g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Ordinanza ingiunzione o revoca
  4. Provvedimento del 17 luglio 2025 [10182336]

Provvedimento del 17 luglio 2025 [10182336]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 10182336]

Provvedimento del 17 luglio 2025

Registro dei provvedimenti
n. 425 del 17 luglio 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, Segretario generale reggente;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. Il reclamo

Con reclamo presentato all’Autorità, il sig. XX, per il tramite del proprio legale, ha rappresentato di aver esercitato i diritti di cui agli artt. da 15 a 22 del Regolamento nei confronti della struttura sanitaria Perla Odontoiatria Veneta S.r.l., C.F. 05150300266, sito in Vittorio Veneto (TV) c.a.p. 31029, Via A. Da Mosto, 22 (di seguito la “struttura sanitaria”) e di non avere ricevuto idoneo riscontro.  

In particolare, il reclamante ha lamentato che, dopo reiterate istanze volte ad accedere alla documentazione sanitaria, attinente a cure odontoiatriche che si “sono protratte, senza soluzione di continuità, dal XX sino a XX” e detenuta dalla struttura sanitaria, con PEC del XX ha esercitato, senza successo “il diritto di accesso ai dati personali quale contemplato ai sensi dell'art. 15 Reg UE 2016 n. 679” nei confronti della citata struttura sanitaria. Ciò, al fine di ottenere la consegna di “(…) copia di tutti i dati personali nella (…) disponibilità, compresi quelli relativi alla salute”.

2. L’attività istruttoria

Successivamente a tale reclamo, l’Autorità ha formulato l’atto di invito ad aderire alle richieste del reclamante con nota del XX (prot. n. XX), al quale la struttura sanitaria ha fornito riscontro in data XX, rappresentando di “(…) provvedere (attraverso la medesima PEC) all’invio degli appunti di igiene nonché (di trasmettere) il consenso informato per la terapia di igiene e chirurgica effettuati in data 28.06.21 presso la Clinica odontoiatrica Internazionale oggi incorporata in Perla Odontoiatria Veneta come da Vostra Richiesta”.

In riferimento al predetto riscontro, il reclamante, con nota del XX, ha osservato che:

- “dalla disamina del doc. prodotto dall'interessato sub 7 si evince (…) che nel corso della visita XX è stata eseguita una TAC: il documento rappresentativo dell'esito dell'esame radiologico non è ricompreso tra quelli inoltrati dalla resistente con PEC XX”;

- “dalla disamina comparativa della fattura 428 emessa il XX da Clinica Odontoiatrica Internazionale in liquidazione srl (dante causa di Perla Odontoiatria Veneta srl (…) con il preventivo di pari data emesso dalla stessa società (…) si evince che è stata effettivamente eseguita quella indagine radiologica “suggerita” nel corso della visita di controllo del XX (…): anche il documento  rappresentativo dell'esito di tale esame radiologico non è ricompreso tra quelli inoltrati dalla resistente con PEC XX”;

- “dalla disamina del doc. prodotto dall’interessato (…) si evince che nel corso della visita di controllo del XX è stata eseguita una Ortopantomografia: anche il documento rappresentativo di tale esame radiologico non è ricompreso tra quelli inoltrati dalla resistente con PEC XX”.

A seguito di tali osservazioni, l’Autorità - con nota del XX (prot. n. XX) - ha chiesto informazioni alla struttura sanitaria, ai sensi dell’art. 157 del Codice.

Il titolare ha risposto, via PEC, in data XX, inviando 3 radiografie (non specificando, tuttavia, a quali esami radiologici si riferissero e in quali date fossero stati effettuati), una informativa e modulo di consenso sottoscritto dall’interessato, alcune fatture e moduli sottoscritti relativi al consenso informato rilasciato dal paziente XX, rappresentando, fra altro che:  

- “Perla Odontoiatrica ha effettuato normali trattamenti di igiene orale e iniezioni di botox. Nell'ambito di tali cure preventive ha effettuato indagini radiologiche che di seguito si allegano oltre ad una TAC che per la complessità delle immagini (200) è resa disponibile fisicamente all’XX su supporto USB che potrà ritirare preso la sede di Vittorio Veneto (…)”;  

- “Perla Odontoiatria ha ricevuto il consenso per l’attività medica prestata ed emesso fattura per le relative prestazioni (si allega cartella compressa contente consenso informato e fatture). (…) Si premette che dal foglio di lavoro prodotto dall’interessato (…) si evince solo una nota a penna “TAC a TV” che non denuncia il fatto che essa sia stata effettivamente eseguita in quella data, né il soggetto che l'avrebbe eseguita. In secondo luogo si evidenzia che “dalla disanima comparativa della fattura n. XX” (…) con causale “prestazioni odontoiatriche effettuate a XX” non si “evince che è stata effettivamente eseguita quella indagine radiologica “suggerita”. Si tratta di un'affermazione priva di riscontro fattuale”;

- “Le indagini radiologiche (TAC e panoramiche) sono quelle che si allegano con questa comunicazione. Quanto al “motivo per il quale [...] codesta struttura sanitaria non ha fornito copia dei dati personali relativi agli esami radiologici sopra indicati” [...], non è superfluo evidenziare che, essendo la richiesta originaria, formulata dal sig. XX, di portata generale e dal contenuto non dettagliato, il titolare del trattamento è stato indotto a ritenere che l’istanza riguardasse la mera documentazione cartacea “tradizionale”.

In data XX il reclamante, per il tramite del proprio legale, ha rappresentato e documentato che: “(…) la “Informativa privacy clienti. Ai sensi e per gli effetti degli artt. 13 - 14 e Considerando 39 ss. del REG. UE 2016/679" - sottoscritta dal ricorrente in data XX”, presenta talune criticità, esponendo, quindi, tali irregolarità.

A seguito di tali osservazioni del reclamante, l’Autorità, anche a fronte del fatto che non risultava in atti, con chiarezza, quale fosse la documentazione inviata dal titolare all’interessato a causa della non coincidenza tra le dichiarazioni di quest’ultimo e quelle della struttura sanitaria, con nota del XX (prot. n. XX) ha richiesto al reclamante di precisare quali tra i documenti radiografici citati nella sopra richiamata nota del XX, avesse ricevuto dal titolare del trattamento.

Quest’ultimo, ha risposto in data XX, facendo presente che:

“(…) tra i documenti la cui richiesta di consegna è stata reiterata con le deduzioni presentate a Codesta Autorità con nota XX, Perla Odontoiatria Veneta S.r.l. ha consegnato all’XX - nel mese di aprile XX - la sola TAC eseguita in data XX.  Invece, non sono stati consegnati: (…) né l'indagine radiologica (…) la cui effettiva esecuzione trova riscontro nella fattura n. XX - di ammontare corrispondente al preventivo di pari data (che tale TAC contemplava) - emessa dalla stessa società in data XX (…); (…) né la ortopantomografia richiamata nella annotazione contenuta nel diario clinico tenuto da Perla Odontoiatria Veneta, alla data XX (…), la cui effettiva esecuzione trova riscontro nel contenuto letterale della stessa annotazione: “Visita di controllo +OPT”. Trattasi di indagini tecniche del tutto diverse e distinte da quella annotata nel diario clinico tenuto da Perla Odontoiatria Veneta, alla data del XX”.  

Con nota del 11 giugno XX (prot. n. XX), l’Autorità ha formulato una nuova richiesta di informazioni al titolare del trattamento, ai sensi dell’art. 157 del Codice, sia con riguardo alla copia dei dati (esami radiologici), oggetto dell’istanza di accesso ai sensi dell’art. 15 del Regolamento sia con riferimento alle criticità evidenziate dall’interessato con riguardo al testo dell’informativa di cui all’art. 13 del Regolamento medesimo, a quest’ultimo rilasciata.

A tale nota non è stato fornito alcun riscontro da parte della struttura sanitaria, ragione per la quale, l’Autorità si è avvalsa del Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza, al fine di notificare alla struttura sanitaria, titolare del trattamento, sia l’atto di contestazione del XX (prot. n. XX) - formulato ai sensi dell’art. 166 del Codice – avente ad oggetto la violazione dell’art. 157 del Codice medesimo sia la nota di richiesta di informazioni del XX (prot. n. XX) - formulata ai sensi dell’art. 157 del Codice - disponendo, altresì, l’acquisizione, attraverso il citato Nucleo, degli elementi informativi in quest’ultima richiesti.

Il titolare, nel corso delle operazioni effettuate dagli agenti del citato Nucleo in data XX e XX, come risultante dal verbale da questi ultimi redatto in tali date, ha dichiarato, fra altro, che:  

- “l’allegato denominato “radiografia XX-1.pdf” è relativo a uno screenshot della radiografia della ortopantomografia, eseguita in data XX presso la società, annesso alla pec e inviato per errore. L’allegato denominato “radiografia XX 2 e 3.pdf” sono invece relative alle radiografie della ortopantomografia eseguita in data XX presso questa sede e in data XX presso la Clinica Odontoiatrica Internazionale S.r.l. che aveva sede operativa a Padova. Come indicatyo nella cartella clinica del reclamante (…), la radiografia del XX è stata eseguita per “visita di controllo+OPT. Paziente avverte dolori all’impianto arcata inf. Zona 47”. (…) Per completezza fornisco la fattura n. 428 del XX (…) relativa alla somma di 390 euro + 2 euro di marca da bollo (140 euro per la TAC) ed euro 250 per il fix out dell’impianto”; 

- con riferimento alla dicitura “creazione di un dossier sanitario”, che “(…) il trattamento operato dalla Società dei dati personali dei propri pazienti non consiste nella creazione di un dossier sanitario, (…) né di una cartella clinica (…)”;   

- “in riferimento ai “fini di ricerca in ambito scientifico”, si precisa che trattasi di una dicitura inesatta, frutto di eccessiva prolissità. La società non svolge attività di ricerca scientifica attraverso i dati raccolti dai propri pazienti (…)”;

- “l'informativa laddove menziona i “soggetti cui la facoltà di accesso [ai] dati è riconosciuta in forza di provvedimenti normativi” intende unicamente richiamare e riprodurre la norma di cui all'odierno art. 2-ter del d.lgs. 196/2003”;

- “in merito alle categorie di soggetti che possono venire a conoscenza dei dati degli interessati” il titolare ha dichiarato che si fa riferimento “sia a soggetti pubblici che privati che sono dettagliatamente elencati e descritti all’interno della documentazione Privacy dello Studio, congiuntamente (ove previsto) alle relative nomine e/o incarichi come previsto dalla normativa di riferimento.  In breve, alcuni di questi soggetti possono essere identificati come segue: Società informatica, società Software, DPO, Assicurazioni (ove previsto), Società Finanziarie (ove previsto), Laboratori di Ortodonzia, Medici Odontoiatri che collaborano con lo Studio, Medici Specialisti che collaborano con lo Studio, Igienisti dentali che collaborano con lo Studio. I dati inoltre possono essere trasmessi e/o comunicati agli enti competenti, come previsto obbligatoriamente da norme e regolamenti, finalizzate a ottemperare agli adempimenti da essi derivanti, di natura amministrativa, fiscale, burocratica, legale, in quanto connesse alle prestazioni sanitarie erogate”.

Inoltre, il titolare ha aggiunto che “la società non adotta alcuna informativa più dettagliata, l'intenzione era quella di comunicare che lo Studio può fornire maggiori informazioni, qualora richiesti dagli interessati (verbalmente o per iscritto), in merito al trattamento dei propri dati. Trattasi di un refuso che riproduce parte del contenuto di una precedente informativa, non ancora aggiornata, la quale operava tale rimando” e che “L’azienda non attua processi decisionali automatizzati. In aggiunta, comunichiamo inoltre che è prassi consolidata non procedere ad alcuna profilazione dei clienti della scrivente da parte di quest'ultima. Trattasi, in entrambi i casi, di vizio di eccessiva prolissità dell'informativa”.

Successivamente, l’Autorità con nota del XX (prot. n. XX), in considerazione della perdurante non coincidenza, nelle dichiarazioni delle parti, circa le date degli esami radiologici effettuati e l’invio, o meno, degli stessi dal titolare del trattamento al reclamante, ha richiesto nuovamente alla struttura sanitaria, ai sensi dell’art. 157 del Codice, di fornire informazioni in ordine all’esame radiologico che il reclamante, nella nota del XX, indirizzata all’Autorità, ha comunicato di non aver ancora ricevuto, ovvero “(…) l'indagine radiologica già suggerita nel corso della visita di controllo XX”, considerato anche il fatto che in relazione a tale indagine la struttura sanitaria nulla aveva dichiarato agli agenti della Guardia di Finanza; inoltre l’Autorità, con riguardo alla ““radiografia XX 2 e 3.pdf”, considerato che l’interessato aveva, da tempo, rappresentato di non avere ancora ricevuto copia della ortopantomografia eseguita in data XX - neanche a seguito dell’invito ad aderire dell’Autorità del XX (prot. n. XX) - ha richiesto i motivi per i quali, tale copia, non fosse stata ancora inviata all’interessato.

Con nota del XX, la struttura sanitaria ha dichiarato, fra altro, che:

“L'indagine radiologica suggerita il XX e che XX dichiara di “non aver ancora ricevuto” è la TAC che il Sig. XX ha effettuato presso il Poliambulatorio San Liberale di Treviso il XX. (…) Più precisamente, il giorno XX il Sig. XX si presentava presso lo studio di Treviso e si sottoponeva alla TAC alle ore 11.04. In seguito, XX (il quale - lo rammentiamo - lavorava e lavora sia presso il Perla che presso il San Liberale) riceveva le risultanze della TAC di XX, caricate su una chiavetta USB, direttamente nella sede del San Liberale e le portava con sé presso il Perla. (…) La TAC è stata consegnata in data XX al Sig. XX, dall’amministrazione dello studio Perla Odontoiatria Veneta srl (…). Con riguardo, invece, alla dichiarazione dell’XX secondo cui non avrebbe “ancora ricevuto copia della ortopantomografia eseguita in data XX, (…) si segnala che già con la comunicazione di Perla del XX indirizzata anche ai difensori del Sig. XX, veniva allegato ad essa il predetto esame (…)”.  

In data XX, il reclamante, per il tramite del proprio legale, ha trasmesso le proprie osservazioni, rappresentando, fra altro, in particolare, che “(…) Alla PEC inviata da Perla Odontoiatria Veneta S.r.l. a Codesta Autorità il XX erano allegati i documenti concernenti le prestazioni rese nell'interesse e a tutela della salute dell’XX: tra i destinatari di tale PEC è ricompresa anche Poliambulatorio San Liberale (soggetto giuridico del tutto diverso dalla mittente). Analogamente, lo stesso Poliambulatorio San Liberale S.r.l. era ricompreso tra i destinatari della PEC inviata il XX da Perla Odontoiatria Veneta, cui erano allegati i sopracitati documenti afferenti alle prestazioni rese al dott. XX e le dichiarazioni di consenso al trattamento dei dati personali da quest’ultimo sottoscritte”.

3. Valutazioni del Dipartimento sul trattamento effettuato, notifica della violazione di cui all’art. 166, comma 5, del Codice e memoria difensiva

In relazione alla documentazione in atti e a quanto dichiarato dal titolare del trattamento, l’Autorità, con atto del XX (prot. n. XX), ha avviato, ai sensi dell’art. 166, comma 5, del Codice, il procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2 del Regolamento nei confronti della struttura sanitaria, in qualità di titolare del trattamento, invitandola a produrre al Garante scritti difensivi o documenti, ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, legge n. 689 del 24 novembre 1981).

A seguito di quanto emerso, l’Autorità ha ritenuto che il trattamento di dati personali in questione è stato, dal citato titolare del trattamento, effettuato in violazione dell’art. 12, in relazione all’art. 15 del Regolamento, per non aver fornito riscontro, entro i tempi di cui all’art. 12 del Regolamento medesimo, all’istanza di esercizio del diritto di accesso ai dati avanzata dal sig. XX in data XX; in violazione dell’art. 13, paragrafo 1, lett. e) del Regolamento, nell’inosservanza degli obblighi informativi con particolare riferimento alla specificazione dei destinatari/categorie di destinatari; in violazione dell’art. 5, par. 1, lett. f) e 9 del Regolamento, per aver effettuato, nell’inosservanza del principio di “integrità e riservatezza”, una comunicazione di dati relativi alla salute in assenza di una base giuridica legittimante.  

Inoltre, con l’atto poc’anzi citato, l’Autorità, in relazione all’omesso riscontro alla richiesta di informazioni di cui all’art. 157 del Codice, in relazione al quale è stato aperto il procedimento sanzionatorio con atto di contestazione del XX (prot. n. XX), ha disposto, altresì, la riunione di quest’ultimo procedimento con il presente procedimento sanzionatorio; ciò, ai sensi dell’art. 10, comma 4, del Regolamento n. 1/2019, concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, trattandosi di fattispecie riguardanti la medesima vicenda e il medesimo titolare del trattamento.

Con nota del XX, il titolare del trattamento ha formulato una memoria difensiva, nella quale ha fatto presente, fra altro, che:

- “(…) tali contestazioni sono conseguenza di condotte colpose a cui la Società ha inteso porre rimedio con tutte quelle iniziative volte ad attenuare le conseguenze ad esse correlate; in particolare mettendo a disposizione degli utenti, già dall’anno XX, un nuovo testo di “Informativa” (…), di “dichiarazione di consenso” (…) e “richiesta di portabilità” (…)”;

- “Il fatto che nel corso del XX vi sia stato un turn over di dipendenti amministrativi all’interno dell’organizzazione di Perla (…), che la richiesta formulata dall’XX fosse generica, indirizzata anche a documenti risalenti nel tempo e vi sia stata una trasformazione societaria e cambiamento di sede, sono tutti eventi che andrebbero valorizzati ai fini della valutazione dell’intensità dell’elemento colposo”;

- “Sotto altro profilo Perla ha consegnato al sig. XX, tutta la documentazione custodita dall’ambulatorio Perla, e ciò anche all’esito delle richieste, più precise, formalizzate nel corso del procedimento amministrativo”;

- “Le predette violazioni sono state progressivamente denunciate dal Reclamante, man mano che Perla forniva chiarimenti e documenti alle richieste di Codesta Autorità. In buona sostanza il reclamante ha denunciato dapprima (i) la mancata consegna di “copia di tutti i dati personali nella disponibilità, compresi quelli relativi alla salute di cui all’art. 4.15 del medesimo Reg. UE 2026/679”, ha poi, (ii) denunciato che l’informativa privacy prodotta da Perla nel corso dell’istruttoria presentasse alcun criticità e quindi (iii) che Perla, sempre nell’ambito della sua attività difensiva, avesse messo a conoscenza dei dati sensibili di XX terzi estranei, in particolare il Poliambulatorio San Liberale, soggetto diverso dal mittente. Tale singolare formazione delle incolpazioni a carico della Società sotto indagine, ha senz’altro leso le legittime prerogative di difesa, considerato che, a fronte di una denuncia per “mancato riscontro all’istanza di esercizio dei diritti”, si è passati ad una critica sul contenuto dell’informativa e quindi, unitamente alla “notifica delle violazioni”, alla ultima contestazione riguardante la diffusione dei dati sanitari anche al Poliambulatorio San Liberale, anch’essa destinatario delle memorie difensive del Perla”.

4. Esito dell’attività istruttoria

Preso atto di quanto rappresentato nella documentazione in atti e nella memoria difensiva, evidenziando che il trattamento dei dati personali deve avvenire nel rispetto della normativa applicabile in materia di protezione dei dati personali e, in particolare, delle disposizioni del Regolamento e del Codice, si osserva quanto segue.

4.1 Mancato riscontro all’istanza di esercizio dei diritti (art. 12, par. 3, in relazione all’art. 15 del Regolamento)

Sulla base degli elementi acquisiti a seguito dell’attività istruttoria, nonché delle successive valutazioni dell’Ufficio, in ordine alla vicenda lamentata dal reclamante, risulta che il titolare del trattamento non ha fornito riscontro all’istanza di accesso ai dati personali avanzata dal sig. XX ai sensi dell’art. 15 del Regolamento, nei termini previsti dall’art. 12 del Regolamento medesimo. Nello specifico, all’istanza avanzata dall’interessato in data XX, la struttura sanitaria ha fornito riscontro con nota del XX, solo a seguito dell’invito dell’Autorità ad aderire alle richieste del reclamante effettuato con nota del XX (prot. n. XX), nonché della richiesta di informazioni, ex art. 157 del Codice, del XX (prot. n. XX).

4.2 Inosservanza degli obblighi informativi nei confronti degli interessati (art. 13, paragrafo 1, lett. e) del Regolamento)

Il titolare del trattamento, in caso di raccolta - presso l’interessato - dei dati che lo riguardano, è tenuto a fornire a quest’ultimo, nel momento in cui tali dati personali sono ottenuti, le informazioni previste dall’art. 13 del Regolamento. Il considerando 39 del Regolamento prevede, inoltre, che “Qualsiasi trattamento di dati personali dovrebbe essere lecito e corretto. Dovrebbero essere trasparenti per le persone fisiche le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che li riguardano nonché la misura in cui i dati personali sono o saranno trattati”.

In particolare, il titolare deve indicare nell’informativa di cui al citato art. 13, par. 1, lett. e), del Regolamento “gli eventuali destinatari o cale eventuali categorie di destinatari dei dati personali”. Tale indicazione, secondo quanto previsto nel documento “Linee guida sulla trasparenza - WP 260 rev. 01” adottate il 29 novembre 2017, versione emendata adottata il 11 aprile 2018” si deve declinare in modo tale che “Devono essere indicati i destinatari effettivi dei dati personali (per nome) o le categorie di destinatari. Conformemente al principio di correttezza, i titolari del trattamento devono fornire sui destinatari le informazioni più pregnanti per gli interessati. In pratica, si tratterà in genere dei nomi dei destinatari, in maniera tale che gli interessati sappiano con precisione chi è in possesso dei dati personali che li riguardano. Se i titolari del trattamento optano per fornire le categorie dei destinatari, le informazioni dovrebbero essere il più specifiche possibile e indicare il tipo (ad es. facendo riferimento alle attività svolte), l’ambito di attività, il settore, il comparto e la sede dei destinatari” (cfr. tabella allegata alle Linee guida, pag. 39/40).  

Inoltre, a garanzia della trasparenza e chiarezza di tutte le informazioni riguardanti il trattamento da fornire agli interessati, le citate Linee guida prevedono che “(…) l’interessato dovrebbe essere in grado di determinare in anticipo quali siano la portata del trattamento e le relative conseguenze e non dovrebbe successivamente colto di sorpresa dalle modalità di utilizzo dei dati personali che lo riguardano” (cfr. pag. 6, punto 10) e che “(…) Le informazioni dovrebbero essere concrete e certe, non dovrebbero essere formulate in termini astratti o ambigui né lasciare spazio a interpretazioni multiple. In particolare dovrebbero risultare chiare le finalità e la base giuridica del trattamento dei dati personali” (pag. 8, punto 12).

Al riguardo, con riferimento all’informativa presente agli atti, sottoscritta dall’interessato in data XX, posto che l’informativa non dovrebbe contenere informazioni superflue o non corrispondenti all’effettivo trattamento effettuato (cfr. il citato documento “Linee guida sulla trasparenza”, pag. 6, punto 10 e pag. 8, punto 12), ravvisata  l’opportunità di correggere/espungere dal testo dell’informativa in questione le informazioni non rispondenti al reale/ridondanti (riferimenti al dossier sanitario/cartella clinica, all’attività di ricerca in ambito scientifico, all’informativa dettagliata, all’attività di profilazione), con riferimento all’art. 13, paragrafo 1 lett. e) del Regolamento, riguardante i destinatari/categorie di destinatari, è accertata la carenza dell’indicazione dettagliata di tali destinatari, così come richiede il Regolamento medesimo e le sopra citate Linee guida sulla Trasparenza.

Si tiene tuttavia conto che il titolare del trattamento, nella memoria difensiva del XX, ha comunicato di aver provveduto a riformulare l’informativa da rilasciare ai pazienti, allegando copia della medesima.

4.3 Inosservanza del principio di “integrità e riservatezza” dei dati di cui all’art. 5, par. 1, lett. f) del Regolamento e dell’art. 9 del Regolamento medesimo

Sulla base della disciplina in materia di protezione dei dati personali per “dati relativi alla salute” si intendono “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, n. 15 del Regolamento). Tali dati meritano una maggiore protezione dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali (Cons. n. 51). I medesimi dati devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (principio di “integrità e riservatezza”)” (art. 5, par. 1, lett. f) del Regolamento).

In linea con quanto sopra, le informazioni sullo stato di salute possono essere comunicate unicamente all’interessato e possono essere comunicate a terzi sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso previa delega scritta di quest’ultimo (art. 9 Regolamento).

Sulla base degli atti e delle dichiarazioni rese, è accertato che il titolare del trattamento, attraverso l’invio del riscontro fornito al reclamante (e all’Autorità in data XX), nonché con l’invio del riscontro all’Autorità fornito in data XX, ha trasmesso informazioni sanitarie del sig. XX, oltre che all’interessato e all’Autorità medesima, anche al Poliambulatorio San Liberale S.r.l., effettuando, quindi, un trattamento di dati riguardanti la salute dell’interessato nell’inosservanza del principio di “integrità e riservatezza” consistente nella comunicazione di dati relativi alla salute in assenza di un presupposto legittimante tale comunicazione. Ciò, in violazione del principio di integrità e riservatezza dei dati di cui all’art. 5, par. 1, lett. f) del Regolamento, nonché dell’art. 9 del Regolamento medesimo.

4.4 Mancato riscontro alla richiesta di informazioni dell’Autorità (art. 157 in relazione all’art. 166, comma 2, del Codice)

L’art. 157 del Codice prevede che “Nell’ambito dei poteri di cui all'articolo 58 del Regolamento e per l’espletamento dei propri compiti, il Garante può richiedere al titolare, al responsabile, al rappresentante del titolare o del responsabile, all'interessato o anche a terzi di fornire informazioni e di esibire documenti anche con riferimento al contenuto di banche di dati”.

Con riferimento alla vicenda in questione, non avendo la struttura sanitaria fornito riscontro alle informazioni richieste dall’Autorità con nota del XX (prot. n. XX) - inviata a mezzo PEC all’indirizzo perlaodontoiatriavenetasrl@pec.it - effettuate le verifiche del caso presso l’Ufficio che si occupa del servizio di protocollazione presso l’Autorità, è accertata la violazione dell’art. 157 del Codice.

5. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

L’argomentazione del titolare circa la prospettata lesione delle “(…) legittime prerogative di difesa” per avere il reclamante lamentato ulteriori criticità nel corso del procedimento rispetto all’oggetto del reclamo, non trova fondamento per il fatto che nei confronti di tali prospettate ulteriori inosservanze della normativa in materia di protezione dei dati personali, quali integrazioni del reclamo, sono stati assicurati tutti gli strumenti difensivi previsti dalla legge a seguito della contestazione delle violazioni con l’avvio del procedimento sanzionatorio di cui all’art. 166 del Codice, ovvero la possibilità di presentare scritti difensivi o documenti, nonché di richiedere l’audizione presso l’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, legge n. 689 del 24 novembre 1981).

Pertanto, tutto quanto premesso, allo stato degli atti e delle dichiarazioni fornite, in relazione alla vicenda in questione, è accertato che la struttura sanitaria, titolare del trattamento, nella vicenda in questione, ha:

- violato l’art. 12, in relazione all’art. 15 del Regolamento, per non aver fornito riscontro, entro i tempi di cui all’art. 12 del Regolamento, all’istanza di esercizio del diritto di accesso ai dati avanzata dal reclamante in data XX. Tale riscontro è stato fornito con nota del XX, definendo la consegna degli esami radiografici in data XX, a seguito dell’invito ad aderire alle richieste del reclamante effettuato dall’Autorità, nonché della richiesta di informazioni dell’Autorità del XX (prot. n. XX);

- violato l’art. 13, paragrafo 1, lett. e) del Regolamento, per non aver specificato nel documento “Informativa privacy clienti. Ai sensi e per gli effetti degli artt. 13 - 14 e Considerando 39 ss. del REG. UE 2016/679" i destinatari/categorie di destinatari nei termini sopra indicati;

- violato l’art. 5, par. 1, lett. f) e l’art. 9 del Regolamento, per aver comunicato, nell’inosservanza del principio di “integrità e riservatezza”, dati relativi alla salute dell’interessato in assenza di una base giuridica legittimante;

- violato l’art. 157 del Codice per non aver fornito riscontro alla richiesta di informazioni dell’Autorità formulata con nota del XX (prot. n. XX).  

Non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento, tenendo conto che il titolare del trattamento ha riformulato il testo dell’informativa da rilasciare ai pazienti, con specificazione dei destinatari/categorie di destinatari di cui alla lett. e), par. 1, dell’art. 13 del Regolamento.  

Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione dell’art. 12, in relazione all’art. 15, dell’art. 13, par. 1, lett. e), dell’art. 5, par. 1, lett. f) e dell’art. 9 del Regolamento, nonché dell’art. 157 del Codice, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, lett. a) e b) del Regolamento e dell’art.166, comma 2, del Codice.

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Nel caso di specie, nel calcolo della sanzione amministrativa, in applicazione dell’art. 83, par. 3, del Regolamento, si è valutato che il titolare del trattamento ha posto in essere distinte condotte: il mancato rispetto degli obblighi di trasparenza e informativi, la comunicazione di dati relativi alla salute in assenza di una base giuridica nell’inosservanza del principio di integrità e riservatezza di cui all’art. 5, par. 1, lett. f), nonché la violazione dell’art. 157 del Codice. Si considerano, unitamente, le violazioni di cui ai punti 4.1 e 4.2 del paragrafo 4, in quanto riferite all’inosservanza degli obblighi informativi e di trasparenza nei confronti dello stesso interessato. Sono state valutate separatamente, la condotta rappresentata nel punto 4.3, riguardante la comunicazione di dati relativi alla salute e la condotta omissiva riferibile alla violazione di cui all’art. 157 del Codice.

6.1 La condotta in violazione dell’art. 12, in relazione all’art. 15, del Regolamento e dell’art. 13 del Regolamento.

Con riferimento a tali violazioni, soggette alla sanzione amministrativa pecuniaria di cui all’art. 83, par. 5, del Regolamento, l’importo totale della sanzione è da quantificarsi tenendo presente il massimo edittale c.d. “statico” stabilito da Regolamento, pari al limite massimo di euro 20.000.000. 
Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nell’ipotesi in esame, sono state tenute in considerazione le circostanze sotto riportate.

In tale circostanza, il livello di gravità, sulla base degli elementi di cui all’art. 83, par. 2, lett. a), b) e g) del Regolamento (cfr. il documento “Linee Guida 04/2022 sul calcolo della sanzioni amministrative pecuniarie ai sensi del GDPR – versione 2.0 – adottato il 24 maggio 2023”), è da considerarsi medio, stante il fatto che si è trattato di un caso isolato.

Sono stati, infine, considerati gli ulteriori elementi previsti dall’art. 83, par. 2, del Regolamento e, in particolare, che da parte del titolare del trattamento non sono state commesse violazioni pertinenti (art. 83, par. 2, lett. e) del Regolamento); che l’Autorità ha preso conoscenza della violazione a seguito di reclamo (art. 83, par. 2, lett. h) del Regolamento); che il titolare del trattamento ha predisposto una nuovo documento informativo da fornire ai pazienti con specificazione dei destinatari/categorie di destinatari di cui alla lett. e), par. 1, dell’art. 13 del Regolamento.

In ragione dei suddetti elementi, valutati nel loro complesso, tenuto conto, altresì, di quanto indicato nelle Linee guida sopra citate circa l’incidenza, nel computo dell’ammontare della sanzione pecuniaria, del criterio del fatturato annuo della società riferito all’esercizio precedente, per la condotta tenuta da titolare del trattamento nella vicenda in questione in violazione degli obblighi informativi e di trasparenza di cui all’art. 13, nonché dell’art. 12, in relazione all’art. 15 del Regolamento, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 3.000,00 (tremila/00).

6.2 Inosservanza del principio di “integrità e riservatezza” dei dati di cui all’art. 5, par. 1, lett. f) del Regolamento e dell’art. 9 del Regolamento medesimo

Con riferimento a tali violazioni, soggette alla sanzione amministrativa pecuniaria di cui all’art. 83, par. 5, del Regolamento, l’importo totale della sanzione è da quantificarsi tenendo presente il massimo edittale cd “statico” stabilito da Regolamento, pari al limite massimo di euro 20.000.000.

Con riguardo agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nell’ipotesi in esame, si è valutato quanto di seguito.

Si ritiene che in tale circostanza il livello di gravità della violazione sulla base dell’art. 83, par. 2, lett. a), b) e g) del Regolamento (cfr. il documento “Linee Guida 04/2022 sul calcolo della sanzioni amministrative pecuniarie ai sensi del GDPR – versione 2.0 – adottato il 24 maggio 2023”), è da considerarsi alto, in quanto, riguardante dati relativi alla salute di un soggetto interessato.

In relazione alla valutazione degli ulteriori elementi previsti dall’art. 83, par. 2 del Regolamento, quali circostanze aggravanti e attenuanti, si tiene conto che:

- nei confronti del titolare del trattamento non sono stati in precedenza adottati provvedimenti riguardanti violazioni pertinenti, né sono stati precedentemente disposti provvedimenti di cui all’art. 58 del Regolamento (art. 83, par. 2, lett. e) del Regolamento);

- l’Autorità ha preso conoscenza della fattispecie in esame a seguito di un reclamo proposto dall’interessato (art. 83, par. 2, lett. h) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, tenuto conto, altresì, di quanto indicato nelle Linee guida sopra citate circa l’incidenza, nel computo dell’ammontare della sanzione pecuniaria, del criterio del fatturato annuo della società riferito all’esercizio precedente, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, del Regolamento, nella misura di euro 4.000,00 (quattromila/00) per la violazione dell’art. 5, par. 1, lett. f) e 9 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

6.3 La condotta omissiva in violazione dell’art. 157 del Codice di cui al precedente par. 4, punto 4.4

Tenuto conto che la violazione dell’art. 157 del Codice, ai sensi dell’art. 166, comma 2, del Codice medesimo è soggetta alla sanzione amministrativa pecuniaria di cui all’art. 83, par. 5, del Regolamento, l’importo totale della sanzione è da quantificarsi tenendo presente il massimo edittale c.d. “statico” stabilito da Regolamento, pari al limite massimo di 20.000.000 di euro.

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nell’ipotesi in esame, sono state tenute in considerazione le circostanze sotto riportate.

Si ritiene che, in tale circostanza, il livello di gravità, sulla base degli elementi di cui all’art. 83, par. 2, lett. a) e b) e g) del Regolamento (cfr. il documento “Linee Guida 04/2022 sul calcolo della sanzioni amministrative pecuniarie ai sensi del GDPR – versione 2.0 – adottato il 24 maggio 2023”), è da considerarsi medio, tenuto conto del fatto che il titolare del trattamento ha poi risposto alla presenza degli agenti del Nucleo della Guardia di Finanza.  
Sono stati, inoltre, considerati gli ulteriori elementi previsti dall’art. 83, par. 2, del Regolamento e, in particolare, che da parte del titolare del trattamento non sono state commesse violazioni pertinenti (art. 83, par. 2, lett. e) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, tenuto conto, altresì, di quanto indicato nelle sopracitate Linee guida circa l’incidenza, nel computo dell’ammontare della sanzione pecuniaria, del criterio del fatturato annuo della società riferito all’esercizio precedente, per la violazione dell’art. 157 del Codice da parte del titolare del trattamento nella vicenda in questione, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 500,00 (cinquecento/00). 

*  *   *

Alla luce di quanto sopra, la quantificazione totale della sanzione risulta pari a euro 7.500,00 (settemilacinquecento/00) e si ritiene che tale sanzione sia effettiva, proporzionata e dissuasiva ai sensi dell’art. 83, par. 1, del Regolamento.

7. Valutazioni aggiuntive e sanzione accessoria della pubblicazione dell’ordinanza-ingiunzione

Tenuto conto della natura dei dati relativi alla salute il cui trattamento è oggetto della vicenda in questione, nonché della condotta omissiva del titolare con riferimento alla richiesta dell’Autorità ai sensi dell’art. 157, nonché alla materia dei diritti degli interessati e alla inosservanza degli obblighi di trasparenza si ritiene, altresì, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo, contenente l'ordinanza-ingiunzione, sul sito Internet del Garante. 

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento dei dati personali effettuato dalla struttura sanitaria Perla Odontoiatria Veneta S.r.l., C.F. 05150300266, sita in Vittorio Veneto (TV) c.a.p. 31029, Via A. Da Mosto, 22 per la violazione dell’art. 12 in relazione all’art. 15 del Regolamento, dell’art. 13, par. 1, lett. e) del Regolamento e dell’art. 5, par. 1, lett. f) e 9 del Regolamento medesimo, nonché dell’art. 157 del Codice nei termini di cui in motivazione;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, al titolare del trattamento sopra citato di pagare la somma di euro 7.500,00 (settemilacinquecento/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

al predetto titolare, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 7.500,00 (settemilacinquecento/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

DISPONE

- ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza-ingiunzione sul sito internet del Garante;

- ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Avverso il presente provvedimento può essere proposta opposizione all’Autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero, ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011.

Roma, 17 luglio 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE REGGENTE
Filippi

Scheda

Doc-Web
10182336
Data
17/07/25

Argomenti

Sanità e ricerca scientifica Dati sanitari Pazienti

Tipologie

Ordinanza ingiunzione o revoca

Vedi anche (10)