[doc. web n. 10165159]

Provvedimento del 10 luglio 2025

Registro dei provvedimenti
n. 414 del 10 luglio 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Caudio Filippi - Segretario generale reggente;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale reggente ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

RELATORE l’avv. Guido Scorza; 

PREMESSO

1. Il reclamo

Con reclamo presentato all’Autorità, il sig. XX, per il tramite dei propri legali, ha lamentato di aver esercitato, nei confronti della Cooperativa Sociale Coopselios, Società Cooperativa sita in Reggio Emilia, (di seguito la struttura sanitaria) i diritti di cui agli artt. da 15 a 22 del Regolamento e di non avere ricevuto riscontro.

In particolare, il reclamante ha rappresentato che, a seguito di un periodo di permanenza presso il Centro Polifunzionale Danilo Ravera, “unità locale di Coopselios” in regime privato, per poter effettuare un programma di riabilitazione a seguito di un intervento chirurgico”, ha esercitato i diritti di cui agli artt. 15, 18, 19 e 20 del Regolamento “(…) mediante raccomandate a.r. (…), ricevute il 19/02/24 ed il 21/02/24” dalla struttura sanitaria, senza, tuttavia, ottenere alcuna risposta.

2. L’attività istruttoria e le valutazioni del Dipartimento. Notificazione della violazione di cui all’art. 166, comma 5, del Codice.

Successivamente a tale reclamo, questa Autorità, con nota del XX (prot. n. XX) ha invitato la struttura sanitaria, titolare del trattamento, ai sensi dell’art. 15 del Regolamento n. 1/2019 del Garante per la protezione dei dati personali (doc. web n. 9107633), ad aderire alle richieste del reclamante entro e non oltre 20 giorni dal ricevimento della nota stessa.

Con nota del XX, tale titolare ha fornito riscontro, in ordine al quale, l’Ufficio, al fine di assumere le determinazioni definitive in ordine al procedimento aperto a seguito del sopra citato reclamo, con nota del XX (prot. n. XX), ha invitato il reclamante a formulare eventuali osservazioni. Quest’ultimo, per il tramite dei propri legali, con nota del XX, ha presentato le proprie osservazioni, rappresentando, fra altro, che: “Il Dott. XX ritiene che, rispetto a quanto richiesto, il Titolare del trattamento abbia fornito un riscontro carente in ordine ai seguenti aspetti: - comunicazione dei destinatari/categorie di destinatari a cui sono stati comunicati i suoi dati personali (indicando anche il tipo, l’ambito di attività, il settore, il comparto e la sede dei destinatari, cfr. anche Linee Guida EDPB 1/2022 par. 117 ultimo comma); - indicazione del periodo di conservazione dei suoi dati personali o i criteri utilizzati per determinare tale periodo (in relazione alle rispettive operazioni di trattamento e alle categorie di dati, cfr. anche Linee Guida EDPB 1/2022 par. 118); - richiesta di portabilità dei dati personali ai sensi dell’art. 20 del GDPR”.

Preso atto di tali osservazioni, l’Ufficio, valutato che il titolare, nel riscontro fornito, ha indicato i destinatari dei dati trattati (specificando nome e cognome del personale sanitario e di altri soggetti ivi indicati, eccetto gli autorizzati al trattamento, per i quali non era necessario fornire tale specificazione), i tempi di conservazione dei dati, nonché inviato tali dati trasferendoli attraverso uno strumento di uso comune per la condivisione di file, anche di grandi dimensioni (wetransfer), ha ritento di contestare al titolare del trattamento unicamente il mancato riscontro - nei termini di cui all’art. 12 del Regolamento - all’istanza di esercizio dei diritti avanzata dall’interessato.

Con nota del XX (prot. n. XX), sulla base della documentazione in atti e delle dichiarazioni fornite, ritenendo che il titolare del trattamento non abbia, quindi, fornito riscontro all’interessato nei termini previsti dall’art. 12 del Regolamento e solo a seguito dell’invito ad aderire dell’Autorità, con atto del XX (prot. n. XX) ha avviato, ai sensi dell’art. 166, comma 5, del Codice, il procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti della struttura sanitaria, titolare del trattamento, invitandolo a produrre al Garante scritti difensivi o documenti, ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, legge n. 689 del 24 novembre 1981).

In particolare, l’Ufficio, con l’atto poc’anzi citato, ha contestato alla struttura sanitaria di non aver fornito riscontro alle richieste dell’interessato ricevute in data XX e XX, secondo quanto previsto dall’art. 12 del Regolamento. Il riscontro, è stato fornito a seguito dell’invito ad aderire formulato dall’Autorità, in data XX.

