[doc. web n. 2630385]

Ordinanza di ingiunzione nei confronti di ASL di Salerno - 20 giugno 2013

Registro dei provvedimenti
n. 305 del 20 giugno 2013

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.a Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

RILEVATO che il Nucleo speciale privacy della Guardia di finanza, in esecuzione della richiesta di informazioni ai sensi dell´art. 157 del Codice in materia di protezione dei dati personali – d.lg. 30 giugno 2003, n. 196 (di seguito denominato Codice) nr. 529U dell´11 gennaio 2011 formulata da questa Autorità, ha svolto, presso il Presidio Ospedaliero Santa Maria della Speranza di Battipaglia,  gli accertamenti di cui al verbale di operazioni compiute datato 1°  e 2 marzo 2011, dal quale è risultato che la ASL di Salerno C.F.: 04701800650, con sede in Salerno, via Nizza n. 146, in persona del legale rappresentante pro-tempore, ha omesso di adottare le misure minime di sicurezza previste dall´art. 33 del Codice in quanto:

- non ha provveduto alla designazione dei responsabili/incaricati del trattamento dei dati personali, anche con riferimento alle società esterne addette alla gestione e manutenzione degli strumenti elettronici, con conseguente mancanza di istruzioni per tutti i soggetti che effettuano operazioni di trattamento;

- con riferimento ai trattamenti di dati effettuati con l´ausilio di strumenti elettronici, presso il servizio CUP/Incasso ticket e presso il laboratorio di analisi del presidio ospedaliero, è stato rilevato l´utilizzo di passwords comuni e mai aggiornate per l´accesso agli strumenti elettronici e l´assenza di procedure e istruzioni al riguardo;

- le passwords utilizzate dai due addetti del laboratorio analisi per la registrazione dei pazienti e dei relativi esami, mediante il programma elettronico denominato "Diamante", hanno un´estensione di quattro e sette caratteri e non sono aggiornate da circa tre anni.

Risulta altresì accertato che la di Salerno ha omesso di effettuare la notificazione al Garante ai sensi dell´art. 37, comma 1 lett. b) e 38 del Codice;

VISTO il verbale nr. 23/2010 del 15 aprile 2011 (che qui si intende integralmente richiamato) con cui sono state contestate alla ASL di Salerno le violazioni amministrative previste dagli artt. 162, comma 2-bis e 163 del Codice, in relazione agli artt. 33 e 37, informandola della facoltà, per la sola violazione dell´art. 37 del Codice, di effettuare il pagamento in misura ridotta ai sensi dell´art. 16 della legge n. 689/1981;

CONSIDERATO che le prescrizioni impartite dall´Ufficio del Garante ai sensi dell´art. 169, comma 2, del Codice con il provvedimento datato 23 febbraio 2012 al prof. Francesco De Simone sono state prontamente adempiute;

ESAMINATO il rapporto del Nucleo speciale privacy della Guardia di finanza predisposto ai sensi dell´art. 17 della legge 24 novembre 1981, n. 689, relativo al solo rilievo per violazione dell´art. 37 del Codice, dal quale non risulta essere stato effettuato il pagamento in misura ridotta;

VISTO il verbale di audizione delle parti redatti ai sensi dell´art. 18 della legge n. 689/1981 nel quale la Asl di Salerno, riguardo la violazione dell´art. 33 del Codice, ha evidenziato come  "(…) l´attività ispettiva è coincisa con una fase di profonda ristrutturazione della ASL di Salerno a seguito di ben tre preesistenti strutture ", osservando, altresì, come "(…) le dichiarazioni del responsabile del laboratorio di analisi del presidio ospedaliero (…) dott. Gelosimo Cafaro (…) smentiscono quanto dichiarato nel verbale di operazioni compiute e confermino come invece la Asl, per quanto riguarda il citato laboratorio di analisi,  fosse già in linea con la normativa in materia". Relativamente alla violazione di cui all´art. 37, invece, ha sottolineato come "(…) la Asl abbia provveduto a notificare regolarmente i propri trattamenti". Per entrambe i rilievi ha richiesto l´applicazione di quanto previsto dall´art. 164-bis, comma 1 del Codice;

RITENUTO che le argomentazioni addotte non risultano idonee in relazione a quanto contestato per le motivazioni di seguito riportate distintamente per ciascun rilievo. Riguardo la violazione di cui all´art. 33 del Codice si rileva come la evidenziata "(…) fase di profonda ristrutturazione della ASL di Salerno (…)" non integri i requisiti applicativi della buona fede di cui all´art. 3 della legge n. 689/1981. Sul punto, si ricorda che la giurisprudenza di rito, in tema di illeciti amministrativi, ha precisato che l´esimente della buona fede, intesa come errore sulla liceità del fatto, assume rilievo solo in presenza di elementi positivi, idonei ad ingenerare nell´autore della violazione il convincimento della liceità del suo operato, purché tale errore sia incolpevole ed inevitabile, in quanto determinato da un elemento positivo, idoneo ad indurlo in errore ed estraneo alla sua condotta e non ovviabile con l´ordinaria diligenza e prudenza (Cass. 2007, n. 5894; Cass. 2006, n. 11012; Cass. 1999, n. 1151). Inoltre, partendo dal presupposto che le dichiarazioni del responsabile del laboratorio di analisi del presidio ospedaliero dott. Gelosimo Cafaro, formalizzate nella nota datata 24 aprile 2012, attengono esclusivamente a una parte delle condotte poste a presupposto dell´illecito in argomento, si rileva come tali dichiarazioni non siano sorrette da alcun elemento di prova, mentre, nel verbale di operazioni compiute del 2 marzo 2011, attraverso i riscontri analitici effettuati dai militari operanti nei confronti degli addetti al predetto laboratorio, le medesime specifiche condotte che hanno sostanziato l´illecito contestato risultano puntualmente accertate ai sensi dell´art. 13 della legge n. 689/1981.  Riguardo la violazione di cui all´art. 37 del Codice si rileva come, per effetto delle citate norme di riorganizzazione delle Aziende sanitarie locali di Salerno nn.rr. 1, 2 e 3, dal 20 marzo 2009 è stato istituito il nuovo soggetto giuridico della A.S.L. di Salerno. Tale soggetto giuridico, per effetto della previsione dell´art. 38, comma 4 del Codice, era tenuto a una nuova notificazione essendo mutato uno degli elementi da indicare nella notificazione medesima ovvero, nel caso di specie, la nuova ragione sociale. Tale indicazione risulta  chiaramente indicata nel provvedimento del Garante datato 8 aprile 2009 (in www.garanteprivacy.it, doc. web n. 1609999) recante "Prescrizioni in materia di operazioni di fusione e scissione fra società", e ribadita nell´Ordinanza ingiunzione del Garante n. 238 del 6 settembre 2012 (in www.garanteprivacy.it, doc. web n. 2260717);

RILEVATO che risulta essere avvenuto presso la ASL di Salerno un trattamento di dati (art. 4 comma 1, lett. a) e b) del Codice) omettendo di adottare le misure minime di sicurezza ai sensi dell´art. 33 del Codice  e senza effettuare la notificazione al Garante ai sensi dell´art. 37, comma 1 lett.b) del Codice;

VISTO l´art. 162, comma 2-bis, del Codice che punisce la violazione della disposizione di cui all´art. 33 del medesimo Codice con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;"

VISTO l´art. 163 del Codice che punisce la violazione delle disposizioni di cui agli art. 37 e 38 con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro;

RITENUTO che, con esclusivo riferimento alla violazione dell´art. 37 del Codice,  ricorrano le condizioni per applicare l´art. 164-bis, comma 1, del Codice che prevede che se taluna delle violazioni di cui agli art. 161, 162, 163 e 164 è di minore gravità, i limiti minimi e massimi stabiliti negli stessi articoli sono applicati in misura pari a due quinti, atteso che l´omissione in argomento inerisce solo uno degli elementi da notificare (mutamento della ragione sociale);

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge 24 novembre 1981 n. 689, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore e che pertanto l´importo della sanzione pecuniaria per la violazione dell´art. 162, comma 2-bis del Codice, deve essere determinato nella misura di euro 10.000,00 (diecimila) e l´ammontare della sanzione pecuniaria per la violazione dell´art. 163 del Codice nella misura di euro 8.000,00 (ottomila) , per un importo complessivo pari a euro 18.000,00 (diciottomila);

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la prof.ssa Licia Califano;

ORDINA

alla ASL di Salerno C.F.: 04701800650, con sede in Salerno, via Nizza n. 146, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 18.000,00 (diciottomila) a titolo di sanzione amministrativa pecuniaria per le due violazioni previste dagli artt. 162, comma 2-bis e 163 del Codice;

INGIUNGE

alla medesima azienda di pagare la somma di euro 18.000,00 (diciottomila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale o in copia autentica, quietanza dell´avvenuto versamento.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 20 giugno 2013

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia