g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Ordinanza ingiunzione o revoca
  4. Provvedimento del 9 ottobre 2025 [10192819]

Provvedimento del 9 ottobre 2025 [10192819]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 10192819]

Provvedimento del 9 ottobre 2025

Registro dei provvedimenti
n. 586 del 9 ottobre 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Angelo Fanizza, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Introduzione.

Con reclamo presentato ai sensi dell’art. 77 del Regolamento, la dott.ssa XX, professionista iscritta presso l’Ordine Interprovinciale dei Tecnici Sanitari di Radiologia Medica e delle Professioni Sanitarie Tecniche della Riabilitazione e della Prevenzione di AQ - CH - PE – TE (di seguito, l’“Ordine”), ha lamentato una presunta violazione della disciplina in materia di protezione dei dati personali.

In particolare, è stato lamentato che, nonostante la stessa avesse impugnato un provvedimento disciplinare di sospensione, con ricorso presentato dinanzi alla Commissione Centrale per gli Esercenti le Professioni Sanitarie (C.C.E.P.S.) - istituita presso il Ministero della Salute ai sensi dell’art. 17 del d.lgs.C.P.S. 13 settembre 1946, n. 233 e preposta all'esame dei ricorsi presentati dai professionisti sanitari avverso i provvedimenti dei rispettivi Ordini e Collegi professionali in determinate materie - tale provvedimento, ancorché non definitivo, sia stato comunque annotato nell’albo online.

Con un distinto motivo di reclamo, l’interessata ha, altresì, lamentato che, nell’ambito del procedimento disciplinare, l’Ordine avrebbe reso noti taluni propri dati personali a degli esponenti della Federazione nazionale Ordini dei Tecnici sanitari radiologia medica e delle professioni sanitarie tecniche, della riabilitazione e della prevenzione (di seguito, la “Federazione”), in assenza di un’idonea base giuridica.

Infine, tenuto conto che non risultava pervenuta a questa Autorità la comunicazione dei dati di contatto del Responsabile della protezione dei dati personali (di seguito, “RPD”) designato dall’Ordine (cfr. art. 37, par. 1, lett. a), del Regolamento), l’istruttoria è stata estesa, su iniziativa dell’Ufficio, anche in relazione a tale profilo.

2. L’attività istruttoria.

In riscontro a una richiesta d’informazioni dell’Ufficio (v. nota prot. n. XX del XX), l’Ordine, con nota dell’XX (prot. n. XX) ha dichiarato, in particolare, che:

“la commissione disciplinare in data XX deliberava […] la sospensione della [reclamante] e in data XX la sospensione veniva comunicata tramite […] pec [all’avvocato della reclamante]”;

“corrisponde al vero che l’Ordine ha annotato all’Albo Online il provvedimento della sospensione dell’interessata”;

il Presidente dell’Ordine, “non avendo certezza che il provvedimento sarebbe stato sospeso con la contestazione della professionista ha inviato una nota alla C.E.E.P.S. […] in data XX […] prot. XX […;] in data XX […la] CEEPS […] risponde dichiarando che [essa] è organo giurisdizionale e come tale, non svolge funzioni di consulenza, non chiarendo quanto […] richiesto”;

con nota del XX indirizzata all’Ordine, il Ministero della Salute evidenziava di aver “già chiarito all’Ordine […] che il ricorso alla CCEPS ha effetto sospensivo, qualora sia proposto avverso i provvedimenti di cancellazione dall’albo o avverso i provvedimenti disciplinari”;

“dopo aver ricevuto tale nota, […] immediatamente e tempestivamente è stata annullata la sospensione della professionista […] e dalla stessa data, la professionista non risultava più sospesa [nell’albo online pubblicato sul] sito [dell’Ordine] e [su] quello nazionale […]”;

l’Ordine ha condiviso per le vie brevi il caso della reclamante con esponenti della Federazione “affinché si risolvesse la problematica in via bonaria”;

“il [RPD] è attualmente il Dott. XX nominato con Delibera n. XX del XX, il quale non era a conoscenza dei fatti sopra descritti in quanto eletto come componente del Consiglio Direttivo successivamente alla sospensione dell’interessata. All’epoca dei fatti il [RPD] era il [Presidente dell’Ordine] in via del tutto eccezionale perché nessuno si è reso disponibile a ricoprire tale incarico […]”.

Con nota del XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato all’Ordine, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento:

per aver diffuso online dati personali della reclamante in maniera non conforme ai principi di “liceità, correttezza e trasparenza” ed “esattezza”, e in assenza di base giuridica, in violazione degli artt. 5, par. 1, lett. a) e d), e 6 del Regolamento, nonché 2-ter del Codice;

per aver omesso di designare un RPD, in violazione dell’art. 37, par. 1, lett. a), del Regolamento.

Con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).

Con nota del XX (prot. n. XX), l’Ordine ha presentato una memoria difensiva, ribandendo sostanzialmente le difese già prospettate nel corso del procedimento.

In occasione dell’audizione, richiesta ai sensi dell’art. 166, comma 6, del Codice e tenutasi in data XX (v. verbale prot. n. XX del XX), l’Ordine ha dichiarato, in particolare, che:

“l’annotazione nell’albo del provvedimento di sospensione della reclamante è avvenuta per errore, avendo, peraltro, l’Ordine confidato in un parere della C.C.E.P.S., che […] non è stato […] reso”;

“l’eccesso di zelo dell’Ordine ha comportato un ritardo nella gestione della vicenda, nell’ambito della quale l’Ordine ha agito in assoluta buona fede e nell’interesse esclusivo dei pazienti, i quali devono conoscere tempestivamente i provvedimenti disciplinari adottati dall’Ordine”;

“la diffusione sul sito dei dati personali della reclamante è una conseguenza automatica dell’annotazione sull’albo del provvedimento disciplinare”;

“l’interessata non si è, peraltro, mai rivolta all’Ordine e al suo RPD per far presente la questione e ha invece presentato direttamente reclamo al Garante, senza dare all’Ordine la possibilità di rimediare spontaneamente a quanto lamentato”.

Con PEC del XX, a scioglimento di una riserva formulata in sede di audizione, l’Ordine ha depositato in atti copia delle delibere nn. XX del XX, XX del XX e XX del XX, con le quali l’Ente avrebbe designato l’avv. XX quale proprio RPD.

3. Esito dell’attività istruttoria.

3.1 Il trattamento dei dati personali della reclamante a fini disciplinari.

Al fine di garantire un elevato livello di protezione delle libertà e dei diritti fondamentali delle persone fisiche, in particolare del loro diritto al rispetto della vita privata e alla protezione dei dati di carattere personale, sancito dagli artt. 7 e 8 della Carta dei diritti fondamentali dell’Unione europea (cfr. art. 1 del Regolamento), qualsiasi trattamento di dati personali deve, in particolare, essere conforme ai principi enunciati all’art. 5 del Regolamento e soddisfare le condizioni di liceità di cui all’art. 6 dello stesso (v., tra le tante decisioni, Corte di giustizia dell’Unione europea, sentenza C-710/23, Ministerstvo zdravotnictví (Données relatives au représentant d’une personne morale), del XX, par. XX).

In tale quadro, i soggetti pubblici possono, di regola, trattare dati personali se il trattamento è necessario per adempiere un obbligo legale o per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri (art. 5, par. 1, lett. a), e 6, parr. 1, lett. c) ed e), e 2 e 3 del Regolamento; art. 2-ter del Codice), fermo restando che deve essere garantito, in ogni caso, il rispetto dei principi di protezione dei dati (artt. 5, 24 e 25 del Regolamento), tra i quali, in particolare, quelli di “liceità, correttezza e trasparenza”, “minimizzazione dei dati” ed “esattezza", in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato”, “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” ed “esatti e, se necessario, aggiornati”, dovendo il titolare adottare “tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a), c) e d), del Regolamento).

La normativa europea prevede poi che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del […] regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento). Al riguardo, si evidenzia che le operazioni di “comunicazione” e “diffusione” di dati personali (v. art. 2-ter, comma 4, lett. a) e b), del Codice) sono ammesse solo al ricorrere delle condizioni previste dall’art. 2-ter, commi 1, 1-bis, 2 e 3 del Codice.

Ciò premesso, deve osservarsi che, all’esito dell’istruttoria relativa al reclamo, risulta accertato che:

in data XX, l’Ordine ha adottato un provvedimento disciplinare di sospensione (v. delibera n. XX del XX prot. n XX), notificandolo alla reclamante in data XX;

la sospensione della reclamante è stata immediatamente annotata nell’albo online;

in data XX, la reclamante, per il tramite del proprio avvocato, ha notificato all’Ordine il ricorso presentato dinanzi alla C.C.E.P.S.;

con determina n. XX del XX (prot. n. XX), l’Ordine ha preso atto della perdita di efficacia del provvedimento di sospensione della reclamante e ha disposto la cancellazione dell’annotazione della sospensione dall’albo online, che è stata eseguita nella medesima data.

Al riguardo, deve rilevarsi che, come, peraltro, fatto presente all’Ordine dal Ministero della Salute, che esercita la vigilanza sugli Ordini provinciali e regionali e sulle relative Federazioni nazionali delle professioni sanitarie, l’art. 53, comma 2, del d.P.R. 5 aprile 1950, n. 221, prevede che “il ricorso dell'interessato [alla C.C.E.P.S.] ha, effetto sospensivo quando sia proposto avverso i provvedimenti di cancellazione dall'Albo o avverso i provvedimenti disciplinari, ad eccezione di quelli previsti dai precedenti articoli 42 e 43”.

Ciononostante, l’Ordine - nel periodo intercorrente tra il XX, data in cui la reclamante ha notificato allo stesso il ricorso dinnanzi alla C.C.E.P.S., e il XX, data in cui l’Ordine ha preso atto del venir meno degli effetti del provvedimento di sospensione in ragione della sua impugnazione, ha comunque mantenuto l’annotazione nell’albo online della sanzione disciplinare della sospensione comminata alla reclamante.

Conseguentemente, l’Ordine ha diffuso online un dato personale dell’interessata, relativo alla sospensione della stessa dall’esercizio della professione, in maniera non conforme al principio di “liceità, correttezza e trasparenza” e in assenza di base giuridica, in violazione degli artt. 5, par. 1, lett. a), e 6, par. 1, lett. c) ed e), del Regolamento, nonché 2-ter del Codice.

Tenuto conto che l’informazione diffusa non poteva più considerarsi corretta e aggiornata, l’Ordine ha, altresì, agito in maniera non conforme al principio di esattezza, in violazione dell’art. 5, par. 1, lett. d), del Regolamento.

Per quanto concerne, invece, il motivo di reclamo che attiene alla condivisione di taluni dati personali della reclamante tra, da una parte, l’Ordine e, dall’altra, il delegato del gruppo di lavoro “Aspetti giuridici e medico-legali” e la Segretaria della Federazione, nell’ambito del procedimento disciplinare che ha dato origine al predetto provvedimento di sospensione, deve prendersi, invece, atto di quanto dichiarato dall’Ordine in merito alla circostanza che “l’Ordine dipende in via gerarchica dalla F.N.O.” (v. la citata nota prot. XX) e si rileva che, ai sensi dell’art. 7, comma 2, del d.lgs.C.P.S. 13 settembre 1946, n. 233, “alle Federazioni nazionali sono attribuiti compiti di indirizzo e coordinamento e di supporto amministrativo agli Ordini e alle Federazioni regionali, ove costituite, nell'espletamento dei compiti e delle funzioni istituzionali” e, dunque, anche di quelle che afferiscono all’ambito disciplinare (cfr., in senso analogo, l’art. 7, comma 2, della l. 11 gennaio 2018, n. 3). Si ritiene, pertanto, che, limitatamente a tale motivo di reclamo, debba disporsi l’archiviazione dello stesso, non risultando comprovata, allo stato degli atti, una violazione della normativa in materia di protezione dei dati (v. art. 14, par. 3, del Regolamento del Garante n. 1/2019).

3.2 L’omessa designazione del Responsabile della protezione dei dati (RPD).

Ai sensi dell’art. 37 del Regolamento, il titolare del trattamento “[designa] sistematicamente un responsabile della protezione dei dati [RPD] ogniqualvolta: a) il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali” (par. 1, lett. a)) e “pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all'autorità di controllo” (par. 7).

Al riguardo, l’Ordine ha in un primo momento sostenuto che l’attuale RPD è “il Dott. XX nominato con Delibera n. XX del XX” e che “all’epoca dei fatti il [RPD] era [il Presidente dell’Ordine] in via del tutto eccezionale perché nessuno si è reso disponibile a ricoprire tale incarico”, giusta deliberazione n. XX del XX.

Deve, tuttavia, rilevarsi che sia la menzionata delibera n. XX del XX (che risulta pubblicata online all’indirizzo https://...) sia la deliberazione n. XX del XX, in atti, fanno riferimento non già alla figura del RPD di cui all’art. 37 del Regolamento, bensì alla diversa figura del Responsabile della prevenzione della corruzione e della trasparenza di cui all’art. 43 del d.lgs. 14 marzo 2013, n. 33, che non attiene specificamente alla materia della protezione dei dati personali.

Successivamente, sia nella memoria difensiva sia in sede di audizione, l’Ordine, rettificando quanto sostenuto nel corso dell’istruttoria, ha dichiarato che “il […] (RPD) è sempre stata la Dr.ssa/Avvocato XX e i contratti in essere con la stessa per tale funzione sono stati sempre pubblicati sul sito dell’Ordine”, depositando in atti copia delle delibere nn. XX del XX, XX del XX e XX del XX, con le quali l’Ente avrebbe designato l’avv. XX quale proprio RPD.

Nel prendere atto di tale rettifica, deve, anzitutto, osservarsi che la prima di tali delibere reca la data del XX, risultando, pertanto, comprovato che quantomeno dal 25 maggio 2018, data in cui il Regolamento è diventato efficace, al XX, l’Ordine non ha provveduto alla designazione di un RPD.

Inoltre, tenuto conto che soltanto la delibera del XX specifica il periodo di durata dell’incarico (“a decorrere del XX al XX”), non è comunque possibile accertare se tra il XX e il XX la designazione del RPD abbia avuto effettiva continuità per l’intero periodo di riferimento.

Né vi è evidenza che la professionista designata abbia effettivamente accettato l’incarico, atteso che la documentazione in atti reca unicamente la sottoscrizione del Presidente dell’Ordine.

Sul piano più generale, deve poi osservarsi che gli atti di designazione del XX e del XX sono caratterizzati da inesattezze e incongruenze, recando in oggetto “nomina a responsabile del trattamento ex art. 28 del Regolamento (UE) 2016/679” e nella parte dispositiva l’affidamento dell’incarico di “responsabile del trattamento dei dati personali (D.P.O.)”, senza, peraltro, alcuna menzione dell’art. 37 del Regolamento. Non vengono, inoltre, definiti i compiti affidati al soggetto designato, nemmeno per relationem con un richiamo all’art. 39 del Regolamento.

Di tale designazione dell’avv. ... quale RPD dell’Ordine, con particolare riguardo ai dati di contatto della stessa, non è stata, peraltro, data alcuna comunicazione all’Autorità, come invece prescritto dall’art. 37, par. 7, del Regolamento (cfr. le “Linee-guida sui responsabili della protezione dei dati (RPD)”, adottate dal Gruppo di lavoro articolo 29 in materia di protezione dei dati personali il 13 dicembre 2016 ed emendate il data 5 aprile 2017, par. 2.6, e il “Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico”, adottato dal Garante il 29 aprile 2021 con provv. n. 186, doc. web n. 9589104, par. 7).

Considerato tutto quanto sopra esposto, deve concludersi che l’Ordine ha agito in violazione dell’art. 37, par. 1, lett. a), del Regolamento.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Ordine, per aver violato gli artt. 5, par. 1, lett. a) e d), 6, par. 1, lett. c) ed e), e 37, par. 1, lett. a), del Regolamento, nonché 2-ter del Codice.

5. Misure correttive (art. 58, par. 2, lett. d), del Regolamento).

L’art. 58, par. 2, del Regolamento attribuisce al Garante il potere di “ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine” (lett. d).

Prendendo atto di quanto emerso in fase di istruttoria e tenendo conto della circostanza che, come illustrato nel precedente paragrafo 3.2, non risulta comprovata la designazione del RPD da parte dell’Ordine, si rende necessario, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiungere allo stesso di provvedere a designare il RPD (art. 37, par. 1, lett. a), del Regolamento), nonché di comunicare all'Autorità e pubblicare sul sito web istituzionale dell’Ente i dati di contatto dello stesso (art. 37, par. 7, del Regolamento).

Ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, l’Ordine dovrà, inoltre, fornire un riscontro adeguatamente documentato, entro trenta giorni dalla notifica del presente provvedimento, circa le iniziative intraprese al fine di dare attuazione a quanto sopra ordinato ai sensi del citato art. 58, par. 2, lett. d), del Regolamento.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Nel caso di specie, l’Ordine ha posto in essere due distinte condotte, che devono essere considerate separatamente ai fini della quantificazione della sanzione amministrativa da applicarsi.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

6.1 La condotta che attiene al trattamento dei dati personali della reclamante a fini disciplinari.

Tenuto conto che la violazione degli artt. 5, par. 1, lett. a) e d), e 6, par. 1, lett. c) ed e), del Regolamento, nonché 2-ter del Codice ha avuto luogo in conseguenza di un’unica condotta (stesso trattamento o trattamenti tra loro collegati), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, tutte le predette violazioni sono soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000.

Osservato che:

ancorché la violazione abbia riguardato i dati personali di un solo interessato, la stessa si è protratta per un discreto arco temporale, vale a dire dal XX al XX (cfr. art. XX, par. XX, lett. XX), del Regolamento);

la condotta ha natura colposa, essendo l’Ordine incorso in un errore in diritto, tanto da aver chiesto un parere prima alla C.C.E.P.S. e poi al Ministero della Salute, che, già in data XX (v. nota prot. n. XX) aveva fornito il chiarimento richiesto, poi ribadito con la successiva nota del XX, prot. n. XX (cfr. art. 83, par. 2, lett. b), del Regolamento);

sebbene il trattamento non abbia riguardato dati personali appartenenti a categorie particolari, le informazioni relative ai provvedimenti disciplinari sono comunque caratterizzate da delicatezza, potendo incidere significativamente sulla sfera professionale degli interessati (cfr. art. 83, par. 2, lett. g), del Regolamento);

si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).

Ciò premesso, nel considerare che il titolare del trattamento è un Ordine professionale a rilevanza interprovinciale, si ritiene che, ai fini della quantificazione della sanzione, debba essere presa in considerazione la circostanza che non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento (cfr. art. 83, par. 2, lett. e), del Regolamento).

In considerazione di tutto quanto sopra esposto, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 3.000 (tremila) per la violazione degli artt. 5, par. 1, lett. a), e 6, par. 1, lett. c) ed e), del Regolamento, nonché 2-ter del Codice (cfr. il precedente par. 3.1), quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. Ciò in considerazione del fatto che, come sopra evidenziato, oggetto di diffusione online sono state informazioni caratterizzate da delicatezza e idonee a incidere significativamente sulla sfera professionale dell’interessata.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

6.2 La condotta che attiene all’omessa designazione del Responsabile della protezione dei dati (RPD).

La violazione dell’art. 37 del Regolamento è soggetta alla sanzione prevista dall’art. 83, par. 4, del Regolamento e, pertanto, l’importo totale della sanzione è da quantificarsi fino a euro 10.000.000.
Osservato che:

sebbene il Regolamento sia divenuto efficace in data 25 maggio 2018, l’Ordine ha adottato un atto di designazione del RPD - ancorché viziato dalle criticità sopra evidenziate e dunque inidoneo ad adempiere a quanto prescritto dal Regolamento - soltanto in data XX, l’omessa designazione avendo privato l’Ordine di una figura obbligatoria ed essenziale per assicurare il rispetto del Regolamento (cfr. art. 83, par. 2, lett. a), del Regolamento);

la violazione ha carattere colposo (cfr. art. 83, par. 2, lett. b), del Regolamento);

si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).

Ciò premesso, nel considerare che il titolare del trattamento è un Ordine professionale a rilevanza interprovinciale, si ritiene che, ai fini della quantificazione della sanzione, debbano essere prese in considerazione le seguenti circostanze:

non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento (cfr. art. 83, par. 2, lett. e), del Regolamento);

l’Ordine ha sostenuto tesi contradditorie nell’ambito del procedimento, peraltro confondendo la figura del Responsabile della Prevenzione della corruzione e della trasparenza (RPCT) con quella del Responsabile della protezione dei dati (RPD), così dimostrando scarsa consapevolezza sia degli obblighi derivanti dalla normativa in materia di protezione dei dati personali sia del proprio stato di conformità agli stessi, nonché offrendo un insufficiente livello di cooperazione con l’Autorità nel corso dell’istruttoria (cfr. art. 83, par. 2, lett. f), del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 3.000 (tremila) per la violazione dell’art. 37, par. 1, lett. a), del Regolamento (cfr. il precedente par. 3.2), quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. Ciò in considerazione del fatto che l’Ordine non ha assolto a un adempimento divenuto obbligatorio da più di sei anni.

Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dall’Ordine per violazione degli artt. 5, par. 1, lett. a) e d), 6, par. 1, lett. c) ed e), e 37, par. 1, lett. a), del Regolamento, nonché 2-ter del Codice, nei termini di cui in motivazione;

ORDINA

all’Ordine Interprovinciale dei Tecnici Sanitari di Radiologia Medica e delle Professioni Sanitarie Tecniche della Riabilitazione e della Prevenzione di AQ - CH - PE - TE, in persona del legale rappresentante pro-tempore, con sede legale in Via Don Minzoni n. 17 - 67051 Avezzano (AQ), C.F. 93023280667, di pagare la complessiva somma di euro 6.000 (seimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al predetto Ordine:

- in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 6.000 (seimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

- ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, di provvedere a designare il RPD (art. 37, par. 1, lett. a), del Regolamento), nonché di comunicare all'Autorità e pubblicare sul sito web istituzionale dell’Ente i dati di contatto dello stesso (art. 37, par. 7, del Regolamento);

- ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, di comunicare a questa Autorità, fornendo un riscontro adeguatamente documentato, entro trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione a quanto sopra ordinato ai sensi del citato art. 58, par. 2, lett. d), del Regolamento;

DISPONE

- ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 9 ottobre 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Fanizza

Scheda

Doc-Web
10192819
Data
09/10/25

Argomenti

Ordini professionali Responsabile protezione dati

Tipologie

Ordinanza ingiunzione o revoca

Vedi anche (2)