richiedono il consenso esplicito dell’interessato (art. 9, par. 2, lett. a) del Regolamento e Provvedimento n. 55, del 7 marzo 2019, consultabile sul sito istituzionale www.gpdp.it, doc. web n. 9091942).

Infatti, secondo consolidata giurisprudenza (Cass. Civ. sez. I del 21 febbraio 1995 n. 1873; Cass. Civ. sez II del 13 marzo 2006, n. 5426, Cass. n. 13610/2007, Cass. n. 16320/2010, Cass. n. 19759/2015), per l’applicazione dell’art. 3 della legge n. 689/1981 è necessario che la buona fede o, nei termini di cui all’art. 3 della legge 689/1981, l’errore, affinché siano scusabili, si fondino su un elemento positivo, estraneo all’agente e idoneo a determinare in lui la convinzione della liceità del suo comportamento. Tale elemento positivo deve risultare non ovviabile dall’interessato con l’uso dell’ordinaria diligenza. La dott.ssa Mazzoli, in qualità di titolare del trattamento e in relazione all’esercizio della propria attività di medico era tenuta, diligentemente, a conoscere e a osservare le norme applicabili alla materia di cui si tratta in ordine al trattamento dei dati personali, nonché la relativa interpretazione.

Peraltro, il fatto che la dott.ssa Mazzoli, nel comunicare i dati del sig. XX alla consulente aziendale di prodotti naturali, avrebbe agito unicamente per “finalità di cura”, risulta in contraddizione con l’asserita buona fede della dott.ssa XX medesima di aver ricevuto il consenso verbale da parte del sig. XX, come dichiarato in atti per cui “la Dott.ssa Mazzoli (…) ha fornito alla Sig.ra XX il nominativo e il numero di telefono del Sig. XX nella convinzione (…) che questi, una volta condiviso ed accettato il piano terapeutico propostogli avesse anche prestato il proprio consenso affinché l’odierna incolpata facesse tutto quanto a tal fine necessario”.

Nelle dichiarazioni in atti, infatti, spesso si fa riferimento alla sussistenza di un “consenso verbale” rilasciato dal sig. XX: tale sussistenza rivela la consapevolezza, nella dott.ssa Mazzoli, della necessità di acquisire il consenso per la comunicazione a terzi di informazioni, anche riguardanti la salute, nei termini sopra chiariti, cioè qualora tale comunicazione non sia “essenziale” per il raggiungimento di una o più finalità determinate ed esplicitamente connesse alla cura della salute (cfr. riscontro fornito con nota del 29 settembre 2020 alla richiesta d informazioni di questa Autorità nel quale la dott.ssa Mazzoli fa presente che “(…) Il paziente mi ha detto che preferiva essere messo in contatto con un consulente, per cui ho chiesto al paziente se aveva piacere di essere contattato dal consulente ed il paziente ha dato consenso verbale (…)” e anche la memoria difensiva, nella quale si dichiara che “Il Sig. XX (…) chiedeva alla Dott.ssa Mazzoli che fosse proprio la Sig.ra XX a chiamarlo, e non viceversa, autorizzando così l’odierna incolpata a fornire i propri recapiti alla predetta Sig.ra XX”).

In ragione di quanto sopra, l’argomentazione per cui “la Dott.ssa Mazzoli ha agito in perfetta buona fede e nella convinzione che il Sig. XX condividesse quanto da lei fatto”, non solo esclude che la dott.ssa Mazzoli abbia effettuato il trattamento oggetto di segnalazione per “finalità di cura” - considerata la consapevolezza della necessità del rilascio del consenso per la comunicazione di informazioni a fini commerciali - ma non può, altresì - sotto il profilo della buona fede in ordine alla sussistenza e alla validità di tale consenso - accogliersi per le stesse motivazioni sopra illustrate, per le quali la dott.ssa Mazzoli, in ragione dell’attività esercitata, era tenuta, diligentemente, a conoscere e a osservare le norme applicabili sotto il profilo della protezione dei dati personali, nonché la relativa interpretazione.

Infatti, la dott.ssa Mazzoli, avrebbe dovuto sapere che il consenso, per essere valido, oltre a essere “libero”, “specifico”, “informato” e “inequivocabile” (art. 4, n. 11 del Regolamento), nell’ipotesi di trattamento di categorie particolari di dati, di cui all’art. 9 del Regolamento medesimo e nei termini sopra chiariti, deve essere anche “esplicito”. In ogni caso, per i trattamenti basati sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha acconsentito al trattamento medesimo (art. 7 e considerando 42 del Regolamento).

L’asserito - dalla dott.ssa Mazzoli - “consenso verbale” del sig. XX, invece, non solo non è stato dimostrato in alcun modo, ma la sussistenza dello stesso è persino contraddetta dal fatto che la dott.ssa Mazzoli medesima abbia dato al paziente, “l'appunto con il nome e il telefono della consulente (…)” (cfr. appunto allegato al reclamo e nota del 29 settembre 2020), circostanza, questa, che denota che l’iniziativa di mettersi in contatto con la dott.ssa Apollonio era stata rimessa al paziente, il quale era libero o meno, di contattare la medesima consulente. Tale contraddizione è, altresì, avvalorata dal fatto che il paziente è, proprio in ordine a ciò, l’odierno segnalante, il quale lamenta di non aver mai “dato il consenso a divulgare i (…) (propri) dati personali e la (…) (propria) condizione clinica al di fuori del contesto ospedaliero”.

5. Conclusioni

Per le ragioni sopra illustrate, si rileva l’illiceità del trattamento di dati personali effettuato dalla dott.ssa Mazzoli per aver comunicato i dati personali e sulla salute relativi al sig. XX, suo paziente, a un soggetto terzo allo scopo di proporre l’acquisto di prodotti naturali; ciò, in assenza dei presupposti giuridici previsti dall’art. 9 del Regolamento, considerato che tale titolare del trattamento non ha dimostrato che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali per una finalità commerciale, quale quella di essere messo in contatto con il consulente aziendale dei prodotti naturali sopra citati. Si confermano, pertanto, le valutazioni preliminari dell’Ufficio relative all’accertata violazione dell’art. 9 del Regolamento, con conseguente violazione dei principi di base applicabili al trattamento e, in particolare, quelli di cui all’art. 5, lett. a), del Regolamento medesimo.

In tale quadro, tenendo in considerazione, in ogni caso, che la condotta ha esaurito i suoi effetti sulla base delle dichiarazioni rese dalla consulente aziendale della società di integratori naturali al legale della dott.ssa Mazzoli in data 25 novembre 2020, non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par. 1, lett. a) e 9 del Regolamento, causata dalla condotta posta in essere dalla dott.ssa Mazzoli, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par.5, lett. a) del Regolamento.

Si consideri che il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 85, par. 2, del Regolamento in relazione ai quali si osserva che:

- la comunicazione effettuata dalla dottoressa, titolare del trattamento come persona fisica, ha coinvolto un solo destinatario e ha riguardato dati idonei a rilevare informazioni personali e sulla salute di un solo paziente (art. 83, par. 2, lett. a) e g) del Regolamento);

- la dottoressa Mazzoli ha mostrato un comportamento particolarmente collaborativo con l’Autorità nel corso della istruttoria e del presente procedimento (art. 83, par. 2, lett. f) del Regolamento);

- non sono pervenuti ulteriori segnalazioni o reclami rispetto alla condotta oggetto del presente procedimento (art. 83, par. 2, lett. h) del Regolamento);

- nei confronti della dottoressa medesima non sono state in precedenza adottati provvedimenti riguardanti violazioni pertinenti (art. 83, par. 2, lett. e) del Regolamento). 

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, nella misura di euro 2.000,00 (duemila) per la violazione degli artt. 5, par. 1, lett. a) e 9 del Regolamento quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dalla dott.ssa Mazzoli, nata a XX il XX, C.F. XX, domiciliata presso lo studio dell’Avv. XX, con studio in XX, XX (PEC: XX), per la violazione degli art. 5, par. 1, lett. a) e 9 del Regolamento nei termini di cui in motivazione;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, alla dott.ssa Manuela Mazzoli,  di pagare la somma di euro 2.000,00 (duemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento, secondo le modalità indicate in allegato, entro 30 giorni dalla notifica in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

al predetto medico, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 2.000,00 (duemila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 29 settembre 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei