g-docweb-display Portlet

Provvedimento del 17 settembre 2020 [9479382]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9479382]

Provvedimento del 17 settembre 2020

Registro dei provvedimenti
n. 159 del 17 settembre 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vice presidente, il dott. Agostino Ghiglia, l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il d.lgs. 10 agosto 2018, n. 101, recante Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati);

VISTO il d.m. 15 luglio 1997 e ss.mm. recante “Recepimento delle linee guida dell'Unione europea di buona pratica clinica per la esecuzione delle sperimentazioni cliniche dei medicinali”;

VISTE le Linee guida per i trattamenti di dati personali nell’ambito delle sperimentazioni cliniche di medicinali, adottate dal Garante con il provvedimento del 24 luglio 2008, doc. web n. 1533155;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal vice segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. La violazione di dati personali

Con nota dell’11 ottobre 2019, la società Bracco Imaging S.P.A (di seguito anche solo Società o Bracco), in qualità di promotrice per i centri europei dello studio clinico PH‐108 “The safety and efficacy of Prohance at the dose of 0.10 mmol/Kg in magnetic resonance imaging of the central nervous system in pediatric patients who are younger than two years of age” (Studio) e di titolare del trattamento, ai sensi degli articoli 4, n. 7 e 24 del Regolamento, ha notificato, ai sensi dell’art. 33 del Regolamento, una violazione di dati personali (data breach) dichiarando che: “l’evento è occorso nell’ambito dello studio clinico PH‐108 “The safety and efficacy of Prohance at the dose of 0.10 mmol/Kg in magnetic resonance imaging of the central nervous system in pediatric patients who are younger than two years of age”, promosso da Bracco Imaging S.p.A. per i centri europei e da Bracco Diagnostics Inc. per i centri americani. Centro coinvolto nell’evento: Ospedale Pediatrico Bambino Gesù – Roma. (...) La clinical monitor (personale della CRO -Contract research organization-) ha ritirato le CRF (Case Report Form) di 10 pazienti ma non ha ritirato i report degli esami di laboratorio e degli esami di Risonanza Magnetica come invece previsto dalla CRF e dal “Monitoring Plan”. La clinical monitor ha quindi richiesto i report ad una collaboratrice dello Sperimentatore del Centro la quale ha inviato via e‐mail alla clinical monitor la scansione dei report dei 10 pazienti in data 07.09.2019. La clinical monitor ha inoltrato le scansioni ricevute alla study manager di Bracco Imaging S.p.A., che a sua volta le ha inoltrate alla study manager di Bracco Diagnostics Inc. (BDI) in data 09.09.2019. I report ricevuti presentano nome e cognome dei pazienti mascherati con un pennarello nero ma ancora visibili se esaminati con attenzione, nonostante il protocollo preveda che il Centro prima dell’invio allo sponsor debba de‐identificarli e identificarli tramite il solo codice identificativo assegnato al paziente all’inclusione nello studio. La study manager di BDI, durante la verifica dei dati contenuti nei report rispetto ai dati presenti nelle CRF, si è accorta che la de‐identificazione non era stata eseguita in modo adeguato e pertanto ha avviato la segnalazione al Data Protection Officer di Bracco Imaging S.p.A. in data 4 ottobre 2019 alle ore 22:50 (ora italiana). Sulla scorta dei dati a disposizione la Società ha valutato, allo stato, l’incidente a basso rischio per i diritti e le libertà fondamentali degli interessati, per le seguenti circostanze: (i) l’incidente ha riguardato un numero limitato (10) di soggetti; (ii) l’incidente ha comportato l’accesso a dati personali non pseudonimizzati da parte di un numero molto ristretto di soggetti, obbligati alla confidenzialità, interni alle organizzazioni che secondo il protocollo di studio sono destinatarie delle informazioni cliniche”.

2. L’attività istruttoria

Con riferimento alla predetta violazione, verificatasi nel contesto dello studio clinico osservazionale retrospettivo PH‐108 “The safety and efficacy of Prohance at the dose of 0.10 mmol/Kg in magnetic resonance imaging of the central nervous system in pediatric patients who are younger than two years of age”, nell’ambito dell’istruttoria preliminare avviata dall’Ufficio del Garante, la Società, promotrice dello studio, ha rappresentato, ai sensi dell’art 168 del Codice, in primo luogo, che il ruolo di CRO è stato conferito alla società Navitas Sciences GmbH, con sede a Francoforte in Germania, all’uopo designata responsabile del trattamento, ai sensi dell’art. 28 del Regolamento.

È stato, poi, precisato che la violazione è consistita in un mascheramento manuale “tramite pennarello” da parte del centro di sperimentazione dei dati identificativi degli interessati, definito dalla società stessa “non idoneo”.

La Società ha evidenziato, infatti, che il “protocollo di studio prevede la pseudonimizzazione dei dati dei pazienti attraverso l’attribuzione di un codice numerico unico e il mascheramento dei dati identificativi, nonché la conservazione della lista degli identificativi presso i centri di sperimentazione, protetta da idonee misure tese a garantirne la confidenzialità”.

È stato rappresentato, inoltre, come il promotore e il centro di sperimentazione (Ospedale pediatrico Bambino Gesù di Roma- OPBG) avessero concordato che “la Code list contenente l’associazione dei codici dei pazienti rimanesse nell’esclusiva disponibilità di OPBG, senza possibilità per la Bracco Imaging (o la CRO) di associare i codici numerici agli interessati identificati. Tale indicazione è contenuta anche nell’apposita procedura per la gestione delle comunicazioni accidentali ai dati identificativi negli studi clinici sponsorizzati da Bracco”.

La Società, dopo avere precisato che la comunicazione dati alla controllata statunitense, stabilita a Monroe Township, NJ, USA, di Bracco Imaging Spa avviene sulla base delle “clausole contrattuali tipo” di protezione dei dati, adottate dalla Commissione Europea con decisione 2010/87, ha evidenziato le possibili conseguenze della violazione.

Nello specifico, ad avviso della Società, “l’unica conseguenza della violazione è stata la perdita di confidenzialità di dati che dovevano essere mascherati in base alle disposizioni del protocollo di studio e delle applicabili procedure operative standard (“SOP”). L’accesso a tali dati ha tuttavia interessato personale interno alla scrivente società, alla CRO e alla BDI, soggetto a obblighi di riservatezza e confidenzialità previsti da contratto e procedura applicabili allo studio in questione”.

La Società ha poi qualificato come basso il livello di gravità della violazione, in base alle “recommendations for methodology of the assessment of severity of personal data breach” adottate dalla European agency for cybersecurity, ENISA (20 dicembre 2013) e ha quindi ritenuto di non dover comunicare l’accaduto agli interessati.

La Società, infine, ha dichiarato di avere tempestivamente informato l’OPBG in ordine all’inaccurata de-identificazione degli interessati  e che “previa individuazione dei soggetti potenzialmente destinatari delle informazioni non correttamente pseudonimizzate, ha richiesto a questi ultimi di attestare, tramite apposito modulo corredato delle istruzioni della funzione Information Technology, l’avvenuta cancellazione definitiva di tutte le copie elettroniche cartacee dei documenti recanti le informazioni non correttamente mascherate”.

La Società ha, altresì, “inviato una lettera alla CRO al fine di informala dell’avvenuta violazione di dati personali e della decisione di rimuovere dai sistemi della società e di BDI le comunicazioni interessate”.

Come misura preventiva di ulteriori simili incidenti è stato rappresentato che la Società ha “disposto un aggiornamento dei materiali formativi utilizzati per istruire i centri di ricerca prima dell’inizio degli studi clinici, al fine di includere maggiori dettagli ed esemplificazioni di come trattare le informazioni nel rispetto del GDPR e dell’applicabile disciplina in materia di protezione dei dati personali” (nota del 14 gennaio 2020).

Sulla base degli elementi acquisiti, attraverso la notificazione della violazione di dati personali nonché nell’ambito dell’istruttoria preliminare, l’Ufficio con nota del 9 giugno 2020 (prot. n. 20892), ha notificato, ai sensi dell’art. 166, comma 5, del Codice, alla Bracco, in qualità di titolare del trattamento, l’avvio del procedimento per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento, invitando la società medesima a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. n. 689 del 24 novembre 1981).

In particolare l’Ufficio, nel predetto atto, che qui deve intendersi integralmente riprodotto, ha rilevato la sussistenza di elementi idonei a configurare da parte della Bracco Imaging S.P.A. le violazioni di cui agli artt. 5, par. 1, lett. c) e f), 32, par. 1, lett. a) e degli articoli 9, par. 2 lett. j), e 89 del Regolamento.

Nel produrre i propri scritti difensivi, la Bracco ha ritenuto di potersi considerare estranea alla violazione occorsa, imputandola alle condotte dell’OPBG e della società Navitas Sciences GmbH (CRO) che avrebbe condiviso le informazioni relative ai pazienti arruolati nello studio non correttamente speudonomizzati, “in violazione dei propri obblighi a garantire la sicurezza delle informazioni sanciti dal contratto dal data processing agreement”.

Sintetizza la Bracco che “la violazione contestata alla scrivente società sarebbe quella di avere raccolto i dati dalla CRO e averli successivamente inoltrati alla Study Manager di Bracco Diagnostic INC in assenza di pseudonimizzazione”. Rispetto all’accaduto la Bracco ritiene che “la natura della violazione sarebbe dunque qualificabile come omesso controllo sul corretto adempimento di un dovere (di psueudonimizzazione) altrui” ritenendo, quindi, che non possa imputarsi alla Società alcuna forma di “responsabilità oggettiva” e “senza colpa” né di “culpa in eligendo”, “culpa in vigilando” o “culpa in procedendo”.

Soffermandosi ulteriormente sull’”elemento psicologico” della violazione, la Società evidenzia la propria buona fede e il pieno rispetto della disciplina applicabile in materia di protezione dei dati personali sottolineando, inoltre, l’assenza di nesso eziologico tra i propri comportamenti e il data breach, ritenendo che sia stato causato piuttosto dalla condotta del centro di sperimentazione e della CRO.

La Società sottolinea, comunque, l’esiguo numero di soggetti interessati coinvolti nella violazione e il ristretto ambito di circolazione dei dati rimasti nel contesto dei soggetti istituzionalmente coinvolti nello studio.

La Società ha, quindi, descritto le misure poste in essere per attenuare gli effetti della violazione per gli interessati evidenziando di avere individuato “i soggetti potenzialmente destinatari delle informazioni non correttamente pseudonimizzate e richiesto a questi ultimi di attestare, tramite apposito modulo, l’avvenuta cancellazione definitiva di tutte le copie (...) dei documenti recanti le informazioni non correttamente mascherate in loro possesso”. La Società ha evidenziato, inoltre, che “ad oggi non vi è più alcuna copia dei dati personali oggetto di “data breach”, in possesso di CRO e di BDI (fatta salva una copia necessaria alla società a documentare gli eventi)”.

La Società ha poi rappresentato di avere “intrapreso alcune azioni volte a valutare le possibili aree di miglioramento delle procedure descritte e/o dei sistemi di sicurezza”.

La Società ha, infine, richiesto all’Autorità di non applicare alcuna sanzione amministrativa pecuniaria, ai sensi dell’art. 83 del Regolamento e, in ogni caso, “di non procedere all’applicazione della sanzione amministrativa accessoria della pubblicazione dell’ordinanza ingiunzione, per intero o per estratto, sul sito internet” dell’Autorità in quanto lesiva dell’immagine della Società stessa e sproporzionata rispetto all’evento.

3. Esito dell’attività istruttoria

In base al Regolamento, i dati personali devono essere trattati in modo lecito, corretto e trasparente, devono essere adeguati, pertinenti, limitati rispetto a quanto necessario per le finalità per le quali sono trattati e devono essere adottate misure tecniche e organizzative adeguate a garantire l’integrità e la riservatezza degli stessi e a prevenire trattamenti non autorizzati o illeciti (art. 5, par. 1 lett. a), c) e f) del Regolamento).

Il titolare, competente al rispetto dei principi applicabili al trattamento, è tenuto altresì a mettere in atto “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”, tenendo conto, tra l’altro, “della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (art. 32 del Regolamento).

L’articolo 89 del Regolamento dispone, infine, che “il trattamento a fini di (...) di ricerca scientifica è soggetto a garanzie adeguate per i diritti e le libertà dell'interessato, in conformità del presente regolamento. Tali garanzie assicurano che siano state predisposte misure tecniche e organizzative, in particolare al fine di garantire il rispetto del principio della minimizzazione dei dati. Tali misure possono includere la pseudonimizzazione, purché le finalità in questione possano essere conseguite in tal modo. Qualora possano essere conseguite attraverso il trattamento ulteriore che non consenta o non consenta più di identificare l'interessato, tali finalità devono essere conseguite in tal modo”.

L’art. 28 stabilisce che “qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato” (par. 1). (...) “I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento:

a) tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale, salvo che lo richieda il diritto dell'Unione o nazionale cui è soggetto il responsabile del trattamento “(...) (par. 3, lett. a).

L’art. 29 stabilisce che “il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri”.

In base all’art. 2-decies del Codice, “I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati, salvo quanto previsto dall'articolo 160-bis”.

Alla luce della ricostruzione che precede e premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”, all’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, si rileva che:

l’OPBG e la Bracco (centro di sperimentazione e promotore dello Studio) hanno notificato all’Autorità, quasi contestualmente, le violazioni sopra richiamate, evidenziando, entrambi che, presso l’OPBG di Roma, un’operatrice sanitaria aveva comunicato alla CRO, via e-mail, gli esami di laboratorio e gli esami di risonanza magnetica, riferiti ai pazienti arruolati nello studio in esame, con l’indicazione del nome e cognome degli interessati, mascherati manualmente con un pennarello nero e che la CRO aveva a sua volta inoltrato le scansioni ricevute alla study manager di Bracco Imaging S.p.A., che le aveva inoltrate anche alla study manager di Bracco Diagnostics Inc, stabilita a Monroe Township, NJ, USA;

gli eventi descritti e notificati al Garante riguardano, invero, due violazioni distinte derivanti dalle condotte dei due titolari del trattamento coinvolti nella sperimentazione. La prima tenuta, dall’OPBG concerne la non scrupolosa osservanza delle tecniche di pseudonimizzazione previste dal protocollo di studio con conseguente comunicazione di dati personali alla CRO (oggetto di separato provvedimento); la seconda concerne invece la raccolta (e il successivo trattamento) da parte della CRO e della study manager di Bracco di tali dati, con particolare riferimento alla comunicazione all’estero degli stessi;

il presente provvedimento tiene conto, quindi esclusivamente delle condotte imputabili alla Società, effettuate anche per il tramite del responsabile della protezione dei dati;

la responsabilità di natura colposa, seppure nella forma della colpa lieve, che si riconosce alla Società non è ascrivibile, al novero della responsabilità oggettiva o per fatto altrui. La colpa della società si ritiene consista, infatti, nell’aver predisposto delle misure tecniche e organizzative inadeguate al fine di assicurare l’effettività dei principi di minimizzazione e sicurezza dei dati, (artt. 28, comma 3, lett. a) e 29 del Regolamento).  La Bracco infatti nell’inoltrare i dati mascherati con pennarello alla controllata statunitense della società (study manager di Bracco Diagnostics Inc), ha tenuto una condotta analoga, se non più grave, e quella della CRO, designata responsabile del trattamento;

la circostanza che “l’accesso a tali dati ha tuttavia interessato personale interno alla scrivente società, alla CRO e alla BDI, soggetto a obblighi di riservatezza e confidenzialità previsti da contratto e procedura applicabili allo studio in questione”, pur meritando considerazione ed essendo idonea ad attenuare l’entità della violazione, non è tale da escluderla. Infatti, come anche richiamato nelle Linee guida per i trattamenti di dati personali nell´ambito delle sperimentazioni cliniche di medicinali, adottate dal Garante con provvedimento del 24 luglio 2008, (doc. web n. 1533155) “al fine di tutelare l´identità delle persone coinvolte nello studio la (...) normativa prevede che il centro partecipante alla sperimentazione debba assegnare un codice di identificazione a ciascun interessato, al momento del suo coinvolgimento, e utilizzarlo al posto del relativo nominativo in ciascuna comunicazione al promotore di dati collegati allo studio (cfr. anche d.m. 15 luglio 1997, all. 1/1B punto 1.58). In altri termini, il promotore di uno studio non può venire a conoscenza dell’identità dei pazienti, se non, laddove necessario, per il tramite dei propri collaboratori addetti alla fase di monitoraggio, per supervisionare l’andamento dello studio e per garantire che esso venga effettuato in osservanza del protocollo. (cfr. punto 3 delle richiamate linee guida);

la sanzione accessoria della pubblicazione dell'ordinanza-ingiunzione, per intero o per estratto, sul sito internet del Garante concerne esclusivamente le ipotesi in cui l’Autorità infligga sanzioni amministrative pecuniarie, ma restano comunque fermi gli obblighi di pubblicità e trasparenza di cui all’art. 12 del decreto legislativo 14 marzo 2013, n. 33 e all’art. 37 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, del 4 aprile 2019.

Per tali ragioni, come emerso dalle risultanze istruttorie, il trattamento di dati personali in questione è stato effettuato in maniera non conforme ai principi di minimizzazione e sicurezza dei dati, in violazione degli art. 5, par. 1, lett. c) e f) e 89, comma 1 del Regolamento, con misure tecniche e organizzative non idonee a garantire un livello adeguato di riservatezza ai dati sulla salute degli interessati, in violazione dell’articolo 32, par. 1, lett. a) del Regolamento.

4. Conclusioni

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare nel corso dell’istruttoria ˗della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice˗ gli elementi forniti dal titolare del trattamento nella memoria difensiva, seppure meritevoli di considerazione, non consentono di superare taluni dei rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni, confermando le valutazioni preliminari dell’Ufficio, si rileva l’illiceità del trattamento di dati personali effettuato dalla società Bracco in quanto l’avvenuta raccolta e il successivo trattamento, sia direttamente che per il tramite della CRO responsabile del trattamento dei dati, degli esami di laboratorio e degli esami di risonanza magnetica con l’indicazione del nome e cognome dei pazienti arruolati nello studio clinico in esame, mascherati in modo inadeguato con un pennarello nero, ha costituito una violazione dei principi di minimizzazione e sicurezza dei dati a causa dell’applicazione di misure rilevatesi non adeguate ad assicurare l’effettività di tali principi (artt. 5, par. 1, lett. c) ed f), 32, par. 1, lett. a) e 89, par. 1, del Regolamento).

Conseguentemente, a prescindere dalla notificazione della violazione di dati personali effettuata dal titolare del trattamento, in osservanza dell’obbligo di cui all’art. 33 del Regolamento, i profili di illiceità del trattamento rilevati nel caso di specie, quale conseguenza della mancata adozione di misure tecniche e organizzative adeguate, richiedono comunque l'intervento correttivo di questa Autorità al fine di salvaguardare i diritti e le libertà fondamentali degli interessati.

In tale quadro, considerando le circostanze dell’evento occorso e che la condotta ha esaurito i suoi effetti, si ritiene di qualificare il caso come “violazione minore”, ai sensi dell’art. 83, par. 2, e del considerando 148 del Regolamento.

Infatti, va tenuto conto della natura colposa della violazione e del fatto che la condotta è da imputarsi alla mancata verifica, da parte della Società, del corretto adempimento delle tecniche di pseudonimizzazione previste dal protocollo di studio e dalle buone pratiche cliniche per la esecuzione delle sperimentazioni cliniche dei medicinali, da parte del centro di sperimentazione, nonché nell’ulteriore trattamento di tali dati. Va notato altresì che, seppur la violazione ha riguardato dati relativi allo stato di salute di soggetti vulnerabili, in quanto minori di età, essa ha tuttavia coinvolto un numero estremamente circoscritto di interessati. Occorre considerare, inoltre, che l’Autorità ha preso conoscenza della violazione a seguito della notifica effettuata, nei termini sopra descritti, dal titolare del trattamento, il quale ha messo in atto - appena venuto a conoscenza dell’accaduto – misure tecniche e organizzative idonee a determinare la cessazione degli effetti della violazione e a pervenire l’ulteriore verificarsi di violazioni simili. La società, inoltre, ha cooperato con l’Autorità in fase istruttoria fornendo riscontri esaurienti e tempestivi. Non risultano, altresì, precedenti violazioni pertinenti commesse dal titolare del trattamento né sono stati precedentemente disposti provvedimenti di cui all’art. 58 del Regolamento.

Si ritiene, tuttavia, relativamente al caso in esame, di ammonire il titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, per la violazione degli artt. 5, par. 1, lett. c) e f), 32, par. 1, lett. a) e 89, par. 1, del Regolamento, e che non vi siano i presupposti per l’adozione di ulteriori provvedimenti correttivi da parte dell’Autorità, ai sensi dell’art. 58, par. 2, del Regolamento. Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019, concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi degli artt. 57, par. 1, lett. f) del Regolamento e 166 del Codice, dichiara illecita la condotta tenuta dalla società Bracco Imaging S.p.A., con sede legale in via Egidio Folli 50, n. 20 134 Milano, P.IVA 07785990156, descritta nei termini di cui in motivazione, e ammonisce la Società medesima per la violazione degli artt. 5, par. 1, lett. c) e f), 32, par. 1, lett. a) e 89, par. 1, del Regolamento;

b) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 17 settembre 2020

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL VICE SEGRETARIO GENERALE
Filippi