g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Ordinanza ingiunzione o revoca
  4. Ordinanza ingiunzione - 11 marzo 2021 [9590222]

Ordinanza ingiunzione - 11 marzo 2021 [9590222]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9590222]

Ordinanza ingiunzione - 11 marzo 2021

Registro dei provvedimenti
n. 94 dell'11 marzo 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTA la legge n. 689/1981 e successive modificazioni e integrazioni;

VISTO l’art. 1, comma 2, della legge sopra citata, ai sensi del quale le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e per i tempi in esse considerati;

VISTA la segnalazione pervenuta in data 24 marzo 2017, corredata di specifica documentazione, secondo la quale il dott. Gregorio Greco, nato a XX e residente a XX, in via XX, C.F. XX, avrebbe trasmesso documentazione inerente la casistica operatoria, contenente l’elenco degli interventi chirurgici effettuati presso alcune strutture sanitarie, ove lo stesso aveva prestato servizio (Divisione di Ortopedia della Usl n. 40 della Regione Lombardia - Ospedale di Desenzano del Garda, Asl n. 15 della Regione Emilia-Romagna - Divisione di Ortopedia di Mirandola, Ospedale civile di Brescia, Asl n. 2 della Regione Calabria - Presidi Ospedalieri di Lungro e di San Marco Argentano, U.O.C. di Ortopedia-Traumatologia dell’Azienda Ospedaliera di Cosenza), in allegato alla domanda di partecipazione all’avviso pubblico, adottato dall’Azienda Ospedaliera di Cosenza, per l’affidamento dell’incarico di direzione di struttura complessa ortopedia e traumatologia (cfr. deliberazione del Commissario straordinario del 17 dicembre 2015, n. 373). In particolare, la predetta documentazione allegata conteneva dati personali -in alcuni casi anche direttamente identificativi (nome e cognome) - e relativi alla salute dei pazienti (data dell’intervento, diagnosi, tipo di anestesia somministrata e di intervento effettuato);

VISTE le richieste di informazioni del Dipartimento Sanità e Ricerca di questa Autorità, con le quali l’Azienda Ospedaliera di Cosenza (note prot. n. 00267 del 13 settembre 2018 e n. 0009205 del 15 marzo 2019) e il dott. Greco (nota prot. n. 22863 del 30 luglio 2018) venivano invitati a fornire ogni elemento e informazione utile in relazione a quanto segnalato;

PRESO ATTO delle dichiarazioni del Direttore Generale della Azienda Ospedaliera di Cosenza contenute nelle note del 10 ottobre 2018 e del 4 aprile 2019, secondo le quali “gli allegati, così come dichiarati, non risultano essere «Certificazione» del Direttore sanitario né specifica «attestazione» del direttore di struttura complessa, bensì un foglio senza firma a mo’ di intestazione con allegati dei fogli che riportano l’elenco degli interventi (con nome cognome e tipo di intervento) effettuati, con la sola sigla e timbro del Direttore Presidio Unico e del Direttore della Struttura Complessa, che sicuramente non può configurarsi ed essere considerata né come «certificazione» né come «attestazione» rilasciata dal direttore sanitario e dal Direttore di Struttura Complessa” (cfr. nota del 10 ottobre 2018) e “la documentazione del Dr. Gregorio Greco è stata rilasciata da questa Azienda per il tramite della Direzione Medica del Presidio Unificato; il Dr. Gregorio Greco ha inoltrato formale richiesta di consultazione di registri operatori degli anni 2012/2013/2014 regolarmente autorizzata in data 16.02.2019 con prot. 488”; “i timbri sono quelli della Direzione medica del Presidio Unificato e del reparto di Ortopedia” (cfr. nota del 4 aprile 2019);

PRESO ATTO, altresì, della missiva del 13 agosto 2018, con la quale il dott. Greco dichiarava che la certificazione dell’attestazione delle prestazioni effettuate “è atto del Direttore Sanitario dell’Azienda Ospedaliera di Cosenza apposto sulla attestazione rilasciata dalla Struttura Complessa di appartenenza, nella persona del Direttore” e che non avrebbe potuto “certo manomettere e/o alterare un documento non proprio, ma emesso dalla struttura complessa di appartenenza e certificato dal direttore sanitario, pena varie ipotesi di reato a suo carico, e pertanto non aveva altra possibilità, per poter partecipare al bando, che allegare il documento così come rilasciato dall’Azienda Ospedaliera di Cosenza, titolare del trattamento, che (…) è anche l’Azienda Ospedaliera che ha emesso l’avviso pubblico”, evidenziando, altresì, che lo stesso “con riferimento a tutti gli altri documenti allegati alla domanda di partecipazione all’avviso pubblico e, in particolare, con riferimento alla casistica operatoria degli interventi effettuati presso tutte le altre strutture ospedaliere di Mirandola (Mo), Desenzano del Garda (BS), Brescia; Lungro (CS) e San Marco Argentano (CS), avendo proceduto in autocertificazione, e dunque con atto proprio, ha correttamente elencato in forma strettamente anonima e non riconducibile ad alcun paziente/interessato, e ciò in quanto lo scrivente non detiene né tratta alcun «dato personale», tale non essendo, ai sensi di legge, il dato non più riconducibile ad alcun interessato, che dunque non è identificato né identificabile”;

VISTA la nota prot. n. 31903 del 20 settembre 2019 del Dipartimento Sanità e Ricerca, con la quale veniva definito il procedimento, le cui motivazioni devono intendersi qui integralmente richiamate, nella quale risulta accertato che:

- il dott. Greco “ha avuto accesso a informazioni sulla salute dei pazienti sottoposti a intervento chirurgico presso la U.O.C. di Ortopedia-Traumatologia dell’Azienda Ospedaliera di Cosenza e ha prodotto, nell’ambito della partecipazione ad avviso pubblico, la predetta documentazione contenente i seguenti dati personali dei pazienti: nome, cognome, data e tipo di intervento, diagnosi e tipo di anestesia effettuata”;

- “la comunicazione da parte dell’Azienda dei dati sulla salute dei pazienti contenuti nella citata casistica operatoria è stata effettuata in assenza di un idoneo presupposto legittimante (artt. 11, 20 e 60 del Codice, così come vigente al momento dei fatti). Per comunicazione, infatti, sulla base della definizione di cui all’art. 4, comma 1, lett. l) del Codice, si intende il «dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato, in qualunque forma, anche mediante la loro messa a disposizione o consultazione»”;

- “lo stesso medico ha effettuato un’operazione di comunicazione -nell’ambito della partecipazione ad avviso pubblico- dei dati personali relativi alla salute, dei pazienti sottoposti a intervento chirurgico presso la U.O.C. di Ortopedia-Traumatologia dell’Azienda Ospedaliera di Cosenza, a seguito della messa a disposizione, da parte dell’Azienda, della citata documentazione, avvenuta senza idoneo presupposto legittimante”;

- “con riferimento alla documentazione relativa ai dati sulla salute dei pazienti operati presso le strutture sanitarie di Mirandola, Desenzano del Garda, Brescia, Lungro e San Marco Argentano, (…) la stessa è stata acquisita dal dott. Greco, autocertificandone la provenienza, senza una formale richiesta di accesso ai dati sulla salute alle strutture interessate. Successivamente la medesima documentazione è stata prodotta per la partecipazione al citato avviso pubblico”;

- “il trattamento dei predetti dati effettuato dal dott. Greco era collegato al perseguimento di una finalità personale (quella di partecipare all’avviso pubblico per l’affidamento del citato incarico di direzione), non riconducibile alle finalità di cura o amministrative correlate alla cura, proprie degli Enti ospedalieri citati”;

- “il fatto che le informazioni relative alla salute dei pazienti operati dal dott. Greco siano usciti dalla disponibilità (e quindi dal controllo) dei legittimi titolari del trattamento (Enti ospedalieri) per essere utilizzati dallo stesso per partecipare a una selezione e, quindi, siano stati trasmessi a una commissione amministrativa incaricata dall’(…) Azienda Ospedaliera di Cosenza non trova fondamento nella base giuridica che aveva originariamente legittimato il trattamento”, con la conseguenza che “il trattamento posto in essere dal dott. Greco non è stato effettuato nel rispetto del Codice, vigente al momento in cui si sono svolti i fatti oggetto della segnalazione (artt. 11, 13 e 26)”;

CONSIDERATO che i fatti oggetto della segnalazione si sono verificati nel febbraio del 2016, in data, quindi, anteriore a quella nella quale il Regolamento (UE) 2016/679 è diventato pienamente applicabile (25 maggio 2018) e che, pertanto, ai trattamenti di dati personali in esame si applica il Codice in materia di protezione dei dati personali, nella versione antecedente alla riformulazione del medesimo operata a mezzo del d.lgs. n. 101/2018;

VISTO l’atto prot. n. 0039727, adottato il 18 novembre 2019, con cui è stata contestata al dott. Gregorio Greco la violazione delle disposizioni di cui agli artt. 13 e 26 del Codice, sanzionati, rispettivamente, dagli artt. 161 e 162, comma 2-bis del medesimo Codice, per aver effettuato un trattamento di dati sulla salute in assenza di idonei presupposti legittimanti;

RILEVATO che dal rapporto amministrativo predisposto ai sensi dell’art. 17 della legge 24 novembre 1981 n. 689, non risulta essere stato effettuato il pagamento in misura ridotta di cui all’art. 16 della legge 689/81;

VISTA la memoria difensiva datata 17 dicembre 2019, presentata dal dott. Greco ai sensi dell’art. 18 della legge 24 novembre 1981 n. 689, nella quale è stato dichiarato che:

- “considerata l’estrema ristrettezza dei tempi a disposizione, il dott. Greco ha presentato un elenco cartaceo, in autocertificazione, degli interventi effettuati, recanti quale unico riferimento agli interessati le sole iniziali puntate, utilizzando dunque una forma strettamente anonima, in quanto le iniziali puntate, anche in considerazione del protratto lasso di tempo trascorso dagli interventi in questione, non sono in alcun modo riconducibili ad alcun paziente/interessato (….)”;

- con riferimento alla documentazione rilasciata dall’A.O. di Cosenza, “la domanda di partecipazione nel caso in esame non è stata presentata ad alcun soggetto terzo, bensì proprio all'Azienda Ospedaliera di Cosenza”, considerata la definizione di "comunicazione", ai sensi dell’art. 4 comma 1 lett. l) del d.lgs. 196/2003;

- “a ben vedere, allora, nel caso che occupa non vi è stata alcuna comunicazione all'esterno, bensì l'unica trasmissione di dati è avvenuta dall'Azienda Ospedaliera al dott. Greco, e poi, semmai, da quest'ultimo nuovamente alla medesima Azienda Ospedaliera, senza che altri soggetti terzi siano entrati a conoscenza dei dati personali in questione. Nessun danno, né concreto, né potenziale, dunque, può esser stato procurato agli interessati dall'operato del dott. Greco, essendo stati i dati personali da lui nuovamente trasferiti sempre al medesimo Titolare del trattamento che aveva rilasciato quel documento”;

- con riferimento ai dati personali dei pazienti delle altre Strutture Sanitarie, “per la partecipazione all’avviso pubblico di cui si tratta, ha allegato alla domanda un elenco cartaceo degli interventi effettuati, da lui detenuto in forma strettamente anonima, a suo sommesso modo di vedere, in quanto gli unici dati riferiti ai singoli pazienti sono le iniziali puntate dei nominativi. Tutti gli altri dati sono descrittivi del tipo di intervento di per sé anonimo, come data e grado di partecipazione del medico, non riconducibile ad un soggetto determinato o determinabile, in quanto neppure lo stesso dott. Greco è a conoscenza o potrebbe risalire ai nominativi dei pazienti (…). Aver trasmesso tale elenco in siffatta forma significa, nello specifico caso di esame, non aver reso in alcun modo individuabile la persona fisica cui i dati si riferiscono, in quanto non v’è modo (neppure per il dott. Greco!) di risalire al nominativo del paziente. Solo l’Azienda di provenienza, originario Titolare del trattamento, è in possesso dei nominativi in chiaro e può, dunque, associare quei dati ad una persona fisica identificata o identificabile. In altri termini, solo chi è già in possesso, a monte, della lista degli interventi completa dei nominativi per esteso (nome e cognome della persona), potrebbe identificare l'interessato. (…) Neppure nel caso in esame può configurarsi, allora, una comunicazione illecita di dati personali”, alla luce della definizione di “dato personale” contenuta nell’art. 4 comma 1 lett. b), del Codice;

- “chi scrive non ignora il provvedimento citato dallo stesso Ufficio nel corpo del provvedimento oggetto della presente impugnativa (Provv. del 15 maggio 2014 n. 243 – doc. web n. 3134436) che è però riferito alla diversa ipotesi di pubblicazione a mezzo stampa o web da parte delle P.A. tenute dalla normativa sulla trasparenza alla pubblicazione on line o a mezzo stampa di dati che possono essere particolarmente delicati (sussidi, sostegni economici, dati di persone disabili etc.). Ci si riferisce, dunque, nel provvedimento citato, alle ipotesi di pubblicazione a mezzo stampa o web, vale a dire di “diffusione”, che, ai sensi dell’art. 4 comma 1 lett. K, d.lgs. 196/2003, consiste nel "dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione". La definizione di “pubblicazione” è quindi ben diversa dalla comunicazione (consistente nella trasmissione di dati ad uno o più soggetti determinati – art. 4 comma 1 lett. l) che implica un ambito di conoscibilità e diffusione ben diversa rispetto al trattamento ed anche dalla pubblicazione. Nel caso in esame, completamente diverso sia per il tipo di operazione effettuata, sia per l’ambito di comunicazione estremamente ristretto, le inziali dei pazienti sono collegate ad un intervento indicato in modo astratto e di per sé non associabile ad una specifica persona (per ipotesi: A.B.- intervento osteosintesi clavicola - data xx-xx-xxxx): in questo caso le inziali, se pur presenti, non rendono in alcun modo possibile a chi riceve i dati di risalire all'interessato. Sotto altro profilo, con particolare riferimento alla violazione di cui all’art.13, secondo la mossa contestazione, il dott. Greco avrebbe dovuto inviare un’informativa a ciascuno degli interessati del trattamento, ai sensi dell’art. 13 del medesimo d.lgs. 196/2003, vale a dire a ciascuno dei pazienti contenuti negli elenchi, per informarlo delle finalità del (nuovo) trattamento e di tutti gli altri elementi previsti dalla normativa allora vigente”;

- “con riferimento, poi, ai nominativi dei pazienti contenuti nell’elenco rilasciato dall'Azienda Ospedaliera di Cosenza, si ribadisce che la violazione è stata, semmai, compiuta a monte dall'Azienda Ospedaliera stessa, che, nel consentire l'accesso alla documentazione proprio al fine di partecipazione all'avviso pubblico, avrebbe potuto e dovuto provvedere ad informare gli interessati ai sensi dell’art.13 della comunicazione effettuata al dott. Greco; il medico, che si è limitato a ricevere tale elenco nella forma disposta dal proprio datore di lavoro ed a riconsegnarlo alla stessa Azienda Ospedaliera insieme alla sua domanda di partecipazione, non avrebbe mai potuto fornire l’informativa agli interessati, considerato il numero dei soggetti da contattare: il numero degli interessati ed i soli dati a disposizione (nominativo, ma assenza persino del Comune di Residenza, indirizzo e/o di qualunque altro contatto) rendono l'adempimento oggettivamente sproporzionato ed abnorme, in relazione alle possibilità del singolo dipendente partecipante all’avviso”;

Considerato che, in data 11 febbraio 2021, si svolgeva l’audizione richiesta dal dott. Greco, nel corso della quale, nell’evidenziare che “con riferimento alle due casistiche contestate, difettano gli elementi soggettivo e oggettivo della fattispecie di responsabilità”, è stato ribadito che “con particolare riferimento alla contestazione relativa all’Azienda Ospedaliera di Cosenza”, non vi sarebbe stata diffusione di alcun dato e che “la certificazione degli interventi rappresentava un documento essenziale da presentare, a pena di esclusione. Sotto il profilo degli interessi coinvolti, la partecipazione ad un concorso non è un atto meramente privato, ma ha rilevanza pubblicistica, con tutto ciò che ne consegue in merito al trattamento dei dati. Quanto precede consente, altresì, di escludere l’elemento soggettivo, non potendo essere attribuiti al dott. Greco né il dolo né la colpa, quanto l’osservanza di un obbligo previsto da un concorso pubblico. Con riferimento agli interventi autocertificati, la mera indicazione delle iniziali, in difetto di ulteriori elementi identificativi, con riguardo ad interventi molto risalenti, anche di 30 anni precedenti, impedisce, in concreto, qualsiasi possibilità di risalire all’identità dei soggetti interessati, non conoscendo, lo stesso dott. Greco, a quali soggetti i predetti interventi si riferissero”;

Visto che, in data 14 novembre 2019, è stato proposto dal dott. Greco un ricorso in opposizione, ai sensi degli artt. 152 del Codice e 10 del d.lgs. 150/2011, avverso la citata nota del Garante (del 20 settembre 2019, prot. n. 31903) con la quale era stato ritenuto illecito il trattamento di dati sensibili effettuato dal medesimo medico;
Tenuto conto della sentenza del Tribunale di Cosenza, con la quale è stata rigettata la predetta opposizione, in particolare, evidenziando che:

- “non può ragionevolmente dubitarsi, come invece propugna la difesa dell’opponente, della applicabilità, alla fattispecie, della disciplina del d. lgs. n. 196/2003, poiché il suo art. 5 esclude tale evenienza solo allorquando il trattamento sia effettuato da persone fisiche per fini esclusivamente personali, ma non certo se i dati - come indubbiamente nel caso di specie (…)- sono destinati ad una comunicazione sistematica o alla diffusione, per quanto circoscritta; in altri termini, l‘esimente vale solo per l’utilizzo che la persona faccia dei dati per sé, ossia per la sua esclusiva conoscenza e non anche per la comunicazione ad altri soggetti”;

- quanto alla “condotta relativa ai dati dell’operato dell'opponente in seno alla A.O. di Cosenza” (…) “si rinviene sicura violazione del Codice della Privacy sotto il profilo della completezza dei dati in funzione della loro prefata super sensibilità, poiché in evidenza associare un nominativo ad un trattamento sanitario integra violazione della privacy del paziente”;

- “la domanda di partecipazione del dott. Greco, e i suoi allegati, erano indirizzati non alla A.O. di Cosenza bensì alla Commissione esaminatrice, che, per le modalità di sua formazione e, soprattutto per la necessaria autonomia dalla Azienda, è sicuramente soggetto diverso, benché organo straordinario dell’ente, la cui personalità giuridica tuttavia sicuramente distinta da quest'ultimo, come insegnano i principi del diritto amministrativo. Comprova tale assunto la composizione di quella Commissione, di cui (…), fanno parte non solo il Direttore Sanitario dell'A.O. di Cosenza, bensì anche ulteriori tre Direttori di Struttura Complessa sorteggiati da un elenco nazionale nominativo, estratto dai relativi elenchi regionali, e ulteriormente un segretario scelto tra i funzionari amministrativi di determinata qualifica”, per cui “la documentazione allegata dal dott. Greco è stata concretamente portata a conoscenza di un numero di soggetti plurimo e non coincidente con la sola A.O. di Cosenza, con potenziale possibilità di ulteriore sua diffusione”;

- “quella condotta è connotata da palese rilievo di ultroneità della documentazione rispetto a quanto richiesto dallo stesso bando, che si limitava a prevedere l’allegazione della sola tipologia degli interventi eseguiti, senza pretendere anche l’indicazione dei nominativi dei pazienti, di tal ché rimane incomprensibile il motivo per il quale quella indicazione vi sia stata, ed anche con nome e cognome”;

- “siffatta condotta non può certo rimanere imputabile alla sola Azienda Ospedaliera di Cosenza, che pur doveva respingere l'istanza presentata dal dott. Greco, quanto anche - contrariamente al relativo assunto difensivo - a quest'ultimo, che ha concorso materialmente alle violazioni contestate, dandovi anzi causa ed altresì utilizzando i dati illegittimamente acquisiti”;

- “l’indicazione delle sole lettere iniziali dei nominativi dei pazienti, diversamente da quanto assume il ricorrente, non appare idonea a rendere il dato sufficientemente «anonimo»; pertanto “la condotta del dott. Greco non appare compatibile con la citata disposizione (art. 4, comma 1, lett. n), nonché con le linee guida n. 243/2014 del Garante, nelle quali si specifica, appunto, che la sostituzione del nome e cognome dell’interessato con le sole iniziali non è di per sé sufficiente ad anonimizzare i dati personali, rimanendo il rischio di identificazione palesemente sussistente, soprattutto allorquando, come nel caso di specie, accanto a quelle iniziali, permangano ulteriori informazioni di contesto (la tipologia dell’intervento sanitario eseguito), che rendono comunque potenzialmente identificabile l’interessato. Ed a nulla vale invocare il riferimento di quelle linee guida alla sola diffusione a mezzo stampa o web dei dati, poiché sarebbe oltremodo irragionevole non applicare il principio, che ha evidente portata generale, a fattispecie analoghe di diffusione, ove anche a scala ridotta come quella alla odierna attenzione” (sentenza 19 gennaio 2021);

RITENUTO che le argomentazioni addotte dal dott. Greco non siano idonee ad accogliere le richieste formulate nella memoria difensiva. Infatti, in relazione alla documentazione prodotta con autocertificazione, con riferimento alla nozione di dato personale, si fa presente che, ai sensi dell’art. 4, comma 1, lett. b) del Codice, vigente al momento in cui si sono svolti i fatti oggetto della segnalazione, per “dato personale”, si intende qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale (cfr. ora anche art. 4, par. 1, punto 1 del Regolamento (UE) 2016/679 e Considerando nn. 26, 27 e 30); pertanto, la circostanza che, in taluni casi, non fossero indicati per intero i nomi e i cognomi dei pazienti, ma solo le iniziali, non rileva ai fini dell’asserita esclusione delle citate informazioni dal novero della categoria del “dato personale”; infatti, come già precisato in più occasioni dal Garante, anche nella citata nota del 20 settembre 2019, “la prassi (…) di sostituire il nome e cognome dell’interessato con le sole iniziali è di per sé insufficiente ad anonimizzare i dati personali (…). Inoltre, il rischio di identificare l’interessato è tanto più probabile quando, fra l’altro, accanto alle iniziali del nome e cognome permangono ulteriori informazioni di contesto che rendono comunque identificabile l’interessato” (cfr. par. 3 del Provv. del 15 maggio 2014, n. 243, recante “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati”, doc. web n. 3134436). Tale ultimo assunto costituisce una precisazione delle disposizioni in esame, che, com’è logico, trovano applicazione in ogni situazione in cui sia necessario dare applicazione alla nozione di dato personale, indipendentemente da ipotesi di pubblicazione di dati sul web; in relazione, poi all’asserita inidoneità della condotta del dott. Greco a realizzare una diffusione/”comunicazione all’esterno” di dati sulla salute dei pazienti operati presso la A.O. di Cosenza, sulla base del fatto che la certificazione è stata prodotta e consegnata alla stessa Azienda e che tali dati non sarebbero usciti dalla disponibilità della struttura sanitaria, si evidenzia che la commissione di concorso è soggetto terzo rispetto all’amministrazione che bandisce la selezione concorsuale, è costituita anche da soggetti esterni alla stessa e assume una autonoma titolarità nel trattamento dei dati raccolti per l’espletamento della procedura selettiva. Inoltre, come già rappresentato nella nota del 30 novembre 2019, il documento che l’avviso pubblico richiedeva, a pena di esclusione, era solo una “Certificazione del Direttore sanitario ... riguardante la tipologia qualitativa e quantitativa delle prestazioni effettuate dal candidato” e non anche una documentazione recante la casistica operatoria comprensiva dei dati personali dei pazienti; anche, nell’ambito dell’attribuzione dei punteggi, si faceva riferimento alla “tipologia qualitativa e quantitativa delle prestazioni effettuate dal candidato anche con riguardo all’attività/casistica trattata nei precedenti, misurabili in termini di volume e complessità” (cfr. anche art. 4, comma 5, del d.m. 30 gennaio 1992, n. 283). Il medico avrebbe dovuto, quindi, diligentemente esaminare la normativa applicabile, concernente la produzione della documentazione richiesta ai fini della valutazione da parte della commissione esaminatrice e considerare con attenzione quali documenti fossero richiesti nella procedura di selezione, desumendone che non era richiesta la trasmissione di documentazione contenente dati personali sulla salute dei pazienti per poter partecipare alla procedura di selezione; ciò, in osservanza della normativa in materia di protezione dei dati personali, che, parimenti, il dott. Greco avrebbe dovuto conoscere;

RILEVATO che, sulla base delle considerazioni sopra richiamate, il dott. Greco, di propria iniziativa e quindi in qualità di titolare del trattamento, risulta aver commesso le violazioni delle disposizioni di cui agli artt. 13 e 26 del Codice sanzionate, rispettivamente, dagli artt. 161 e 162, comma 2-bis, del Codice medesimo, per aver effettuato un trattamento di dati, in parte anche idonei a rivelare le condizioni di salute degli interessati, in assenza di idonei presupposti legittimanti e, segnatamente, senza aver fornito l’informativa ai pazienti interessati e acquisito il loro specifico consenso;

VISTO l’art. 161 del Codice che punisce la violazione dell’art. 13 del medesimo Codice con la sanzione amministrativa del pagamento di una somma da euro 6.000,00 (seimila) a euro 36.000,00 (trentaseimila);

VISTO l’art. 162, comma 2-bis del Codice, che punisce le violazioni indicate nell’art. 167, tra cui la violazione relativa all’art. 26, del medesimo Codice, con la sanzione amministrativa del pagamento di una somma da euro 10.000,00 (diecimila) a euro 120.000,00 (centoventimila);

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, in relazione alla gravità della violazione, il trattamento, pur avendo avuto ad oggetto anche dati sulla salute, è consistito nella comunicazione degli stessi alla sola commissione esaminatrice nominata dall’Azienda Ospedaliera di Cosenza che ha adottato l’avviso pubblico;

CONSIDERATO, altresì, che il medico ha prodotto la documentazione contenente dati personali, nell’erroneo convincimento che ciò fosse indispensabile per evitare l’esclusione dalla procedura concorsuale;

RITENUTO che ricorrono le condizioni per applicare l’art. 164-bis, comma 1, del Codice che prevede che, se taluna delle violazioni di cui agli artt. 161, 162, 162-ter, 163 e 164, è di minore gravità, i limiti minimi e massimi sono applicabili in misura pari a due quinti;

RITENUTO, quindi, in ragione dei suddetti elementi valutati nel loro complesso di dover determinare, ai sensi dell’art. 11 della legge n. 689/1981, l’ammontare della sanzione pecuniaria prevista dall’art. 161 del Codice, nella misura minima di euro 6.000,00 (seimila) per la violazione dell’art. 13 del medesimo Codice, ridotta dei due quinti, secondo quanto previsto dall’art. 164-bis, comma 1, del Codice per la ricorrenza del requisito della minore gravità, per un importo pari a euro 2.400,00 (duemila quattrocento), nonché l’ammontare della sanzione pecuniaria prevista dall’art. 162, comma 2-bis del Codice, nella misura minima di euro 10.000,00 (diecimila) per la violazione dell’art. 26 del medesimo Codice, ridotta dei due quinti, secondo quanto previsto dall’art. 164-bis, comma 1, del Codice per la ricorrenza del requisito della minore gravità, per un importo pari a euro 4.000,00 (quattromila), per la somma complessiva pari a euro 6.400,00 (seimila e quattrocento);

VISTA la documentazione in atti;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE l’avv. Guido Scorza;

ORDINA

al dott. XX, nato a XX il XX e residente a XX, in XX, C.F. XX, di pagare la somma di euro 6.000,00 (seimila), prevista dall’art. 161 del Codice, ridotta dei due quinti, secondo quanto previsto dall’art. 164-bis, comma 1, del Codice medesimo, per un importo pari a euro 2.400,00 (duemila quattrocento), a titolo di sanzione amministrativa pecuniaria per la violazione della disposizione di cui all'art. 13 Codice per aver omesso di fornire l’informativa agli interessati, nonché la somma di euro 10.000,00 (diecimila) prevista dall’art. 162, comma 2-bis del Codice, ridotta dei due quinti, secondo quanto previsto dall’art. 164-bis, comma 1, del Codice medesimo, per un importo pari a euro 4.000,00 (quattromila), a titolo di sanzione amministrativa pecuniaria per la violazione della disposizione di cui all'articolo 26 del Codice per aver omesso di acquisire il consenso degli interessati, per un importo complessivo pari a euro 6.400,00 (seimila e quattrocento);

INGIUNGE

al medesimo dott. Greco di pagare euro 4.000,00 (quattromila) ed euro 2.400 (duemila quattrocento), per la somma complessiva pari a euro 6.400,00 (seimila e quattrocento), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 11 marzo 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERAlLE
Mattei

Scheda

Doc-Web
9590222
Data
11/03/21

Argomenti

Sanità e ricerca scientifica Dati sanitari Aziende sanitarie Operatori sanitari Pazienti

Tipologie

Ordinanza ingiunzione o revoca

Vedi anche (10)