In relazione a quanto contestato con il citato atto di avvio del procedimento sanzionatorio del XX (prot. n. XX), il titolare del trattamento ha presentato una memoria difensiva in data XX con la quale, ha evidenziato, fra altro, rappresentato che:

- “(…) Coopselios coglie, in questa sede, l'occasione per evidenziare, ancora una volta, il carattere del tutto accidentale, straordinario, ed (assolutamente) isolato dell’evento lesivo lamentato dal (…) (reclamante), determinato da un mero disguido organizzativo, causato da un errore umano. Infatti, Coopselios precisa, al riguardo, di aver, compiutamente, predisposto una specifica procedura organizzativa aziendale (peraltro, soggetta a costante aggiornamento/revisione, in ragione di novità dottrinali e/o giurisprudenziali in materia, ovvero in ragione di eventuali variazioni all’interno dell’organigramma aziendale) volta a riscontrare, tempestivamente, uno o più diritti di cui al Capo III) del Regolamento UE n. 2016/679 {GDPR}, fondata - a seconda del soggetto (aziendale) ricevente l'istanza in materia - sulla partecipazione attiva della singola struttura gestita da Coopselios, e/o sulla partecipazione dell'Ufficio Clienti (o Ufficio Risorse Umane), nonché sull’obbligatorio coinvolgimento, supporto e consulenza da parte dell'Ufficio Privacy aziendale, unitamente al nominato DPO ex art. 37 del GDPR”;

- “(…) Gli effetti della violazione si sono attenuati (o meglio, eliminati) con il riscontro fornito al (…) (reclamante) con la lettera del XX”;

- “(…) Coopselios ha attuato (ed aggiorna continuamente) una serie di misure di sicurezza organizzative finalizzate, per quanto qui rileva, ad accrescere e, al bisogno, migliorare la consapevolezza del cd. fattore umano aziendale sul costante rispetto della normativa nazionale e comunitaria sulla protezione dei dati personali, quali: programmi di formazione in ambito privacy e cybersecurity; costante attività di auditing privacy, a cura del nominato DPO; presenza di un ufficio privacy aziendale, che opera e dialoga, a stretto contatto, con il nominato DPO; policy sui principi di privacy by design e by default; policy sulla gestione dell'esercizio di un diritto di cui al Capo III} del GDPR esercitato da un soggetto interessato; policy sulla gestione di un evento di cd. data breach. Con riguardo all’evento lesivo in questione, Coopselios ha, infine, già proceduto a richiamare (e, dunque, innalzare) il livello di attenzione sulla gestione dei diritti di cui al Capo III) del GDPR nei confronti di ogni saggetto aziendale eventualmente (e potenzialmente) coinvolto”.

Il titolare ha chiesto di applicare “(…) nel caso, soltanto il potere correttivo di cui all'art. 58, paragrafo 2), lettera b) del GDPR, stante, come già illustrato, il carattere assolutamente straordinario, eccezionale, accidentale ed involontario dell’evento lesivo in questione, nonché stante il fatto che è già stato, compiutamente, posto rimedio alla carenza rilevata (…)”.

3. Esito dell’attività istruttoria

Preso atto di quanto rappresentato nella documentazione in atti e nella memoria difensiva, evidenziando che il trattamento dei dati personali deve avvenire nel rispetto della normativa applicabile in materia di protezione dei dati personali e, in particolare, delle disposizioni del Regolamento e del Codice, si osserva quanto segue.

Sulla base degli elementi acquisiti e delle valutazioni di questo Dipartimento, in ordine alla vicenda lamentata dal reclamante, risulta la responsabilità del titolare del trattamento per non aver fornito riscontro alle istanze di esercizio dei diritti di cui agli artt. 15, 18, 19 e 20 del Regolamento nei termini previsti dall’art. 12 del Regolamento medesimo, ma solo in data XX, a seguito dell’invito ad aderire dell’Autorità.

L’argomentazione sostenuta dal titolare circa il “(…) carattere del tutto accidentale, straordinario, ed (assolutamente) isolato dell’evento lesivo lamentato dal (…) (reclamante), determinato da un mero disguido organizzativo, causato da un errore umano”, non esclude la responsabilità del titolare medesimo, in quanto l’errore umano è “sintomo di negligenza” (cfr. in tal senso il documento “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679” - Adottate il 3 ottobre 2017 - WP 253 - Capitolo III “Criteri di valutazione di cui all’art. 83, par. 2”, paragrafo b) “Carattere doloso o colposo della violazione”) che, sebbene non intenzionale, può scongiurarsi attraverso misure adeguate ed efficaci all’osservanza degli obblighi di diligenza.

