[doc. web n. 9994882]

Provvedimento dell'8 febbraio 2024

Registro dei provvedimenti
n. 63 dell'8 febbraio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”);

VISTO il d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal vice segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Il reclamo

Con nota del XX la Sig.ra XX ha formulato un reclamo avente ad oggetto la trasmissione, da parte dell’Azienda socio-sanitaria locale n. 1 di Sassari, in data XX (“15:39PM”) di una mail rivolta alla predetta reclamante, ma ad un indirizzo e-mail non appartenente alla stessa. In particolare, la citata mail conteneva il provvedimento (nota protocollo n. XX) con il quale l’Ufficio ricoveri Extra-Regione, Distretto di Sassari dell’Azienda, negava la concessione di benefici economici, quali spese di viaggio e soggiorno, per usufruire di prestazioni sanitarie ai sensi della L. R. n. 26/1991 presso una struttura sanitaria privata extra-regione. Secondo quanto dichiarato e documentato dalla reclamante, il predetto documento conteneva i dati identificativi della stessa, l’indicazione dell’Azienda Ospedaliera presso la quale avrebbe inteso ricevere le cure sanitarie nonché alcune elementi relativi al percorso medico intrapreso e da intraprendere.

Con nota del XX (prot. n. XX), l’Autorità ha richiesto all’Azienda, ai sensi dell’art. 157 del Codice, informazioni utili alla valutazione del caso, inviando tale richiesta all’indirizzo: XX, che risulta essere stata consegnata.

A fronte di tale richiesta di informazioni, tuttavia, non è pervenuto alcun riscontro. Pertanto, l’Ufficio, con nota del XX (prot. n. XX), non avendo l’Azienda ottemperato alla richiesta di fornire gli elementi richiesti dal Garante, ha notificato alla medesima Azienda la violazione dell’art. 157 del Codice, comunicando, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del Regolamento. Unitamente alla citata nota del XX è stata trasmessa nuovamente la richiesta inviata con la precedente nota del XX.

Con nota del XX, l’Azienda ha fornito riscontro alla richiesta di informazioni del XX (successivamente ritrasmessa con nota del XX), inoltrando una nota della Direzione del Distretto di Sassari, dell’Anglona, della Romangia e della Nurra occidentale, con la quale è stato dichiarato che:

- “in data XX la Sig.ra (…) Collaboratore Amministrativo Professionale dell'Ufficio Ricoveri extra Regione del Distretto di Sassari, ha provveduto ad inviare la nota XX sia alla mail della Sig.ra XX (….) che tramite la racc/ar del XX, ritirata dalla stessa in data XX”;

- “si fa presente che per mero errore materiale, la Sig.ra (…), in data XX, ha trasmesso alla mail del Sig.(…), anziché il riscontro della pratica di sua pertinenza, la nota XX del XX, indirizzata alla Sig.ra XX. La stessa, il medesimo giorno, preso atto di quanto sopra esposto, essendo in buona fede ed ignorando di ledere l’altrui diritto, ha correttamente e tempestivamente comunicato al Sig. (…) alle ore 16,57 del XX, l’errato invio dell'allegato, e di conseguenza lo invitava a cancellare la documentazione ricevuta riguardante un altro utente, poiché si trattava di un documento strettamente personale, così come provato e documentato dalla mail del XX che si allega agli atti”;

- “il Distretto Scrivente si scusa per l’inconveniente arrecato alla sig.ra XX, e farà in modo che in futuro casi simili non si ripresentino”.

L’Azienda non ha fornito alcuna argomentazione in ordine al mancato riscontro alla richiesta di informazioni, formulata dall’Autorità, ai sensi dell’art. 157 del Codice, con la nota delXX.

2. Valutazioni del Dipartimento sul trattamento effettuato e notifica della violazione di cui all’art. 166, comma 5 del Codice

In relazione ai fatti sopra descritti, l’Ufficio, con nota del XX (prot. n. XX) ha notificato all’Azienda socio-sanitaria locale n. 1 di Sassari, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitandola a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

In particolare, l’Ufficio, nel predetto atto, ha rappresentato che, sulla base degli elementi in atti, era risultato che l’Azienda trasmettendo documentazione contenente dati sulla salute della signora XX a un soggetto terzo non autorizzato a riceverla, ha effettuato un trattamento di dati sulla salute in violazione dei principi di base del trattamento di cui agli artt. 5 e 9 del Regolamento, nonché degli obblighi in materia di sicurezza di cui all’art. 32 del Regolamento medesimo.

Con nota del XX, l’Azienda ha fatto pervenire le proprie memorie difensive, nelle quali, in particolare, ha evidenziato che:

- “ad integrazione di quanto già comunicato con nota Pec del XX, che il carattere della violazione de quo è esclusivamente di carattere colposo, in quanto il soggetto non ha voluto che si verificasse l’evento. Infatti, la dipendente dell’Ufficio Ricoveri extra Regione invitava tempestivamente l’unico destinatario della missiva a cancellare la documentazione ricevuta riguardante un altro utente, poiché si trattava di un documento strettamente personale, così come provato e documentato dalla mail del XX, allegata con la Pec su indicata. Inoltre, si evidenzia che non vi è prova del fatto che l’utente al quale è stata erroneamente inviata la documentazione abbia effettivamente preso visione della stessa”;

- “l’Azienda, per il tramite del Distretto Socio sanitario di Sassari, per attenuare gli effetti della violazione, ha posto in essere misure tecniche ed organizzative interne, quali informativa agli Uffici Amministrativi del distretto che trattano dati sensibili (…). Ha inoltre interpellato i servizi informativi aziendali, che hanno suggerito un sistema di invio delle comunicazioni, a mezzo mail, con sistema di posta criptato con password di accesso che l’Ufficio Ricoveri extra Regione interessato sta già utilizzando”.

