[doc. web n. 1503484]

Ordinanza ingiunzione nei confronti di Aesculapius s.r.l. - 17 gennaio 2008

Registro delle deliberazioni
Del. n. 3 del 17 gennaio 2008

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

ORDINANZA INGIUNZIONE

NELLA riunione odierna, alla presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Giovanni Buttarelli, segretario generale;

ESAMINATO il rapporto del Comando nucleo speciale funzione pubblica e privacy della Guardia di finanza predisposto ai sensi dell´art. 17 della legge 24 novembre 1981, n. 689, relativo al verbale di contestazione per violazione amministrativa redatto in data 19 ottobre 2005 nei confronti di Aesculapius s.r.l. con sede in Foggia, via Napoli n. 71, in persona del legale rappresentante pro-tempore, per violazione dell´articolo 37 del Codice in materia di protezione dei dati personali (di seguito denominato Codice);

RILEVATO che il predetto Comando, in attuazione della richiesta di informazioni ex art. 157 del Codice (n. 17101 datata 22 settembre 2005) e su specifica delega di questa Autorità (n. 17237 del 26 settembre 2005), ha svolto accertamenti di cui al verbale di operazioni compiute del 19 ottobre 2005 dai quali è risultato che la predetta società effettua, in qualità di titolare, trattamenti di dati personali previsti dall´art. 37, comma 1, lett. a) e b) del Codice da epoca anteriore al 1° gennaio 2004; considerato, altresì, che la società ha effettuato la notificazione al Garante nelle forme previste dagli artt. 37 e 38 del Codice solo in data 11 maggio 2006 e, quindi, oltre il termine del 30 aprile 2004 previsto dall´art. 181, comma 1, lett. c) del Codice;

VISTO il verbale n. 188 del 19 ottobre 2005 con cui si è contestata alla predetta società la violazione prevista dall´art. 163 del Codice in relazione all´art. 37, informandola della facoltà di effettuare il pagamento in misura ridotta ai sensi dell´art. 16 della legge n. 689/1981;

RILEVATO dal predetto rapporto che non risulta essere stato effettuato il pagamento in misura ridotta;

VISTO lo scritto difensivo del 2 novembre 2005 inviato ai sensi dell´art. 18 della legge n. 689/1981 con il quale la società ha ribadito di non aver provveduto alla notificazione al Garante ai sensi dell´art. 37 del Codice, avendola già effettuata in precedenza solo in data 31 marzo 1998, ma ai sensi dell´art. 7 della legge n. 675/1996; rilevato che la società ha sviluppato, tra l´altro, le seguenti deduzioni:
a) ai pazienti vengono consegnate le analisi cliniche sul siero in forma cifrata, ovvero senza alcun commento o diagnosi; pertanto, i dati forniti non potrebbero a suo avviso essere considerati idonei a definire lo stato di salute poiché richiederebbero un´ulteriore elaborazione da parte del medico;

b) la società, considerata l´asserita incertezza generatasi sull´obbligo di notificazione nonostante le consulenze e i pareri forniti dalle associazioni di categoria tra le quali in particolare l´Anisap,  ha ritenuto di non ottemperare in "totale buona fede";

VISTA la richiesta di audizione, formulata dalla società ai sensi dell´art. 18 della legge n. 689/1981;

VISTA la nota di convocazione per audizione ai sensi dell´art. 18 della legge n. 689/1981, n. 20212 del 17 novembre 2005, inviata dal Garante a mezzo fax in data 24 novembre 2005 e regolarmente pervenuta;

VISTO il verbale di audizione delle parti datato 1° dicembre 2005 nel quale la società ha ribadito quanto lamentato nello scritto difensivo;

RITENUTO che le argomentazioni addotte dalla società non risultano idonee in relazione alla contestazione della violazione amministrativa per omessa notificazione nei termini, con cui si è dato avvio al procedimento, in quanto:

a) l´art 37, comma 1, lett. a) prevede che debbano essere notificati i trattamenti di "dati genetici, biometrici...", mentre la lett. b) prevede che debbano essere notificati i trattamenti di "dati idonei a rilevare lo stato di salute e la vita sessuale trattati", rispettivamente, "a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria". Dagli accertamenti svolti è emerso, ed è stato oggetto di espressa dichiarazione della società, che l´Aesculapius s.r.l. "tratta (...) dati biometrici, dati genetici e dati idonei a rivelare lo stato di salute dei soggetti. (...) vengono anche trattati dati idonei a identificare malattie ereditarie, dati relativi alla procreazione, dati idonei a rivelare la gravità o il decorso del quadro clinico delle patologie genetiche." I dati relativi alle risultanze delle analisi cliniche sono dati personali idonei a rivelare lo stato di salute e rientrano, quindi, nella categoria dei dati sensibili secondo la definizione di cui all´art. 4, comma 1, lett. d) del Codice. Inoltre , ai sensi dell´art. 4, comma 1, lett. a) del Codice per "trattamento" si intende qualunque operazione o complesso di operazioni concernenti, tra l´altro, la raccolta, la registrazione, l´organizzazione, la conservazione, l´elaborazione, l´estrazione, la comunicazione di dati personali; la comunicazione dei dati ai pazienti costituisce quindi solo una delle possibili operazioni di trattamento;

b) in base all´istituto della notificazione dei trattamenti previsto dal Codice, e contrariamente alla precedente normativa che prevedeva per tutti i titolari l´obbligo di effettuare la notificazione, salve limitate eccezioni, sono tenuti a notificare al Garante solo i titolari che effettuino una o più attività di trattamento tra quelle specificamente indicate all´art. 37, comma 1 del Codice. Il comma 2 di tale articolo demanda al Garante il compito di individuare, nell´ambito dei trattamenti di cui al predetto comma 1, eventuali trattamenti non suscettibili di recare pregiudizio ai diritti e alle libertà dell´interessato e pertanto sottratti all´obbligo di notificazione. Il Garante, con deliberazione n. 1 del 31 marzo 2004 (in G.U. 6 aprile 2004, n. 81), pur avendo previsto alcuni esoneri tra cui quello a favore di persone fisiche esercenti le professioni sanitarie, anche in forma associata, non ha sottratto all´obbligo della notificazione i trattamenti effettuati da strutture sanitarie pubbliche o private (ospedali, case di cura e di riposo, aziende sanitarie, laboratori di analisi cliniche, associazioni sportive), come altresì specificato nelle precisazioni sulla notificazione in ambito sanitario del 23 e 26 aprile 2004, rivolte anche ad associazioni operanti nel settore e pubblicate sul sito web dell´Autorità (in www.garanteprivacy.it, doc. web n. 993385 e n. 996680). Dalla nuova disciplina normativa del Codice è derivato, quindi, un nuovo e distinto obbligo di notificazione al Garante. Il titolare che aveva iniziato un trattamento anteriormente al 1° gennaio 2004, indipendentemente dalla circostanza che lo avesse notificato in passato, doveva procedere, se tenuto in base al tipo di trattamento effettuato, a una nuova notificazione entro il 30 aprile 2004 (art. 181, comma 1, lett. c)). Nella specie, la notificazione è stata invece effettuata solo nel maggio 2006;

RILEVATO che l´attività svolta dalla società configura un trattamento di dati personali (art. 4, comma 1, lett. a) e b), del Codice) per il quale doveva essere assolto tempestivamente l´obbligo di effettuare la notificazione del trattamento all´Autorità ai sensi e nei modi previsti dagli artt. 37, comma 1, lett. a) e b) e 38 del Codice;

VISTO l´art. 163 del Codice, che punisce la violazione di cui all´art. 37 con la sanzione amministrativa del pagamento di una somma da diecimila euro a sessantamila euro e con la sanzione amministrativa accessoria della pubblicazione dell´ordinanza-ingiunzione;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

RITENUTO di dover determinare l´ammontare della sanzione pecuniaria, avuto riguardo ai parametri indicati nell´art. 11 della legge 24 novembre 1981 n. 689, valutati anche in relazione all´attività svolta e al genere di trattamento di dati personali e tenuto conto della notifica effettuata in data 11 maggio 2006, nella misura del minimo pari alla somma di diecimila euro;

RITENUTO di dover applicare la sanzione accessoria della pubblicazione, avuto riguardo alla gravità della violazione valutata alla luce dei predetti parametri e circostanze, nella misura ritenuta congrua della sola pubblicazione per estratto, per una sola volta su una testata giornalistica a livello locale, identificata ne "la Gazzetta del Mezzogiorno";

VISTA la documentazione in atti curata dal Dipartimento attività ispettive e sanzioni;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE il dott. Giuseppe Fortunato;

ORDINA

a Aesculapius s.r.l. con sede in Foggia via Napoli n. 71, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 10.000,00 (diecimila) a titolo di sanzione amministrativa pecuniaria per la violazione dell´art. 163 del Codice, indicata in motivazione;

DISPONE

la pubblicazione a cura dell´Ufficio della presente ordinanza-ingiunzione a titolo di sanzione amministrativa accessoria prevista dall´art. 163 del Codice, per estratto e per una sola volta, sulla testata giornalistica "la Gazzetta del Mezzogiorno";

INGIUNGE

alla medesima società di pagare, fermo restando quanto dovuto per la sanzione accessoria, la somma di euro 10.000,00 (diecimila) tramite il bollettino postale che verrà fornito in allegato, intestato a "Tesoreria provinciale dello Stato di Foggia" entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale o in copia autentica, quietanza dell´avvenuto versamento;

DÀ ATTO CHE

avverso il presente provvedimento, ai sensi dell´art. 152 del Codice, può essere proposta opposizione davanti al tribunale ordinario del luogo ove ha sede il titolare del trattamento entro il termine di trenta giorni dalla notificazione del presente provvedimento.

Roma, 17 gennaio 2008

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
Buttarelli