La struttura sanitaria ha, comunque dichiarato di avere, fra altro, intrapreso iniziative formative in materia di protezione dei dati personali e “(…) proceduto a richiamare (e, dunque, innalzare) il livello di attenzione sulla gestione dei diritti di cui al Capo III) del GDPR nei confronti di ogni saggetto aziendale eventualmente (e potenzialmente) coinvolto”.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria - e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” - gli elementi forniti dal titolare del trattamento nella memoria difensiva sopra richiamata, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con il richiamato atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Pertanto, tutto quanto premesso, allo stato degli atti e delle dichiarazioni fornite, in relazione alla vicenda in questione, è accertata la condotta omissiva del titolare del trattamento a fronte delle richieste di esercizio dei diritti dell’interessato, attuale reclamante, avanzate in data XX e XX, in violazione dell’art. 12 del Regolamento in relazione agli artt. 15, 18, 19 e 20 del Regolamento medesimo.

Non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento, tenendo conto che la condotta ha esaurito i suoi effetti, per aver il titolare fornito riscontro all’interessato.

Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

5. Adozione dell’ordinanza-ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83 del Regolamento, mediante l’adozione di una ordinanza-ingiunzione (art. 18 legge 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali posto in essere dalla struttura sanitaria, titolare del trattamento, di cui è stata accertata l’illiceità, nei termini sopra esposti.

La violazione dell’art. 12, in relazione all’esercizio dei diritti degli interessati previsti dal Regolamento è soggetta alla sanzione amministrativa pecuniaria di cui all’art. 83, par. 5, del Regolamento e l’importo totale della sanzione è da quantificarsi tenendo presente il massimo edittale cd. “statico” stabilito da Regolamento, pari al limite massimo di euro 20.000.000.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento, ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1, del Regolamento), si rappresenta che, nell’ipotesi in esame, sono state tenute in considerazione le circostanze sotto riportate.

In tale vicenda, il livello di gravità, sulla base degli elementi di cui all’art. 83, par. 2, lett. a), b) e g) del Regolamento (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023), è da considerarsi medio, tenuto conto del fatto che la struttura sanitaria, non ha risposto all’istanza con la quale un interessato ha esercitato i diritti di cui agli artt. 15, 18, 19 e 20 del Regolamento entro i termini previsti dall’art.12 del Regolamento - ma solo successivamente all’invito formulato dall’Autorità ad aderire alle richieste del reclamante - in ragione di una condotta negligente imputabile al titolare medesimo.  

Sono stati, poi, considerati gli ulteriori elementi previsti dall’art. 83, par. 2, del Regolamento e, in particolare, che da parte del titolare del trattamento non sono state commesse violazioni pertinenti (art. 83, par. 2, lett. e) del Regolamento), che l’Autorità di controllo ha avuto conoscenza della violazione attraverso il reclamo dell’interessato (art. 83, par. 2, lett. h) del Regolamento) e che il titolare del trattamento ha dichiarato di avere, fra altro, intrapreso iniziative formative in materia di protezione dei dati personali e “(…) proceduto a richiamare (e, dunque, innalzare) il livello di attenzione sulla gestione dei diritti di cui al Capo III) del GDPR nei confronti di ogni saggetto aziendale eventualmente (e potenzialmente) coinvolto” (art. 83, par. 2, lett. k) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, tenuto conto, altresì, di quanto indicato nell’art. 83 del Regolamento e nelle e Linee guida sopra citate circa l’incidenza, nel computo dell’ammontare della sanzione pecuniaria, del criterio del fatturato annuo della società riferito all’esercizio precedente, per la condotta tenuta da titolare del trattamento nella vicenda in questione, in violazione dell’art. 12 in relazione agli artt. 15, 18, 19 e 20 del Regolamento, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 10.000,00 (diecimila/00).

Tenuto conto che la violazione determinata dalla condotta omissiva del titolare concerne la materia dell’esercizio dei diritti garantiti dal legislatore europeo agli artt. da 15 a 22 del Regolamento e che la natura dei dati oggetto della richiesta riguarda dati relativi alla salute, si ritiene, altresì, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo, contenente l'ordinanza-ingiunzione, sul sito Internet del Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento dei dati personali effettuato dalla Cooperativa Sociale Coopselios, Società Cooperativa sita in Reggio Emilia (RE), Via Antonio Gramsci 54/S - c.a.p. 42124, C.F./P.IVA: 01164310359 per la violazione dell’art. 12, in relazione agli artt. 15, 18, 19 e 20 del Regolamento, nei termini di cui in motivazione;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, al sopra citato titolare del trattamento, di pagare la somma di euro 10.000,00 (diecimila/00) a titolo di sanzione amministrativa pecuniaria per la violazione indicata nel presente provvedimento;

INGIUNGE

quindi, al predetto titolare, di pagare la somma di euro 10.000,00 (diecimila/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/198. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento - secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata entro il termine di cui all'art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

- ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza-ingiunzione sul sito internet del Garante;

- ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’Autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 10 luglio 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE REGGENTE
Filippi