3.  Esito dell’attività istruttoria

Preso atto di quanto rappresentato dall’Azienda nella documentazione in atti, nelle memorie difensive e nell’audizione, si osserva quanto segue:

1. “nell’ambito dei poteri di cui all'articolo 58 del Regolamento, e per l’espletamento dei propri compiti, il Garante può richiedere al titolare, al responsabile, al rappresentante del titolare o del responsabile, all'interessato o anche a terzi di fornire informazioni e di esibire documenti anche con riferimento al contenuto di banche di dati” (art. 157 del Codice);

2. per “dati relativi alla salute” si intendono i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute (art. 4, par. 1, n. 15, del Regolamento). Il Considerando n. 35 del Regolamento precisa poi che i dati relativi alla salute “comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria”;

3. la disciplina in materia di protezione dei dati personali prevede – in ambito sanitario - che le informazioni sullo stato di salute possono essere comunicate a terzi sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso, previa delega scritta di quest’ultimo (art. 9 Regolamento e art. 84 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101);

4. il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di «integrità e riservatezza», secondo il quale i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. f) del Regolamento). L’adeguatezza di tali misure deve essere valutata da parte del titolare del trattamento rispetto alla natura dei dati, all’oggetto, alle finalità del trattamento e al rischio per i diritti e le libertà fondamentali degli interessati, tenendo conto dei rischi che derivano dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso a dati personali trasmessi, conservati o comunque trattati (art. 32, par. 1 e 2 del Regolamento);

5. l’Azienda ha omesso di fornire riscontro alla richiesta di informazioni dell’Autorità del XX e ha effettuato una comunicazione di dati relativi alla salute della sig.ra XX che contrasta con i principi di base del trattamento di cui agli artt. 5 e 9 del Regolamento nonché con gli obblighi in materia di sicurezza di cui all’art. 32 del Regolamento.

4. Conclusioni

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ si rappresenta che gli elementi forniti dall’Azienda nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con il citato atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni si rileva l’illiceità del trattamento di dati personali effettuato dall’Azienda socio-sanitaria locale n. 1 di Sassari, nei termini di cui in motivazione, in particolare, per aver trattato dati personali in violazione dei principi di base del trattamento cui agli artt. 5 e 9 del Regolamento, degli obblighi in materia di sicurezza di cui all’art. 32 del Regolamento nonché dell’art. 157 del Codice.

In tale quadro, considerato che la condotta ha esaurito i suoi effetti, non ricorrono allo stato i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i) e 83 del Regolamento; art. 166, comma 7, del Codice). 

La violazione degli artt. 5, 9 e 32 del Regolamento nonché dell’art. 157 del Codice è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 4 e 5, del Regolamento (cfr. art. 166, comma 2).

Tenuto conto che la violazione degli artt. 5, 9 e 32 del regolamento e dell’art. 157 del Codice ha avuto luogo in conseguenza di un’unica condotta, trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave. Nel caso di specie, la violazione più grave riguarda gli artt. 5, par. 1, lett. f), e 9 del Regolamento e l’art. 157 del Codice, soggetti alla sanzione amministrativa prevista dall’83, par. 5, del Regolamento.

Si consideri che il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2, del Regolamento.

Alla luce di quanto sopra illustrato e, in particolare, della categoria di dati personali interessata dalla violazione, ma anche dell’esiguo numero di soggetti interessati (uno) e del carattere non intenzionale della violazione, si ritiene che il livello di gravità della violazione commessa dalla Azienda sia basso (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60).

Si rappresenta, inoltre, che l’Azienda è già stata destinataria di un provvedimento adottato ai sensi dell’art. 58 del Regolamento per aver effettuato un trattamento di dati personali, in una analoga circostanza, in violazione dei principi di base del trattamento di cui agli artt. 5 e 9 del Regolamento, degli obblighi di cui all’art. 32 del Regolamento (provv. 23 marzo 2023, doc. web n. 9872621). Tuttavia, la citata violazione non può essere qualificata “precedente violazione” ai sensi dell’art. 83, par. 2, lett. e), in quanto il provvedimento che l’ha accertata è stato adottato successivamente alla condotta da cui ha avuto origine l’odierno reclamo.

Ciò premesso, valutati nel loro complesso una serie di elementi e, in particolare, che:

- l’Autorità ha preso conoscenza dell’evento a seguito di un reclamo da parte dell’interessata (art. 83, par. 2, lett.  h) del Regolamento);

- il titolare, al fine di evitare la ripetizione dell’evento occorso, ha introdotto un sistema di posta criptato con password di accesso e ha chiesto al destinatario della mail di cancellare la documentazione ricevuta (art. 83, par. 2, lett. f) e c) del Regolamento);

- la violazione ha riguardato una specifica articolazione interna del titolare del trattamento e non la complessiva organizzazione dello stesso (art. 83, par. 2, lett. k) del Regolamento);

si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5 del Regolamento, nella misura di euro 18.000,00 (diciottomila) per la violazione degli artt. 5, 9 e 32 del Regolamento e dell’art. 157 del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dall’Azienda socio-sanitaria locale n. 1 di Sassari, per la violazione degli artt. 5, 9 e 32 del Regolamento e dell’art. 157 del Codice.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, all’Azienda socio-sanitaria locale n. 1 di Sassari, con sede legale in Sassari, Via Alceo Catalocchino, 9 07100 - C.F./P. IVA 02884000908, di pagare la somma di euro 18.000,00 (diciottomila) a titolo di sanzione amministrativa pecuniaria per la violazione indicata nel presente provvedimento; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla predetta Azienda, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 18.000,00 (diciottomila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 8 febbraio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL VICE SEGRETARIO GENERALE
Filippi