Provvedimento del 26 marzo 2026 [10241477]
Provvedimento del 26 marzo 2026 [10241477]
Condividi[doc. web n. 10241477]
Provvedimento del 26 marzo 2026
Registro dei provvedimenti
n. 205 del 26 marzo 2026
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente e il dott. Luigi Montuori, Segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, (di seguito “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;
RELATORE il dott. Agostino Ghiglia;
PREMESSO
1. Il reclamo
Con reclamo presentato all’Autorità il sig. XX ha lamentato inosservanze della disciplina in materia di protezione dei dati personali da parte del MMG, dottor. XX.
In particolare, il reclamante ha lamentato che il predetto medico non ha ottemperato alla richiesta di cancellazione dei propri dati personali esercitata in data XX (adducendo, in motivazione che avrebbe provveduto alla cancellazione solo una volta spirati i termini di prescrizione dei diritti del reclamante medesimo ed evidenziando che li avrebbe utilizzati per la gestione di un eventuale contenzioso), e che l’informativa, di cui all’art. 13 del Regolamento, rilasciata ai pazienti, risulta carente di alcuni elementi previsti dalla norma citata.
2. L’attività istruttoria
In relazione a quanto descritto, l’Autorità ha avviato un’istruttoria nei confronti del dottor XX, chiedendo informazioni, ai sensi dell’art. 157 del Codice, con nota del XX (prot. n. XX), sia con riferimento al diniego di cancellazione sia alla mancata completezza delle informazioni presenti nel testo dell’informativa rilasciata ai pazienti ai sensi dell’art. 13 del Regolamento.
Nel citato riscontro, il titolare del trattamento ha dichiarato di essere in attesa di conoscere l’eventuale avvio di un procedimento disciplinare a proprio carico da parte della ULSS 8 Berica. Ciò, in quanto “Il reclamante, nei primi giorni di XX (dunque appena venuto meno il rapporto di cura) (con il titolare del trattamento) ha segnalato all’URP dell’Azienda ULSS n. 8 Berica, (…) pretesi inadempimenti (…)”, richiedendo che “l’Azienda ULSS n. 8 Berica adottasse provvedimenti disciplinari nei (…) confronti (del medico), in applicazione di quanto previsto dall’ACN MMG vigente (Accordo Collettivo Nazionale per i Medici di Medicina Generale)”.
Successivamente, il titolare, con nota del XX - in risposta a una ulteriore richiesta di informazioni del XX (prot. n. XX), formulata dall’Autorità, ai sensi dell’art. 157 del Codice - ha trasmesso all’Autorità il provvedimento di archiviazione del procedimento di contestazione ex art. 25 dell’A.C.N. della Medicina Generale XX avviato dalla Azienda ULSS n. 8 Iberica.
Nello stesso riscontro il titolare, in relazione alle richieste dell’Autorità circa le carenze riscontrate nel testo dell’informativa con riguardo al paragrafo 1, lett. e), nonché al paragrafo 2, lett. a), b) e d) dell’art. 13 del Regolamento, trasmettendo una versione aggiornata di tale testo, ha dichiarato che:
“- risultano specificati, chiariti e completati al punto 3 i riferimenti agli eventuali destinatari o alle eventuali categorie di destinatari dei dati personali (art. 13, par. 1, lett. e) del GDPR);
- risultano specificati al punto 5 i diritti degli interessati, ed in particolare, l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai datti personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento, oltre al diritto dalla portabilità dei dati (art. 13, par. 2, lett. b) GDPR);
- risulta specificato al punto 4 il periodo di conservazione dei dati personali (art. 13, par. 2, lett. a) GDPR);
- risulta inserito nella parte finale del punto 5 il diritto degli interessati di proporre reclamo al Garante per la Protezione dei dati personali ovvero il diritto di presentare un ricorso giurisdizionale effettivo nei confronti dell’autorità di controllo o un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento o del responsabile del trattamento”.
3. La notifica della violazione e le memorie difensive
In relazione alla documentazione in atti e a quanto dichiarato dal titolare del trattamento, l’Ufficio, con nota del XX (prot. n.XX), ha avviato, ai sensi dell’art. 166, comma 5, del Codice, il procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2 del Regolamento nei confronti di tale titolare, invitandolo a produrre al Garante scritti difensivi o documenti, ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, legge n. 689 del 24 novembre 1981).
A fronte degli elementi acquisiti nell’ambito dell’attività istruttoria, ritenuto dall’Autorità accoglibile - sulla base delle previsioni degli artt. 9, par. 2, lett. f) e 17, par. 2, lett. e) - quanto dichiarato e documentato dal titolare circa la prospettata violazione relativa alla mancata cancellazione dei dati personali dell’interessato, con riferimento, invece, alla presunta inosservanza degli obblighi informativi di cui all’art. 13 del Regolamento, l’Autorità ha accertato carenze nel testo dell’informativa da trasmettere ai pazienti con particolare riguardo:
- alle informazioni dettagliate circa i destinatari/categorie di destinatari dei dati, in violazione dell’art. 13, par. 1, lett. e) del Regolamento;
- al tempo di conservazione dei dati trattati, in violazione dell’art. 13, par. 2, lett. a) del Regolamento;
- alle informazioni sull’esistenza del diritto dell'interessato di chiedere al titolare del trattamento l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati e sul diritto di proporre reclamo a un'autorità di controllo, in violazione dell’art. 13, par. 2, lett. b) e d) del Regolamento.
A seguito della notifica della violazione, il dott. XX, con nota del XX, ha fatto pervenire la propria memoria difensiva, nella quale ha, fra altro, dichiarato di non aver mai ricevuto contestazioni di alcun genere da parte dei pazienti. Inoltre, di aver provveduto “(…) appena possibile ad integrare il contenuto dell’informativa, al fine di rispettare le prescrizioni del Regolamento e del Codice, inviando il testo (…) (all’) Autorità (con nota del XX) “.
4. Esito dell’attività istruttoria
In via preliminare, si rappresenta che il trattamento di dati personali deve avvenire nel rispetto della normativa applicabile in materia di protezione dei dati personali e, in particolare, delle disposizioni del Regolamento e del Codice.
Il Regolamento prevede che il titolare del trattamento, in caso di raccolta presso l’interessato di dati personali che lo riguardano, è tenuto a fornire allo stesso tutte le informazioni indicate nell’art. 13 del Regolamento medesimo (cfr. anche “Linee guida sulla trasparenza ai sensi del Regolamento 2016/679” adottate il 29 novembre 2017 - Versione emendata adottata l’11 aprile 2018).
Con riferimento all’art. 13, par. 1, lett. e) del Regolamento, si è rilevata la carenza di un’indicazione dettagliata dei destinatari/categorie di destinatari, così come richiesto dalle citate Linee guida sulla trasparenza.
Nel testo dell’informativa, inoltre, non era indicato il periodo di conservazione dei dati.
Secondo quanto indicato nelle citate Linee guida, tale periodo (o i criteri per determinarlo) “dovrebbe essere indicato in maniera tale da consentire all’interessato di stabilire quale sarà, in base alla sua specifica situazione, il periodo previsto per i dati/fini specifici” (art. 13, par. 2, lett. a) del Regolamento).
L’informativa presentava, inoltre, carenze con riguardo all’indicazione “dell'esistenza del diritto dell'interessato di chiedere al titolare del trattamento l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati” e del “diritto di proporre reclamo a un'autorità di controllo” (art. 13, par. 2, lett. b) e d) del Regolamento).
5. Conclusioni.
Alla luce delle risultanze istruttorie, gli elementi forniti dal titolare nella memoria difensiva, seppure meritevoli di considerazione, non risultano idonei a superare i rilievi notificati con l’atto di avvio del procedimento, non ricorrendo alcuna delle ipotesi di cui all’art. 11 del Regolamento del Garante n. 1/2019.
Con riferimento al rilascio dell’informativa ai pazienti ai sensi dell’art. 13 del Regolamento, risulta, pertanto accertata la violazione, posta in essere dal titolare del trattamento, degli obblighi informativi previsti dall’art. 13, par. 1, lett. e) e par. 2, lett. a), b) e d).
Si tiene conto, tuttavia, della riformulazione dell’informativa effettuata dal titolare e che non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento, essendosi la condotta esaurita.
Ricorrono, infine, i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.
6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).
La violazione dell’art. 13, par. 1, lett. e) e par. 2, lett. a), b) e d) del Regolamento è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, lett. b).
Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).
La sanzione va determinata nel rispetto dei principi di effettività, proporzionalità e dissuasività di cui all’art. 83, par. 1. Considerato che le violazioni rientrano tra quelle di cui all’art. 83, par. 5, lett. b) del Regolamento, l’importo massimo edittale è pari a 20.000.000 di euro.
Quanto alla gravità della violazione di cui all’art. 83, par. 2, lett. a), b) e g) del Regolamento (cfr. il documento “Linee Guida 04/2022 sul calcolo della sanzioni amministrative pecuniarie ai sensi del GDPR – versione 2.0 – adottato il 24 maggio 2023”), si ritiene che il livello di gravità è da considerarsi medio, in quanto riferito all’assenza di più elementi informativi previsti dall’art. 13 del Regolamento, tenuto conto, comunque, che la condotta risulta posta in essere in assenza di dolo e oggetto di un solo reclamo.
In relazione alla valutazione degli ulteriori elementi previsti dall’art. 83, par. 2 del Regolamento, quali circostanze aggravanti e attenuanti, si tiene conto che:
- il titolare del trattamento ha riformulato l’informativa (art. 83, par. 2, lett. c) del Regolamento).
- nei confronti del titolare del trattamento non risultano precedenti violazioni pertinenti;
- il titolare ha cooperato pienamente con l’Autorità in tutte le fasi del procedimento (art. 83, par. 2, lett. f) del Regolamento);
- l’Autorità ha preso conoscenza della fattispecie in esame a seguito di un reclamo proposto dall’interessato (art. 83, par. 2, lett. h) del Regolamento);
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5 del Regolamento, nella misura di euro 2.000,00 (duemila/00) per la violazione dell’art. 13, par. 1, lett. e) e par. 2, lett. a), b) e d) del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.
Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019 in considerazione della violazione degli obblighi in materia di trasparenza.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna.
TUTTO CIÒ PREMESSO IL GARANTE
dichiara l’illiceità del trattamento dei dati personali effettuato dal dott. XX C.F.XX, per la violazione dell’art. 13, par. 1, lett. e) e par. 2, lett. a), b) e d) del Regolamento nei termini di cui in motivazione;
ORDINA
ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, al titolare del trattamento sopra citato di pagare la somma di euro 2.000,00 (duemila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;
INGIUNGE
al predetto titolare, di pagare la somma di euro 2.000,00 (duemila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8, del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento - secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata entro il termine di cui all'art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.
Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.
DISPONE
- ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza-ingiunzione sul sito internet del Garante;
- ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;
- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.
Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’Autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.
Roma, 26 marzo 2026
IL PRESIDENTE
Stanzione
IL RELATORE
Ghiglia
IL SEGRETARIO GENERALE
Montuori
