g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di A.R.N.A.S. Civico - 1° dicembre [9842783]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9842783]

Ordinanza ingiunzione nei confronti di A.R.N.A.S. Civico - 1° dicembre

Registro dei provvedimenti
n. 404 del 1° dicembre 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Il reclamo.

Con reclamo presentato da un dipendente dell’Azienda di Rilievo Nazionale ad Alta Specializzazione A.R.N.A.S. Civico - di Cristina Benfratelli (di seguito “Azienda Ospedaliera”) è stata lamentata la pubblicazione sul sito web istituzionale dell’Azienda di due provvedimenti, contenenti dati personali dell’interessato, anche relativi alla salute.

In particolare il reclamante ha rappresentato che:

- essendo “già dipendente [dell’Azienda Ospedaliera] con la qualifica di infermiere professionale, avendo maturato i requisiti per il trattamento di quiescenza, […] presentava istanza di collocamento a riposo”, approvata con delibera n. XX;

- considerato che tale delibera conteneva alcuni errori “in relazione ai dati anagrafici ed al calcolo del periodo di anzianità maturato, circostanze che venivano prontamente rappresentate”, l’Azienda Ospedaliera provvedeva ad emanare una nuova delibera, n. XX del XX, in cui veniva rettificata quella precedente;

- la delibera di rettifica, n. XX riportava “lo status di invalidità [del reclamante] con indicazione della percentuale [dello stesso]”.

La circostanza dell’avvenuta pubblicazione delle deliberazioni oggetto di reclamo e la relativa indicizzazione sui motori di ricerca è stata verificata dall’Ufficio (v. relazione di servizio in atti).

2. L’attività istruttoria.

Sulla base degli elementi acquisiti, l’Ufficio ha notificato all’Azienda Ospedaliera, in qualità di titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, in quanto la pubblicazione sul proprio sito web istituzionale, e l’indicizzazione sui motori di ricerca delle delibere n. XX del XX e n.XX del XX, ha determinato la “diffusione” dei dati personali del reclamante, anche relativi alla salute, in violazione degli artt. 5, 6 e 9 del Regolamento e 2-ter e 2-septies, comma 8, del Codice. Pertanto ha invitato il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

L’Azienda Ospedaliera ha fatto pervenire le proprie memorie difensive rappresentando, in particolare, che:

- “la delibera oggetto del reclamo (delibera del direttore generale n.XX “rettifica delibera n.XX del XX”) veniva pubblicata all’Albo Pretorio il XX con scadenza il XX. La rettifica si rendeva necessaria in quanto nella delibera 530 […] era stato conteggiato il periodo di servizio in modo parzialmente errato e pertanto si rendeva necessario dare atto del periodo di servizio effettivo. […] Quanto a natura, oggetto e finalità del trattamento, si fa riferimento all’esecuzione di compito di interesse pubblico (tenuta Albo Pretorio Online, art.32 della L.69/2009)”;

- “si esclude […] che la violazione abbia avuto carattere doloso. […] L’ansia di giustificare in dettaglio una precedente delibera - che costituisce di fatto uno svantaggio [per il reclamante] - possa far dimenticare l’esistenza di regole, quali il divieto di diffusione di dati sanitari”;

- “appena appreso dalla notifica dell’autorità che il provvedimento risultavano ancora indicizzato su internet tramite motori di ricerca generalisti, il Responsabile della Protezione dati aziendali ne chiedeva conto al responsabile della U.O. Managment il quale accertava la presenza di un bug della piattaforma […] che gestisce i documenti allegati agli articoli. Si è immediatamente provveduto risolvere il problema, disattivando l’indicizzazione degli allegati […] da parte dei motori di ricerca”;

- “per quanto riguarda il caso specifico, la piattaforma che ospita l’Albo Pretorio è configurata nel modo corretto ‘by design’, in modo da rimuovere i provvedimenti alla data di fine pubblicazione (15 gg dall’inizio), e solo a causa di un bug - prontamente rimosso - la misura si è rivelata temporaneamente inefficace”;

- “il Titolare provvedeva a trasmettere all’Autorità la notifica della violazione ex art. 33 del GDPR: non vi sono dubbi circa la volontà del Titolare di cooperare con l’Autorità; il solo rimedio possibile alla violazione, consistente nel non rendere ulteriormente visibile la Delibera in oggetto, è consistito nel rimuovere il Provvedimento dopo 6 giorni dalla pubblicazione e mettere riparo al bug di cui si diceva in precedenza”;

- “l’Azienda […] sta seguendo i lavori di predisposizione del Codice di Condotta Privacy in sanita; è ferma intenzione dell’Azienda aderire a tale Codice, non appena esso verrà approvato come da art. 40. Tuttavia l’Azienda sta già lavorando con tale obiettivo orientando le proprie scelte secondo le indicazioni delle bozze di Codice già rese pubbliche”;

- “come accennato in precedenza, senza voler sminuire l'accaduto, si ribadisce che la violazione è nata dalla preoccupazione di ben specificare le ragioni della modifica di un Provvedimento pubblicato precedentemente, e quindi dilungandosi sulle motivazioni reali della necessita della modifica”.

