g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di società Poliambulatorio Radiologico “il Sorriso” S.r.l. - 10 novembre 2022 [9843603]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9843603]

Ordinanza ingiunzione nei confronti di società Poliambulatorio Radiologico “il Sorriso” S.r.l. - 10 novembre 2022

Registro dei provvedimenti
n. 372 del 10 novembre 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali”, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Il reclamo

In data XX è pervenuto all’Autorità un reclamo formulato nei confronti della società Poliambulatorio Radiologico “il Sorriso” S.r.l., sita a Noviglio/Binasco (MI) in Via Dante Alighieri 1 – P.IVA 10481700960 (di seguito “Società”), con il quale la reclamante ha lamentato che, una volta recatasi “nel centro medico per una visita all'ingresso (…) (le) è stato chiesto di “firmare per la privacy” su un tablet, con il solo spazio per la firma, senza che potesse essere visualizzato alcun testo” e che alle ripetute richieste di conoscere il testo dell’informativa riguardante il trattamento dei dati personali, le è stata fornita “come informativa (una) e-mail (…) stampata al momento (…)” denominata “Consenso al trattamento dei dati personali ai sensi dell'art. 7 del GDPR 2016/679”.

La reclamante ha, inoltre, fatto presente che “non si ravvisano gli estremi di contatto del DPO e anche sul sito la privacy policy non menziona neppure i dati sanitari”.

2. L’attività istruttoria

In relazione a quanto rappresentato nel reclamo, l’Ufficio, con note del XX (prot. n. XX) e del XX (prot. n. XX), ha richiesto, ai sensi dell’art. 157 del Codice, di fornire alcuni elementi utili alla valutazione dei profili rilevanti in materia di protezione dei dati personali e, in relazione a tale richiesta, la Società medesima, per il tramite del proprio legale, ha dichiarato, fra altro, che:

- “la Struttura (…), al proprio ingresso ed in buona evidenza per ogni postazione di accettazione, ha esposto il modello per il consenso al trattamento dei dati personali ai sensi dell’art. 7 GDPR 679/2016 (…). Tale circostanza è confermata dall’allegata documentazione fotografica dalla quale si evince agilmente come, proprio al di sotto dei tablet per la relativa sottoscrizione del modello medesimo, sono posizionati, in modo permanente e periodicamente aggiornati, due stampati del consenso al trattamento, uno per ogni postazione di accettazione (…)”;

- “Con riferimento alle informazioni che l’intestata Società fornisce agli interessati, ai sensi dell’art. 13 del Regolamento, si precisa che del contenuto del modello di consenso al trattamento dei dati personali è data adeguata informativa mediante affissione, ad ogni postazione di accettazione dell’utenza, mediante esposizione del modulo medesimo”;

- “Detto modulo, al quale l’utenza presta assenso al trattamento mediante sottoscrizione grafica raccolta su tablet, viene contestualmente tramesso a mezzo e-mail al soggetto aderente. Contestualmente, il personale addetto illustra la circostanza all’utente avvertendo che la firma grafica su tablet è necessaria per rendere assenso al trattamento dei dati personali. Pertanto, le modalità attraverso le quali si fornisce adeguata informativa all’utenza sono sia grafiche (…) che verbali”;

- “Ulteriormente falsa è la circostanza dichiarata dalla reclamante che … anche sul sito la privacy policy non menziona nemmeno i dati sanitari. Tale circostanza è agilmente smentita dalla mera produzione della privacy policy estratta dal link https://www.iubenda.com/privacy-policy/53698927 del sito https://www.centroradiologicoilsorriso.it/ (doc. 5) dal quale si evince agilmente l’esatta ed esaustiva informativa prevista dal Regolamento Europeo Privacy UE/2 016/679 (GDPR)”;

- “La firma grafometrica del documento è raccolta tramite tablet in ottemperanza al dettato del Codice Amministrazione Digitale (…) e la sicurezza nella memorizzazione dei documenti è garantita da un sistema di crittografia basato sull’algoritmo AES-256 e l’informativa medesima è inviata in copia via email al cliente (circostanza confermata dalla reclamante)”;

- “In alcun caso sono acquisiti anche dati biometrici che, ove trattati, lo sono in conformità all’art. 9 del Regolamento, paragrafo 3 e 2 lettera h) da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch’essa soggetta all’obbligo di segretezza conformemente al diritto del l’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti”;

- “il Poliambulatorio Radiologico Il Sorriso S.r.l., quale struttura privata e come, chiarito dal medesimo intestato Ente con i chiarimenti diffusi in data XX Registro dei provvedimenti n. XX del XX, non è soggetto sottoposto all’obbligo della nomina del DPO in quanto i trattamenti di dati che si compiono non avvengono su larga scala. Ciò nonostante e per la tipologia dei dati trattati, il Poliambulatorio Radiologico Il Sorriso S.r.l., dalla propria costituzione nel giugno XX, ha ritenuto necessario dotare la propria struttura della figura del Responsabile del Trattamento dei Dati come sopra individuato (…) Si precisa, che il Responsabile della protezione dei dati è il Poliambulatorio Radiologico il Sorriso S.r.l. (…) in persona dell’Amministratore Unico e l.r.p.t. Gardinazzi Alessandro (…)”. In allegato alla nota di riscontro, la Società ha prodotto, oltre ad alcune fotografie riguardanti il posizionamento del modello denominato “Consenso al trattamento dei dati personali ai sensi dell’art. 7 del GDPR 2016/679” presso gli sportelli del poliambulatorio, copia di quest’ultimo documento e copia di quello concernente la “privacy policy di www.centroradiologicoilsorriso.it.” .

Con riferimento a quanto emerso, tenuto conto che, dall’esame della documentazione esaminata, la descritta condotta non è risultata conforme alla disciplina rilevante in materia di protezione dei dati personali, l’Ufficio, con atto del XX (prot. n. XX), ha notificato alla Società, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitando quest’ultima a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, l. n. 689 del 24 novembre 1981)

In particolare, l’Ufficio, nel predetto atto, ha ritenuto che la Società:

- non abbia fornito agli interessati, nell’ambito del modello sopra citato reso disponibile agli stessi, alcuni degli elementi richiesti dall’art. 13 del Regolamento, in violazione degli artt. 5, lett. a) (principio di “liceità, correttezza e trasparenza” del trattamento dei dati personali) e 13 del Regolamento (“Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato”); 

- abbia effettuato il trattamento di dati biometrici rilevati attraverso l’apposizione, da parte degli interessati, della firma grafometrica su tablet in assenza di un presupposto legittimante; ciò, in violazione degli artt. 5, lett. a) e c) (principi di “liceità, correttezza e trasparenza” e di “minimizzazione dei dati”) e 9 del Regolamento (“Trattamento di categorie particolari di dati personali”); 

- non abbia provveduto a designare il Responsabile della protezione dei dati in osservanza alle disposizioni del Regolamento, né alla successiva pubblicazione sul proprio sito web, dei dati di contatto dello stesso e alla relativa comunicazione al Garante; ciò, in violazione dell’art. 37 del Regolamento.

A seguito del predetto atto di notifica di violazione, la Società, con nota del XX, ha fatto pervenire le memorie difensive, ai sensi dell’art. 166, comma 6, del Codice, dichiarando, tra le altre cose, che:

- “con riferimento alla contestata violazione dell’art. 13 del Regolamento per asserita assenza di talune informazioni da fornire agli interessati (…), in ottemperanza all’art. 13 del Regolamento, risultano correttamente fornite le informazioni di cui alla relativa norma risultando pacificamente indicato che il trattamento viene eseguito per un periodo di tempo “….non superiore a quello necessario agli scopi per i quali sono stati raccolti” determinando, in tal modo, il criterio utilizzato per la determinazione del periodo così come chiarito dal medesimo Garante nel caso non vi sia alcuna disposizione normativa che preveda dei termini di conservazione, nel qual caso il titolare del trattamento è tenuto ad individuare il periodo di conservazione dei dati relativi alla salute dai quali si possa ricavare l’identità dell’interessato per il tempo necessario (e non oltre) a raggiungere le finalità del trattamento”;

- “in ottemperanza al dettato normativo, risulta fornita corretta indicazione del soggetto nei confronti del quale esercitare i “diritti degli interessati” di cui agli artt. da 15 a 22 del Regolamento e le relative modalità  come non risulta necessario indicare i dati di contatto del Responsabile della Protezione dei dati (art. 13, lett. b) posto che, (…), l’istante rientra in quelle categorie per le quali, il medesimo Garante, ha chiarito che non sono obbligate alla nomina del DPO, in quanto i trattamenti di dati che essi compiono non avvengono su larga scala”;

- “con riferimento all’apposizione su tablet della “firma grafometrica”, si ritiene che l’istante non sia incorso in violazione dal momento che, per la tipologia di apparecchiatura utilizzata e modalità di raccolta, non è richiesta la relativa informativa agli interessati non essendovi rilievo alcuno di dati biometrici degli stessi (…). Con riferimento alla contestata violazione dell’art. 9 del Regolamento “Trattamento di dati biometrici in assenza di base giuridica” (…), l’istante utilizza software gestionale “MediStudio”, realizzato dalla Società Medinformatica S.r.l. (…) in conformità al Regolamento UE 2016/679, in materia di protezione dei dati personali (“GDPR”). Detto software, utilizza la firma semplice raccolta con il tablet WACOM STU-430 che viene decompilata in base64 e salvata direttamente nel database protetto da password. Pertanto, l’stante non ha cartelle con le firme salvate in formato leggibile non essendovi conservazione della firma apposta né utilizzabilità della stessa o dei dati biometrici derivanti”;

- “Del tutto evidente che, trattandosi di applicazioni che operano a livello locale, in modalità “client/server”, queste non consentono alla Società di accedere in alcun modo ai dati (personali e non) in essi memorizzati dal Cliente”.

Successivamente, in data XX, si è svolta l’audizione richiesta dalla Società, nell’ambito della quale è stato dichiarato che:

- “ad integrazione di quanto già in atti, si precisa che in totale buona fede la parte non aveva ritenuto necessaria la nomina del DPO; nonostante ciò, nel mese di XX ha provveduto ad affidare tale incarico alla sig.ra Cattaneo, in attesa di designare un soggetto esterno a partire dal mese di settembre p.v.. Tale soggetto esterno provvederà a effettuare un audit completo su tutti i profili relativi alla protezione dei dati personali”;

- “in considerazione della nomina recente della sig.ra Cattaneo in qualità di DPO, non è ancora avvenuta la comunicazione dei dati di contatto, della medesima, all'Autorità, con riserva, tuttavia, di provvedere, quanto prima, a tale adempimento”;

- “in ordine all'utilizzo della firma grafologica su tablet, come già precisato nella memoria difensiva inviata, si evidenzia che non vi ê alcuna raccolta di dati biometrici”;

- “preme, in ultimo evidenziare, che il Poliambulatorio ha aperto di recente (XX) e sino ad oggi ha ricevuto circa 55.000 utenti senza che sia mai stata sollevata alcuna contestazione” (cfr. verbale n. XX del XX).

Sulla base di quanto dichiarato, la Società ha chiesto l’archiviazione del presente procedimento e, in subordine, l’applicazione di una sanzione nella minore entità possibile.

3. Esito dell’attività istruttoria

Sulla base delle dichiarazioni rese all’Autorità nel corso del procedimento, nonché dell’esame della documentazione acquisita, risulta accertato quanto segue.

3.1 La correttezza e la trasparenza del trattamento: informazioni da fornire agli interessati

Nel rispetto del principio di “liceità, correttezza e trasparenza”, i titolari del trattamento,   devono adottare misure appropriate per fornire all’interessato, prima di iniziare il trattamento, tutte le informazioni richieste dal Regolamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (artt. 5, par. 1, lett. a), 12 e 13 del Regolamento; con specifico riferimento alle informazioni da fornire all’interessato, nell’ambito dell’attività posta in essere da titolari del trattamento operanti in ambito sanitario, cfr. altresì, il par. 2 del Provvedimento del 7 marzo 2019, n. 55, doc. web n. 9091942, recante “Chiarimenti sull'applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario”). Il predetto obbligo non sussiste soltanto se, e nella misura in cui, l’interessato già disponga delle informazioni (art. 13, par. 4).

Dall’esame della documentazione in atti risulta che le informazioni sul trattamento dei dati personali fornite agli interessati non riportano tutti gli elementi richiesti dal Regolamento per assicurare un trattamento corretto e trasparente.

In particolare, l’Autorità ha accertato che la Società ha omesso di fornire una serie di elementi previsti dal medesimo Regolamento, essenziali al raggiungimento dell’obiettivo di trasparenza sotteso all’adempimento, quali quelli relativi al diritto di proporre reclamo all’Autorità di controllo, all’indicazione del periodo di conservazione delle informazioni o ai criteri utilizzati per determinare tale periodo nonché dei dati di contatto del Responsabile della protezione dei dati (art. 13, par. 1, lett. b) e 2, lett. a), e d) del Regolamento).

Al riguardo, infatti, con riferimento alla indicazione del periodo di conservazione dei dati non può essere condiviso quanto dedotto dalla Società nella memoria difensiva, circa la circostanza  che la dicitura “il trattamento viene eseguito per un periodo di tempo “ ….non superiore a quello necessario agli scopi per i quali sono stati raccolti”” possa integrare la previsione contenuta nell’art. 13, par. 2, lett. a) del Regolamento (secondo il quale l’informazione sul  periodo di conservazione dei dati può essere fornita dal titolare anche attraverso l’indicazione dei criteri utilizzati per determinarlo (art. 13, par. 2, lett. a), del Regolamento).

Infatti, tale dicitura non aggiunge alcuna informazione rispetto alla esplicitazione del principio della limitazione della conservazione dei dati, enunciato nell’art. 5, par. 1, lett. e) del Regolamento, secondo il quale i dati devono essere “conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”.

Nello stesso senso, secondo quanto indicato nell’Allegato alle Linee guida sulla trasparenza ai sensi del Regolamento 2016/679 - elaborate dal Gruppo Art. 29 e adottate in data  29 novembre 2017 nonché, nella versione emendata, in data 11 aprile 2018 (WP260 rev.01) -  recante “Informazioni da fornire all’interessato ai sensi dell’articolo 13 o 14”, il periodo di conservazione (o i criteri per determinarlo) “dovrebbe essere indicato in maniera tale da consentire all’interessato di stabilire quale sarà, in base alla sua specifica situazione, il periodo previsto per i dati/fini specifici. Non è sufficiente che il titolare del trattamento affermi in maniera generica che i dati personali saranno conservati finché sarà necessario per le finalità legittime del trattamento. Ove pertinente, dovrebbero essere fissati periodi di conservazione diversi per le diverse categorie di dati personali e/o finalità del trattamento, inclusi, se del caso, i periodi di archiviazione”.

Quanto alle informazioni relative all’esercizio dei diritti di cui agli artt. da 15 a 22 del Regolamento, pur risultando assolto l’obbligo informativo minimo richiesto dall’art. 13, par. 2, lett. b), del medesimo Regolamento, si ritiene opportuno che ne sia specificato il contenuto, in modo più esaustivo, al fine di agevolare tale esercizio; ciò, in linea con l’art. 12, par. 2, del Regolamento secondo il quale “il titolare del trattamento agevola l’esercizio dei diritti dell’interessato” e in aderenza al Considerando n. 39 del Regolamento medesimo, circa l’opportuna esplicitazione delle modalità attraverso le quali esercitare tali diritti. Infatti, anche secondo quanto riportato sul punto nell’Allegato alle Linee guida sulla trasparenza poc’anzi citato, “le informazioni dovrebbero essere specifiche per l’ipotesi di trattamento e comprendere una sintesi della natura dei diritti, del modo in cui l’interessato può attivarsi per esercitarli e delle loro eventuali limitazioni (..). In particolare, il diritto di opporsi al trattamento dev’essere portato esplicitamente all’attenzione dell’interessato al più tardi al momento della prima comunicazione e dev’essere presentato in forma chiara e separata da qualsiasi altra informazione”. Analogamente, si ravvisa l’opportunità di ridenominare, in conformità dell’art. 13 del Regolamento, il documento recante “Consenso al trattamento dei dati personali ai sensi dell’art. 7 del GDPR 2016/679”, rivalutando, altresì, i casi nei quali è stato indicato il “consenso” quale base giuridica per il trattamento (in relazione a ciò, infatti, ad esempio, ai sensi del Regolamento, il consenso degli interessati non è richiesto per il trattamento dei dati sulla salute necessario per finalità di cura della salute (art. 9, par. 2 lett. h) e par. 3 del Regolamento e in tal senso, anche il provvedimento del Garante del 9 marzo 2019, doc. web 9091942, recante “Chiarimenti sull'applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario”).

Per quanto sopra illustrato, il trattamento dei dati personali dei pazienti posto in essere dalla Società non può ritenersi conforme al principio di liceità, trasparenza e correttezza, né all’obbligo in tema di informazioni agli interessati, essendo incomplete le informazioni rese agli stessi (art. 5, par. 1, lett. a) e 13 del Regolamento).

3.2 Gli obblighi in materia di designazione del Responsabile della protezione dei dati

La designazione del Responsabile della protezione dei dati costituisce una misura volta a facilitare l’osservanza della disciplina di protezione dei dati, che risulta obbligatoria al ricorrere delle specifiche condizioni di cui all’art. 37 del Regolamento.

Tale disposizione prevede che “Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta: (…) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 (…)” (art. 37, par. 1, lett. c) del Regolamento).

In esplicazione di tale norma, le Linee guida sui Responsabili della protezione dei dati - WP 243/2016, raccomandano di tenere conto di alcuni fattori al fine di stabilire se le attività principali del titolare del trattamento consistano in un trattamento effettuato su larga scala, quali il numero dei soggetti interessati, il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento, la persistenza dell’attività di trattamento, la portata geografica di tale attività (cfr. punto 2.1.3. delle citate Linee guida, aggiornate il 5 aprile 2017, rinvenibili in https://ec.europa.eu/newsroom/article29/items/612048).

I suddetti presupposti, come anche indicato dall’Autorità a mezzo di FAQ pubblicate sul proprio sito web (https://www.garanteprivacy.it/faq nelle sezioni “RPD” e, in essa, “RPD in ambito privato”, adottate in aggiunta a quelle allegate alle Linee guida WP 243/2016), ricorrono anche per le società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione.

Nel caso in questione, dalle notizie relative alla Società, rintracciabili nel sito web di quest’ultima (https://www.centroradiologicoilsorriso.it/storia/), risulta che la Società medesima offre un servizio territoriale orientato alla prevenzione e alla diagnosi in regime privato consistente in un’ampia gamma di servizi e prestazioni di prevenzione, diagnosi e terapia in numerosi settori  della medicina (allergologia, andrologia, angiologia, cardiologia, dermatologia, diabetologia, endocrinologia, fisiatria, gastroenterologia, geriatria, ginecologia e ostetricia,  naturopatia, neurochirurgia, neurologia, nutrizionistica, oculistica, osteopatia, ortopedia, ortottica, otorino, pediatria, pneumologia, reumatologia, senologia, urologia). In particolare, oltre alle citate visite specialistiche, offre servizi di “diagnostica per immagini, centro psicologico, medicina dello sport, medicina fisica e riabilitazione” nonché un “punto prelievi”; ciò, attraverso un gruppo di circa 70 professionisti tra medici specialisti, tecnici sanitari, infermieri, impiegati. Pertanto, alla luce di quanto rilevato, l’attività principale della Società medesima, anche in ragione dell’elevato volume di dati relativi alla salute trattati nell’ambito delle numerose e diversificate attività mediche svolte, comporta il trattamento, su larga scala, di categorie particolari di dati personali di cui all’art. 9 del Regolamento (cfr. anche il punto 3 del Provvedimento dell’Autorità n. 55 del 7 marzo 2019, doc. web n. 9091942, relativo ai chiarimenti forniti dal Garante sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario) e, per tali ragioni, la Società è da ritenersi tenuta all’osservanza degli obblighi previsti dal Regolamento in relazione alla figura del Responsabile della protezione dei dati.

Ciò premesso, preso atto delle dichiarazioni della Società in ordine all’avvenuta designazione del predetto Responsabile della protezione dei dati, si fa presente che, in relazione a quanto dichiarato dalla Società per cui “il Responsabile della protezione dei dati è il Poliambulatorio Radiologico il Sorriso S.r.l. (…) in persona dell’Amministratore Unico e l.r.p.t. (…)”, il Regolamento stabilisce che tale Responsabile “(…) può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi” (art. 37, par. 6, del Regolamento). Il titolare e il responsabile del trattamento si assicurano che il Responsabile della protezione dei dati “(…) non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti” e, qualora svolga altri compiti e funzioni all’interno della struttura organizzativa nella quale è chiamato a operare come Responsabile della protezione dei dati, si assicurano, altresì, che “tali compiti e funzioni non diano adito a un conflitto di interessi”. Infatti, i “responsabili della protezione dei dati, dipendenti o meno del titolare del trattamento, dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente” (Considerando 97 del Regolamento). “Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento e del responsabile del trattamento” (art. 38 del Regolamento. Cfr., in tal senso, anche https://www.garanteprivacy.it/faq nelle sezioni “RPD” e, in essa, “RPD in ambito privato”, adottate in aggiunta a quelle allegate alle Linee guida WP 243/2016 aggiornate il 5 aprile 2017, in https://ec.europa.eu/newsroom/article29/items/612048). Ciò evidenzia che il Regolamento richiede che il Responsabile della protezione dei dati occupi una posizione indipendente e distinta all’interno della struttura organizzativa nella quale opera, soprattutto rispetto a funzioni in special modo direttive, come anche prevede il punto 3.5 delle Linee guida WP 243/2016 aggiornate il 5 aprile 2017, in https://ec.europa.eu/newsroom/article29/items/612048/en, “” (“un RPD non può rivestire, all’interno dell’organizzazione del titolare del trattamento o del responsabile del trattamento, un ruolo che comporti la definizione delle finalità o modalità del trattamento dei dati personali. (…) Possono sussistere situazioni di conflitto di interessi all’interno dell’organizzazione del titolare del trattamento o del responsabile del trattamento riguardo a ruoli manageriali (amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT), ma anche rispetto a posizioni gerarchicamente inferiori se queste ultime comportano la determinazione di finalità o mezzi del trattamento”).

Alla luce di quanto sopra, risulta che la Società ha designato un Responsabile della protezione dei dati non in conformità alle disposizioni del Regolamento e, in ogni caso, non ha pubblicato sul proprio sito web i dati di contatto dello stesso, né li ha comunicati a questa Autorità, in violazione dell’art. 37, come risultante anche da una verifica effettuata dall’Ufficio nel sito web della Società “https://www.centroradiologicoilsorriso.it/“, nonché nel registro dei DPO dell’Ufficio medesimo. Tale inosservanza, contrariamente all’impegno dichiarato dal titolare del trattamento nel corso dell’audizione, risulta persistente al momento dell’adozione del presente provvedimento.

3.3. Trattamento di dati biometrici

In relazione all’ipotizzato trattamento di dati personali di tipo biometrico, acquisiti tramite sottoscrizione di documentazione mediante firma grafometrica, si prende atto delle dichiarazioni della Società, confermate anche nel corso dell’audizione del XX, secondo le quali con la sottoscrizione di documenti informatici non vengono rilevati dati biometrici basati sul rilevamento della dinamica di apposizione della firma autografa (firma grafometrica) degli interessati: si fa riferimento, in particolare, ai parametri dinamici associati all’atto della firma, quali ad esempio, la velocità di tracciamento, l’accelerazione, la pressione, l’inclinazione, i salti in volo.

4. Conclusioni

Alla luce di quanto sopra, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria, nonché da quanto emerso dalla documentazione acquisita e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”, gli elementi forniti dal titolare del trattamento non consentono di superare integralmente i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Pertanto, si confermano le pertinenti valutazioni preliminari dell’Ufficio e si accerta l’illiceità del trattamento di dati personali effettuato dalla Società, in violazione degli artt. 5, par. 1, lett. a), 13 e 37 del Regolamento, nei termini di cui in motivazione.

5. Misure correttive (art. 58, par. 2, lett. d) e f), del Regolamento).

L’art. 58, par. 2, lett. d), del Regolamento prevede che il Garante ha i poteri correttivi di “ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente Regolamento, de del caso, in una determinata maniera ed entro un determinato termine”.

In tale quadro, alla luce delle norme indicate, si ritiene necessario, in ragione della mancata attuazione degli adempimenti richiesti dal Regolamento, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, disporre che il Poliambulatorio Radiologico “il Sorriso” S.r.l., provveda:

- all’integrazione delle informazioni rese ai sensi dell’art. 13 del Regolamento con gli elementi mancanti relativi all’indicazione: dei dati di contatto del Responsabile della protezione dei dati, dei tempi di conservazione o dei criteri utilizzati per determinare tale periodo, del diritto di proporre reclamo all’Autorità di controllo (art. 13, par. 1, lett. b) e par. 2, lett. a) e d) del Regolamento);

- alla designazione del Responsabile della protezione dei dati con i caratteri di terzietà sopra indicati, nel rispetto di quanto previsto dagli artt. 37 e ss. del Regolamento, dando   comunicazione a questa Autorità dei dati di contatto del medesimo (seguendo in proposito l’apposita procedura disponibile sul sito del Garante all’indirizzo https://servizi.gpdp.it/comunicazionerpd/s/), nonché disponendo la pubblicazione di tali dati sul sito web istituzionale, ai sensi dell’art. 37, par. 7, del Regolamento, considerato che al momento dell’adozione  del presente provvedimento tale obbligo non risulta ancora assolto.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, 13 e 37 del Regolamento, determinata dal trattamento di dati personali effettuato dalla Società, oggetto del presente provvedimento, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 4, lett. a) e par. 5, lett. a) del Regolamento.

Si consideri che il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2, del Regolamento in relazione ai quali, in particolare, si rileva che:

- il trattamento dei dati effettuato dalla Società riguarda informazioni relative alla salute di un numero potenzialmente elevato di pazienti (art. 83, par. 2, lett. a) e g) del Regolamento);

- la violazione relativa agli obblighi stabiliti dal Regolamento in materia di designazione del Responsabile della protezione dei dati e volti a rendere tutte le informazioni ai sensi dell’art. 13 del Regolamento, risalgono almeno alla data di apertura della struttura che, da quanto dichiarato dal titolare del trattamento nel corso dell’audizione, è avvenuta nel mese di giugno dell’anno XX (art. 83, par. 2, lett. a) del Regolamento);

- la Società non ha dimostrato piena cooperazione con l’Autorità sia nel corso del procedimento istruttorio - per non aver fornito esaustivo riscontro alla iniziale richiesta di informazioni formulata dall’Autorità - sia a seguito dell’avvio del procedimento ai sensi dell’art. 166 del Codice, non avendo posto rimedio alle violazioni notificate (art. 83, par. 2, lett. c) e f) del Regolamento);

- non risultano precedenti violazioni commesse dal titolare del trattamento (art. 83, par. 2, lett. e) del Regolamento);

- la Società, che ha iniziato la sua attività nel mese di giugno 2020, non ha ricevuto, ad oggi, alcuna contestazione, salvo quella oggetto del presente procedimento (art. 83, par. 2, lett. k) del Regolamento).

In ragione dei suddetti elementi, considerati nel loro complesso e tenuto conto delle condizioni economiche della Società, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 4 e 5, lett. a) del Regolamento, nella misura di euro 15.000 (quindicimila) per la violazione degli artt. 5, 13 e 37 del Regolamento quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, in considerazione del volume e della natura dei dati trattati, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

rileva l’illiceità del trattamento di dati personali effettuato dalla società Poliambulatorio Radiologico “il Sorriso” S.r.l. per la violazione degli artt. 5, 13 e 37 del Regolamento nei termini di cui in motivazione;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, alla società Poliambulatorio Radiologico “il Sorriso” S.r.l., sito a Noviglio/Binasco (MI) in Via Dante Alighieri 1 – P.IVA 10481700960 di pagare la somma di euro 15.000,00 (quindicimila), a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla società Poliambulatorio Radiologico “il Sorriso” S.r.l.:

a) di pagare la somma di euro 15.000,00 (quindicimila), in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

b) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, di integrare le informazioni rese ai sensi dell’art. 13 del Regolamento con gli elementi mancanti relativi all’indicazione: del diritto di proporre reclamo all’Autorità di controllo, del periodo di conservazione delle informazioni o dei criteri utilizzati per determinare tale periodo, nonché dei dati di contatto del Responsabile della protezione dei dati (art. 13, par. 1, lett. b) e 2, lett. a) e d) del Regolamento);

c) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di designare il Responsabile della protezione dei dati con i caratteri di terzietà indicati in motivazione, nel rispetto di quanto previsto dagli artt. 37 e ss. del Regolamento, dando comunicazione a questa Autorità dei dati di contatto del medesimo (seguendo in proposito l’apposita procedura disponibile sul sito del Garante all’indirizzo https://servizi.gpdp.it/comunicazionerpd/s/), nonché disponendo la pubblicazione di tali dati sul proprio sito web , ai sensi dell’art. 37, par. 7, del Regolamento;

d) ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, di comunicare a questa Autorità, fornendo un riscontro adeguatamente documentato, entro trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione a quanto sopra ordinato ai sensi del citato art. 58, par. 2, lett. d) del Regolamento.

DISPONE

- ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante, ritenendo che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019;

- l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento medesimo ovvero entro sessanta giorni qualora il ricorrente risieda all’estero.

Roma, 10 novembre 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei