[doc. web n. 10112709]

Provvedimento del 30 gennaio 2025

Registro dei provvedimenti
n. 35 del 30 gennaio 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Introduzione.

Con reclamo presentato ai sensi dell’art. 77 del Regolamento, la sig.ra XX ha lamentato di aver ricevuto, in data XX, una e-mail, inviata alla casella dpo@cittadellasalute.to.it  dall’ufficio del personale dell’Azienda Ospedaliero – Universitaria Città della Salute e della Scienza di Torino ( di seguito “Azienda ospedaliera”), contenente informazioni sul proprio stato vaccinale (avvenuta vaccinazione) e sulla sospensione dal servizio, a causa della mancata vaccinazione, di un altro dipendente.

Stando a quanto rappresentato, a tale casella di posta elettronica accedevano, oltre al Responsabile della protezione dei dati, la reclamante e l’altro dipendente a cui si riferiscono le informazioni, entrambi assegnati, per ragioni di servizio, all’ufficio del Responsabile della protezione dei dati (di seguito “RPD”), rendendoli, in tal modo, vicendevolmente edotti dello stato vaccinale di ciascuno.

2. L’attività istruttoria.

In riscontro a una richiesta d’informazioni dell’Autorità (v. nota prot. n. XX del XX) con nota del XX (prot. n. XX) l’Azienda ospedaliera ha dichiarato, in particolare, che:

“sulla base della normativa vigente all’epoca dei fatti “alla data del XX i dipendenti in servizio [dovevano essere] necessariamente in regola con l’obbligo vaccinale in quanto, in caso di esenzione, la Commissione Multidisciplinare costituita ad hoc non aveva reperito spazi fisici in Azienda forniti di condizioni di sicurezza tali da escludere il rischio di diffusione del contagio”;

“per quanto riguarda i presupposti di liceità e le finalità di trattamento dei dati relativi all'applicazione dell'obbligo vaccinale, si evidenzia che il D.L. 26 novembre 2021, n. 172 ha attribuito al Datore di lavoro la procedura di verifica del rispetto dell'obbligo vaccinale per tutto il personale che svolge a qualsiasi titolo la propria attività lavorativa "nelle strutture di cui all'art. 8-ter del D.lgs. n. 502/1992" […];

“l’estensione al personale di cui all'art. 4-ter del D.L. n. 44/2021 ha posto l‘accertamento dell'eventuale mancato adempimento in capo all'azienda acquisendo le informazioni necessarie "anche secondo le modalità definite con il DPCM di cui all'art. 9 comma 10 del DL n. 52/2021" (la procedura al riguardo è stata stabilita con regolamento approvato mediante deliberazione n. 1542 del 14.12.2021 che ha investito 'ufficio del Personale della materiale effettuazione di tutti gli adempimenti amministrativi per la gestione delle relative pratiche)”;

“il coordinatore preposto all'organizzazione del lavoro ha titolo ad essere informato sulla sospensione dal servizio o meno dei propri collaboratori, ed in particolare – constatandone l'assenza dal servizio - di conoscere se trattasi di sospensione senza retribuzione per inadempimento all‘obbligo vaccinale o se invece trattasi di soggetti di cui ai commi 2 e 7 dell'art. 4 del D.L. n. 44/2021, ossia coloro per i quali la vaccinazione è omessa o differita per accertato pericolo per la salute (per i quali è prevista l'adibizione a mansioni anche diverse in modo da evitare il rischio di diffusione del contagio, come il lavoro in modalità agile)”;

“l'indirizzo mail XX  non corrisponde ad una PEC ma è un indirizzo condiviso con i due componenti dell’Ufficio DPO, come previsto dalle Linee Guida del Garante per posta elettronica e internet del 1° marzo 2007, allo scopo di monitorare la posta diretta al Responsabile della Protezione Dati, anche in caso di momentanea assenza dello stesso, ed è il dato di contatto indicato nelle informative aziendali”;

“in quella occasione la situazione delle presenze/assenze dei due dipendenti è stata trasmessa all'indirizzo mail dell’Ufficio del Responsabile della Protezione Dati proprio al fine di evitare il rischio, utilizzando la casella mail aziendale nominativa, di inviare l’informazione alla dipendente omonima del D.P.O., non essendo evidente in quel momento al mittente se adoperare l'indirizzo “XX o invece “XX, né risultando agevole la verifica con la diretta interessata, stante l'ora di invio della mail (verso le 19,30). L’ora di invio è stata determinata dalla necessita di assicurare al coordinatore delle due risorse la conoscenza della loro situazione, al fine di ottemperare al dettato normativo con particolare riguardo alla verifica del divieto di accedere, il giorno successivo, al luogo di lavoro da parte dei dipendenti sospesi”;

“i due dipendenti che hanno accesso a tale casella erano autorizzati a conoscere le comunicazioni connesse al disimpegno delle attività di servizio, relativamente, invece, alle informazioni contenute nella e-mail di che trattasi non pare che la loro accidentale lettura abbia messo in luce situazioni reciprocamente sconosciute, stante il contesto sopra esposto. Si aggiunga altresì che la probabilità che il collega della sig.ra XX potesse prendere visione della e-mail era alquanto ridotta perché, essendo sospeso dal servizio, non aveva doveri di consultazione della posta aziendale”.

Con nota del XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato all’Azienda ospedaliera, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, per aver comunicato i dati personali relativi allo stato vaccinale dei lavoratori in assenza di una idonea base giuridica, in violazione degli artt.5 6 e 9 del Regolamento, nonché 2-ter e 2-sexies del Codice.

Con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).

Con nota del XX (prot. n.XX) l’Azienda ospedaliera, che non ha chiesto di essere audita, ha presentato una memoria difensiva, dichiarando, in particolare, che:

“trattasi di presunta violazione di dati personali verificatosi nell’ambito dell'attività di controllo e verifica dell'obbligo vaccinale come previsto dal D.L. 26 novembre 2021, n. 172 che ha attribuito al Datore di lavoro la procedura di verifica del rispetto dell'obbligo vaccinale da parte dei lavoratori”;

“nella scrivente Azienda tale procedura è stata disciplinata con regolamento, approvato con deliberazione n. XX del XX, che ha attribuito all'Ufficio del Personale tutti gli adempimenti amministrativi per la gestione delle relative pratiche”;

“l'evento è riconducibile all'invio di una e-mail in data XX diretta a fornire al DPO, a cui era indirizzata, la necessaria informazione ai fini organizzativi in merito alla constatata assenza dal servizio delle due risorse assegnate all'ufficio”;

“il contenuto [della e-mail] è estremamente sintetico e non fornisce alcuna indicazione sulla tipologia di vaccinazione della dipendente, né la motivazione della sospensione dell'altro collega, né vi è alcun riferimento specifico al COVID”;

“il testo della e-mail non contiene altri dati personali particolari relativi ai soggetti interessati. Trattasi di un evento unico e isolato che ha coinvolto solo i due soggetti afferenti all’alias oltre al DPO stesso. La durata della presunta violazione può dirsi contenuta, infatti trattasi di incidente a formazione istantanea non protrattosi nel tempo. In merito alla gravità della medesima non sono noti eventi dannosi nei confronti degli interessati riconducibili alla comunicazione dei dati di cui trattasi”;

“per quanto riguarda l'elemento soggettivo che ha determinato la condotta in oggetto si ritiene, a seguito dell'istruttoria espletata, che la presunta violazione sia l'esito di un comportamento assolutamente accidentale e involontario, riconducibile ad un mero errore del mittente che, non avendo reperito la Responsabile della Protezione dei Dati al telefono, ha fornito la dovuta comunicazione all'indirizzo e-mail: dpo@cittadellasalute.to.it , ritenendo in buona fede che non vi fossero altri utenti autorizzati ad accedere alla-mail”;

“onde evitare indebite diffusioni di dati, con deliberazione n. XX del XX […] l’AOU Città della Salute e della Scienza di Torino, recependo quanto disposto dal D.L. n. 127 ha definito le linee procedurali aziendali applicative dell'art. 1 del D.L. n. 127/2021 in ordine agli adempimenti di competenza del datore di lavoro e con successiva deliberazione n. XX del XX […] è stata, fra l’altro, attribuita all'ufficio del Personale l'effettuazione di tutti gli adempimenti amministrativi per la gestione delle relative pratiche”;

“il ciclo di vita del trattamento, come si evince dalle procedure sopracitate, è stato definito in modo tale da ridurre al minimo il rischio di diffusione/comunicazione indebita delle informazioni e prevede altresì l'utilizzo di un indirizzo e-mail dedicato: applicazionedl44@cittadellasalute.to.it cui può accedere solo il personale autorizzato, afferente all'Ufficio che gestisce gli adempimenti di che trattasi”;

“successivamente all'evento occorso, la scrivente Azienda ha approvato e pubblicato sulla Intranet aziendale il modulo per la richiesta di nuovi indirizzi di posta elettronica aziendali […], denominati "Alias” (liste di distribuzione che recapitano le mail direttamente alle caselle di posta degli utenti individuati dai Responsabili delle Strutture) allo scopo di ottimizzare la gestione della corrispondenza in arrivo destinata ad una Struttura/Ufficio”;

“il predetto modulo attribuisce al Direttore della Struttura richiedente la responsabilità circa il corretto utilizzo di tale strumento, in particolare, sottoscrivendo il modulo, lo stesso attesta di aver previamente istruito ed autorizzato al trattamento dei dati personali tutti gli utenti collegati all'indirizzo di posta di cui trattasi”;

“ad ulteriore integrazione delle istruzioni riportate sul modulo e di quelle operative, già disponibili sulla intranet aziendale, si stanno altresì predisponendo ulteriori istruzioni volte a meglio chiarire agli utenti le modalità del corretto utilizzo degli Alias proprio in considerazione della possibile condivisione di detto strumento da parte più dipendenti”;

“occorre tenere in considerazione, quale fattore attenuante, il carico di lavoro riconducibile all’attività di verifica e controllo del rispetto dell'obbligo vaccinale richiesto dalla normativa e che l'Ufficio del personale dedicato a tale incombente ha-dovuto disimpegnare”;

“infatti essendo in corso in quei giorni la terza ondata dell'epidemia COVID, rappresentava un grave rischio non procedere con la tempestiva sospensione dei soggetti non vaccinati in ottemperanza alla normativa, sia al fine di tutelare la salute del personale non vaccinato coinvolto, sia per adottare ogni accorgimento onde scongiurare possibili focolai all’interno della struttura ospedaliera”;

“come denota l'orario di invio della mail all'indirizzo DPO, le incombenze al riguardo si sono protratte fino a tarda serata, e considerati altresì i successivi giorni di festività natalizie, era urgente dare la risposta all'informazione richiesta dal Responsabile della Protezione dei Dati”;

“per questo motivo è stata effettuata la comunicazione tramite e-mail (invece che rispondere il giorno successivo via telefono) utilizzando l'indirizzo di posta elettronica dell'Ufficio del Responsabile della Protezione Dati proprio al fine di evitare il rischio, utilizzando la casella mail aziendale nominativa, di inviare l'informazione alla dipendente omonima del D.P.O”;

“la denominazione dell'indirizzo di posta utilizzato: dpo@cittadellasalute.to.it  non è di per sé riconducibile ad una pluralità di soggetti ed infatti, in perfetta buona fede, il mittente ha pensato di rivolgersi esclusivamente al DPO come si può intendere dal tenore complessivo della missiva”.

3. Esito dell’attività istruttoria.

3.1 La liceità del trattamento.

All’esito dell’attività istruttoria, è emerso che, nell’ambito degli adempimenti finalizzati alla verifica degli obblighi vaccinali del personale in servizio, nel contesto dell’organizzazione dei turni da parte dell’Azienda ospedaliera, è stata inviata dall’Ufficio del personale una e-mail, che conteneva dati personali della reclamante e di un altro dipendente, alla casella di posta elettronica dpo@cittadellasalute.to.it, cui aveva accesso il personale assegnato alla unità organizzativa del RPD. Per effetto del predetto invio, il RPD e i dipendenti che con esso collaboravano (la reclamante e il collega cui si riferivano i dati) sono così venuti a conoscenza reciprocamente del rispettivo stato vaccinale.

La disciplina di protezione dei dati personali prevede che i soggetti pubblici, nell’ambito del contesto lavorativo, possono trattare i dati personali degli interessati, anche relativi a categorie particolari, se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalla legge o dal diritto dell’Unione o degli Stati membri (artt. 6, par. 1, lett. c), 9, par. 2, lett. b) e 4 e 88 del Regolamento). Il trattamento è, inoltre, lecito quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, parr. 1, lett. e), 2 e 3, e art. 9, par. 2, lett. g), del Regolamento; art. 2-ter del Codice e art. 2-sexies, comma 1, del Codice).

La normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del […] regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento).

Il datore di lavoro, titolare del trattamento, è, in ogni caso, tenuto a rispettare i principi generali in materia di protezione dei dati personali (art. 5 del Regolamento) e deve trattare i dati mediante il personale “autorizzato” e “istruito” in merito all’accesso e al trattamento dei dati (artt. 4, punto 10), 29, e 32, par. 4, del Regolamento).

3.2. La comunicazione di dati personali relativa allo stato vaccinale dei dipendenti e alla conseguente sospensione dal servizio.

In generale, fin dal 2007 il Garante ha chiarito che l’amministrazione deve adottare le misure tecniche e organizzative per prevenire la conoscibilità ingiustificata di dati personali dei propri dipendenti da parte di altri colleghi o soggetti terzi, al fine di evitare la indebita circolazione di informazioni personali - nel caso di specie riguardanti informazioni particolarmente delicate come lo stato vaccinale del lavoratore o l’assunzione di provvedimenti di carattere disciplinare come la sospensione dal servizio - non solo verso l’esterno, ma anche all’interno dei contesti lavorativi in capo a soggetti non autorizzati (cfr., punti 2, 4, 5.1 e 5.3 delle “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico”, del 14 giugno 2007, pubblicate in G.U. 13 luglio 2007, n. 161, e in www.garanteprivacy.it, doc. web n. 1417809).

Al riguardo, secondo l’orientamento consolidato del Garante (cfr., già provv.ti del 18 ottobre 2012, n. 296, doc. web n. 2174351 e n. 297, doc. web n. 2174582, nonché provv. 8 maggio 2013, n. 232, doc. web n. 2501216, provv. 3 ottobre 2013, n. 431, doc. web 2747867 e provv. 31 luglio 2014, n. 392 doc. web n. 3399423), confermato di recente in numerosi provvedimenti su singoli casi, i dati personali dei dipendenti trattati per finalità di gestione del rapporto di lavoro non possono, di regola, essere messi a conoscenza di soggetti diversi da coloro che sono parte dello specifico rapporto di lavoro (cfr. definizioni di “dato personale” e “interessato”, contenuta nell’art. 4, par. 1, n. 1, del Regolamento), ovvero di coloro che - anche tenuto conto della definizione di “terzo”, contenuta nell’art. 4, par. 1, n. 10, del Regolamento - non siano legittimati a trattarli in ragione delle mansioni assegnate e delle scelte organizzative del titolare del trattamento; ciò anche con riferimento alla corretta gestione delle comunicazioni tra uffici e personale nel contesto emergenziale (cfr., tra i tanti, da ultimo, provv. n.606 del 26 settembre 2024, doc web 10068155; ma v. anche provv. n.223 del 1° giugno 2023, doc web 9916798, provv. n. 322 del 16 settembre 2021, doc. web n. 9711517 e provvedimenti in essi citati).

Ciò in quanto, come confermato dal Garante, anche la messa a disposizione dei dati a soggetti che, ancorché facenti parte dell’organizzazione del titolare del trattamento, per il ruolo svolto e le funzioni esercitate, non possono essere considerati “autorizzati” al trattamento (cfr. artt. 4, n. 10, 28, par 3, lett. b), 29 e 32, par. 4, del Regolamento, nonché art. 2-quaterdecies del Codice), può dare luogo a una comunicazione di dati personali in assenza di base giuridica.

Occorre tener conto, in via generale, del particolare contesto che fa da scenario ai fatti in questione a seguito della previsione della vaccinazione anti Sars-cov-2 quale “requisito essenziale per l'esercizio della professione e per lo svolgimento delle prestazioni lavorative” che è stato previsto, in prima battuta, per gli esercenti le professioni sanitarie e gli operatori di interesse sanitario per effetto dell’art. 4 del d.l. 1° aprile 2021, n. 44 (convertito in legge n. 76 del 28 maggio 2021 - Misure urgenti per il contenimento dell'epidemia da COVID-19, in materia di vaccinazioni anti Sars-cov-2, di giustizia e di concorsi pubblici) al fine di tutelare la salute pubblica e mantenere adeguate condizioni di sicurezza del lavoro e nell'erogazione delle prestazioni di cura e assistenza.

Come noto e come richiamato anche dall’Azienda ospedaliera, a tale previsione ha fatto seguito la normativa di settore applicabile al caso di specie (decreto-legge 26 novembre 2021, n. 172, “Misure urgenti per il contenimento dell'epidemia da COVID-19 e per lo svolgimento in sicurezza delle attività economiche e sociali”) che ha introdotto l’art. 4-ter nel decreto-legge n. 44 del 2021 prevedendo, anche per il personale amministrativo delle strutture sanitarie (che a qualsiasi titolo svolgeva la propria attività lavorativa "nelle strutture di cui all'art. 8-ter del D.lgs. n. 502/1992"), come già stabilito per il personale medico, che la vaccinazione anti-Sars-cov-2, a far data dal XX, costituisse “requisito essenziale per lo svolgimento delle attività lavorative”. Il predetto decreto legge ha altresì previsto che le verifiche in merito all’adempimento dell’obbligo vaccinale fossero rimesse, rispettivamente, ai datori di lavoro ovvero ai responsabili delle istituzioni presso cui tali categorie di interessati prestavano servizio.

Le norme sopra richiamate- allo stato non più in vigore per effetto di successivi interventi normativi (v. da ultimo, d.l. 31 ottobre 2022, n.162)-  costituivano, sotto il profilo della protezione dei dati, l’ambito del trattamento consentito, rispettivamente, ai datori di lavoro e agli altri soggetti istituzionali coinvolti, nonché la base giuridica in conformità al Regolamento, stabilendo, in particolare, che la comunicazione della sospensione dal servizio del lavoratore, in caso di mancata sottoposizione alla vaccinazione, fosse effettuata esclusivamente nei confronti dell’interessato (cfr. art.4-ter, comma 3, del d.l. 44 del 2021: “In caso di mancata presentazione della documentazione di cui al secondo e terzo periodo i soggetti di cui al comma 2 accertano l'inosservanza dell'obbligo vaccinale e ne danno immediata comunicazione scritta all'interessato”).

Il legislatore aveva, quindi, introdotto un complesso sistema di verifica del requisito professionale per tali categorie di lavoratori, che coinvolgeva diversi soggetti istituzionali, e prevedeva flussi di dati tra di essi, nonché le conseguenze, anche in termini di sospensione dall’esercizio della professione e dall’eventuale rapporto di lavoro, per il lavoratore sprovvisto del predetto requisito.

I trattamenti di dati personali necessari alle verifiche del predetto requisito professionale, pertanto, dovevano essere svolti nel rigoroso rispetto dei limiti e delle condizioni previste da tale cornice legislativa di riferimento che ne costituiva la base giuridica e perimetrava, in modo uniforme a livello nazionale, l’ambito del trattamento consentito a ciascuno dei predetti soggetti (artt. 5 e 6, par. 2, lett. b) e g), del Regolamento e art. 2-sexies del Codice; come messo in luce in numerosi provvedimenti del Garante nel periodo emergenziale e, in particolare nei pareri resi sulle successive disposizioni di attuazione del predetto quadro v., tra i tanti, provv. 13 dicembre 2021, n. 430, doc. web n. 9727220).

Tanto premesso, con riguardo al caso di specie, risulta che - sebbene la comunicazione in questione sia stata effettuata al solo scopo di evitare un eventuale errore di invio “alla dipendente omonima del D.P.O.” nell’urgenza di effettuare tale comunicazione nel periodo prefestivo - la soluzione in concreto adottata, utilizzando la casella di posta elettronica condivisa dpo@cittadellasalute.to.it per fornire al responsabile dell’Ufficio le informazioni necessarie sul piano organizzativo e sulla presenza in servizio del personale nel periodo natalizio, ha comunque determinato una comunicazione illecita di dati personali rendendo vicendevolmente edotti, la reclamante e l’altro collega, del reciproco stato vaccinale. Pertanto, impregiudicata la necessità per il responsabile dell’unità organizzativa di conoscere le predette informazioni riferite ai propri collaboratori, ossia la reclamante e l’altro dipendente interessato (arg. ex art. 4 ter, comma 2, d.l. 44 del 2021), si deve ritenere che, avendo entrambi gli interessati accesso al medesimo account di posta elettronica condiviso (dpo@cittadellasalute.to.it ), ciascuno  di essi, per effetto del citato invio, è stato messo a conoscenza dello stato vaccinale dell’altro nonché di altre informazioni di carattere personale connesse allo specifico rapporto di lavoro con l’Azienda ospedaliera, in particolare, l’avvenuta vaccinazione della reclamante e la mancata vaccinazione e la conseguente sospensione del servizio dell’altro collega.

Alla luce delle considerazioni che precedono, tale comportamento, ancorché isolato e avvenuto nell’imminenza delle festività natalizie, ha determinato una comunicazione di dati, anche relativi alla salute, della reclamante, con riferimento, in particolare, alla comunicazione della data in cui si era sottoposta a vaccinazione anti Sars-cov-2, (stante la definizione dell’art.4, comma 1, n.15 del Regolamento); tale comunicazione ha altresì riguardato dati personali relativi alla mancata vaccinazione, con conseguente sospensione dal servizio, dell’altro dipendente.

Alla luce delle considerazioni che precedono, l’Azienda ospedaliera, che trattava per il tramite del solo personale autorizzato dati personali nel quadro della richiamata disciplina di settore all’epoca vigente, ha, però, pur ritenendo per errore di adottare la soluzione preferibile nel contesto di riferimento, dato corso a una comunicazione di dati personali, anche relativi alla salute, in modo ingiustificato, in favore di soggetti che non erano vicendevolmente autorizzati a trattarli, in assenza di un’idonea base giuridica, in violazione degli artt. 5, 6 e 9 del Regolamento, nonché 2-ter e 2-sexies del Codice.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Azienda ospedaliera per aver comunicato informazioni anche relative alla salute della reclamante, con riferimento, in particolare, alla comunicazione della data in cui si era sottoposta alla vaccinazione anti Sars-cov-2, (stante la definizione dell’art.4, comma 1, n.15 del Regolamento), nonché di dati personali relativi alla mancata vaccinazione, con conseguente sospensione dal servizio, dell’altro dipendente, in violazione degli artt. 5, 6 e 9 del Regolamento, nonché 2-ter e 2-sexies del Codice.

Tenuto conto che la violazione delle predette disposizioni ha avuto luogo in conseguenza di un’unica condotta (stesso trattamento o trattamenti tra loro collegati), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, le violazioni più gravi, relative agli artt. 5, 6 e 9 del Regolamento, nonché 2-ter e 2-sexies del Codice, sono soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, tenuto conto delle assicurazioni fornite dall’Azienda ospedaliera in merito alle misure organizzative successivamente adottate, finalizzate ad evitare che simili situazioni possano verificarsi in futuro, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Tenuto conto che:

con specifico riguardo alla natura, alla gravità e alla durata della violazione occorre evidenziare che la comunicazione è avvenuta in riferimento ai dati di due soli interessati e, ancorché per un errore umano, la comunicazione ha determinato la reciproca conoscibilità dello stato vaccinale (art. 83, par. 2, lett. a), del Regolamento);

con specifico riguardo al profilo soggettivo la violazione è stata effettuata, per un errore di valutazione, al solo scopo di evitare il rischio di invio “alla dipendente omonima del D.P.O.” nell’urgenza di effettuare tale comunicazione nel periodo prefestivo e per fornire al responsabile dell’Ufficio le informazioni necessarie (art. 83, par. 2, lett. b), del Regolamento);

il trattamento ha riguardato anche dati appartenenti alle categorie particolari di cui all’art. 9 del Regolamento, in particolare, con riferimento all’avvenuta vaccinazione in quanto prestazione sanitaria (cfr. art. 83, par. 2, lett. g), del Regolamento),
si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).

Ciò premesso, si ritiene che, ai fini della quantificazione della sanzione, debbano essere prese in considerazione le seguenti circostanze:

l’Azienda ospedaliera ha offerto una buona cooperazione con l’Autorità nel corso dell’istruttoria (art. 83, par. 2, lett. f), del Regolamento);

risultano talune precedenti violazioni di alcune disposizioni del Regolamento e del Codice, ancorché in un contesto di trattamento dei dati differente (cfr. art. 83, par. 2, lett. e), del Regolamento);

la violazione, che comunque ha rappresentato un caso isolato, è avvenuta in un periodo caratterizzato, da numerose difficoltà per le aziende ospedaliere sul piano organizzativo, connesse alle problematiche del periodo emergenziale caratterizzato dalla diffusione del virus Sars- cov 2 (art. 83, par. 2, lett. k), del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 6.000 (seimila) per la violazione degli artt. 5, 6 e 9 del Regolamento, nonché 2-ter e 2-sexies del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. Ciò in considerazione del fatto che sono state comunicate delicate informazioni relativamente allo stato vaccinale di due lavoratori che hanno comportato la circolazione, sul posto di lavoro, anche di dati personali relativi a categorie particolari.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dall’Azienda ospedaliera per violazione degli artt. 5,6 e 9 del Regolamento, nonché 2-ter e 2-sexies del Codice, nei termini di cui in motivazione;

ORDINA

all’Azienda Ospedaliero - Universitaria Città della Salute e della Scienza di Torino, in persona del legale rappresentante pro-tempore, con sede legale in C.so Bramante 88 - 10126 Torino (TO), C.F. 10771180014, di pagare la somma di euro 6.000 (seimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Azienda ospedaliera in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 6.000 (seimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

- ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 30 gennaio 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei