g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Azienda Sanitaria Locale Napoli 2 Nord  - 21 marzo 2018 [9004722]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9004722]

Ordinanza ingiunzione nei confronti di Azienda Sanitaria Locale Napoli 2 Nord  - 21 marzo 2018

Registro dei provvedimenti
n. 169 del 21 marzo 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

RILEVATO che il Garante per la protezione dei dati personali (di seguito Garante), con il provvedimento n. 665 del 17 dicembre 2015 (pubblicato in www.gpdp.it, doc. web n. 4630534), ha definito il procedimento amministrativo relativo a una segnalazione, accertando che l’Azienda Sanitaria Locale Napoli 2 Nord Cod. fisc.: 96024110635, con sede in Monteruscello – Pozzuoli (Na), via Corrado Alvaro n. 8, in persona del legale rappresentante pro-tempore, tramite il proprio sito istituzionale (all’indirizzo www...., accessibile attraverso la homepage del sito), rendeva possibile effettuare una ricerca per campi, all’esito della quale risultavano accessibili e modificabili da chiunque i dati personali (cognome, nome, data e luogo di nascita, codice fiscale, numero di telefono) degli utenti che si erano registrati sul portale dell’Azienda per usufruire dei servizi online offerti dalla stessa (in particolare, “Prenotazione e pagamento ticket”, “Revoca e scelta MMG e/o PLS”, “Disdetta prenotazione”, “Ricerca prestazioni sanitarie”), provocando una diffusione di dati personali ai sensi dell’art. 4, comma 1, lett. m) del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196 – nel seguito, “Codice”), in violazione di quanto disposto dall’art. 19, comma 3, del Codice;

VISTO il verbale n. 6583/102448 del 7 marzo 2016 con cui è stata contestata dall’Ufficio del Garante, nella forma aggravata prevista dall’art. 164-bis, comma 3 del Codice, all’Azienda Sanitaria Locale Napoli 2 Nord, in persona del legale rappresentante pro-tempore la violazione amministrativa prevista dall’art. 162, comma 2-bis, del Codice, in relazione all’art. 19, comma 3, informandola della facoltà di effettuare il pagamento in misura ridotta ai sensi dell’art. 16 della legge n. 689/1981;

ESAMINATO il rapporto dell’Ufficio del Garante predisposto ai sensi dell’art. 17 della legge 24 novembre 1981, n. 689, dal quale non risulta essere stato effettuato il pagamento in misura ridotta;

VISTO lo scritto difensivo datato 23 marzo 2016 inviato ai sensi dell’art. 18 della legge n. 689/1981, con il quale l’Azienda Sanitaria Locale Napoli 2 Nord ha rilevato come “In buona sostanza le violazioni addebitate in capo all’Azienda de qua sono da ricondurre ad un cattivo e/o erroneo funzionamento, risalente ad ottobre 2015, dei sistemi informatici, in particolare del sito web aziendale, esposto ipso facto alle insidie e/o agli attacchi provenienti da fonti terze e sconosciute. Quanto esposto trova conferma nella relazione (…), già oggetto di trasmissione in favore dell’Autorità (…)”, evidenziando, nel merito, come “La bona fides degli operatori informatici preposti al controllo e/o alla gestione del sistema de qua è dunque connotata di non poca certezza tanto che, (…), gli addetti ai lavori non potevano in modo alcuno rendersi conto della suddetta problematica in ragione della modalità back-office per il cui tramite visualizzano le informazioni telematiche presenti on line”. Ha rilevato, altresì, come “Quanto rappresentato (…), stante il complesso positivo richiamato dal Garante, pone in luce la discrasia tanto in fatto quanto in diritto rispetto all’impianto normativo sotteso all’impugnata contestazione ex artt 19 c.3 – 162 c. 2 bis – 164 bis c. 3 – 167 del D.lgs. n 196/2003. Trattasi di una forzatura ermeneutica volta a ricomprendere nel novero dei comportamenti passibili di sanzione una realtà oggettiva di tutt’altra natura (…)”. Inoltre, ha osservato come “(…) l’intervenuta visualizzazione per il tramite del suddetto portale telematico solo ed esclusivamente dei nominativi e dei recapiti telefonici forniti senza riferimento alcuno a qualsivoglia tipologia di richiesta inoltrata al CUP aziendale ai fini della prenotazione (…)”, determina “(…) il necessario allontanamento delle responsabilità ascritte ex artt. 18 e 19 del Codice in quanto, (…) non può certo ritenersi dato sensibile il semplice recapito telefonico del soggetto interessato (…)”. In ordine alla quantificazione della sanzione comminata nel verbale di contestazione, ha dedotto come “A norma degli artt. 162 c. 2 bis – 164 bis, (…) considerata l’applicazione del criterio volto a raddoppiare l’importo della sanzione irrogata, visto il minimo edittale di euro 10.000,00 (…), non può giustificarsi in modo alcuno il quantum oggetto di condanna (pari a euro 40.000,00) dovendo ex adverso assoggettarsi il medesimo ad una necessaria rideterminazione pro dimidium”;

VISTO il verbale dell’audizione della parte redatto in data 20 febbraio 2018, ai sensi dell’art. 18 della legge n. 689/1981, nel quale l’Azienda Sanitaria Locale Napoli 2 Nord, ha sostanzialmente ribadito quanto argomentato nella memoria difensiva;

CONSIDERATO che le argomentazioni addotte non permettono di escludere la responsabilità dell’Azienda Sanitaria Locale Napoli 2 Nord. 
Riguardo quanto esposto“(…) nella relazione (…), già oggetto di trasmissione in favore dell’Autorità (…)” si deve considerare che le descritte “motivazioni che hanno causato l’anomalia sul portale”, di cui alla citata relazione del direttore UOC tecnologie informatiche, sono state originate da un ripristino dell’ultimo backup della piattaforma con una profilazione temporanea relativa a un ambiente di test in cui alcune funzioni di competenza di utenti amministratori erano associate a profili gerarchici inferiori. Tali argomentazioni, tuttavia, evidenziano come la condotta oggetto di contestazione avrebbe potuto essere ovviata mediante l’adozione di procedure tecniche e organizzative che includessero anche la semplice verifica del ripristino della corretta configurazione delle funzionalità, degli schemi dati e dei profili di autorizzazione. Ciò non consente di qualificare alcuno degli elementi costitutivi della disciplina sull’errore scusabile comunemente definibile come buona fede, di cui all’art. 3 della legge n. 689/1981, anche in base a quanto asserito dalla giurisprudenza (Cass. Civ. sez. I del 15 maggio 2006 n. 11012; Cass. Civ. sez II del 13 marzo 2006, n. 5426).

Inoltre, le argomentazioni afferenti il fatto che  “Quanto rappresentato (…), stante il complesso positivo richiamato dal Garante, pone in luce la discrasia tanto in fatto quanto in diritto rispetto all’impianto normativo sotteso all’impugnata contestazione ex artt 19 c.3 – 162 c. 2 bis – 164 bis c. 3 – 167 del D.lgs. n 196/2003”, risultano inconferenti. La norma sanzionatoria amministrativa prevista dall’art. 162, comma 2-bis del Codice, nell’individuare esplicitamente le condotte illecite mediante il rinvio all’art. 167 del Codice, ricomprende, tra gli altri, il dispositivo dell’art. 19 del Codice che è altrettanto esplicitamente indicato nel comma 1 dell’art. 167 del Codice. Ciò qualifica l’art. 19 del Codice quale norma violata. Da tale quadro discende, con altrettanta evidenza, l’applicabilità delle ipotesi aggravate di cui all’art. 164-bis, comma 3 del Codice a fronte della commissione dell’illecito amministrativo previsto dall’art. 162, comma 2-bis contenuto nel “presente Capo” ovvero Capo I Titolo III del Codice, risultando accertato dall’Autorità nel provvedimento n. 665 del 17 dicembre 2015 (pagg. 2 e 3) che vi è un “(…) elevato numero di soggetti interessati dall’illecita diffusione di dati personali , nonché il concreto rischio di un pregiudizio rilevante nei loro confronti (…)”.

Relativamente a quanto dedotto in ordine al “(…) necessario allontanamento delle responsabilità ascritte ex artt. 18 e 19 del Codice in quanto, (…) non può certo ritenersi dato sensibile il semplice recapito telefonico del soggetto interessato (…)”, se ne rileva l’inconferenza, atteso che la fattispecie contestata non inerisce la diffusione di dati idonei a rivelare lo stato di salute di cui all’art. 22, comma 8 del Codice, bensì la distinta fattispecie di cui all’art. 19 recante “Principi applicabili al trattamento di dati diversi da quelli sensibili e giudiziari”, come accertato con il citato provvedimento del Garante n. 665 del 17 dicembre 2015.

Parimenti inconferente risulta quanto dedotto relativamente al “(…) quantum oggetto di condanna (pari a euro 40.000,00) (…)”. Sul punto si evidenzia come l’Ufficio del Garante, nel prendere atto della ricorrenza dei presupposti applicativi delle ipotesi aggravate di cui all’art. 164-bis, comma 3 del Codice così come indicato nel provvedimento dell’Autorità n. 665 del 17 dicembre 2015 con il quale è stata accertata la violazione in argomento ai sensi dell’art. 13 della legge n. 689/1981, non abbia alcun potere discrezionale in ordine alla determinazione dell’importo della sanzione, potendo solo indicare, come gli impone l’art. 16 della legge n. 689/1981, l’ammontare della somma necessaria al pagamento in misura ridotta utile all’eventuale estinzione del procedimento amministrativo sanzionatorio. L’applicazione dei criteri previsti dall’art. 11 della legge n. 689/1981 spetta all’autorità che, definendo il procedimento amministrativo sanzionatorio, adotta l’ordinanza ingiunzione, ovvero il Garante.

RILEVATO, pertanto, che l’Azienda Sanitaria Locale Napoli 2 Nord, tramite il proprio sito istituzionale (all’indirizzo www..., accessibile attraverso la homepage del sito), rendeva possibile effettuare una ricerca per campi, all’esito della quale risultavano accessibili e modificabili da chiunque i dati personali degli utenti che si erano registrati sul portale dell’Azienda per usufruire dei servizi online offerti dalla stessa, provocando una diffusione di dati personali ai sensi dell’art. 4, comma 1, lett. m) del Codice, in violazione di quanto previsto dall’art. 19, comma 3 del Codice;

RILEVATO, altresì, che l’Azienda Sanitaria Locale Napoli 2 Nord ha tempestivamente fornito riscontro a quanto prescritto dall’Autorità nel provvedimento n. 665 del 17 dicembre 2015;

VISTO l’art. 162, comma 2-bis, del Codice, che punisce la violazione delle disposizioni indicate nell’art. 167 del Codice, tra le quali quelle di cui all’artt. 19, comma 3, del medesimo Codice, con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

RILEVATO che, in base a quanto accertato nel provvedimento dell’Autorità n. 665 del 17 dicembre 2015, devono considerarsi sussistenti i presupposti applicativi delle ipotesi aggravate di cui all’art. 164-bis, comma 3 del Codice; 

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge 24 novembre 1981 n. 689, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore e che pertanto, tenendo conto della ricorrenza del disposto di cui all’art. 164-bis, comma 3 del Codice, l’ammontare della sanzione pecuniaria deve essere quantificato nella misura di euro 20.000,00 (ventimila);

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTA la documentazione in atti;

VISTE le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Licia Califano;

ORDINA

all’Azienda Sanitaria Locale Napoli 2 Nord Cod. fisc.: 96024110635, con sede in Monteruscello – Pozzuoli (Na), via Corrado Alvaro n. 8, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 20.000,00 (ventimila) a titolo di sanzione amministrativa pecuniaria per la violazione dell’art. 162, comma 2-bis, indicata in motivazione;

INGIUNGE

al medesimo soggetto di pagare la somma di euro 20.000,00 (ventimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 21 marzo 2018

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia