g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Ordinanza ingiunzione o revoca
  4. Provvedimento del 23 maggio 2024 [10036837]

Provvedimento del 23 maggio 2024 [10036837]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 10036837]

Provvedimento del 23 maggio 2024

Registro dei provvedimenti
n. 305 del 23 maggio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

RELATORE l’avv. Guido Scorza;

PREMESSO

1. Il reclamo

Con il reclamo avanzato in data XX, il sig. XX ha lamentato a questa Autorità di aver esercitato il diritto di cui all’art. 16 del Regolamento nei confronti della Azienda Socio-sanitaria Territoriale Rhodense sita in Garbagnate (Milano), Viale Forlanini – C.F.: 09323530965 (di seguito “Azienda”) e di non aver ricevuto riscontro. 

In particolare, il reclamante ha lamentato che: “in data XX, lo scrivente ha inviato, all’indirizzo PEC dell’Azienda socio-sanitaria territoriale Rhodense, (…) richiesta di rettifica dei propri dati personali (nello specifico, gli indirizzi fisici di residenza anagrafica e di domicilio sanitario), i quali risultavano erroneamente registrati nel sistema informativo sanitario regionale, così come palesemente appariva sia dalla consultazione del Fascicolo Sanitario Elettronico dell’interessato, sia dai dati riportati sulle ricette elettroniche redatte dal medico di assistenza primaria. A distanza di oltre 150 giorni dall’avvenuto ricevimento, detta richiesta risulta inevasa, in quanto i dati riportati nelle ricette elettroniche redatte dal medico di base appaiono tutt’ora errati”.

2. L’attività istruttoria

Successivamente a tale reclamo, l’Ufficio, con nota del XX (prot. n. XX), si è rivolto all’Azienda invitandola ad aderire alle richieste del reclamante e con nota del XX (prot. n.XX), quest’ultima forniva riscontro all’Ufficio, rappresentando, fra altro, che: 

- con riferimento “all'istanza di rettifica ex art. 16 del GDPR. (la) Asst Rhodense rileva di aver già provveduto, in data XX, a rettificare, in modo puntuale ed esaustivo, le informazioni personali del reclamante (…), adempimento a quest'ultimo comunicato in pari data (…), unitamente all'invio della ricevuta attestante l'avvenuta correzione richiesta (…);

- “(…) il ritardo con cui ha provveduto a soddisfare la richiesta de quo pervenuta dal (…) (reclamante) in data XX (…) è, a suo avviso, da imputare, esclusivamente, al fatto che quest’ultimo abbia impropriamente utilizzato l'indirizzo di posta elettronica certificata cd. istituzionale dell'Asst Rhodense (ossia: protocollo.generale@pec.asst-rhodense), in luogo dell'apposita (ed agevole) piattaforma informatica messa, a tal fine, a disposizione, a partire dal XX, dall’Asst Rhodense (ed agevolmente disponibile sul relativo sito internet, al seguente link: https://www.asstrhodense.it/inew/nuovo-sito/home/ambito-territoriale/scelta-revoca.html) ovvero, in subordine, in luogo degli indirizzi di posta elettronica indicati al citato link del sito internet aziendale (ossia: scelta.revoca.vialavoratori@asst-rhodense.it; scelta.revoca.passirana@asst-rhodense.it; scelta.revoca.settimo@asst-rhodense.it), che, seppur invero, espressamente, deputati a ricevere soltanto richieste di appuntamento presso gli uffici del settore “scelta e revoca”, avrebbero, comunque, potuto permettere, come di consueto, una pronta gestione della richiesta, mediante l'inoltro della stessa ai soggetti di competenza”;

- “(la) Asst Rhodense evidenzia di aver compiutamente gestito, nell'intero anno 2022, n. 7538 richieste di variazioni di anagrafiche, a cui si aggiungono le n. 4378 pervenute, soltanto, nel primo semestre 2023”.

3. Valutazioni del Dipartimento sul trattamento effettuato e notifica della violazione di cui all’art. 166, comma 5, del Codice

In relazione a quanto comunicato dall’Azienda, l’Ufficio, con atto del XX (prot. n. XX, ha avviato, ai sensi dell’art. 166, comma 5, del Codice, il procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2 del Regolamento nei confronti dell’Azienda medesima, invitandola a produrre al Garante scritti difensivi o documenti, ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, legge n. 689 del 24 novembre 1981). A seguito di quanto emerso, l’Ufficio ha ritenuto che l’Azienda abbia trattato alcuni dati personali del reclamante (indirizzi di residenza anagrafica e di domicilio sanitario), nell’inosservanza del principio di esattezza e non abbia risposto all’istanza di esercizio dei diritti dell’interessato, avanzata in data XX, nei termini di cui all’art. 12 del Regolamento.  Ciò, in violazione, rispettivamente dell’artt. 5, paragrafo 1, lett. d) del Regolamento, nonché dell’art. 12, in relazione all’art. 16 del Regolamento medesimo.

In ordine a quest’ultimo profilo di violazione, l’Azienda, ha fornito riscontro al reclamante in data XX, specificamente a seguito della proposizione del reclamo all’Autorità da parte dell’interessato (XX) e antecedentemente alla ricezione del sopra citato invito ad aderire alle richieste del reclamante, inviato dall’Autorità medesima.

Con PEC del XX, l’Azienda ha fatto pervenire le proprie memorie difensive, nelle quali, in particolare, ribadendo quanto già rappresentato nel sopra citato riscontro fornito in data XX, ha, altresì, fra altro, dichiarato che:

- “il ritardo con cui ha provveduto a soddisfare la richiesta di rettifica ex art. 16 del GDPR formulata dal reclamante (…) sia, a suo avviso, da imputare, esclusivamente, al fatto che quest’ultimo abbia utilizzato, impropriamente, l’indirizzo di posta elettronica cd. istituzionale dell’ASST RHODENSE (ossia: protocollo.generale@pec.asst-rhodense), (oltre che in luogo dei canali indicati nella nota di riscontro poc’anzi citata del XX, anche) in luogo dell’apposito modulo deputato all’esercizio dei diritti di cui al Capo III) del GDPR, agevolmente messo a disposizione dall’ASST RHODENSE nella sezione “Privacy” del proprio sito internet    (link:https://www.asst-rhodense.it/nuovo-sito/home/PRIVACY/documenti/policyProcedure/Modulo%20esercizio%20diritti.pdf), poi da inviare all’indirizzo di posta elettronica dell’Ufficio Privacy aziendale (ossia: privacy@asst-rhodense.it) ovvero a quello del nominato Responsabile della protezione dei dati personali (ossia: responsabileprotezionedati@asst-rhodense.it)”;

- “ASST RHODENSE ritiene, dunque, di aver adottato (e, poi, messo agevolmente a disposizione, in favore di ogni soggetto interessato) una serie di misure organizzative (ovverosia: piattaforma ad hoc; ben n. 5 indirizzi di posta elettronica (ovvero: scelta.revoca.vialavoratori@asst-rhodense.it; scelta.revoca.passirana@asst-rhodense.it; scelta.revoca.settimo@asst-rhodense.it; privacy@asst-rhodense.it; responsabileprotezionedati@asst-rhodense.it; apposito modulo) adeguate, ragionevoli, di agevole utilizzo e reperibilità all’interno del sito internet aziendale, al fine di permettere a ogni soggetto interessato di esercitare qualsivoglia diritto disciplinato al Capo III) del GDPR”.

- “Letto quanto osservato dal Garante Privacy con specifico riguardo al punto 53) delle Linee Guida n. 1/2002 dell’EDPB (…) ASST RHODENSE rileva, tuttavia, che, al successivo punto 54) delle medesime Linee Guida, l’EDPB abbia fornito una specifica esimente, in favore del Titolare del trattamento, nell’ipotesi in cui questi riceva, come nel caso de quo, un’istanza di esercizio di un diritto di cui al Capo III) del GDPR ad un indirizzo e-mail chiaramente non destinato a ricevere richieste di tal genere (versione ufficiale in lingua inglese: “It should be noted that the controller is not obliged to act on a request sent to a random or incorrect email (or postal) address, not directly provided by the controller, or to any communication channel that is clearly not intended to receive requests regarding data subject's rights, if the controller has provided an appropriate communication channel, that can be used by the data subject”; traduzione, non ufficiale, in lingua italiana: “Si precisa che il titolare del trattamento non è obbligato a dare seguito ad una richiesta inviata in modo casuale o errata indirizzo email (o postale), non fornito direttamente dal titolare, né a qualsiasi canale di comunicazione che chiaramente non è destinato a ricevere richieste relative ai diritti dell'interessato, qualora il titolare del trattamento ne abbia fornito un canale di comunicazione appropriato, che può essere utilizzato dall’interessato””.

4. Esito dell’attività istruttoria

Preso atto di quanto rappresentato dalla Azienda nella documentazione in atti e nelle memorie difensive, evidenziando che il trattamento dei dati personali deve avvenire nel rispetto della normativa applicabile in materia di protezione dei dati personali e, in particolare, delle disposizioni del Regolamento e del Codice, si osserva quanto segue.

4.1 Mancato riscontro all’istanza di esercizio dei diritti (art. 12 in relazione all’art. 16 del Regolamento)

In tema di informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato, l’art. 12, par. 3, del Regolamento stabilisce che il titolare del trattamento debba dare riscontro alla richiesta dell’interessato, avanzata ai sensi degli artt. da 15 a 22 del Regolamento, senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste, fermo restando che l’interessato deve essere informato di tale proroga e dei motivi del ritardo entro un mese dal ricevimento della richiesta.

Se non ottempera alla richiesta dell'interessato, il titolare del trattamento deve, in ogni caso, informare l'interessato senza ritardo e, al più tardi, entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’Autorità di controllo e di proporre ricorso giurisdizionale (cons. 59 e art. 12, par. 4, del Regolamento).

Nel documento “Guidelines 01/2022 on data subject rights - Right of access, Version 2.0 adopted on 28 march 2023”, il Comitato europeo fornendo indicazioni ai titolari del trattamento in ordine all’esercizio del diritto di accesso ai dati di cui all’art. 15 del Regolamento, individua modalità e forme per l’invio delle richieste (cfr., con riferimento alla vicenda in questione, in particolare, l’Executive Summary, in apertura del documento, nonché il par.  3.1.2 “Form of the request”, punti da 52 a 56).

Il titolare, nella risposta inviata al Garante a seguito dell’invito ad aderire alle richieste dell’interessato formulato dall’Ufficio, come anche nella memoria difensiva, ha motivato il mancato riscontro alla richiesta dell’interessato, nei termini di cui all’art. 12 del Regolamento, sulla base del fatto che l’interessato ha “impropriamente utilizzato l'indirizzo di posta elettronica certificata cd. istituzionale dell'Asst Rhodense (ossia: protocollo.generale@pec.asst-rhodense)” non avvalendosi di altri canali di comunicazione all’uopo adibiti.

A tal fine, nella memoria difensiva prodotta il XX, il titolare, a supporto di tale argomentazione, ha, altresì, sostenuto che costituirebbe una esimente per il titolare del trattamento quanto indicato nel punto 54, del par.  3.1.2 “Form of the request” delle suddette Linee guida per cui (“(…) il titolare del trattamento non è obbligato a dare seguito a una richiesta inviata a un indirizzo email (o postale) casuale o errato, non fornito direttamente dal titolare, né a qualsiasi canale di comunicazione che chiaramente non è destinato a ricevere richieste relative ai diritti dell'interessato, qualora il titolare del trattamento ne abbia fornito un canale di comunicazione appropriato, che può essere utilizzato dall’interessato”- Traduzione non ufficiale).

In ordine a ciò, si fa presente che, da quanto indicato dalle citate Linee guida, per indirizzo “casuale o errato” non si intende qualsiasi altro indirizzo che non sia quello deputato alla ricezione delle istanze di esercizio dei diritti di cui agli artt. da 15 a 22 del Regolamento. Il Comitato europeo per la protezione dei dati non esclude, infatti, che, una volta indicato dal titolare quest’ultimo indirizzo/canale come canale preferibile per ricevere le suddette istanze, altri eventuali indirizzi istituzionali del titolare medesimo non possano costituire un canale valido - al fine della sussistenza per il titolare dell’obbligo di gestire l’istanza - dal quale “reindirizzare” la richiesta all’Ufficio competente.

Ciò può arguirsi sia da una lettura sistematica di quanto in generale espresso nel paragrafo 3.1.2 “Form of the request”, punti da 52 a 56, delle Linee guida sopra citate, sia nello specifico, con riferimento a taluni periodi di tali punti.

In particolare, a tal fine si richiama non solo il periodo del punto 53 - già citato da questa Autorità nell’atto di avvio del procedimento ai sensi dell’art. 166 del Codice: “(…) if the data subject makes a request using a communication channel provided by the controller23, which is different from the one indicated as the preferable one, such request shall be, in general, considered effective and the controller should handle such a request Accordingly (…)” (“(…) se l'interessato avanza una richiesta utilizzando un canale di comunicazione fornito dal titolare, diverso da quello indicato come preferibile, tale richiesta è, in generale, considerata effettiva e il titolare deve agire di conseguenza su tale richiesta” - Traduzione non ufficiale) - e la relativa nota esplicativa di cosa deve intendersi per canale di comunicazione/indirizzo elettronico comunque valido anche se non indicato come preferibile (cfr. nota n. 28 relativa ad un periodo del punto n. 53: “his may include, for example, communication data of the controller provided in its communications addressed directly to data subjects or contact data provided by the controller publicly, such as in the controller's privacy policy or other mandatory legal notices of the controller (e.g. owner or business contact information on a website” (“Ciò può includere, ad esempio, i dati di comunicazione del titolare del trattamento forniti nelle sue comunicazioni rivolte direttamente agli interessati o i dati di contatto forniti dal titolare del trattamento pubblicamente, come nell'informativa sulla privacy del titolare del trattamento o in altre comunicazioni legali obbligatorie del titolare del trattamento (…)” (traduzione non ufficiale)), ma anche quanto è evidenziato nell’esempio n. 8, successivo al punto n. 56, nonché nella parte introduttiva, delle Linee guida citate, intitolata ”Executive Summary”.

In quest’ultima, infatti, e, specificamente, nel paragrafo “General considerations on the assessment of the data subject’s request”,  il Comitato europeo sostiene che: “(…) the data subject is not required to use these specific channels and may instead send the request to an official contact point of the controller” (“(…) l'interessato non è tenuto a utilizzare questi canali specifici (ovvero quelli deputati all’invio delle istanza di esercizio dei diritti ai sensi del Regolamento, n.d.r.) e può invece inviare la richiesta a un punto di contatto ufficiale del titolare del trattamento” - traduzione non ufficiale); in tal caso “(…) the controller should make all reasonable efforts, to make its services aware of the request, which was made through the general e-mail, so that it can be redirected to the data protection contact point and answered within the time limits provided for by the GDPR. Moreover, the controller is not entitled to extend the period for responding to a request, merely because the data subject has sent a request to the controller’s general e-mail address, not the controller's data protection contact point e-mail address” ( “(…) il titolare del trattamento deve compiere ogni ragionevole sforzo per mettere i propri servizi al corrente della richiesta presentata tramite l'e-mail generale, in modo da poterla reindirizzare al punto di contatto per la protezione dei dati e rispondere entro i termini previsti dal GDPR. Inoltre, il titolare del trattamento non ha il diritto di prorogare il termine per rispondere a una richiesta, solo perché l'interessato ha inviato una richiesta all'indirizzo e-mail generale del titolare del trattamento e non all'indirizzo e-mail del punto di contatto per la protezione dei dati del responsabile del trattamento” – traduzione non ufficiale) (cfr. esempio n. 8, pag. 23 delle Linee guida citate).

Alla luce di quanto sopra, si ritiene che l’indirizzo di posta elettronica certificata istituzionale dell'Azienda, protocollo.generale@pec.asst-rhodense, utilizzato dall’interessato per l’invio della istanza in questione, in data XX, sebbene non coincidente con quello indicato dall’Azienda per la presentazione delle istanze di esercizio dei diritti, non possa ritenersi un indirizzo “casuale o errato” nel senso inteso dal Comitato europeo nelle Linee guida sopra citate, ma costituisca invece un indirizzo attraverso il quale “il titolare del trattamento deve compiere ogni ragionevole sforzo per mettere i propri servizi al corrente della richiesta presentata tramite l'e-mail generale, in modo da poterla reindirizzare al punto di contatto per la protezione dei dati e rispondere entro i termini previsti dal GDPR. Inoltre, il titolare del trattamento non ha il diritto di prorogare il termine per rispondere a una richiesta, solo perché l'interessato ha inviato una richiesta all'indirizzo e-mail generale del titolare del trattamento (…)” (cfr. esempio n. 8, pag. 23 delle Linee guida suddette, poc’anzi citato).

Pertanto, risulta che l’Azienda sanitaria non ha fornito riscontro, nei termini previsti dall’art. 12 del Regolamento, all’istanza di rettifica dei dati personali di cui all’art. 16 del Regolamento medesimo, avanzata dall’interessato in data XX. Nello specifico, l’Azienda ha fornito riscontro in data XX, ovvero dopo 156 giorni dalla data dell’istanza dell’interessato, specificamente a seguito della proposizione del reclamo, da parte di quest’ultimo, al Garante (XX) e antecedentemente alla ricezione del sopra citato invito dell’Autorità ad aderire alle richieste del reclamante (nota del XX - prot. n. XX).

4.2 Rispetto dei principi applicabili al trattamento e, in particolare, del principio di esattezza (art. 5, paragrafo 1, lett. d) del Regolamento)

Il titolare deve trattare i dati in modo che siano “esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono stati trattati (“esattezza”)” (art. 5, par. 1, lett. d) del Regolamento). 

A  fronte del mancato riscontro alla richiesta avanzata dall’interessato di variazione dei propri dati anagrafici in ragione dell’aggiornamento della toponomastica stradale adottato d’ufficio dal Comune di residenza (XX), l’Azienda, considerato che l’interessato, alla propria istanza, aveva allegato il certificato di variazione anagrafica adottato da tale Comune, avrebbe dovuto aggiornare i dati nel rispetto del principio di “esattezza” dei dati di cui all’art. 5, par. 1, lett. d), del Regolamento. L’Azienda ha effettuato la rettifica dei dati inesatti in data XX, a seguito della proposizione del reclamo al Garante (XX) da parte dell’interessato e antecedentemente alla ricezione del sopra citato invito dell’Autorità ad aderire alle richieste del reclamante (nota del XX - prot. n. XX).

5. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”, gli elementi forniti dal titolare del trattamento nella memoria difensiva sopra richiamata, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con il richiamato atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del regolamento del Garante n. 1/2019.

Pertanto, tutto quanto premesso, allo stato degli atti e delle dichiarazioni fornite, in relazione alla vicenda in questione, è accertato che l’Azienda, titolare del trattamento:

- ha trattato alcuni dati personali del reclamante (indirizzi di residenza anagrafica e di domicilio sanitario), nell’inosservanza del principio di esattezza, in violazione dell’artt. 5, paragrafo 1, lett. d) del Regolamento;

- non ha risposto all’istanza di esercizio dei diritti dell’interessato avanzata in data XX entro i termini di cui all’art. 12 del Regolamento; ciò, in violazione dell’art. 12, in relazione all’art. 16 del Regolamento medesimo.

In tale quadro, considerato, che la condotta del titolare ha esaurito i suoi effetti in quanto l’Azienda ha fornito riscontro, dopo 156 giorni dalla data dell’istanza dell’interessato, provvedendo a rettificare i dati inesatti, non ricorrono i presupposti per l’adozione di provvedimenti, di tipo prescrittivo o inibitorio, di cui all’art. 58, par. 2, del Regolamento.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par. 1, lett. d), e 12, in relazione all’art. 16 del Regolamento, causata dalla condotta posta in essere dalla Azienda, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, lett. a) e b) del Regolamento e 166, comma 2, del Codice.

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

In tal caso, in relazione alla condotta posta in essere dal titolare, considerato che si è trattato di trattamenti collegati, si ritiene di dover applicare il paragrafo 3, dell’art. 83 del Regolamento laddove prevede che “Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5” (cfr. anche il documento del Comitato europeo per la protezione dei dati “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” Versione 2.1 adottate il 24 maggio 2023). Di conseguenza, l’importo totale della sanzione è da quantificarsi fino a 20.000.000 euro (massimo edittale cd “statico”).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento.

Quanto alla valutazione della gravità della violazione (art. 83, par. 2, lett. a), b) e g) del Regolamento), si ritiene che il livello di gravità è da considerarsi basso, in quanto si è trattato di un caso isolato e in assenza di dolo e si tiene conto che il riscontro inviato in data XX – ovvero dopo 156 giorni dalla data di ricezione dell’istanza da parte dell’Azienda – è stato effettuato immediatamente a seguito della proposizione del reclamo al Garante da parte dell’interessato (XX) e antecedentemente all’invito ad aderire alle richieste del reclamante formulato dell’Autorità (nota del XX - prot. n. XX).

In relazione alla valutazione degli ulteriori elementi previsti dall’art. 83, par. 2 del Regolamento, quali circostanze aggravanti e attenuanti, si tiene conto che:

- nei confronti della Azienda non sono stati in precedenza adottati provvedimenti riguardanti violazioni pertinenti (art. 83, par. 2, lett. e) del Regolamento);

- l’Azienda ha dimostrato un elevato grado di cooperazione con l’Autorità in tutte le fasi del procedimento (art. 83, par. 2, lett. f) del Regolamento);

- l’Autorità ha preso conoscenza della fattispecie in esame a seguito di un reclamo proposto dall’interessata (art. 83, par. 2, lett. h) del Regolamento);

- il titolare del trattamento ha precisato di essersi trovato a gestire “(…) nell'intero anno 2022, n. 7538 richieste di variazioni di anagrafiche, a cui si aggiungono le n. 4378 pervenute, soltanto, nel primo semestre 2023” (art. 83, par. 2, lett. k) del Regolamento.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5 del Regolamento, nella misura di euro 4.500,00 (quattromilacinquecento) per la violazione degli artt. 5, par. 1, lett. d) e 12 in relazione all’art. 16 del Regolamento quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019 in considerazione del fatto che la violazione riguarda i diritti degli interessati.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dalla Azienda Socio-sanitaria Territoriale Rhodense sita in Garbagnate, Viale Forlanini – C.F.: 09323530965, per la violazione degli art. 5, par. 1, lett. d) e 12 in relazione all’art. 16 del Regolamento nei termini di cui in motivazione;

ORDINA

alla Azienda citata di pagare la somma di euro 4.500,00 (quattromilacinquecento/00) a titolo di sanzione amministrativa pecuniaria, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, per le violazioni indicate nel presente provvedimento, secondo le modalità evidenziate in allegato, entro 30 giorni dalla notifica in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla predetta Azienda sanitaria, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 4.500,00 (quattromilacinquecento) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

la pubblicazione per intero del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante che prevede ne l’annotazione nel registro interno dell’Autorità.

Avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero (art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011).

Roma, 23 maggio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
10036837
Data
23/05/24

Argomenti

Sanità e ricerca scientifica Aziende sanitarie Pazienti

Tipologie

Ordinanza ingiunzione o revoca

Vedi anche (10)