Provvedimento del 1° giugno 2023 [9917728]
Provvedimento del 1° giugno 2023 [9917728]
Condividi
VEDI ANCHE Newsletter del 4 agosto 2023
[doc. web n. 9917728]
Provvedimento del 1° giugno 2023
Registro dei provvedimenti
n. 227 del 1° giugno 2023
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente, e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del Garante n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;
RELATORE il dott. Agostino Ghiglia;
PREMESSO
1. L’attività istruttoria.
Nel mese di XX è pervenuto a questa Autorità un reclamo relativo alla realizzazione da parte dell’Azienda Usl Toscana Sud Est (di seguito AUSL) di messaggi pubblicitari raffiguranti un operatore sanitario seduto ad una postazione di lavoro, in cui, secondo quanto documentato in atti, erano visibili “il nome cognome, data di nascita, luogo di nascita, residenza, numero libretto sanitario, scheda di pronto soccorso, data ingresso ora, data uscita, gravità della dimissione, prognosi, cura e medicinali prescritti” del reclamante.
In data XX l’AUSL ha presentato una notifica di violazione ai sensi dell’art. 33 del Regolamento relativamente ai fatti oggetto del reclamo, in cui ha evidenziato di aver comunicato la predetta violazione all’interessato ai sensi dell’art. 34 del Regolamento.
Il XX questo Ufficio ha richiesto informazioni alla predetta AUSL anche al fine di conoscere le misure tecniche e organizzative adottate o che intendeva adottare al fine di scongiurare che episodi come quello segnalato potessero ripetersi.
Con nota del XX l’AUSL ha risposto alla predetta richiesta di informazioni, rappresentando, in particolare, che:
• “nel cartellone de quo raffigurante un setting assistenziale di pronto soccorso la visibilità è limitata al solo nome e cognome dell'interessato, determinandosi una generica correlazione tra il soggetto e una prestazione di pronto soccorso (in questo senso qualificabile come dato relativo alla salute alla luce della nozione estensiva offerta dal Regolamento) ma certamente connotata da una scarsa specificità del contenuto informativo, posto che non risulta visibile alcun ulteriore e/o specifico dato relativo alla salute riferito all'interessato”;
• “il posizionamento del cartellone con le caratteristiche di cui sopra presso il triage del Pronto Soccorso è ascrivibile a una azione accidentale interna, a una mera disattenzione in un contesto temporale di eccezionalità stante il perdurare di uno stato emergenziale di emergenza sanitaria (con il conseguente carico di stress organizzativo e umano) e a ridosso della pianificazione e ripresa delle ordinarie attività in previsione della cessazione dello stato di emergenza”;
• “In data XX u.s., con PEC prot. n. XX perveniva dall'interessato, a mezzo dell'avv. (…), nota recante "Diffida violazione di dati personali ai sensi dell'art. 33 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali"” in cui “veniva formulata a questa Azienda richiesta di risarcimento danni, patrimoniali e non patrimoniali, in relazione alla presenza del cartellone presso il Pronto Soccorso dell'Ospedale di Arezzo” (attualmente in corso di esame) diffidando la stessa Azienda “all'immediata cancellazione dei dati”;
• in relazione alla richiesta di cancellazione, l’AUSL ha comunicato all’interessato di “avvalersi ai sensi dell’art. 12, par. 3 del RGPD, della facoltà di prorogare di due mesi il temine per fornire riscontro in ordine alle azioni intraprese riguardo alla richiesta formulata” anche in considerazione della necessità di coinvolgere le “competenti strutture in riferimento all'intero ambito territoriale dell'Azienda”; dai cui riscontri è emerso che: o “nei presidi/sedi territoriali afferenti le Zone distretto dell'Azienda e nelle sedi/locali dei Presidi Ospedalieri e dei relativi Stabilimenti dell'azienda non risultano presenti altri esemplari del cartellone pubblicitario ubicato presso il Pronto Soccorso dell'Ospedale San Donato di Arezzo”; o “nella pagina Facebook dell'Azienda, nel sito internet e nella intranet aziendale non risultano immagini del cartellone con le caratteristiche descritte”; o “l'esemplare del cartellone ubicato presso il Pronto soccorso dell’Ospedale San Donato di Arezzo è stato rimosso e posto sotto custodia in locale chiuso a chiave senza possibilità di accesso, se non da personale appositamente autorizzato, in quanto elemento probatorio nel contenzioso risarcitorio in atto con l'Azienda”;
• il “XX u.s., veniva fornito all'interessato formale riscontro (…) in ordine agli esiti come sopra rappresentati delle azioni intraprese dall'Azienda a seguito dell'istanza pervenuta”;
• “nel mese di agosto del corrente anno, al Responsabile Protezione Dati dell'Azienda che congiuntamente sottoscrive il presente riscontro, è stato notificato lo status di indagata nell'ambito del proc. Pen n. (…) a seguito di denuncia/querela presentata dall'interessato a mezzo dell'avv. Elisa Fornaciari, per il reato ex art. 167 D.lgs 196/2003 in relazione alla presenza del cartellone presso il Pronto Soccorso di Arezzo”;
• “Per quanto concerne le misure organizzativo procedurali, anche di carattere generale, e di sensibilizzazione del personale, per prevenire in futuro simili episodi, si evidenzia che:
o l'Azienda procede sistematicamente a un percorso di addestramento dei neoassunti in corrispondenza dei nuovi ingressi a tempo indeterminato, calendarizzati ogni primo e sedici del mese; tra gli argomenti di carattere generale trattati, "Regolamento Generale sulla Protezione dei Dati-RGPD e Modello aziendale data protection" con materiale formativo predisposto dal Responsabile della Protezione dei Dati”;
o “è in corso di predisposizione una procedura aziendale che obbliga i direttori delle strutture che intendono realizzare su qualunque supporto (cartellonistica, brochure, video elce.) materiale relativo a iniziative di comunicazione, informazione, educazione/promozione della salute, a raccordarsi con la struttura aziendale competente in materia di Comunicazione anche ai fini di acquisire la preventiva valutazione da parte del Responsabile Protezione Dati dell'Azienda. Tale procedura andrà a integrare le disposizioni della Circolare del Direttore Generale inviata per mail a Lutti gli operatori dell'Azienda in data XX Riprese foto video in ambiente aziendale e loro diffusione mediante social network, direttive agli operatori" (..) e le disposizioni di cui al Regolamento Aziendale sull'uso dei social media Social Media Policy di cui alla deliberazione n. XX del XX”.
In relazione a quanto emerso dalla documentazione in atti, l’Ufficio, ha notificato alla predetta AUSL, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981) (nota del XX, prot. n. XX i cui termini sono stati prorogati con nota del XX prot. n. XX).
In tale atto, l’Ufficio ha rilevato che l’AUSL ha diffuso dati sulla salute del reclamante in quanto nel predetto cartellone pubblicitario erano visibili i dati anagrafici dello stesso associati alla circostanza che era stata erogata una prestazione sanitaria di pronto soccorso in violazione dell’art. 2 septies, comma 8, del Codice e dei principi di base del trattamento di cui agli artt. 5, 25 e 9 del Regolamento.
Con la medesima nota l’Ufficio ha chiesto alla predetta AUSL di acquisire un’immagine fotografica del predetto cartellone, al fine di appurare se sullo stesso fossero visibili anche altre informazioni relative alla prestazione erogata e allo stato di salute del reclamante come sostenuto dallo stesso (“numero libretto sanitario, scheda di pronto soccorso, data ingresso ora, data uscita, gravità della dimissione, prognosi, cura e medicinali prescritti).
Con le note del XX e del XX l’AUSL ha trasmesso tre immagini del predetto cartellone (1 immagine dell’intero cartellone e 2 immagini di dettaglio, acquisite in atti) e ha fatto pervenire le proprie memorie difensive, rinunciando alla facoltà di essere sentita in audizione.
Nella nota del XX, l’AUSL ha rappresentato, in particolare, che:
- con riferimento al procedimento penale avviato nei confronti del responsabile per la protezione dei dati dell’AUSL sopra indicato “il Giudice per le indagini preliminari ha adottato in data XX un'ordinanza di archiviazione del procedimento” in relazione “alla richiesta di archiviazione da parte del Pubblico Ministero” e alla correlata opposizione del legale del reclamante. In tale ordinanza è riportato che “nel cartellone non sono individuabili altri dati sensibili della P.O. e anche il suo nominativo è visibile solo a seguito di un rilevante ingrandimento”;
- il periodo di esposizione al pubblico del predetto cartellone pubblicitario non è “precisabile ma non superiore a poche settimane” come conferma anche la relazione del Direttore UOC Medicina d'Emergenza Urgenza e Pronto Soccorso dell'Ospedale San Donato in atti;
- il predetto cartellone “non era collocato in una sala d'attesa ma era affisso nel corridoio principale di ingresso dei pazienti in Pronto Soccorso, all'epoca dei fatti utilizzato solo da pazienti in ingresso Covid negativi e ambiente ove di norma non si verificavano soste di pazienti o di altri utenti”. All’epoca dei fatti era inoltre “vigente specifica procedura Aziendale (Allegato F.l) che vietava l'accesso di accompagnatori o visitatori nelle strutture ospedaliere, Pronto Soccorso incluso, al fine di limitare il numero delle persone presenti all’interno delle stesse in ragione dell'esigenza di contenimento del potenziale contagio Covid”;
- il posizionamento del cartellone presso i locali del Pronto Soccorso “è ascrivibile a una azione accidentale interna, a una mera disattenzione in un contesto temporale di eccezionalità stante il perdurare da ben due anni di uno stato di emergenza sanitaria (con il conseguente carico di stress organizzativo e umano) e a ridosso della pianificazione e ripresa delle ordinarie attività in previsione della cessazione dello stato di emergenza alla data del 31 marzo 2022”;
- “II cartellone pubblicitario è stato immediatamente rimosso dal corridoio di ingresso del Pronto Soccorso e posto sotto custodia in locale chiuso a chiave senza possibilità di accesso, se non da personale appositamente autorizzato”. “L'esemplare è stato mantenuto ed è tutt'ora in custodia nette modalità sopra indicate in quanto elemento probatorio nel contenzioso risarcitorio in atto con l'Azienda”;
- “Dai riscontri formali pervenuti dalle strutture, e agli atti, è emerso che nei presidi/sedi territoriali afferenti le Zone distretto dell'Azienda e nelle sedi/locali dei Presidi Ospedalieri e dei relativi Stabilimenti dell'Azienda non risultavano presenti altri esemplari del cartellone pubblicitario ubicato presso il Pronto Soccorso dell'Ospedale San Donato di Arezzo”;
- “è emerso che nella pagina Facebook dell'Azienda, nel sito internet e nella intranet aziendale non risultavano immagini del cartellone con le caratteristiche descritte”;
- “Ai sensi dell'art. 17, par. 2, RGPD, l'Azienda ha provveduto a notiziare dell'avvenuta ricezione della nota del legale (…) recante diffida alla cancellazione dei dati del suo assistito riportati su un cartellone aziendale affisso presso l'Ospedale di Arezzo nonché su eventuali ulteriori supporti, di qualsivoglia natura, recanti la predetta immagine, i seguenti soggetti: Studio (XX), Tipografia (XX)”;
- “Nel corso del 2022 tutti i Direttori di Unità operativa Complessa, Semplice Dipartimentale e di Unità funzionale, nonché i Referenti Data Protection dj Macrostruttura sono stati iscritti in formazione individuale obbligatoria al corso "La protezione dei dati in sanità", durata 7 ore” e che il Piano annuale della Formazione 2023 ha previsto la riproposizione del predetto corso;
- “A XX si è svolto in Azienda il Corso di Formazione "Il trattamento dei dati -con particolare riferimento alle immagini - nell'Azienda Sanitaria", a cui hanno partecipato 192 operatori di vari profili (tecnici, amministrativi, sanitari) e di cui è in previsione una edizione anche nel 2023”;
- “È stata predisposta una procedura aziendale” (in atti) “che disciplina la previsione di un presidio centralizzato a livello aziendale in ordine alla realizzazione di materiali con utilizzo di immagini su qualunque supporto (cartellonistica, brochure, video, foto, post, etc.) finalizzati alla pubblicazione/divulgazione nell'ambito delle iniziative istituzionali dell'Azienda di informazione, comunicazione, educazione/promozione della salute. Tale procedura richiama e integra le disposizioni della Circolare del Direttore Generale inviata per mail a tutti gli operatori dell'Azienda in data XX 'Riprese foto video in ambiente aziendale e loro diffusione mediante social network, direttive agli operatori"” (in atti) “e le disposizioni di cui al Regolamento Aziendale sull'uso dei social media - Social Media Policy di cui alla deliberazione n. XX del XX”;
- “Con Deliberazione del Direttore Generale n. XX del XX è si è proceduto all' aggiornamento del Codice di Comportamento dell'Azienda USL Toscana sud est” in cui “sono riportate specifiche disposizioni relative alla protezione dei dati personali e all'utilizzo dei social”.
2. Esito dell’attività istruttoria.
Preso atto di quanto rappresentato dalla AUSL Toscana Sud Est nella documentazione in atti e nelle memorie difensive, si osserva che:
ai sensi del Regolamento si considerano “dati relativi alla salute” i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute (art. 4, par. 1, n. 15, del Regolamento). Il considerando n. 35 del Regolamento precisa poi che i dati relativi alla salute “comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria”;
ai sensi del Regolamento, i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»)” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»)” (art. 5, par. 1, lett. a) e c) del Regolamento);
i dati devono essere inoltre trattati “in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (principio di “integrità e riservatezza”)” (art. 5, par. 1, lett. f), del Regolamento);
il titolare del trattamento è tenuto a mettere in atto «fin dalla progettazione», ossia sia al momento di determinare i mezzi del trattamento che all’atto del trattamento stesso, «misure tecniche e organizzative adeguate, […] volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati» (privacy by design), garantendo «che siano trattati, per impostazione predefinita» (privacy by default) «solo i dati personali necessari per ogni specifica finalità del trattamento» (art. 25, parr. 1 e 2, del Regolamento);
la disciplina in materia di protezione dei dati personali prevede che le informazioni sullo stato di salute non possano essere diffuse e possano essere comunicate a un soggetto diverso dall’interessato solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso previa delega scritta di quest’ultimo (artt. 2 septies, comma 8 e art. 166, comma 2, del Codice e art. 9 Regolamento);
l’Autorità sin dal 2014, in conformità all’art. 22, c. 8 allora vigente, del Codice, ha rappresentato che “è vietata la pubblicazione di qualsiasi informazione da cui si possa desumere lo stato di malattia o l’esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici. A tale scopo, fin dalla fase di redazione degli atti e dei documenti oggetto di pubblicazione, nel rispetto del principio di adeguata motivazione, non dovrebbero essere inseriti dati personali “eccedenti”, “non pertinenti”, “non indispensabili” (e, tantomeno, “vietati”). In caso contrario, occorre provvedere, comunque, al relativo oscuramento” (cfr. Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati, parte II, par. 1, del 15.5.2014, doc. web n. 3488002);
dalla documentazione prodotta in atti e alla luce anche di quanto indicato nell’ordinanza di archiviazione del procedimento penale avviato sui fatti del ricorso adottata Giudice per le indagini preliminari di Arezzo il XX, si rileva che nel predetto cartellone pubblicitario erano riconoscibili il nome e il cognome del reclamante presenti nella schermata dell’operatore di pronto soccorso ripresa nel cartellone;
la presenza sul richiamato cartellone dei dati anagrafici del reclamante associati alla prestazione sanitaria allo stesso erogata in emergenza integra una diffusione di dati sulla salute dello stesso in quanto, secondo quanto dichiarato in atti, il predetto cartellone era stato situato nel corridoio principale di ingresso dei pazienti in Pronto Soccorso, ovvero in zona accessibile a chiunque;
dalla documentazione in atti, risulta dunque accertato che l’AUSL Toscana Sud Est ha diffuso informazioni sullo stato di salute di un interessato in quanto nel predetto cartellone pubblicitario, ubicato in un luogo accessibile a chiunque, era riconoscibile il nome e il cognome del reclamante su una scheda di pronto soccorso visualizzata sullo schermo dell’operatore ripreso nel predetto cartellone.
3. Conclusioni.
Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Per tali ragioni, si rileva l’illiceità del trattamento di dati personali effettuato dall’AUSL Toscana Sud Est, nei termini di cui in motivazione, in violazione degli artt. 5, par.1, lett. a), c) e f), 9 e 25, parr. 1 e 2, del Regolamento, dell’art. 2 septies, comma 8 del Codice.
In tale quadro, fermo restando che l’AUSL Toscana Sud Est ha dichiarato di aver rimosso il predetto cartellone pubblicitario, non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.
4. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).
La violazione degli artt. 5, par.1, lett. a), c) e f), 9 e 25, parr. 1 e 2, del Regolamento, dell’art. 2 septies, comma 8 del Codice, causata dalla condotta posta in essere dall’AUSL Toscana Sud Est, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 4 e 5, del Regolamento e dell’art. 166, comma 2 del Codice.
Si consideri che il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).
La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 85, par. 2, del Regolamento in relazione ai quali si osserva che:
l’Autorità ha preso conoscenza dell’evento a seguito della notifica di violazione presentata dall’AUSL il XX ai sensi dell’art. 33 del Regolamento e del reclamo presentato dall’interessato a XX (art. 83, par. 2, lett. h), del Regolamento);
la diffusione riguarda i dati anagrafici correlati all’erogazione di una prestazione di pronto soccorso di un interessato presenti su un unico cartellone pubblicitario posto in luogo accessibile al pubblico (art. 83, par. 2, lett. a) e g), del Regolamento);
il predetto cartellone pubblicitario è stato affisso per poche settimane in un locale che, sebbene fosse aperto al pubblico (corridoio principale di ingresso dei pazienti in Pronto Soccorso), stante la concomitanza del periodo pandemico, era destinato al transito dei soli pazienti negativi al Covid-19 e precluso ai loro accompagnatori (art. 83, par. 2, lett. a) e g), del Regolamento);
i fatti oggetto d’esame sono avvenuti in perduranza dello stato di emergenza sanitaria da Covid-19 (art. 83, par. 2, lett. a) e g), del Regolamento);
l’AUSL ha prontamente cooperato al fine di porre rimedio alla violazione rimuovendo il predetto cartellone e diffidando le società coinvolte nella realizzazione dello stesso alla cancellazione dei dati personali del reclamante dandone tempestivamente conto allo stesso (art. 83, par. 2, lett. f) del Regolamento);
l’AUSL ha realizzato corsi di formazione obbligatoria per il personale per l’anno 2022 e previsto un nuovo ciclo formativo per l’anno 2023, e ha effettuato a dicembre 2022 il Corso di Formazione "Il trattamento dei dati -con particolare riferimento alle immagini - nell'Azienda Sanitaria", a cui hanno partecipato numerosi operatori di vari profili (tecnici, amministrativi, sanitari), di cui è in previsione una nuova edizione nel 2023 (art. 83, par. 2, lett. c), del Regolamento);
a seguito dei fatti oggetto d’istruttoria l’AUSL ha predisposto una procedura aziendale che disciplina la previsione di un presidio centralizzato a livello aziendale in ordine alla realizzazione di materiali con utilizzo di immagini su qualunque supporto (cartellonistica, brochure, video, foto, post, etc.) finalizzati alla pubblicazione/divulgazione nell'ambito delle iniziative istituzionali dell'Azienda di informazione, comunicazione, educazione/promozione della salute (art. 83, par. 2, lett. c), del Regolamento);
seppure la AUSL è stata sanzionata per precedenti violazioni della disciplina sul trattamento dei dati personali, le stesse non riguardano la diffusione di dati sulla salute (art. 83, par. 2, lett. e) del Regolamento).
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a), del Regolamento, nella misura di euro 20.000 (ventimila) per la violazione degli artt. 5, par.1, lett. a), c) e f), 9 e 25, parr. 1 e 2, del Regolamento, dell’art. 2 septies, comma 8 del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.
Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e dall’art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
TUTTO CIÒ PREMESSO IL GARANTE
dichiara l’illiceità del trattamento di dati personali effettuato dall’ Azienda Unità Sanitaria Locale Toscana Sud Est per la violazione degli artt. 5, par.1, lett. a), c) e f), 9 e 25, parr. 1 e 2, del Regolamento, dell’art. 2 septies, comma 8 del Codice nei termini di cui in motivazione.
ORDINA
ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento, nonché dell’art. 166 del Codice, all’Azienda Unità Sanitaria Locale Toscana Sud Est, P.I. e C.F. 02236310518, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 20.000 (ventimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.
INGIUNGE
alla predetta Azienda, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 20.000 (ventimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.
DISPONE
ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento.
ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 1° giugno 2023
IL PRESIDENTE
Stanzione
IL RELATORE
Ghiglia
IL SEGRETARIO GENERALE
Mattei
