[doc. web n. 10139193]

Provvedimento del 29 aprile 2025

Registro dei provvedimenti
n.  277 del 29 aprile 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi - Segretario generale reggente;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale reggente ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. Il reclamo

Con reclamo presentato all’Autorità, il sig. XX ha lamentato di aver esercitato, in data XX, il diritto di accesso ai dati, cui all’art. 15 del Regolamento, nei confronti della Tirrenia Hospital S.r.l. con sede legale in Mangone (CS), Via Provinciale s.n.c (di seguito “struttura sanitaria”) e di non aver ricevuto alcun riscontro.

2. L’attività istruttoria e le valutazioni del Dipartimento. Notificazione della violazione di cui all’art. 166, comma 5, del Codice. Memoria difensiva e audizione

Successivamente a tale reclamo, l’Ufficio, con nota del XX (prot. n. XX), ha invitato la struttura sanitaria, titolare del trattamento, ad aderire alle richieste esercitate dal reclamante ai sensi dell’art. 15 del Regolamento n. 1/2019 del Garante.

In data XX, la struttura sanitaria ha comunicato all’Autorità di aver “(…) ottemperato alla richiesta dell'interessato e per opportuna conoscenza (…) (ha trasmesso) in allegato n.3 file in pdf (pec trasmessa all'interessato il XX ore 15:49 -- ricevuta di accettazione - ricevuta di avvenuta consegna)”.

L’Autorità, con nota del XX (prot. n. XX), al fine di assumere le determinazioni definitive in ordine al procedimento aperto a seguito del sopra citato reclamo, ha invitato il reclamante a formulare eventuali osservazioni in ordine al riscontro fornito, dal titolare del trattamento; il reclamante, con nota del XX, ha confermato di aver ricevuto riscontro dal titolare del trattamento, senza osservazioni in merito ad esso.

Con nota del XX (prot. n. XX), sulla base della documentazione in atti e delle dichiarazioni fornite, l’Ufficio, ritenendo che il titolare del trattamento non abbia fornito - nei termini previsti dall’art. 12 del Regolamento - riscontro all’interessato, ha avviato, ai sensi dell’art. 166, comma 5, del Codice, il procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti della struttura sanitaria, titolare del trattamento, invitandola a produrre al Garante scritti difensivi o documenti, ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, legge n. 689 del 24 novembre 1981). In particolare, l’Ufficio, ha contestato alla struttura sanitaria di non aver fornito riscontro all’istanza di accesso ai dati personali dell’interessato, di cui all’art. 15 del Regolamento, nei termini previsti dall’art. 12 del Regolamento medesimo. Nello specifico, alla istanza avanzata dall’interessato in data XX, la struttura sanitaria ha fornito riscontro unicamente a seguito dell’invito ad aderire formulato dall’Autorità con nota del XX.  

In relazione a quanto contestato con il citato atto di avvio del procedimento sanzionatorio del XX (prot. n. XX), il titolare del trattamento ha presentato una memoria difensiva in data XX, con la quale, ha evidenziato che l’istanza con la quale l’interessato aveva esercitato, in data XX, il diritto di accesso ai dati ai sensi dell’art. 15 del Regolamento “non è stata visualizzata in tempo reale dal sistema informatico (…) (determinando) anche l'impossibilità di richiedere una proroga all'interessato. Solo un successivo lavoro di ricostruzione e recupero di dati informatici ha consentito il recupero della richiesta. In data XX, ricevuta la nota dell'Ufficio si è provveduto senza indugio all'evasione della richiesta. Alla luce di quanto sopra, si rappresenta che il ritardo con il quale si è provveduto non è imputabile, certamente, a negligenza della struttura ma ad evento imprevedibile che ha generato l'impossibilità incolpevole di poter adempiere nei termini di rito e/o richiedere una proroga, in capo alla struttura sanitaria”. In tale memoria, la struttura sanitaria ha richiesto “(…) di essere sentita sulla vicenda onde poter fornire ulteriori elementi a chiarimento”.

In data XX, si è dato corso all’audizione richiesta dalla parte, la quale, fra altro, ha dichiarato quanto segue: “Ad integrazione di quanto già in atti, si (…) (chiarisce) che la causa del disservizio (…) (che ha impedito la lettura dell’istanza dell’interessato) è stata determinata (…) da un’avaria del disco fisso del XX, codice trattamento XX, in uso da una operatrice, dipendente della Società, addetta alla ricezione delle PEC. Tale avaria, (…) è documentabile attraverso il verbale di intervento tecnico n. XX, data XX - inizio guasto ore 15.24, con ripristino guasto alle ore 16:41. (…) A seguito dell’invito formulato dall’Autorità ad aderire alle richieste del reclamante, la Società si è attivata, oltre a rispondere all’interessato, sotto due altri profili: ad ammonire l’operatrice per non aver scaricato da Webmail tutte le PEC (tra le quali era presente l’istanza di esercizio dei diritti dell’interessato) dopo il ripristino del funzionamento della postazione informatica della stessa; ad istallare un sistema client che opera direttamente su Webmail evitando così lo scarico delle PEC in locale per evitare il ripetersi dell’accaduto. Inoltre la Struttura sanitaria ha colto l’occasione per una sensibilizzazione di tutto il personale, con particolare riguardo all’operatrice coinvolta nella vicenda in questione, in materia di sicurezza e osservanza della normativa in materia di protezione dei dati personali, secondo le direttive già in precedenza impartite. Si intende evidenziare che a seguito dell’invito ad aderire del Garante si è provveduto ad adempiere a quanto richiesto dall’interessato con soddisfazione di quest’ultimo”.

3. Esito dell’attività istruttoria

Preso atto di quanto rappresentato nella documentazione in atti e nella memoria difensiva, nonché nel corso dell’audizione e nella successiva documentazione trasmessa dal titolare a seguito dell’audizione medesima, evidenziando che il trattamento dei dati personali deve avvenire nel rispetto della normativa applicabile in materia di protezione dei dati personali e, in particolare, delle disposizioni del Regolamento e del Codice, si osserva quanto segue.

Sulla base degli elementi acquisiti e delle valutazioni di questo Dipartimento, in ordine alla vicenda lamentata dal reclamante, risulta che il titolare del trattamento non ha fornito riscontro all’istanza di accesso ai dati personali dell’interessato, di cui all’art. 15 del Regolamento, nei termini previsti dall’art. 12 del Regolamento medesimo, ma solo a seguito dell’invito ad aderire dell’Autorità formulato con nota del XX (prot. n. XX).

L’argomentazione sostenuta dal titolare per cui “il ritardo con il quale si è provveduto non è imputabile, certamente, a negligenza della struttura ma ad evento imprevedibile che ha generato l'impossibilità incolpevole di poter adempiere nei termini di rito e/o richiedere una proroga, in capo alla struttura sanitaria” ovvero a un “problema informatico (…) documentabile attraverso il verbale di intervento tecnico n. XX, data XX - inizio guasto ore 15.24, con ripristino guasto alle ore 16:41”, non può accogliersi in quanto non si ravvisa la condizione che permette di affermare che la condotta del titolare medesimo sia stata incolpevole, tale cioè da non poter essere evitata neppure con l'ordinaria diligenza. Alla luce di consolidata giurisprudenza della Suprema Corte (Cass. n. 5426/2006, Cass. n. 7885/2011, Cass. n. 16320/2010, Cass. n. 19759/2015, Cass. n. 33441/2019 e Cass. n.17822/2021), ai fini dell’applicazione dell’art. 3 della legge n. 689/1981, è necessario che la buona fede o l’errore si fondino su un elemento positivo, estraneo all’agente e idoneo a determinare in lui la convinzione della liceità del suo comportamento (errore scusabile). Tale elemento positivo deve risultare non ovviabile dall’agente con l’uso dell’ordinaria diligenza. Nella vicenda in questione, se l’operatrice dipendente della struttura sanitaria, “addetta alla ricezione delle PEC”, avesse usato l’ordinaria diligenza che tale fattispecie richiedeva, provvedendo a scaricare “(…) da Webmail tutte le PEC (tra le quali era presente l’istanza di esercizio dei diritti dell’interessato) dopo il ripristino del funzionamento della postazione informatica della stessa (…)”, si sarebbe potuto fornire riscontro all’istanza dell’interessato nei termini di cui all’art. 12 del Regolamento.

Nello specifico, all’istanza avanzata ai sensi dell’art. 15 del Regolamento dall’interessato in data XX, il titolare non ha fornito quest’ultimo, attuale reclamante, risposta nei termini previsti dall’art. 12 del Regolamento, bensì in data XX (a seguito del citato invito ad aderire alle richieste del reclamante formulato dall’Autorità); ciò, per ragioni determinate da una condotta negligente imputabile al titolare medesimo, in violazione dell’art. 12 in relazione all’art. 15 del Regolamento.

La struttura sanitaria ha comunque provveduto “ad istallare un sistema client che opera direttamente su Webmail evitando così lo scarico delle PEC in locale per evitare il ripetersi dell’accaduto. Inoltre la Struttura sanitaria ha colto l’occasione per una sensibilizzazione di tutto il personale, con particolare riguardo all’operatrice coinvolta nella vicenda in questione, in materia di sicurezza e osservanza della normativa in materia di protezione dei dati personali, secondo le direttive già in precedenza impartite”.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria - e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” - gli elementi forniti dal titolare del trattamento nella memoria difensiva sopra richiamata, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con il richiamato atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Pertanto, tutto quanto premesso, allo stato degli atti e delle dichiarazioni fornite, in relazione alla vicenda in questione, è accertata la violazione dell’art. 12 del Regolamento, in relazione all’art. 15 del Regolamento medesimo, per non aver fornito riscontro entro i termini previsti dall’art.12 citato, all’istanza con la quale l’interessato aveva esercitato il diritto di accesso ai dati ai sensi dell’art. 15 del Regolamento.

Non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento, tenendo conto che la condotta ha esaurito i suoi effetti, per aver il titolare fornito riscontro all’interessato.

Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

5. Adozione dell’ordinanza-ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione dell’art. 12, in relazione all’art. 15 è soggetta all’applicazione della sanzione amministrativa pecuniaria di cui all’art. 83, par. 5, del Regolamento.

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83 del Regolamento, mediante l’adozione di una ordinanza-ingiunzione (art. 18 legge 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali posto in essere dalla struttura sanitaria, titolare del trattamento, di cui è stata accertata l’illiceità, nei termini sopra esposti.

La violazione dell’art. 12, in relazione all’art. 15 del Regolamento è soggetta alla sanzione amministrativa pecuniaria di cui all’art. 83, par. 5, del Regolamento e l’importo totale della sanzione è da quantificarsi tenendo presente il massimo edittale cd. “statico” stabilito da Regolamento, pari al limite massimo di euro 20.000.000.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento, ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1, del Regolamento), si rappresenta che, nell’ipotesi in esame, sono state tenute in considerazione le circostanze sotto riportate.

In tale vicenda, il livello di gravità, sulla base degli elementi di cui all’art. 83, par. 2, lett. a), b) e g) del Regolamento, è da considerarsi medio, tenuto conto del fatto che il titolare del trattamento, non ha risposto all’istanza con la quale l’interessato ha esercitato il diritto di accesso ai sensi dell’art. 15, entro i termini previsti dall’art.12 del Regolamento - ma solo successivamente all’invito formulato dall’Autorità ad aderire alle richieste del reclamante - per ragioni determinate da una condotta negligente imputabile al titolare medesimo.

Sono stati, infine, considerati gli ulteriori elementi previsti dall’art. 83, par. 2, del Regolamento e, in particolare, che da parte del titolare del trattamento non sono state commesse violazioni pertinenti (art. 83, par. 2, lett. e) del Regolamento), che il Garante ha preso conoscenza del mancato riscontro a seguito della ricezione di un reclamo da parte dell’interessato (art. 83, par. 2, lett. h) del Regolamento); che il titolare del trattamento ha provveduto ad “ammonire l’operatrice per non aver scaricato da Webmail tutte le PEC (tra le quali era presente l’istanza di esercizio dei diritti dell’interessato) dopo il ripristino del funzionamento della postazione informatica della stessa; ad istallare un sistema client che opera direttamente su Webmail evitando così lo scarico delle PEC in locale per evitare il ripetersi dell’accaduto. Inoltre la Struttura sanitaria ha colto l’occasione per una sensibilizzazione di tutto il personale, con particolare riguardo all’operatrice coinvolta nella vicenda in questione, in materia di sicurezza e osservanza della normativa in materia di protezione dei dati personali, secondo le direttive già in precedenza impartite” (art. 83, par. 2, lett. c) e k) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, per la condotta tenuta da titolare del trattamento nella vicenda in questione, in violazione dell’art. 12 in relazione all’art. 15 del Regolamento, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 2.000,00 (duemila/00).

Tenuto conto che la violazione determinata dalla condotta omissiva del titolare concerne la materia dell’esercizio dei diritti garantiti dal legislatore europeo agli artt. da 15 a 22 del Regolamento e che la natura dei dati oggetto della richiesta di accesso di cui all’art. 15 del Regolamento riguarda dati relativi alla salute, si ritiene, altresì, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo, contenente l'ordinanza-ingiunzione, sul sito Internet del Garante.   

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento dei dati personali effettuato dalla Tirrenia Hospital S.r.l. con sede legale in Mangone (CS), Via Provinciale s.n.c - c.a.p. 87050 - C.F. n. 03638620785 per la violazione dell’art. 12, in relazione al 15 del Regolamento, nei termini di cui in motivazione;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, al sopra citato titolare del trattamento, di pagare la somma di euro 2.000,00 (duemila/00) a titolo di sanzione amministrativa pecuniaria per la violazione indicata nel presente provvedimento;

INGIUNGE

quindi, al predetto titolare, di pagare la somma di euro 2.000,00 (duemila/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/198. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento - secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata entro il termine di cui all'art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

- ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza-ingiunzione sul sito internet del Garante;

- ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’Autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 29 aprile 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE REGGENTE
Filippi