Provvedimento del 24 gennaio 2024 [9990640]
Provvedimento del 24 gennaio 2024 [9990640]
Condividi[doc. web n. 9990640]
Provvedimento del 24 gennaio 2024
Registro dei provvedimenti
n. 39 del 24 gennaio 2024
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del Garante n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;
RELATORE il dott. Agostino Ghiglia;
PREMESSO
1. L’attività istruttoria.
Con note del XX e del XX, l’Ospedale Pediatrico Bambino Gesù, sito in Roma, (di seguito Ospedale pediatrico) ha notificato all’Autorità, ai sensi dell’art. 33 del Regolamento, una violazione di dati personali avvenuta tra il XX e il XX, dichiarando di aver ricevuto, in data XX, alle ore 13:56, una segnalazione con la quale un paziente dichiarava di aver avuto accesso (tramite il portale dedicato “Carta della Salute” https://cartadellasalute.ospedalebambinogesu.it) al referto di un'altra paziente (…), oltre ad aver direttamente rilevato, alle ore 9:34 dello stesso giorno, un’anomalia, “segnalata prontamente al fornitore” Dedalus Italia S.p.a., codice fiscale 05994810488, con sede in Firenze, Via di Collodi n. 6/C – c.a.p. 50141 - PEC: dedalus@legalmail.it (d’ora in avanti la Società) - “individuato formalmente quale Responsabile del Trattamento da parte dell’Ospedale (…)” . Nelle predette comunicazioni l’Ospedale pediatrico ha, altresì, aggiunto che “(…) il giorno XX alle ore 12:01 è pervenuta all’Ospedale una ulteriore segnalazione da parte di un interessato, che indicava la facoltà di accedere ad un referto di altro paziente. L’analisi successiva ha rivelato un errore ulteriore, conseguenza del bug già individuato e corretto in precedenza, relativo ad un numero esiguo di utenti”.
Nel descrivere la violazione, l’Ospedale pediatrico ha fatto presente che questa “è consistita nell’invio, da parte del sistema del fornitore Dedalus Italia S.p.A., al sistema di gestione dati dell’Ospedale (middleware Mirth) di messaggi HL7 di laboratorio contenenti un segmento di informazione riportante un identificativo paziente diverso rispetto al contenuto del messaggio (referto). La propagazione successiva di questi messaggi ha generato un’associazione errata tra referto e paziente negli altri applicativi integrati. L’effetto della suddetta anomalia è l’associazione di un referto, integro e coerente nel suo insieme, ad un paziente sbagliato. Oggetto del malfunzionamento è la componente di integrazione del software Dedalus Dnlab, del fornitore Dedalus Italia S.p.A. (…). All’esito del controllo analitico puntuale relativo ai singoli interessati ed ai referti ad essi relativi, il numero di referti coinvolti che integrano una violazione dei dati personali, ponendo a rischio i diritti e le libertà delle persone fisiche, è pari a 24 (referti)”.
Oltre a descrivere i sistemi, i software, i servizi e le infrastrutture IT coinvolti nella violazione, con indicazione della loro ubicazione, evidenziando che l’insorgenza del bug e la sua eliminazione hanno coinvolto i sistemi forniti dalla Società, responsabile del trattamento, l’Ospedale pediatrico ha illustrato le misure tecniche e organizzative, in essere al momento della violazione, nonché quelle adottate per porre rimedio alla violazione e ridurre gli effetti negativi per gli interessati.
Al fine di prevenire, in futuro, violazioni analoghe, il sopracitato Ospedale pediatrico, titolare del trattamento, ha, fra altro, richiesto “al fornitore di inserire un test esplicito di "non-regression" per le evoluzioni future del software, in modo da evitare che la casistica di errore informatico individuata (…) possa ripetersi in futuro”.
In relazione a quanto rappresentato, l’Ufficio, con nota del XX (prot. n. XX), ha chiesto ulteriori informazioni e chiarimenti, ai sensi dell’art. 157 del Codice, al titolare del trattamento il quale, con nota del XX (prot. n. XX), ha fornito riscontro, dichiarando, fra altro, che:
- “(…) non sono stati rilevati, successivamente alla data del XX, ulteriori referti che potessero generare un rischio per i diritti e le libertà delle persone fisiche”;
- “Le misure adottate per porre rimedio alla violazione dei dati personali e anche per attenuarne i possibili effetti negativi, hanno concretamente scongiurato la possibilità di verificarsi di eventi analoghi a quello in oggetto, poiché non è stato evidenziato né il ripresentarsi del bug precedentemente risolto, né di un analogo nuovo vulnus del sistema. Inoltre, le azioni poste in essere dall’Ospedale in via definitiva, hanno permesso di standardizzare metodiche di analisi ancor più di dettaglio, utilizzate anche per le fasi di test periodico e di analisi “a campione”, al fine di verificare la coerenza dei sistemi e la produzione dei referti nel tempo. Ad ogni modo, si rimarca come effettuata la segnalazione al Fornitore del sistema, lo stesso abbia provveduto ad apportare i dovuti correttivi e le verifiche effettuate, sia in ambiente di test sia di produzione hanno confermato come non possano più verificarsi analoghi episodi”;
- “(…) L’evento occorso, alla luce di quanto illustrato, ha determinato effetti (…) per un arco temporale limitato, ossia nel periodo compreso tra il XX e il XX”;
- “(…) n. 6 persone (c.d. «Visualizzati») hanno subito una perdita di riservatezza, in quanto uno o più dei propri referti sono stati esposti a persone non autorizzate; n. 6 persone (c.d. «Visualizzatori») hanno avuto accesso a referti di altri interessati in modo erroneo, generando una perdita di riservatezza; n. 8 persone hanno avuto un problema di probabile indisponibilità (una di esse faceva anche parte del gruppo «Visualizzatori»), il referto richiesto non era disponibile, pertanto hanno registrato un malfunzionamento e una difficoltà nell’utilizzo del servizio”;
- “l’Ospedale al fine di ottemperare compiutamente a quanto previsto dall’Articolo 34 del RGPD, ha predisposto e comunicato a mezzo posta la violazione agli interessati senza ingiustificato ritardo, trasmettendo due tipologie di comunicazioni entro il XX” e “(…) ha provveduto, come ulteriore misura, a contattare telefonicamente i soggetti Visualizzatori nella suddetta attività di cancellazione, tramite un team multidisciplinare costituito per fornire supporto, ove richiesto, anche da un punto di vista informatico agli interessati”;
- “(…) non sono pervenute, fino alla data odierna, ulteriori segnalazioni da parte degli interessati”.
Il titolare del trattamento, ha allegato, altresì, gli atti di nomina della Società a responsabile del trattamento, relativi ai contratti di servizio con quest’ultimo stipulati.
Alla luce di quanto sopra riportato, con nota del XX (prot. n. XX), l’Ufficio ha richiesto informazioni, ai sensi dell’art. 157 del Codice, alla Società, responsabile del trattamento, la quale, con nota del XX, ha risposto all’Autorità dichiarando, fra altro:
“Quanto a “la descrizione di dettaglio del bug”, esso ha riguardato la soluzione DNLAB (“DNLAB”), fornita dalla Società all’Ospedale Pediatrico Bambin Gesù (“OPBG”), ed è consistito nell’invio al sistema di gestione dati dello stesso OPBG, cioè il middleware Mirth, di messaggi HL7 di laboratorio contenenti un segmento d’informazione riportante un identificativo paziente diverso rispetto al contenuto del messaggio, cioè il referto delle analisi. La propagazione successiva di questi messaggi ha generato un’associazione errata tra referto e paziente negli altri applicativi integrati. Il problema era legato a un errore nel codice custom dell’integrazione, manifestatosi a fronte di una sovrapposizione dei contatori incrementali delle tabelle “Seqreferti” e “Seqrichiesta”. Il grafico di cui alla Fig. 1 riporta l’andamento storico di tali due valori, la cui sovrapposizione si è verificata il 9 giugno u.s.”.
La Società ha, poi, illustrato, anche attraverso alcuni grafici (“Andamento storico dell’assegnazione dei valori alle sequence “Seqreferti” e “Seqrichiesta”; Confronto dei valori “Seqreferti” e “Seqrichiesta” tra le ore 8:04:23 e le ore 8:06:53 del 9 giugno u.s.”) gli aspetti tecnici della dinamica della determinazione del bug, nonché dichiarato che “con riguardo a DNLAB non era e non è contrattualmente prevista “la realizzazione di test periodici di vulnerability assessment”. Né, al di là dell’assenza di un obbligo contrattuale in tale senso, la Società sarebbe stata in grado di svolgere autonomamente tali attività di vulnerability assessment, poiché DNLAB risiede interamente sull’ambiente di produzione di OPBG”.
2. Valutazioni del Dipartimento sul trattamento effettuato e notifica della violazione di cui all’art. 166, comma 5, del Codice
Sulla base di quanto sopra rappresentato, questo Ufficio - con atto del XX (prot. XX) che qui deve intendersi riprodotto - ha effettuato alla Società, quale responsabile del trattamento, una notifica di violazione di cui all’art. 166, comma 5, del Codice in quanto è stato rilevato che n. 24 referti sono stati oggetto di un malfunzionamento del sistema – in termini di perdita di riservatezza e di indisponibilità - a causa di un bug verificatosi nella soluzione DNLAB (“DNLAB”) fornita dalla Società - responsabile del trattamento – all’Ospedale pediatrico che ha determinato un trattamento di dati personali effettuato in violazione dell’art. 5, par. 1, lett. f), 9 e 32 del Regolamento.
Con nota inviata in data XX, la Società ha fatto pervenire le proprie memorie difensive nell’ambito delle quali ha evidenziato, fra altro, che:
“relativamente agli addebiti mossi nella Notifica nei confronti della Società, consistenti nell’asserita mancata attuazione da parte della Società di misure di sicurezza, ci si riporta a quanto precisato dalla stessa Società nella propria precedente nota del 15 maggio u.s., cioè che: con riguardo a DNLAB non era e non è contrattualmente prevista tra la Società e OPBG la realizzazione di test periodici di vulnerability assessment; (…) al di là dell’assenza di un obbligo contrattuale in tale senso, la Società non sarebbe stata comunque in grado di svolgere autonomamente tali attività di vulnerability assessment, poiché DNLAB risiede interamente sull’ambiente di produzione di OPBG. Tali argomenti, (…) dimostrano come nessuna infrazione degli obblighi di cui all’art. 32 del Regolamento e quindi del principio di cui all’art. 5, par. 1, lett. f) del Regolamento stesso sia imputabile alla Società, che si trovava nell’impossibilità non solo giuridica, ma anche e soprattutto materiale, d’implementare autonomamente delle attività di vulnerability assessment sul Sistema atte a prevenire e/o mitigare il rischio di Data Breach. Tali misure erano giuridicamente e materialmente implementabili dal solo OPBG, sì che non può imputarsi alla Società una condotta omissiva inerente all’asserita mancata implementazione di misure di sicurezza, non rientranti nel perimetro di responsabilità e controllo della Società medesima. Stante quanto sopra, si ritiene che la Società non abbia violato le previsioni del Regolamento”;
“Il Data Breach è derivato da un evento accidentale, la cui gravità è stata limitata a fronte degli interventi effettuati da OPBG e – per quanto di propria competenza – dalla Società. Esso ha avuto una durata limitata nel tempo e, quanto al numero d’interessati coinvolti, lo stesso, pari a poche unità, è estremamente limitato rispetto al numero di pazienti gestiti da OPBG. L’asserita violazione riveste se del caso e al più carattere colposo, in quanto appunto derivante da un evento accidentale”;
“(…) Sin dalla rilevazione del Data Breach, Dedalus ha prestato la più ampia cooperazione per rimediare all’evento stesso e attenuarne i possibili effetti negativi (…) A seguito della comunicazione del Data Breach da parte di OPBG, Dedalus ha attivato tutte le misure afferenti al proprio perimetro di competenza e in particolare, a seguito dell’isolamento del bug individuato sul Sistema, ha tempestivamente proceduto all’analisi dello stesso e a rimuoverlo già in data XX. Tali azioni sono peraltro idonee a evitare il ripetersi d’incidenti analoghi in futuro”;
“Non risultano specifici provvedimenti correttivi già adottati da codesta spettabile Autorità con riferimento alla specifica violazione contestata”;
“(…) in dipendenza (…) del (data breach), dovuto a circostanze fortuite, infelici e del tutto episodiche, la Società non ha conseguito benefici, né evitato perdite a fronte dello stesso”.
La Società ha, in ultimo, richiesto di archiviare il procedimento in oggetto o, in subordine, di applicare una sanzione di minore rigore, quale l’ammonimento, in sostituzione della sanzione pecuniaria.
3. Esito dell’attività istruttoria
Preso atto di quanto rappresentato nella documentazione in atti, si osserva che:
- per “dati relativi alla salute” si intendono “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, n. 15 del Regolamento). I dati personali relativi alla salute meritano una maggiore protezione dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali (Cons. n. 51);
- ai sensi dell’art. 28 del Regolamento, il titolare può affidare un trattamento anche a terzi soggetti che presentino garanzie sufficienti sulla messa in atto di misure tecniche e organizzative idonee a garantire che il trattamento sia conforme alla disciplina in materia di protezione dei dati personali (“responsabili del trattamento”). In tale vicenda, risulta, dagli atti, che l’Ospedale pediatrico, titolare del trattamento, si avvale dei servizi offerti dalla Società in qualità di responsabile del trattamento;
- la disciplina in materia di protezione dei dati personali stabilisce che i medesimi dati devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (principio di “integrità e riservatezza”)” (art. 5, par. 1, lett. f) del Regolamento);
- il titolare e, con esso, anche il responsabile del trattamento, sono chiamati a porre in essere “misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio” tenendo conto, tra l’altro, “della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (art. 32 par. 1, del Regolamento);
- in particolare il titolare e il responsabile del trattamento pongono in essere misure tecniche e organizzative che comprendano, tra le altre, se del caso, (…) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento (e) (…) una procedura per testare, verificare e valutare regolarmente l'efficacia (…) (di tali misure) al fine di garantire la sicurezza del trattamento” (art. 32, par. 1, lett. b) e d));
- per quanto attiene, specificamente, all’ambito sanitario, si evidenzia che la disciplina in materia di protezione dei dati personali prevede che le informazioni sullo stato di salute possano essere comunicate unicamente all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso previa delega scritta di quest’ultimo (art. 9 Regolamento);
- il bug operante nella soluzione “Dnlab” fornita dalla Società Dedalus S.p.a., responsabile del trattamento determinando l’invio, al sistema di gestione dati del titolare, di messaggi HL7 di laboratorio contenenti un segmento d’informazione riportante un identificativo paziente diverso rispetto al contenuto del referto, ha comportato l’accessibilità dei referti di n. 6 pazienti ad altri pazienti non autorizzati e l’indisponibilità di propri referti a n. 8 pazienti;
- con riferimento all’argomentazione difensiva per la quale la funzionalità della sopra citata soluzione “Dnlab” fornita dalla Società all’Ospedale pediatrico, “risiede interamente sull’ambiente di produzione di OPBG”, si osserva che proprio in considerazione della interconnessa funzione di tale programma con il sistema di gestione dati dell’Ospedale (middleware Mirth), la Società medesima, a fronte degli obblighi in materia di sicurezza, sopra richiamati, gravanti anche sul responsabile del trattamento, nonché della competenza tecnica di quest’ultimo - in ragione della quale l’Ospedale pediatrico ha inteso ricorrere allo stesso ai sensi dell’art. 28 del Regolamento –avrebbe dovuto prevedere, tenendo conto, tra l’altro, “della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (art. 32 par. 1, del Regolamento) adeguate misure di sicurezza e l’attuazione delle stesse ivi comprese le relative verifiche periodiche di tali misure, art. 32 per. 1, lett. b) e d) del Regolamento per assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi. In tal senso, l’art. 28 del Regolamento stabilisce che l’atto regolante il rapporto tra il titolare e il responsabile preveda che il responsabile adotti tutte le misure richieste ai sensi dell’art. 32 del Regolamento medesimo (cfr. Atto di nomina a responsabile del trattamento, tra l’Ospedale pediatrico e la Società, del XX, prot. XX, par. 3 – Prescrizioni a carico del Responsabile”, lett. d) e f));
- inoltre, si considera che l’episodio occorso si è verificato tra il XX e il XX e, pertanto, in un arco temporale limitato; non sono stati presentati reclami o segnalazioni all’Autorità e, da quanto dichiarato dal titolare, non sono emerse “ulteriori conseguenze per gli interessati e i dati illegittimamente visionati non sono stati utilizzati per altri scopi o diffusi, né risultano esservi evidenze di ripercussioni consistenti in un danno fisico, materiale o immateriale agli interessati”; rispetto alla vicenda non emerge alcun comportamento doloso; il responsabile ha agito prontamente per attenuare gli effetti della violazione e nella risoluzione del problema.
4. Conclusioni.
Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dalla Società nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti dal responsabile del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Per tali ragioni, la Società, quale responsabile del trattamento, con riferimento alla “componente di integrazione del software Dedalus Dnlab” fornita all’Ospedale pediatrico - dalla quale ha avuto origine il bug - non prevedendo adeguate misure di sicurezza e l’attuazione delle stesse, ivi comprese le relative verifiche periodiche, ha effettuato un trattamento di dati personali:
- in maniera non conforme al principio di “integrità e riservatezza” in violazione dell’art. 5, par. 1, lett. f), del Regolamento;
- omettendo di mettere in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, in grado di garantire la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento, nonché una procedura per testare, verificare e valutare regolarmente l'efficacia di tali misure al fine di garantire la sicurezza del trattamento (art. 32, par. 1, lett. b) e d));
- determinando una comunicazione di dati relativi alla salute di n. 6 pazienti a sei soggetti terzi non autorizzati a riceverli, in assenza di un idoneo presupposto giuridico e, quindi, in violazione dell’art. 9 del Regolamento.
In tale quadro, considerato che sono state adottate misure volte a superare la vulnerabilità sopra descritta e provveduto a chiedere ai destinatari dei referti, oggetto di violazione, la distruzione di tali referti, non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.
5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).
La violazione degli artt. 5, par. 1, lett. f), 9 e 32 del Regolamento, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 4 e 5, del Regolamento.
Tenuto conto che la violazione delle norme sopra citate ha avuto luogo in conseguenza di un’unica condotta, trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave. Considerato che, nel caso di specie, la violazione più grave riguarda l’inosservanza dell’art. 9 del Regolamento, soggetta alla sanzione amministrativa prevista dall’83, par. 5, del Regolamento, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000 o, per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore.
Si consideri che il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).
La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento alla luce degli elementi previsti all’art. 83, par. 2, del Regolamento.
Alla luce di quanto sopra illustrato, al fine di valutare la gravità della violazione (art. 83, par. 2, lett. a), b), g)) si tiene conto, in particolare, della categoria dei dati personali trattati (relativi alla salute), della durata della violazione (4 giorni), del numero degli interessati (n. 6 con riferimento alla comunicazione di dati e n. 8 con riferimento alla perdita di disponibilità dei dati personali), dell’assenza di dolo, dell’assenza di rimostranze circa eventuali danni subiti dagli interessati; alla luce di ciò si ritiene che il livello di gravità della violazione commessa dalla Società sia medio (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60).
Si considerano, altresì, ai sensi dell’art. 83, par. 2, del Regolamento che l’Autorità ha preso conoscenza dell’evento a seguito della notifica di violazione da parte dell’Ospedale pediatrico (art. 83, par. 2, lett. h), del Regolamento) e che il responsabile ha subito un precedente procedimento riguardante una violazione pertinente (cfr. provv. del 23 marzo 2023, n. 86, doc. web n. 9883731)(art. 83, par. 2, lett. e) del Regolamento).
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a), del Regolamento, nella misura di euro 8.000,00 (ottomila) per la violazione degli artt. 5, par. 1, lett. f), 9 e 32 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.
Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e dall’art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
TUTTO CIÒ PREMESSO IL GARANTE
dichiara l’illiceità del trattamento di dati personali effettuato da Dedalus Italia S.p.a., codice fiscale 05994810488, con sede in Firenze, Via di Collodi n. 6/C, per la violazione degli artt. 5, par. 1, lett. f), 9 e 32 del Regolamento nei termini di cui in motivazione
ORDINA
ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento, nonché dell’art. 166 del Codice, a Dedalus Italia S.p.a, di pagare la somma di euro 8.000,00 (ottomila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.
INGIUNGE
a Dedalus Italia S.p.a, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 8.000,00 (ottomila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.
DISPONE
ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento.
Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 24 gennaio 2024
IL PRESIDENTE
Stanzione
IL RELATORE
Ghiglia
IL SEGRETARIO GENERALE
Mattei
