[doc. web n. 10112750]

Provvedimento del 30 gennaio 2025

Registro dei provvedimenti
n. 36 del 30 gennaio 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Introduzione.

Con reclamo presentato ai sensi dell’art. 77 del Regolamento la sig.ra XX, che, all’epoca dei fatti, svolgeva la propria attività lavorativa presso l’Azienda Unità Sanitaria Locale di Modena (di seguito “Azienda Sanitaria”), tramite il proprio Avvocato ha rappresentato che: “in data XX, verificava tramite il pc dell’Azienda [che] vi era inserito un elenco dal quale risultava il personale vaccinato e non vaccinato” tra cui il proprio nominativo e che “a tale informazione poteva avere accesso tutto il personale dell’AUSL”.

2. L’attività istruttoria.

In riscontro a una richiesta d’informazioni dell’Autorità (v. nota prot. n. XX del XX) con nota del XX (prot. n. XX) l’Azienda Sanitaria ha dichiarato, in particolare, che:

“in generale, […] le informazioni relative allo stato vaccinale sono contenute in applicativi accessibili solamente da parte di personale abilitato e autorizzato al trattamento, secondo le modalità definite […dalla] Delibera di riorganizzazione N. XX”;

“entrando nel merito del reclamo inviato dalla dipendente a codesta Autorità, […] appurato che la dipendente nella giornata del XX si trovava in servizio presso la sede di lavoro assegnata (Consultorio presso la sede distrettuale di Vignola) l’Azienda ha svolto una serie di verifiche”;

è stata effettuata “una ricognizione sui siti intranet ed internet aziendali, al fine di accertare che nessun file contenente dati personali o di natura particolare, relativo alla vaccinazione dei dipendenti e degli assistiti, fosse stato involontariamente reso pubblico. Anche in questo caso è stato possibile escludere che la dipendente abbia avuto accesso ad ipotetici “elenchi” esposti alla libera consultazione dei dipendenti, in quanto di essi non è stata trovata alcuna traccia”;

sono state interpellate “le coordinatrici del Servizio - sede di lavoro assegnata alla dipendente segnalante - al fine di verificare con loro la eventuale sussistenza dell’elenco oggetto del reclamo e contestualmente, tramite il Servizio Information & Communication Technology ricercando nella cartella di rete creata per il Servizio la eventuale presenza di siffatto elenco”;

“tale ricerca ha dato in effetti esito positivo e le coordinatrici sono state invitate a relazionare nel merito: trattasi di un file di word nominato “tabella per vaccinazioni” […] creato in data XX dalla coordinatrice in servizio fino al mese di XX e strutturato in tre colonne: la prima con cognome e talora nome di battesimo di 15 operatori (del comparto e della dirigenza medica) afferenti al Consultorio di Vignola, la seconda con indicazione fatto/Non fatto (riferita alla vaccinazione anti Covid19 ), la terza quale sorta di colonna per annotazioni”;

“il file è contenuto nella cartella di rete del Servizio, in una sottocartella denominata con il nome di battesimo della nuova coordinatrice, subentrata alla prima sopracitata in XX; il file è stato spostato all’interno di tale sottocartella in data XX, a seguito della riorganizzazione dei documenti contenuti nella cartella di rete da parte della nuova coordinatrice. Alla cartella di rete accedono tutti gli operatori afferenti al Consultorio di Vignola”;

“da quanto espresso dalle due coordinatrici è emerso che tale file è stato compilato quale promemoria ai soli fini organizzativi e in totale buona fede, ovvero al solo fine di pianificare le attività, dovendo consentire agli operatori del Consultorio di accedere agli ambulatori vaccinali in orario di servizio”;

“la compilazione dell’elenco non aveva alcun intento discriminatorio nei confronti degli operatori del Consultorio, sulla base delle loro scelte in tema vaccinale, ma solo un fine organizzativo. Pertanto, per tali mere finalità organizzative la coordinatrice ha chiesto direttamente agli operatori del Consultorio quando avrebbero effettuato il vaccino e gli stessi hanno liberamente risposto in base alle loro scelte o al loro stato di salute. […] L’elenco è stato come ovvio rimosso”;

“in conclusione, alla luce di tutte le verifiche effettuate, si ritiene che l’Avvocato della dipendente nel reclamo inviato a codesta spettabile Autorità, possa essersi riferito a tale file “tabella per vaccinazioni”; se così è, la dipendente ha avuto accesso ad un “ elenco”, peraltro non completo relativo non a tutto il personale della AUSL (come sembra lasciare intendere), bensì ai soli dipendenti del suo stesso Servizio (Consultorio di Vignola), né accessibile a tutto il personale dell’AUSL ”, ma solamente a tali dipendenti”.

Con nota del XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato all’Azienda Sanitaria, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento per aver trattato (ossia raccolto e poi messo a disposizione attraverso una cartella ad accesso condiviso), dati personali relativi allo stato vaccinale dei lavoratori, in assenza di una idonea base giuridica, in violazione degli artt.5 6 e 9 del Regolamento, nonché 2-ter e 2-sexies del Codice.

Con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).

Con nota del XX (prot. n.XX) l’Azienda Sanitaria, che non ha chiesto di essere audita, ha presentato una memoria difensiva, dichiarando, in particolare, che:

“fermo quanto già dichiarato in precedenza a cui si fa rinvio, si specifica nuovamente che, sentite in merito le Coordinatrici del Servizio (le quali si sono avvicendate in tale attività nel mese di XX), il file in questione, creato dalla Coordinatrice in data XX, conteneva l’indicazione in ordine alla effettuazione della vaccinazione anti Covid-19 di 15 operatori (tra dirigenti e personale del comparto) afferenti al Consultorio di Vignola, tra cui l’interessata”;

“il file era stato creato in totale buona fede, quale promemoria ai soli fini organizzativi, ovvero al solo fine di pianificare le attività, dovendo consentire agli operatori del Consultorio di accedere agli ambulatori vaccinali in orario di servizio”;

"si specifica che a seguito dell’emanazione del […] D. L. 44/2021 e dell’entrata in vigore dell’obbligo vaccinale per gli operatori sanitari, con relativo avvio della procedura di accertamento e sospensione dalla attività lavorativa, è stato inevitabile per i colleghi venire a conoscenza in via indiretta, qualora già non lo fossero (cosa […] alquanto improbabile), dello stato di vaccinazione degli altri, senza che dunque ciò avvenisse per effetto del file oggetto della segnalazione”;

“si esclude il carattere doloso della violazione: essa è stata determinata in totale buona fede, da mere motivazioni di ordine organizzativo, senza alcun intento discriminatorio e non ha comportato la messa a conoscenza dello stato vaccinale della segnalante a persone che già non ne avessero contezza. Giova ribadire anche qui che il file era contenuto in una cartella di rete creata per il Consultorio di Vignola per la gestione delle proprie attività, a cui hanno accesso solamente gli operatori del Consultorio stesso”;

“il file è stato subito rimosso non appena è stato individuato per effetto della verifica avviata a seguito della “Richiesta di informazioni” pervenuta da codesta Autorità”;

“l’Azienda già da anni porta avanti l'attività di formazione dei propri dipendenti in materia di protezione dei dati personali, ma con l’entrata in vigore del Regolamento (EU) ha predisposto un piano formativo, volto ad illustrare a tutti anche al personale già “formato” le novità introdotte dalla nuova normativa”;

“lo scorso mese di luglio, l’Azienda ha rinnovato il proprio “Regolamento aziendale per l'utilizzo delle risorse informatiche e degli strumenti di comunicazione”, a garanzia della sicurezza ed integrità del patrimonio informativo aziendale e, al contempo, a tutela dei dati degli interessati (assistiti e dipendenti); tale strumento fornisce agli utilizzatori le necessarie prescrizioni e istruzioni operative in tema di accesso ed utilizzo delle risorse informatiche”;

“per quanto attiene alle misure che avrebbero dovuto limitare o impedire l'evento, agli operatori interessati è stato ribadito di non allocare e/o conservare nelle cartelle di rete documenti contenenti dati personali nel rispetto dei principi di cui all’art. 5 del Regolamento (UE), in particolare dati che non siano adeguati, pertinenti e limitati alle finalità per le quali sono trattati”;

“l’Azienda, non appena venutane a conoscenza, si è attivata tramite l'Ufficio Privacy per comprendere le cause e porre rimedio a quanto segnalato e ha proceduto a comunicare a codesta spettabile Autorità le informazioni richieste con nota Prot. N. XX del XX”;

“l’Azienda, sempre per il tramite dell'Ufficio Privacy, ha prontamente interpellato tutti i Servizi potenzialmente coinvolti, a partire dalla Responsabile e dalla Coordinatrice del Consultorio di Vignola, al fine di acquisire ogni informazione in merito all'evento segnalato, comprendere in modo approfondito le dinamiche dello stesso ed eliminarne i potenziali effetti, non solo a carico dei dipendenti, ma anche degli assistiti L’esito di tale controllo è stato descritto in modo dettagliato nella citata nota del XX”;

“l’evento è stato generato da un comportamento dettato da esigenze organizzative e non da mancanza di cognizione dei principi generali in tema di protezione dati”.

3. Esito dell’attività istruttoria.

3.1 Il trattamento di dati personali relativi allo stato vaccinale dei dipendenti.

La disciplina di protezione dei dati personali prevede che i soggetti pubblici, nell’ambito del contesto lavorativo, possono trattare i dati personali degli interessati, anche relativi a categorie particolari, se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalla legge o dal diritto dell’Unione o degli Stati membri (artt. 6, par. 1, lett. c), 9, par. 2, lett. b) e 4 e 88 del Regolamento). Il trattamento è, inoltre, lecito quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, parr. 1, lett. e), 2 e 3, e art. 9, par. 2, lett. g), del Regolamento; art. 2-ter del Codice, nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, vigente al tempo dei fatti oggetto di reclamo e art. 2-sexies, comma 1, del Codice). La normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del […] regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento). Al riguardo, si evidenzia che l’operazione di “comunicazione” di dati personali, da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento (cfr. art. 2-ter, commi 1 e 3, del Codice, nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, vigente al tempo dei fatti oggetto di reclamo).

In tale quadro, occorre rammentare che nel contesto emergenziale legato alla diffusione del virus Covid-19 il Garante - considerato il susseguirsi in tempi assai ravvicinati, in ragione dell’aggravarsi dello scenario nel contesto nazionale, di interventi normativi e conseguenti atti di indirizzo emanati dalle istituzioni competenti - è intervenuto in numerose occasioni al fine di fornire indicazioni e chiarimenti, anche ai datori di lavoro, tenuto conto, in particolare, dei maggiori rischi per gli interessati nel contesto lavorativo, per prevenire trattamenti non conformi alla disciplina di protezione dei dati personali, facendo leva sui compiti di sensibilizzazione e promozione della cultura della protezione dei dati attribuiti dal Regolamento (promuovendo “la consapevolezza e la comprensione del pubblico, dei titolari e dei responsabili del trattamento riguardo a norme, obblighi, rischi, garanzie e diritti”, v. art. 57, par. 1, lett. b) e d), del Regolamento, e art. 154-bis, comma 1, lett. a), del Codice; cfr.,“Coronavirus: Garante Privacy, no a iniziative "fai da te" nella raccolta dei dati”, comunicato del 2 marzo 2020, doc. web n. 9282117).

Anche nell’eccezionale situazione emergenziale, tenuto conto delle problematiche derivanti dalle pressanti esigenze di tutela della sicurezza dei luoghi di lavoro e dai connessi trattamenti di dati personali, il Garante ha pertanto richiamato l’attenzione dei datori di lavoro, ad operare nell’ambito e nei limiti previsti dalla disciplina applicabile quale base giuridica dei relativi trattamenti (artt. 5, 6, 9, par. 2 lett. b) e 88 del Regolamento), evitando di porre in essere iniziative non previste dalla legge e ricordando che, fino all’entrata in vigore dell’art. 4 del d.l. 1° aprile 2021, n. 44 (convertito in legge n. 76 del 28 maggio 2021) che aveva previsto per gli esercenti le professioni sanitarie e gli operatori di interesse sanitario la vaccinazione anti Sars-cov-2  quale “requisito essenziale per l'esercizio della professione e per lo svolgimento delle prestazioni lavorative”, non era consentito al datore di lavoro raccogliere, direttamente dagli interessati e con il consenso degli stessi, informazioni relative alla sfera privata, alla salute o alle convinzioni personali dei lavoratori, ivi compresa l’intenzione o meno di aderire alla campagna vaccinale. Ciò anche per l’impossibilità di considerare il consenso dei dipendenti una valida condizione di liceità per il trattamento dei dati personali in ambito lavorativo, tenuto conto dello squilibrio nel rapporto con il titolare, specie quando il datore di lavoro sia un’autorità pubblica (cons. 43 del Regolamento; cfr., FAQ “Trattamento dei dati nel contesto lavorativo pubblico e privato nell’ambito dell’emergenza sanitaria”, doc web n. 9337010, con principi che sono stati confermati, anche a fronte dell’evoluzione del quadro normativo legato all’emergenza, in numerosi provvedimenti e documenti di indirizzo a carattere generale; v. in particolare, il documento di indirizzo “Protezione dei dati - Il ruolo del medico competente in materia di sicurezza sul luogo di lavoro, anche con riferimento al contesto emergenziale”, doc. web n. 9585367; con riguardo al tema della vaccinazione dei lavoratori provvedimento n. 198 del 13 maggio 2021 - Documento di indirizzo “Vaccinazione nei luoghi di lavoro: indicazioni generali per il trattamento dei dati personali”, doc. web n. 9585300, e FAQ in materia di Trattamento di dati relativi alla vaccinazione anti Covid-19 nel contesto lavorativo, doc. web n. 9543615).

Sotto diverso ma connesso profilo si ricorda che, in generale, secondo l’orientamento consolidato del Garante, confermato di recente in numerosi provvedimenti su singoli casi, i dati personali dei dipendenti non possono - specie se, come nel caso in questione, particolarmente delicati e acquisiti in assenza di idoneo presupposto di liceità -, essere messi a conoscenza di soggetti diversi da coloro che sono parte dello specifico rapporto di lavoro (cfr. definizioni di “dato personale” e “interessato”, contenuta nell’art. 4, par. 1, n. 1, del Regolamento), ovvero di coloro che - anche tenuto conto della definizione di “terzo”, contenuta nell’art. 4, par. 1, n. 10, del Regolamento - non siano legittimati a trattarli in ragione delle mansioni assegnate e delle scelte organizzative del titolare del trattamento (cfr., tra i tanti, da ultimo, provv. n. 606 del 26 settembre 2024, doc web 10068155; ma v. anche provv. n.223 del 1° giugno 2023, doc web 9916798, provv. n. 322 del 16 settembre 2021, doc. web n. 9711517 e provvedimenti in essi citati; v. già, punti 2, 4, 5.1 e 5.3 delle “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico”, del 14 giugno 2007, pubblicate in G.U. 13 luglio 2007, n. 161, e in www.garanteprivacy.it, doc. web n. 1417809).

Quanto al caso di specie, all’esito dell’attività istruttoria, è emerso che l’Azienda Sanitaria ha creato a XX, e conservato fino alla ricezione della richiesta di informazioni dell’Autorità, una cartella condivisa – seppure con riferimento ai soli lavoratori (circa 15) della sede ove prestava la propria attività lavorativa l’interessata (consultorio di Vignola) e solo a questi accessibile - contenente un file con l’elenco dei nominativi del personale operante presso la predetta sede (ossia i 15 interessati) con l’indicazione dello stato vaccinale di ciascuno. Stante l’accessibilità alla predetta cartella da parte degli interessati, il trattamento posto in essere ha altresì comportato la comunicazione di informazioni particolarmente delicate e anche relative alla salute (cfr., art. 4, par. 1, n. 15 del Regolamento), relative all’avvenuta o mancata vaccinazione degli interessati, in favore di tutti i soggetti abilitati alla consultazione della cartella, rendendo, di fatto, ciascuno di essi edotto circa lo stato vaccinale degli altri colleghi.
    Al riguardo, nel ribadire che il Garante, nel periodo emergenziale, aveva reiteratamente invitato i titolari, anche qualora operassero in qualità di datori di lavoro, a non intraprendere iniziative autonome che prevedessero la raccolta di dati, anche sulla salute, che non fossero normativamente previste o disposte dagli organi competenti e considerato che, al fine di tutelare la salute pubblica e mantenere adeguate condizioni di sicurezza del lavoro e nell'erogazione delle prestazioni di cura e assistenza, il requisito professionale della vaccinazione è stato introdotto dal d.l. 1° aprile 2021, n. 44 (allo stato non più in vigore per effetto di successivi interventi normativi, v. da ultimo, d.l. del 31 ottobre 2022, n. 162), deve concludersi che l’Azienda Sanitaria ha posto in essere un trattamento, consistente nella raccolta e messa a disposizione attraverso la predetta cartella condivisa, di dati personali relativi allo stato vaccinale dei 15 dipendenti, in assenza di base giuridica, in violazione degli artt. 5, 6 e 9 del Regolamento, nonché 2-ter e 2-sexies del Codice.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Azienda Sanitaria per aver posto in essere un trattamento di dati personali relativi allo stato vaccinale dei dipendenti, in assenza di base giuridica, in violazione degli artt. 5, 6 e 9 del Regolamento, nonché 2-ter e 2-sexies del Codice.

Tenuto conto che la violazione delle predette disposizioni ha avuto luogo in conseguenza di un’unica condotta (stesso trattamento o trattamenti tra loro collegati), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, le violazioni più gravi, relative agli artt. 5. 6 e 9 del Regolamento, nonché 2-ter e 2-sexies del Codice, sono soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, avendo l’Azienda Sanitaria fornito assicurazioni in merito alla cessazione del trattamento in questione - non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Tenuto conto che:

con specifico riguardo alla natura, alla gravità e alla durata della violazione occorre evidenziare che il trattamento è avvenuta in riferimento ai dati personali di 15 lavoratori, determinando altresì la reciproca conoscibilità dello stato vaccinale tra gli interessati (art. 83, par. 2, lett. a), del Regolamento);

con specifico riguardo al profilo soggettivo la violazione è stata effettuata invocando erroneamente esigenze organizzative (art. 83, par. 2, lett. b), del Regolamento);

il trattamento ha riguardato dati assai delicati, anche dati appartenenti alle categorie particolari di cui all’art. 9 del Regolamento, con riferimento all’avvenuta o mancata vaccinazione in quanto prestazione sanitaria (cfr. art. 83, par. 2, lett. g), del Regolamento),
si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).

Ciò premesso, si ritiene che, ai fini della quantificazione della sanzione, debbano essere prese in considerazione le seguenti circostanze:

l’Azienda Sanitaria ha offerto una buona cooperazione con l’Autorità nel corso dell’istruttoria (art. 83, par. 2, lett. f), del Regolamento);

non risultano precedenti violazioni pertinenti commesse dall’Azienda ospedaliera (art. 83, par. 2, lett. e), del Regolamento);

la violazione è avvenuta in un periodo caratterizzato, con particolare riferimento alle Aziende Sanitarie, da numerose difficoltà sul piano organizzativo, connesse alle problematiche del periodo emergenziale caratterizzato dalla diffusione del virus Sars-cov 2 (art. 83, par. 2, lett. k), del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 10.000 (diecimila) per la violazione degli artt. 5, 6 e 9 del Regolamento, nonché 2-ter e 2-sexies del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. Ciò in considerazione della delicatezza delle informazioni oggetto di trattamento riguardanti lo stato vaccinale di taluni lavoratori.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dall’Azienda Sanitaria per violazione degli artt. 5,6 e 9 del Regolamento, nonché 2-ter e 2-sexies del Codice, nei termini di cui in motivazione;

ORDINA

All’Azienda Unità Sanitaria locale di Modena, in persona del legale rappresentante pro-tempore, con sede legale in Via San Giovanni Del Cantone 23 - Modena (MO) C.F. 02241850367, di pagare la somma di euro 10.000 (diecimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

Alla predetta Azienda Sanitaria in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 10.000 (diecimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

- ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 30 gennaio 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei