g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Ordinanza ingiunzione o revoca
  4. Ordinanza ingiunzione - 24 novembre 2022 [9844780]

Ordinanza ingiunzione - 24 novembre 2022 [9844780]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9844780]

Ordinanza ingiunzione - 24 novembre 2022

Registro dei provvedimenti
n. 387 del 24 novembre 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”);

VISTO il D.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Il reclamo e l’attività istruttoria

Con nota del XX i Sig.ri XX e XX hanno lamentato la diffusione, sul sito XX alla voce “Pubblicazioni”, di una tesi di Specializzazione, prodotta in allegato al reclamo, redatta dalla dott.ssa Emilia Colosimo “con la supervisione diretta ed indiretta del dott. XX (…), nella quale è rappresentata la storia familiare degli” stessi “con modalità tali da consentire la loro esatta identificazione, così come in realtà avvenuto (…)”. Infatti “in occasione di una cena a casa di conoscenti tenutasi a metà del mese di XX” il Sig. XX “apprendeva da uno degli ospiti presenti che la dott.ssa Emilia Colosimo aveva pubblicato un “racconto che riguarda te e XX””. La citata tesi recava in chiaro “l’indicazione per esteso dei nostri nomi (XX e XX), di quelli dei nostri due figli (XX e XX), della loro e nostra età, unita a quella delle nostre rispettive professioni (XX e XX), dei luoghi in cui dette professioni venivano svolte, della storia delle nostre rispettive famiglie di origine, con la “gratuita” indicazione di ulteriori e specifici elementi atti a contraddistinguerci ulteriormente”.

A seguito della richiesta di informazioni di questo Ufficio (nota del XX, prot. n. XX), con la quale è stato chiesto al dott.XX e alla dott.ssa Colosimo di fornire ogni elemento di informazione utile alla valutazione del caso, la dott.ssa Colosimo ha fornito riscontro con mail del XX, dichiarando che:

- “in primo luogo a seguito della diffida del XX e della contestuale richiesta di esercizio dei diritti ex art. 17 del Reg. UE 679/2016 (GDPR) la scrivente ha nel termine di legge provveduto alla cancellazione della tesi di sperimentazione in questione (…) (richiesta del XX cancellazione del XX e comunicazione agli interessati in data XX). A tale proposito, la sottoscritta ha adempiuto alla richiesta ricevuta quale Titolare del trattamento riferibile alla pubblicazione della tesi sul sito web XX, applicando quale misura di sicurezza l'eliminazione di dati riconducibili agli interessati”;

- “il rapporto instauratosi fra la dott.ssa Colosimo e le parti è avvenuto nel contesto della specializzazione da cui è poi scaturita la tesi in oggetto: le parti si recavano quindi presso l’Istituto XX e usufruivano delle prestazioni della sottoscritta con una seduta effettuata tramite la c.d. supervisione diretta del dott. XX, che poteva intervenire durante l’incontro quale Tutor e referente didattico del centro XX”;

- “la tesi in questione, è stata pubblicata sul sito web della scrivente nel mese di XX — quale prova del titolo di specializzazione - tuttavia nel rispetto delle misure idonee a non consentire la riconducibilità dei dati degli interessati. Infatti nella tesi non è presente il cognome delle parti, né riferimenti alcuni alla città di residenza e/o a luoghi e/o altro”; si è infatti riportato “un “loro racconto” di fantasia avvenuto nell’ambito delle sedute terapeutiche”;

- “l’Istituto Random ha svolto dall’inizio il ruolo di Titolare del trattamento dei dati degli interessati, in quanto il Sig. XX e la Sig.ra XX si sono rivolti al predetto centro, nel cui ambito la sottoscritta ha svolto la propria attività professionale sotto la diretta egida del Dott. XX — quale proprio Tutor”;

- “con riferimento alla pubblicazione della tesi sul sito web della scrivente, (…), l’eliminazione di dati riconducibili agli interessati, come cognome, residenza etc.., aveva come funzione quella di evitare la riconducibilità dei fatti descritti ai reclamanti e quindi di “anonimizzazione”. Ciò significa che la pubblicazione in parola aveva un valore prettamente scientifico, di divulgazione di uno studio svolto nel contesto di una formazione post universitario. Pertanto non avrebbe dovuto esservi il riconoscimento degli interessati, una volta applicata simile misura; tuttavia, una volta ricevuta la comunicazione dei reclamanti stessi relativa alla loro identificazione, la scrivente si è attivata immediatamente per la rimozione della tesi sul sito web e da ogni motore di ricerca, dimostrando una totale mancanza di dolo e una fattiva volontà collaborativa”;

- “nonostante con ogni evidenza ci sia stata un’identificazione, si sottolinea come nella segnalazione del legale dei reclamanti non sia stato chiarito come essa sia avvenuta e in particolare se siano stati i diretti interessati a ritrovarsi nella tesi in discussione”;

- “ciò non è scevro di importanza, in quanto la scrivente al momento della pubblicazione sul sito internet nel XX ha fatto fede alla garanzia dell’anonimato e della riservatezza, proprio in virtù del fatto che non vi erano dati personali univocamente identificativi, se non da parte degli stessi interessati, sebbene riferibili a tutte le persone con i medesimi nominativi prenomi. Non solo non sono stati inseriti dati identificativi, ma la tesi è stata redatta nel XX e fa riferimento a fatti risalenti al XX: ciò significa che l’identificazione è avvenuta ben 17 anni dopo il loro accadimento e che per i terzi risalire ai diretti interessati non può ritenersi probabile, neanche potenzialmente. Infatti nel sito non vi era riferimento ai cognomi, età, né ai luoghi, bensì racconti di vita comune dei pazienti e l'inserimento di una favola da loro redatta, con fatti quindi del tutto non idonei ad un’identificazione effettiva dei medesimi”;

- “la pubblicazione sul sito web faceva fede alla garanzia dell’anonimato, tramite l'eliminazione dei cognomi e luoghi di residenza e in virtù del lungo lasso di tempo trascorso (17 anni) e sul punto la scrivente stessa è inquadrabile quale Titolare del trattamento”;

- “le misure di sicurezza per la divulgazione della tesi come sopra descritte sono state sostanzialmente rispettate, in quanto risultano rinvenibili nel testo solo riferimenti generici e l'inserimento di un c.d. “racconto di fantasia” svolto dagli interessati”.

Con nota del XX, il dott. XX ha fornito riscontro allegando una memoria difensiva, già trasmessa all’Ordine degli Psicologi, nella quale dichiarava che “le relazioni non possono essere pubblicate senza adeguate protezioni e ancor più senza l’autorizzazione del Presidente dell’Istituto di formazione. Gli allievi in formazione sono laureati in Psicologia e sono tenuti a rispettare il Codice Deontologico degli Psicologi. La dott.ssa Emilia Colosimo ha postato, senza informare nessuno dei didatti che hanno supervisionato il percorso psicoterapeutico descritto nella relazione presentata all’esame. Inoltre, senza informare lo scrivente, senza chiedere alcuna autorizzazione e senza il mio consenso, ha incluso oltre al nome degli assistiti anche il mio nome”. Unitamente al predetto documento è stata allegata copia della nota dell’XX, con la quale la Commissione deontologica dell’Ordine degli Psicologi del Lazio, disponeva l’archiviazione della segnalazione pervenuta a suo carico, ai sensi dell’art. 5, comma 2, lett. e) del Regolamento Disciplinare.

2. Valutazioni del Dipartimento sul trattamento effettuato e notifica della violazione di cui all’art. 166, comma 5 del Codice

In relazione ai fatti descritti nel reclamo, l’Ufficio, con nota del XX (prot. n. XX), ha notificato alla dott.ssa Emilia Colosimo, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitandola a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

In particolare, l’Ufficio, nel predetto atto, ha ritenuto che la dott.ssa Emilia Colosimo, pubblicando sul web una tesi di specializzazione contenente dati personali e sulla salute dei reclamanti, ha effettuato un trattamento di dati personali e sulla salute in violazione dei principi di base del trattamento di cui agli artt. 5, 6, 9 e 32 del Regolamento nonché dell’art. 2-septies, comma 8, del Codice.

Con nota del XX, la dottoressa ha fatto pervenire le proprie memorie difensive, nelle quali, in particolare, ha evidenziato che:

- “nella ricostruzione dei fatti relativi alla circostanza della cena del XX, alla luce di quanto riferito dall’ospite “racconto di te e XX” sembra potersi dedurre che quest’ultimo fosse già a conoscenza della storia, in quanto appunto conoscente e amico del sig. XX”;

- “in via proattiva la scrivente si è subito attivata nel cancellare la tesi dal sito, per garantire i diritti degli interessati, così come nella collaborazione con codesta spettabile Autorità”;

- “il racconto di cui alla tesi era un racconto di storia scelta dagli interessati, senza alcuna indicazione di patologie, suggerimenti. terapeutici e/o risultanze di analisi. Gli interessati sono stati due, ossia i reclamanti e, senza riferimenti dalla storia eventualmente anche i loro due figli”;

- “vi è stata assenza di dolo, bensì colpa per aver ritenuto valida la misura di sicurezza in ordine alla mera eliminazione del cognome degli interessati; a comprova si evidenzia che come è pervenuta la richiesta è subito avvenuta la cancellazione e rimozione dei dati e di tutta la tesi dal sito in questione;

- “in fase di progettazione del sito sono stati espunti i cognomi dei reclamanti. La tesi contenente una storia non appariva a loro riconducibile, in considerazione anche del lungo lasso di tempo incorso dalla redazione (XX). Si è ritenuto di pubblicarla poiché rientrante in ambito di dimostrazione di titoli e per divulgazione scientifica”;

- “fermo restando di non aver mai avuto sanzioni precedenti e segnalazioni di violazioni, la scrivente si è subito messa a disposizione al fine di far pervenire alla luce la verità senza nulla nascondere a codesta spettabile Autorità e permettendo, del pari, agli interessati di poter esercitare i loro diritti;

- “i dati in questione risulterebbero rientrare nell’alveo dell’art. 9; tuttavia va rilevato come nella tesi non vi sia alcun riferimento a stati di salute, diagnosi cliniche e/o trattamenti e valutazioni, bensì la storia dei reclamanti nell’ambito delle sedute, con divulgazione autorizzata in sede di redazione della tesi”;

- “sulla base dell’erronea valutazione della misura di sicurezza non è stata effettivamente seguita la linea delle norme deontologiche da voi richiamate”;

- la scrivente è prossima alla dismissione della propria attività da psicoterapeuta; il fatturato dello scorso anno per tale attività, anche ai fini sanzionatori è stato di € XX circa; iscritta dal XX come psicologa, dopo anni da lavoro dipendente, senza mai aver subito sanzioni né problematiche per la tutela dei dati personali”.

3. Esito dell’attività istruttoria

Preso atto di quanto rappresentato dalla dott.ssa Emilia Colosimo nella documentazione in atti e nelle memorie difensive, si osserva che:

1. per dato personale si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, par. 1, punto n. 1 del Regolamento) e, per dati anonimi si intendono “(...) informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l'identificazione dell'interessato” (cfr. Considerando n. 26 del Regolamento e WP29 Opinion 05/2014 on Anonymisation techniques, adottata il 10 aprile 2014)”;

2. si considerano “dati relativi alla salute”: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute (art. 4, par. 1, n. 15, del Regolamento);

3. i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»)”, devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»)” e “trattati in maniera da garantire un’adeguata sicurezza (…) compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti o dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)” (art. 5, par. 1, lett. a), c) e f) del Regolamento);

4. il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”; “nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati” (art. 32, par. 1 e 2 del Regolamento);

5.il trattamento dei dati personali è lecito solo se e nella misura in cui ricorre una delle condizioni previste dall’art. 6 del Regolamento (cfr. anche art. 2-ter, comma 3, del Codice). Con specifico riferimento alle informazioni sulla salute, si evidenzia che la disciplina in materia di protezione dei dati personali vieta espressamente la diffusione dei predetti dati (art. 2-septies, comma 8 e art. 166, comma 2, del Codice) e che, in ambito sanitario, tali informazioni possono essere comunicate solo all’interessato; possono essere, inoltre, comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso previa delega scritta di quest’ultimo (art. 9 Regolamento e art. 84 del Codice, in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101);

6. il Codice deontologico degli psicologi italiani, predisposto e aggiornato dal Consiglio nazionale dell’Ordine e sottoposto all'approvazione per referendum agli iscritti (art. 28, comma 6, lett. c) della legge 18 febbraio 1989, n. 56), prevede che “deve essere tutelato (…) il diritto dei soggetti alla riservatezza, alla non riconoscibilità ed all’anonimato”; “lo psicologo è strettamente tenuto al segreto professionale. Pertanto non rivela notizie, fatti o informazioni apprese in ragione del suo rapporto professionale, né informa circa le prestazioni professionali effettuate o programmate”; “nel caso di collaborazione con altri soggetti parimenti tenuti al segreto professionale, lo psicologo può condividere soltanto le informazioni strettamente necessarie in relazione al tipo di collaborazione”; “lo psicologo redige le comunicazioni scientifiche, ancorché indirizzate ad un pubblico di professionisti tenuti al segreto professionale, in modo da salvaguardare in ogni caso l’anonimato del destinatario della prestazione” (artt. 4, 9, 11, 15 e 16).

4. Conclusioni

Alla luce delle valutazioni sopra esposte, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice (“Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”), si rileva che gli elementi forniti dal titolare del trattamento nelle memorie difensive sopra richiamate non sono idonei ad accogliere le richieste di archiviazione, non consentendo di superare i rilievi notificati dall’Ufficio con il citato atto di avvio del procedimento.

In particolare, in relazione alle dichiarazioni della dott.ssa Colosimo a sostegno della prospettata natura delle informazioni oggetto della diffusione non qualificabili quali dati relativi alla salute, si evidenzia, che, alla luce delle disposizioni sopra richiamate, la circostanza che i sig.ri XX e XX avevano ricevuto prestazioni di psicoterapia costituisce un dato sulla salute; ciò, considerato anche che, ai sensi dell’art. 01 della legge 18 febbraio 1989, n. 56 (premesso dall’art. 9, comma 4, legge 11 gennaio 2018, n. 3), “la professione di psicologo (..) è ricompresa tra le professioni sanitarie di cui al decreto legislativo del Capo provvisorio dello Stato 13 settembre 1946, n. 233, ratificato dalla legge 17 aprile 1956, n. 561” (cfr. provv. 19 maggio 2022, doc. web n.  9774696, recante “Parere sullo schema di decreto del Ministro della salute, di concerto con il Ministro dell’economia e delle finanze, concernente il contributo per sostenere le spese relative a sessioni di psicoterapia, ai sensi dell’art. 1-quater, comma 3, del d,l. 228/2021” e, ex multis, in relazione alla individuazione dei nuovi soggetti obbligati alla trasmissione al Sistema TS di dati relativi alle spese sanitarie sostenute dalle persone fisiche per la dichiarazione precompilata, provv. 28 luglio 2016, n. 332, doc web n. 5407413, recante “Parere sullo schema di decreto del Mef con il quale vengono definiti i termini e le modalità per la trasmissione telematica all’Agenzia delle entrate dei dati relativi alle spese sanitarie diverse da quelle previste dal d.lgs. n. 175/2014 e alle spese veterinarie; cfr. anche Provv. 29 settembre 2021 n. 358, doc. web n. 9720448).

Inoltre, in relazione alla dichiarata non riconducibilità ai reclamanti delle informazioni contenute nella “storia”, si fa presente che l’anonimizzazione non può considerarsi realizzata attraverso la mera rimozione delle generalità dell’interessato o sostituzione delle stesse con un codice pseudonimo. Il dato anonimizzato, infatti, è tale solo se non consente in alcun modo l’identificazione diretta o indiretta di una persona, tenuto conto di tutti i mezzi (economici, informazioni, risorse tecnologiche, competenze, tempo) nella disponibilità di chi (titolare o altro soggetto) provi a utilizzare tali strumenti per identificare un interessato. Il rischio di reidentificazione dell’interessato va accuratamente valutato tenendo conto di “tutti i mezzi, [...], di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l'insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l'identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento sia degli sviluppi tecnologici” (cfr. Considerando n. 26 del Regolamento e WP29 Opinion 05/2014 on Anonymisation techniques).

Pertanto, alla luce delle definizioni sopra riportate, l’eliminazione del riferimento al cognome degli interessati non costituisce una procedura idonea a garantire il processo di anonimizzazione dei dati personali degli interessati (cfr., sul punto, il Codice di Condotta della Regione Veneto per l’utilizzo di dati sulla salute a fini didattici e di pubblicazione scientifica. che individua specifiche garanzie e misure a tutela dei pazienti, approvato dal Garante con Provv. del 14 gennaio 2021, n. 7, doc. web 9535354).

Da tutto quanto sopra esposto deriva che la dott.ssa Colosimo ha diffuso, attraverso la pubblicazione sul sito XX, alla voce “Pubblicazioni”, una tesi di Specializzazione nella quale erano riportati diversi aspetti e dettagli della storia personale di ciascuno dei due reclamanti (e, inevitabilmente, anche di altri soggetti, come figli e familiari) e della vicenda privata che li riguardava, descritti in alcuni paragrafi della citata pubblicazione: “l’invio”; “storia della famiglia”; “il problema”; “il processo terapeutico”; “la favola”; “contributi teorici”; “follow up”, tutti elementi rispetto ai quali la legittima aspettativa di confidenzialità e riservatezza da parte dei reclamanti era ancora più elevata, anche in considerazione del rapporto professionale e fiduciario determinatosi tra i diversi soggetti coinvolti.

Allo stato degli atti e della documentazione acquisita, in relazione alla predetta diffusione, non risulta dimostrata alcuna delle condizioni, tra quelle indicate negli artt. 6 e 9 del Regolamento, che avrebbero potuto rendere lecito il predetto trattamento di dati personali, così come sopra descritto, né risultano essere state adottate adeguate misure volte a non consentire in alcun modo l’identificazione diretta o indiretta dei reclamanti, le cui informazioni personali erano contenute nella tesi di specializzazione.

Per tali ragioni si rileva l’illiceità dei trattamenti di dati personali effettuati dalla dott.ssa Emilia Colosimo, nei termini di cui in motivazione, per la violazione degli artt. 5, 6, 9 e 32 del Regolamento nonché dell’art. 2-septies, comma 8, del Codice,

In tale quadro, considerato che la dottoressa ha eliminato la predetta pubblicazione dal sito web, interrompendo la condotta lesiva della disciplina in materia di protezione dei dati personali, non ricorrono allo stato i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i) e 83 del Regolamento; art. 166, comma 7, del Codice). 

La violazione degli artt. 5, 6, 9 e 32 del Regolamento causata dalla condotta della dott.ssa Emilia Colosimo è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 4, lett. a) e 5, lett. a) del Regolamento.

Si consideri che il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2, del Regolamento in relazione ai quali si osserva che:

l’Autorità ha preso conoscenza dell’evento a seguito di un reclamo da parte degli interessati (art. 83, par. 2, lett.  h) del Regolamento);

il trattamento dei dati effettuato dalla dott.ssa Colosimo ha ad oggetto dati personali dei reclamanti e di altri soggetti contenuti nella descrizione della loro storia privata nonché informazioni relative alla salute connesse alle prestazioni di psicoterapia dagli stessi ricevute, per le quali è particolarmente elevata e fondata, da parte degli interessati, l’aspettativa di riservatezza (art. 83, par. 2, lett.  a) e g) del Regolamento);

la violazione ha avuto una durata di circa 25 mesi (da XX a XX) (art. 83, par. 2, lett. a) del Regolamento);

la dottoressa Colosimo, appena ricevuta la diffida da parte dei reclamanti, ha eliminato dal sito web la pubblicazione contenente la tesi di specializzazione sopra citata (art. 83, par. 2, lett. c) del Regolamento);

la dott.ssa Colosimo ha dimostrato un buon grado di cooperazione con l’Autorità al fine di porre rimedio alle violazioni e attenuarne i possibili effetti negativi e risulta avere un fatturato esiguo (art. 83, par. 2, lett. f) del Regolamento);

nei confronti della dott.ssa Emilia Colosimo non è stato in precedenza adottato alcun provvedimento per violazioni pertinenti (art. 83, par. 2, lett. e) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, nella misura di euro 1.000,00 (mille) per la violazione degli artt. 5, 6, 9 e 32 del Regolamento nonché dell’art. 2-septies, comma 8, del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dalla dott.ssa Emilia Colosimo, per la violazione degli artt. 5, 6 e 9 e 32 del Regolamento nonché dell’art. 2-septies, comma 8, del Codice del Regolamento.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, alla dott.ssa Emilia Colosimo, C.F. XX, di pagare la somma di euro 1.000,00 (mille) a titolo di sanzione amministrativa pecuniaria per la violazione indicata nel presente provvedimento; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla predetta dottoressa, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 1.000,00 (mille) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 24 novembre 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
9844780
Data
24/11/22

Argomenti

Dati sanitari Pazienti Dati sanitari su Internet

Tipologie

Ordinanza ingiunzione o revoca

Vedi anche (1)