g-docweb-display Portlet

  1. Home
  2. Ordinanza di ingiunzione nei confronti dell'Azienda ospedaliera di Cosenza - 23 febbraio 2012 [1917336]

Ordinanza di ingiunzione nei confronti dell'Azienda ospedaliera di Cosenza - 23 febbraio 2012 [1917336]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 1917336]

Ordinanza di ingiunzione nei confronti dell´Azienda ospedaliera di Cosenza - 23 febbraio 2012

Registro dei provvedimenti
n. 072 del 23 febbraio 2012

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele De Paoli, segretario generale;

ESAMINATO il rapporto del Comando Nucleo speciale privacy della Guardia di finanza predisposto ai sensi dell´art. 17 della legge 24 novembre 1981, n. 689, relativo al verbale di contestazione per violazione amministrativa redatto in data 27 maggio 2009 nei confronti dell´Azienda ospedaliera di Cosenza, con sede in Cosenza, via San Marino, in persona del legale rappresentante pro-tempore, per violazione degli artt. 13 e 37 del Codice in materia di protezione dei dati personali (di seguito denominato Codice);

RILEVATO che il predetto Comando, in attuazione della richiesta di informazioni ex art. 157 del Codice (prot. n. 1075/53969 del 20 gennaio 2009), ha svolto gli accertamenti di cui al verbale di operazioni compiute del 26 maggio 2009. Da tali accertamenti è emerso che l´Azienda sanitaria ha effettuato un trattamento di dati personali attraverso il sito Internet www.aziendaospedalieracs.it omettendo di rendere agli interessati un´idonea informativa ai sensi dell´art. 13 del Codice. L´Azienda, inoltre, ha effettuato trattamenti di dati personali previsti dall´art. 37, comma 1, lett. a) e b), del Codice senza aver provveduto alla notificazione ai sensi degli artt. 37 e 38 del Codice. Infine, dagli accertamenti e dalla successiva nota del 10 giugno 2009 inviata all´Autorità è emerso che l´Azienda ospedaliera non ha provveduto alla designazione degli incaricati del trattamento dei dati personali ai sensi dell´art. 30 del Codice, né ha aggiornato il documento programmatico sulla sicurezza ai sensi della regola n. 19 del Disciplinare tecnico, Allegato B) del Codice, omettendo, quindi, di adottare le misure minime di sicurezza ai sensi dell´art. 33 del Codice;

VISTO il verbale n. 27 del 27 maggio 2009 con cui sono state contestate alla predetta Azienda ospedaliera le violazioni previste dagli artt. 161 e 163 in relazione, rispettivamente, agli artt. 13 e 37 del Codice, informandola della facoltà di effettuare il pagamento in misura ridotta ai sensi dell´art. 16 della legge n. 689/1981;

VISTO il verbale prot. n. 16951/64302 del 30 luglio 2009 con cui è stata contestata alla predetta Azienda ospedaliera la violazione prevista dall´art. 162, comma 2-bis, in relazione all´art. 33 del Codice;

RILEVATO dal predetto rapporto che l´Azienda ospedaliera non si è avvalsa della facoltà del pagamento in misura ridotta prevista per le violazioni di cui agli artt. 161 e 163 del Codice;
VISTI gli scritti difensivi datati 10 e 23 giugno 2009 e inviati ai sensi dell´art. 18 della legge n. 689/1981, nonché la successiva nota datata 8 aprile 2010 nei quali l´Azienda ospedaliera ha dichiarato:

a) con riferimento all´omessa informativa in relazione al trattamento dei dati raccolti tramite il sito Internet www.aziendaospedalieracs.it:

  • che "l´Azienda ospedaliera non ha previsto alcuna raccolta di dati personali per il tramite di detto sito in quanto l´accesso è riservato ai soli dipendenti previa autenticazione. L´eventuale accesso in deroga a tale modalità è relativo ad un´area di test priva di qualunque dato ad eccezione di quelli dichiarati per la registrazione o è imputabile ad errori randomici del sistema ancora in fase di implementazione";

b) con riferimento all´omessa notificazione al Garante:

  • che la notificazione "acquista carattere di obbligatorietà solo nel caso in cui dati sensibili vengano trasmessi per via telematica" e che, invece, "le procedure di pagamento del ticket per esami ambulatoriali avvengono mediante client collegati ad un server locale senza alcuna trasmissione telematica ma bensì su una rete di PC collegati via cavo, mentre per l´accettazione al pronto soccorso la gestione, sempre su client-server, è ancora sperimentale e tutto il ciclo di vita del documento viene gestito ancora in maniera cartacea";
  • di aver comunque effettuato la notificazione prevista dagli artt. 37 e 38 del Codice in data 11 febbraio 2010;

RILEVATO che l´attività svolta dall´Azienda ospedaliera configura un trattamento di dati personali (art. 4, comma 1, lett. a) e b), del Codice) per il quale dovevano essere assolti gli obblighi di cui agli art. 13, 33, 37 e 38 del Codice;

RILEVATO che, con riferimento al trattamento dei dati effettuato attraverso il sito Internet, dagli accertamenti (verbale di operazioni compiute il 26 maggio 2009) risulta che l´Azienda ospedaliera era in grado di raccogliere, con quel mezzo, i dati personali di chiunque avesse deciso di registrarsi all´area riservata, senza rendere un´idonea informativa ai sensi dell´art. 13 del Codice e che, pertanto, le argomentazioni addotte in merito dall´Azienda ospedaliera non risultano idonee a respingere la contestazione della violazione amministrativa prevista dall´art. 161 del Codice;

RILEVATO, con riferimento all´obbligatorietà della notificazione, che dagli accertamenti risulta che l´Azienda ospedaliera tratta, tra l´altro, dati personali per la rilevazione di sieropositività, di malattie infettive e diffusive svolgendo, al contempo, analisi di genetica medica, e che per tali trattamenti la notificazione è dovuta indipendentemente dal fatto che non siano svolti per via telematica;

RILEVATO, infine, che, con riferimento all´omessa adozione delle misure minime di sicurezza, l´Azienda ospedaliera ha provveduto, a seguito di un provvedimento prescrittivo di questa Autorità, ad adeguare i trattamenti svolti alle norme del Codice individuando, tra l´altro, gli incaricati dei trattamenti e aggiornando il documento programmatico sulla sicurezza;

VISTO l´art. 161 del Codice che punisce la violazione dell´art. 13 del Codice stesso con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro;

VISTO l´art. 162, comma 2-bis, del Codice, nella formulazione antecedente alla modifica apportata con la legge 20 novembre 2009, n. 166, che puniva la violazione delle misure indicate nell´art. 33 del Codice con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro;

VISTO l´art. 163 del Codice che punisce la violazione delle misure indicate negli artt. 37 e 38 del Codice stesso con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro;

PRESO ATTO di quanto dichiarato dall´Azienda ospedaliera in ordine al comportamento complessivo tenuto dall´ente con riferimento agli adempimenti in tema di protezione dei dati personali, nonché della condotta tenuta successivamente alla rilevazione delle violazioni in questione, consistite nel tempestivo adeguamento alle norme del Codice;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge 24 novembre 1981 n. 689, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

RITENUTO che, nel caso in cui l´infrazione non abbia caratterizzazioni specifiche che possano portare a valutazioni di maggiore o minor rigore, nella determinazione della sanzione può ritenersi corretta l´individuazione di un importo pari al terzo del massimo o, se più favorevole, al doppio del minimo, in linea con quanto previsto dall´art. 16 della L. n. 689/1981, ferma restando la valutazione degli ulteriori elementi previsti dall´art. 11 della medesima legge [cfr. Cass. civ., sez. I, 4 novembre 1998, n. 11054];

CONSIDERATO che, nel caso in esame:

a) in ordine all´aspetto della gravità, la violazione non risulta connotata da elementi specifici in relazione alle modalità concrete della condotta e all´intensità dell´elemento psicologico, mentre, con particolare riferimento all´illecito di cui all´art. 162, comma 2-bis in relazione all´art. 33 del Codice, l´entità del pregiudizio o del pericolo deve essere considerata in relazione al fatto che la violazione in esame è stata posta nell´ambito di un´importante azienda ospedaliera, nella quale vengono trattati dati idonei a rivelare lo stato di salute di numerosi pazienti;

b) ai fini della valutazione dell´opera svolta dall´agente, deve essere favorevolmente apprezzato il comportamento dell´Azienda ospedaliera che ha proceduto prontamente all´effettuazione degli adempimenti in precedenza omessi, rimuovendo le cause della violazione contestata;

c) circa la personalità dell´autore della violazione, deve essere positivamente considerata la circostanza che l´Azienda ospedaliera non risulti avere precedenti specifici in termini di violazione alle disposizioni del Codice;

d) in merito alle condizioni economiche dell´agente, al fine di commisurare l´importo della sanzione alla reale capacità economica del trasgressore nel rispetto del principio di uguaglianza, non si rilevano elementi specifici idonei ad incidere sulla quantificazione della sanzione;

RITENUTO di dover determinare, ai sensi dell´art. 11 della legge n. 689/1981, l´ammontare della sanzione pecuniaria nella misura di euro 46.000,00 (quarantaseimila), di cui 6.000,00 (seimila) per la violazione dell´art. 161 del Codice, 20.000,00 (ventimila) per la violazione dell´art. 163 del Codice, 20.000,00 (ventimila) per la violazione dell´art. 162, comma 2-bis, del Codice;

VISTA la documentazione in atti;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE il dott. Giuseppe Fortunato;

ORDINA

all´Azienda ospedaliera di Cosenza, con sede legale in Cosenza, via San Martino,  in persona del legale rappresentante pro tempore, di pagare la somma di euro 46.000,00 (quarantaseimila) a titolo di sanzione amministrativa pecuniaria per la violazione degli artt. 161, 162, comma 2-bis,  e 163 del Codice, come determinata in motivazione;

INGIUNGE

alla medesima Azienda ospedaliera di pagare la somma di euro 46.000,00 (quarantaseimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale o in copia autentica, quietanza dell´avvenuto versamento;

DÁ ATTO CHE 

ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 23 febbraio 2012

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
De Paoli

Scheda

Doc-Web
1917336
Data
23/02/12