3. Normativa applicabile.

3.1 Il quadro normativo.

La disciplina di protezione dei dati personali prevede che i soggetti pubblici, anche qualora operino nello svolgimento dei propri compiti di datori di lavoro, possono trattare i dati personali dei lavoratori, se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalle norme nazionali di settore (artt. 6, par. 1, lett. c), 9, parr. 2, lett. b), e 4, e 88 del Regolamento) oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. e), del Regolamento).

La normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento). Al riguardo, si evidenzia che le operazioni di trattamento che consistono nella “diffusione” di dati personali sono ammesse solo quando previste da una norma di legge o di regolamento (art. 2-ter, commi 1 e 3 del Codice, nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139).

Con riguardo alle categorie particolari di dati personali, il trattamento è, di regola, consentito, oltre che per assolvere specifici obblighi “in materia di diritto del lavoro […] nella misura in cui sia autorizzato dal diritto […] in presenza di garanzie appropriate” (art. 9, par. 2, lett. b), del Regolamento), anche ove “necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. g), del Regolamento).

In ogni caso, i dati relativi alla salute, ossia quelli “attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, n. 15, del Regolamento; cfr. anche cons. 35 dello stesso), in ragione della loro particolare delicatezza, “non possono essere diffusi” (art. 2-septies, comma 8, e art. 166, comma 2, del Codice e art. 9, parr. 1, 2, 4, del Regolamento).

Il titolare del trattamento è tenuto, in ogni caso, a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione dei dati”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c), del Regolamento).

3.2 La diffusione dei dati personali del dipendente

Come risulta dagli atti e dalle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria, nonché dall’accertamento compiuto sulla base degli elementi acquisiti a seguito dell’attività istruttoria e dalle successive valutazioni di questo Dipartimento, l’Azienda ospedaliera A.R.N.A.S. Civico - di Cristina  Benfratelli, ha pubblicato, sul proprio sito web istituzionale, e indicizzato sui motori di ricerca, i provvedimenti  n. XX e n. XX, contenenti i dati personali del reclamante, tra cui anche dati relativi alla salute, quale lo stato di invalidità.

In particolare il provvedimento n. XX, riguardante la rettifica del provvedimento n.XX, con il quale era stato disposto il collocamento a riposo del reclamante, seppur  sia stato emanato al fine di “giustificare […] una precedente delibera - che costitui[va] di fatto uno svantaggio”  per il reclamante, e quindi nell’intento di agire nell’esclusivo interesse dello stesso, conteneva tuttavia l’espresso riferimento al “verbale di riconoscimento dell’invalidità civile” del reclamante, oltre a informazioni di dettaglio relative a vicende connesse al rapporto di lavoro (es. la richiesta di collocamento a riposo dell’interessato).

Al riguardo si fa presente che, come noto, i “dati relativi alla salute”, ossia quelli “attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”, per effetto delle maggiori garanzie che il Regolamento e il Codice riconoscono in ragione della particolare delicatezza di tale categoria di dati, “non possono essere diffusi” (art. 2-septies, comma 8, del Codice e art. 9, par. 4, del Regolamento: cfr. provv.ti n. 290 del 1° settembre 2022, doc. web n. 9811361, n. 150 del 28 aprile 2022,  doc. web n. 9777200, n. 319 del 16 settembre 2021, doc. web n. 9704048, n. 255 del 24 giugno 2021, doc. web n. 9688099).

Inoltre, fermo restando il divieto di pubblicazione dei dati relativi alla salute, l’Azienda Ospedaliera non ha comprovato l’esistenza di alcuna specifica disposizione normativa che consenta la pubblicazione dei provvedimenti oggetto del reclamo, né può ritenersi sufficiente il mero richiamo alla disciplina concernente la pubblicità degli atti sull’Albo Pretorio (art. 32, l. 18 giugno 2009, n. 69, richiamato dall’Azienda Ospedaliera, nonché art. 124, d.lgs. 18 agosto 2000, n. 267), considerando inoltre che, la pubblicazione dei provvedimenti si è comunque protratta, ben oltre il termine dei 15 giorni previsto dalla normativa. È inoltre emerso nel corso dell’istruttoria, e confermato dal titolare del trattamento, che i predetti documenti erano “indicizzat[i] su internet tramite motori di ricerca generalisti […] a causa della presenza di un bug della piattaforma”.

Va ricordato che questa Autorità, in più occasioni, ha chiarito che anche la presenza di uno specifico regime di pubblicità - che in ogni caso deve essere rispettato anche con riguardo all’arco temporale di pubblicazione da questo stabilito - non può comportare alcun automatismo rispetto alla diffusione online dei dati e informazioni personali, né una deroga ai principi in materia di protezione dei dati personali (v., tra tanti, da ultimo provv. n. 299 del 15 settembre 2022, doc. web n. 9815665 e precedenti provvedimenti in esso richiamati). Ciò, è d’altronde confermato anche dal sistema di protezione dei dati personali contenuto nel Regolamento, alla luce del quale è previsto che il titolare del trattamento deve mettere “in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento” e deve essere “in grado di dimostrare” – alla luce del principio di “responsabilizzazione” – di averlo fatto (artt. 5, par. 2; 24 e 25, par. 2, Regolamento).

In numerose decisioni, infatti, il Garante ha ribadito che anche in presenza di una norma di legge che preveda l’obbligo di pubblicare determinati atti e documenti (ad esempio, quelle da effettuarsi sull’Albo Pretorio online) si applicano tutti i limiti previsti dai principi della protezione dei dati con riguardo alla liceità e alla minimizzazione dei dati (cfr. art. 5, par. 1, lett. c), del Regolamento; parte II, par. 3.a. delle “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” del 15 maggio 2014, doc. web n. 3134436

Alla luce delle considerazioni che precedono, stante la definizione di dato personale e di dato relativo alla salute (art. 4, punti 1 e 15, del Regolamento), si ritiene che la pubblicazione sul sito web istituzionale dei provvedimenti sopra richiamati ha determinato la diffusione di dati personali riferiti al reclamante in assenza di un idoneo presupposto normativo e, considerato che tra questi vi erano anche dati relativi alla condizione di invalidità, in violazione del generale divieto alla diffusione dei dati relativi alla salute (artt. 5, 6 e 9 del Regolamento e art. 2-ter nonché 2-septies, comma 8, del Codice nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139).

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Pertanto, si confermano le valutazioni preliminari dell'Ufficio e si rileva l'illiceità del trattamento di dati personali effettuato dall’Azienda ospedaliera, in violazione degli artt. 5, 6 e 9 del Regolamento e dell’art. 2-ter e 2-septies, comma 8 del Codice, nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo e dell’art. 166, comma 2, del Codice.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l'adozione di misure correttive, di cui all'art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

In relazione ai predetti elementi è stata considerata la particolare delicatezza dei dati personali illecitamente trattati anche relativi alla salute, in contrasto con le indicazioni che, da tempo, il Garante ha fornito ai datori di lavoro pubblici e privati con le Linee guida sopra richiamate e con numerose decisioni su singoli casi.

Di contro, è stato considerato che il trattamento dei dati personali ha riguardato un solo interessato e che l’Azienda Ospedaliera aveva formulato la notifica al Garante di quanto occorso (art. 33 del Regolamento) adoperandosi per rimuovere i dati personali in questione dal proprio sito istituzionale e che l’indicizzazione sui siti generalisti dei predetti provvedimenti è avvenuto per la presenza “di un bug della piattaforma” che gestisce la pubblicazione dei documenti. Si è tenuto, inoltre, favorevolmente in considerazione che non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria, nella misura di euro 6.000 (seimila) per la violazione degli artt. 5, 6, 9 del Regolamento e dell’art. 2-septies, comma 8, del Codice e dell’art. 2-ter nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139 del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Tenuto conto della natura dei dati oggetto di trattamento, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), dichiara l'illiceità del trattamento di dati personali effettuato dall’A.R.N.A.S. Civico - di Cristina Benfratelli nei termini descritti in motivazione, consistente nella violazione degli artt. 5, 6, 9 del Regolamento e dell’art. 2-septies, comma 8, del Codice e dell’art. 2-ter nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139 del Codice;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, all’ A.R.N.A.S. Civico - di Cristina Benfratelli in persona del legale rappresentante pro-tempore, sede legale in Piazza Nicola Leotta 4 - 90127 Palermo, Codice fiscale 05841770828, di pagare la somma di euro 6.000 (seimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

all’A.R.N.A.S. Civico - di Cristina Benfratelli – fermo restando quanto disposto dall’art. 166, comma 8 del Codice, di pagare la somma di euro 6.000 (seimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981;

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice (v. art. 16 del Regolamento del Garante n. 1/2019);

l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento (v. art. 17 del Regolamento n. 1/2019).

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 1° dicembre 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei