[doc. web n. 9941795]

Provvedimento del 14 settembre 2023

Registro dei provvedimenti
n. 419 del 14 settembre 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Introduzione.

Il dott. XX, ha rappresentato a questa Autorità di aver esercitato i diritti di cui agli artt. da 15 a 22 del Regolamento (UE) 2016/679 (di seguito, il “Regolamento”) nei confronti dell’Azienda Sanitaria dell’Alto Adige (di seguito “Azienda”), presso cui presta la propria attività lavorativa, in qualità di dirigente medico e di non avere ricevuto un idoneo riscontro.

In particolare il reclamante, essendo stato sospeso dall’esercizio della professione per mancata sottoposizione alla vaccinazione anti Sars-Cov-2 ed avendo la vicenda avuto un’ampia risonanza sulla stampa locale, aveva esercitato i diritti di cui agli artt. 15, 16, 17 e 19 del Regolamento nei confronti dell’Azienda al fine di acquisire elementi circa la liceità e correttezza dei trattamenti dei propri dati personali effettuati dall’Azienda stessa nell’ambito delle attività di accertamento di cui all’art. 4 del d.l. 1° aprile 2021, n. 44, in materia di “Obblighi vaccinali per gli esercenti le professioni sanitarie e gli operatori di interesse sanitario”, senza tuttavia ricevere il dovuto riscontro.

Con nota prot. n. XX, del XX, questa Autorità, ai sensi dell’art. 15 del Regolamento n. 1/2019, concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali (doc. web n. 9107633), ha invitato l’Azienda, quale titolare del trattamento, ad aderire alla richiesta di esercizio dei diritti presentata dall’interessato, fornendo riscontro allo stesso e chiedendo di informare l’Autorità circa le determinazioni adottate.

2. L’attività istruttoria.

In data XX, l’Azienda ha trasmesso al Garante la nota prot. n. XX con la quale ha fornito riscontro all’interessato. Nella predetta nota l’Azienda nello scusarsi con l’interessato per quanto occorso, ha inteso preliminarmente chiarire che il “tardivo riscontro” sarebbe stato provocato da “un disguido organizzativo interno” in quanto “l’istanza non era stata inoltrata alla cabina di regia privacy dell’Azienda sanitaria, cabina di regia competente a gestire siffatte istanze, così come si evince da quanto pubblicato sulla […] Home page e relativa documentazione all’uopo predisposta ai fini dell’esercizio dei diritti di cui sopra”.

L’Azienda ha altresì inteso chiarire quanto segue:

- “l’Azienda Sanitaria ha messo a disposizione dei dipendenti nell’apposita pagina intranet aziendale privacy, l’informativa in materia di “Gestione Dell’articolo 4 Del Decreto Legge 44/2021 In Materia Di Vaccinazione Dei Dipendenti”, informativa che, a seguito dell’aggiornamento dell’art. 4, è stata rimossa visto il ruolo attribuito dalla normativa attuale agli ordini professionali”;

- “nella stessa era indicato che l’Azienda Sanitaria dell’Alto Adige, nella sua qualità di Titolare del trattamento dei dati personali informa i propri Collaboratori esercenti le professioni sanitarie o di interesse sanitario sulle modalità con cui tali informazioni sono oggetto di trattamento per dare seguito all’obbligo vaccinale previsto dall’articolo 4 del Decreto-legge 44/2021. Tale articolo prevede lo svolgimento di specifiche attività di trattamento di dati da parte dei seguenti soggetti, ognuno dei quali è autonomo Titolare del trattamento […]”;

- “nel caso di specie ci risulta che il Dipartimento di prevenzione con Prot. nr. XX aveva provveduto a comunicare l’atto di accertamento dell’inosservanza dell’obbligo vaccinale [all’interessato] nonché, così come previsto dalla normativa allora vigente, all'Ordine Professionale e al Suo datore di lavoro. L'Azienda sanitaria stessa, attraverso il Direttore di Comprensorio ha provveduto con prot. Nr. XX a comunicar[e all’interessato] la sospensione dal servizio e dalla retribuzione. La comunicazione così come risulta dagli atti è stata, per le attività di competenza, comunicata anche al coordinatore sanitario del Comprensorio in cui svolgeva la Sua attività nonché all’ufficio assunzioni e stato giuridico e all’ufficio trattamento economico e trasmissione dati”;

- “in merito alla richiesta dell’interessato di ottenere la “rettifica dei dati personali inesatti che lo riguardano […]”, è stato precisato che “si evidenzia che il diritto non può essere esercitato, in quanto, dagli accertamenti effettuati il Dipartimento di prevenzione ha riferito che Lei non abbia sino ad oggi prodotto documentazione idonea a giustificazione della Sua mancata vaccinazione, presupposto indispensabile per operare la rettifica richiesta” e “di non poter accogliere la richiesta di cancellazione di qualsiasi […] dat [o] personali diffusi senza il consenso del [l’interessato]” atteso che “l'Azienda sanitaria non provvede in alcun caso a trattare, ai sensi dell’articolo 6 del GDPR, i dati personali dei propri dipendenti sulla base dell'acquisizione di un previo consenso ma di diversa base giuridica”, ossia, con riguardo al caso di specie, il richiamato quadro normativo di settore”.

Con nota del XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato all’Azienda, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto la violazione dell’art. 12, par. 3, del Regolamento, invitando la predetta Azienda a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).

Al riguardo, l’Azienda non ha tuttavia fatto pervenire al Garante le proprie memorie difensive.

3. Esito dell’attività istruttoria. La liceità del trattamento.

Gli artt. da 15 a 22 del Regolamento attribuiscono all’interessato il diritto di chiedere al titolare del trattamento l'accesso ai dati personali e, al ricorrere dei relativi presupposti, la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguarda o di opporsi al loro trattamento, nonché il diritto alla portabilità dei dati. L’art. 12, par. 3, del Regolamento stabilisce, inoltre, che il titolare del trattamento deve dare riscontro alla richiesta dell’interessato senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della stessa.

Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste, fermo restando che l’interessato deve essere informato di tale eventuale proroga. Se non ottempera alla richiesta dell'interessato, il titolare del trattamento deve, in ogni caso, informare l'interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell'inottemperanza e della possibilità di proporre reclamo a un'autorità di controllo e di proporre ricorso giurisdizionale (cons. 59 e art. 12, par. 4, del Regolamento).

Si osserva in ogni caso che l’art. 17, par. 1, lett. a) e d), del Regolamento, prevede che “l'interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l'obbligo di cancellare senza ingiustificato ritardo i dati personali”, allorquando “i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati” o “i dati personali sono stati trattati illecitamente”.

In relazione al caso di specie, con riguardo al trattamento dei dati personali relativi alla vaccinazione dei dipendenti nel contesto sanitario - nel quadro della situazione epidemiologica del periodo in cui i fatti oggetto del reclamo si riferiscono - il legislatore è intervenuto con l’art. 4 del d.l. 1° aprile 2021, n. 44 stabilendo che la vaccinazione costituisce “requisito essenziale per l'esercizio della professione e per lo svolgimento delle prestazioni lavorative” per gli esercenti le professioni sanitarie e gli operatori di interesse sanitario, disciplinando un complesso sistema di verifica dell’avvenuta vaccinazione che ha coinvolto diversi soggetti istituzionali e previsto flussi di dati tra gli stessi.

In particolare, il predetto art. 4, nel testo anteriore alle modifiche del d. l. 26 novembre 2021, n. 172 (“Misure urgenti per il contenimento dell'epidemia da COVID-19 e per lo svolgimento in sicurezza delle attività economiche e sociali”), applicabile al caso di specie, prevedeva la trasmissione da parte di ciascun Ordine professionale, dell'elenco degli iscritti - con l'indicazione del luogo di rispettiva residenza - alla regione o alla provincia autonoma di rispettiva competenza, al fine della verifica “per il tramite dei servizi informativi vaccinali” dello stato vaccinale di ciascun soggetto rientrante nell’elenco. Ugualmente l’art. 4 stabiliva che ciascun datore di lavoro trasmettesse l’elenco dei propri dipendenti con la qualifica di operatore sanitario, con l’indicazione del luogo di residenza, alla regione e alla provincia autonoma di rispettiva competenza. Successivamente la regione o la provincia, nel rispetto delle disposizioni in materia di protezione dei dati personali, segnalavano immediatamente all’azienda sanitaria locale territorialmente competente (ossia quella di residenza dell’interessato) i nominativi dei soggetti che non risultavano vaccinati. Conseguentemente l’azienda sanitaria locale di residenza, a seguito di puntuali verifiche e nei soli confronti degli interessati rispetto ai quali era stata accertata in concreto l’assenza del predetto requisito professionale, ne dava immediata comunicazione all’interessato, al datore di lavoro e all’Ordine professionale di appartenenza determinando, con l’adozione dell’atto di accertamento, la sospensione dall’attività lavorativa dell’interessato. Infine l’Ordine professionale di appartenenza comunicava immediatamente la sospensione anche al datore di lavoro, assolvendo gli obblighi di pubblicità sul relativo albo professionale (cfr. art. 4, commi 5 e 6).

Al riguardo occorre evidenziare che il diritto di accesso è attribuito all’interessato “per essere consapevole del trattamento e verificarne la liceità” (Cons. n. 63 del Regolamento; v. sul punto, in particolare, un recente provvedimento del Garante in ambito lavorativo, provv. n. 98 del 24 marzo 2022 doc web n. 9763051).

In base alla costante giurisprudenza di legittimità, peraltro, il diritto di accesso ai propri dati personali, anche nell’ambito del rapporto di lavoro, mira a “garantire, la tutela della dignità e riservatezza del soggetto interessato cui l’ordinamento sovranazionale accorda altresì il diritto alla verifica [della liceità e correttezza del trattamento] ratione temporis dell’avvenuto inserimento, della permanenza ovvero della rimozione di dati, indipendentemente dalla circostanza che tali eventi fossero già stati portati per altra via a conoscenza dell’interessato” (v. Corte di Cass. 14 dicembre 2018, n. 32533).

Sebbene l’Azienda abbia dichiarato che i trattamenti di dati personali riferiti all’interessato siano stati posti in essere nel quadro delle richiamate disposizioni di settore (cfr., art. 4, del d.l. 1° aprile 2021, n. 44, nel testo anteriore alle modifiche del d. l. 26 novembre 2021, n. 172, nonché art. 8, comma 2, d.l. 24 marzo 2022, n. 24 che ha mantenuto per tali categorie di lavoratori l’obbligo della vaccinazione fino al 31 dicembre 2022) – aspetti che non sono comunque oggetto di valutazione nel presente provvedimento - risulta tuttavia in atti che, ancorché per un mero disguido verificatosi sul piano organizzativo, l’Azienda ha dato seguito alla richiesta del reclamante del XX, solo in data XX e, quindi, ben oltre il termine di un mese previsto dalla disposizione e soltanto a seguito dell’invito formulato da questa Autorità.

Pertanto, sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria risulta accertato che l’Azienda, seppure per ragioni contingenti, non ha fornito tempestivamente riscontro all’interessato nei termini e nei modi previsti dal Regolamento (cfr. Cons. 59 e art. 12 del Regolamento).

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dall’Azienda nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Azienda, per non aver tempestivamente dato corso alla richiesta di esercizio dei diritti effettuata dall’interessato in data XX, avendo provveduto a fornire il dovuto riscontro ben oltre il termine di un mese previsto da tale disposizione e soltanto a seguito dell’invito formulato da questa Autorità, in violazione dell’art. 12, par. 3, del Regolamento.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

In relazione ai predetti elementi è stata considerata la particolare delicatezza del dato trattato relativo alla mancata vaccinazione del reclamante, con conseguente sospensione dal servizio dello stesso. Si è tenuto inoltre in debita considerazione il nocumento subito dall’interessato a seguito della vasta risonanza sulla stampa locale della notizia. In particolare, con il mancato tempestivo riscontro all’esercizio dei diritti, avvenuto solo a seguito dell’intervento da parte del Garante, l’Azienda non ha agevolato, nel rispetto del principio di accountability, l’esercizio di tali diritti necessario al fine di rendere gli interessati consapevoli del trattamento e poterne verificare la liceità.

Di contro, si è tenuto in considerazione che l’episodio ha riguardato un solo interessato ed è stato determinato da un disguido sul piano organizzativo;    la vicenda si è verificata in una fase ancora particolarmente concitata e critica anche sul piano dell’organizzazione e gestione delle attività istituzionali, nel contesto emergenziale; seppur tardivamente l’Azienda ha comunque fornito le dovute informazioni all’interessato in merito ai trattamenti che lo riguardavano ed esplicitando le ragioni per le quali talune richieste non potessero essere accolte. Le precedenti violazioni commesse dal titolare del trattamento ai sensi dell’art.58 del Regolamento non possono essere considerate precedenti specifici “relativamente allo stesso oggetto” (art. 83, par. 2, lett. i) del Regolamento) rispetto al caso di specie.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 10.000 (diecimila) per la violazione dell’art.12, par.3 quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, paragrafo 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Tenuto conto della risonanza che la vicenda ha avuto sulla stampa locale e considerato che il trattamento ha riguardato dati particolarmente delicati, quale quello della mancata vaccinazione da parte del reclamante, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dall’Azienda Sanitaria dell’Alto Adige per violazione dell’art.12, par.3 del Regolamento nei termini di cui in motivazione;

ORDINA

all’Azienda Sanitaria dell'Alto Adige - Suedtiroler Sanitaetsbetrieb in persona del legale rappresentante pro tempore, con sede legale in Via Thomas Alva Edison 10 D - 39100 Bolzano/Bozen (BZ) Codice Fiscale 00773750211 di pagare la somma di euro 10.000 (diecimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Azienda, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 10.000 (diecimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione del presente provvedimento sul sito web del Garante, ritenendo che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 14 settembre 2023

IL VICEPRESIDENTE
Cerrina Feroni

IL RELATORE

IL VICE SEGRETARIO GENERALE
Filippi