g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Azienda Ospedaliero-Universitaria di Modena - 16 settembre 2021 [9722297]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9722297]

Ordinanza ingiunzione nei confronti di Azienda Ospedaliero-Universitaria di Modena - 16 settembre 2021

Registro dei provvedimenti
n. 328 del 16 settembre 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. La violazione dei dati personali.

Con nota del XX l’Azienda Ospedaliero-Universitaria di Modena ha notificato una violazione di dati personali, dichiarando che “su nove e-mail inviate in CCN riguardanti l'invito a compilare un questionario sullo stato di salute da parte di pazienti, una è stata inviata a 98 indirizzi (su 1456) in CC: invece che in CCN. Il questionario è volto a raccogliere informazioni per fornire assistenza ai pazienti malati di HIV seguiti dall'ambulatorio di Malattie Infettive dell'Azienda Ospedaliero Universitaria di Modena, a due mesi dall'interruzione delle visite ambulatoriali programmate, causa COVID-19”.

Nella citata comunicazione è stato evidenziato che la violazione ha riguardato dati di contatto e dati sulla salute e che ai 98 interessati, nel comunicare la violazione, è stato chiesto di non divulgare gli indirizzi di posta elettronica e di cancellare la mail ricevuta. E’ stato, altresì, precisato che “l'invio delle e-mail nella modalità manuale sopra descritta è stato un evento occasionale, legato alla necessità di riorganizzare le visite ambulatoriali post COVID-19 di un ambulatorio specialistico aziendale e non verrà ripetuta in futuro. Si provvederà a mettere a punto sistemi automatici per l'eventuale invio di mail massive, che impediscano errori legati al meccanismo 'copia-incolla' manuale”.

2. L’attività istruttoria.

In relazione a quanto comunicato dall’Azienda, l’Ufficio, con atto del XX prot. n. XX, ha avviato, ai sensi dell’art. 166, comma 5, del Codice, con riferimento alle specifiche situazioni di illiceità in esso richiamate, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2 del Regolamento, nei confronti della stessa Azienda, invitandola a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, l. n. 689 del 24 novembre 1981).

In particolare l’Ufficio, nel predetto atto ha preliminarmente rappresentato che:

- le informazioni oggetto della notifica costituiscono dati personali relativi alla salute (cfr., sulla riconducibilità dell’indirizzo e-mail alla nozione di dato personale, già Provv. 25 giugno 2002, consultabile in www.gpdt.it, doc. web n. 29864);

- la disciplina in materia di protezione dei dati personali prevede –in ambito sanitario- che le informazioni sullo stato di salute possano essere comunicate solo all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico (art. 9 Regolamento e art. 84 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101);

- il legislatore ha previsto una tutela rafforzata per il trattamento dei dati relativi all’infezione da HIV, prevedendo, da un canto, l'obbligo di comunicare i risultati di accertamenti diagnostici diretti o indiretti per la predetta infezione alla sola persona cui tali esami si riferiscono, dall’altro, l’obbligo, a carico dell’operatore sanitario e di ogni altro soggetto che venga a conoscenza di un caso di AIDS ovvero di infezione di HIV, di adottare ogni misura o accorgimento per la tutela dei diritti della persona e della sua dignità (art. 5, comma 4 e art. 1, comma 2, legge 5 giugno 1990, n. 135). Le predette disposizioni normative rientrano nelle specifiche disposizioni di settore fatte salve dall’art. 75 del Codice, che riassume le condizioni del trattamento dei dati personali per finalità di tutela della salute in ambito sanitario;

- il titolare del trattamento è, in ogni caso, tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di «integrità e riservatezza», secondo il quale i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. f) del Regolamento).

Ciò premesso, sulla base degli elementi in atti, con la predetta nota del XX, l’Ufficio ha reputato che l’Azienda, mediante l’inserimento dell’indirizzo dei 98 destinatari dell’e-mail -con la quale i pazienti affetti da HIV seguiti dall'ambulatorio di Malattie Infettive venivano invitati a compilare un questionario sul loro stato di salute- nel campo denominato “copia conoscenza” ha consentito, di fatto, a tutti i destinatari della predetta comunicazione di conoscere l’indirizzo di posta elettronica di altri soggetti, affetti da HIV, in cura presso il medesimo ambulatorio. Pertanto la stessa Azienda ha effettuato una comunicazione di dati relativi alla salute e, in particolare, di infezione da HIV, di 98 pazienti ad altrettanti pazienti, in assenza di un idoneo presupposto giuridico e, quindi, in violazione dei principi di base del trattamento di cui agli artt. 5 e 9 del Regolamento nonché dell’art. 75 del Codice.

Con nota del XX, l’Azienda ha fatto pervenire le proprie memorie difensive, con allegata documentazione, nelle quali, in particolare, è stato rappresentato che:

a) in relazione al fatto e all’evento contestati “giova rilevare che tra i 98 indirizzi di posta elettronica, oltre la metà (circa 50) sono indirizzi privi di riferimenti al nome e al cognome o comunque ad altri dati direttamente identificativi degli interessati. In ogni caso, nella predetta e-mail non erano contenuti ulteriori dati personali degli interessati, ad eccezione dell’informazione, desumibile dal contesto della comunicazione, che i destinatari erano “utenti dell’ambulatorio/clinica metabolica dell’AOU di Modena” e che erano “seguiti da un Medico Infettivologo””;

b) “la finalità del trattamento descritto al precedente paragrafo era quella di fornire assistenza e terapia sanitaria ai destinatari dell’e-mail in esame, nel rispetto dell’art. 9, 2° comma, lett. h) del Regolamento”; “il contesto di emergenza nazionale caratterizzato dalla nota pandemia da COVID-19, aveva imposto all’Azienda di adottare modalità di comunicazione con l’utenza, sostitutive delle visite periodiche normalmente praticate ai pazienti in esame, impreviste e imprevedibili al momento in cui si era definita la progettazione del trattamento. La progettazione del trattamento non prevedeva infatti l’invio di questionari via e-mail ai pazienti in esame. Nel caso di specie, infatti, nel contesto eccezionale e di inedita emergenza per il Paese, l’Azienda si trovava costretta a sospendere temporaneamente i programmati percorsi di cura e assistenza e il questionario trasmesso tramite l’e-mail allegata aveva lo scopo di individuare quei pazienti che, a causa della citata sospensione, presentavano situazioni di criticità. Attraverso il questionario, in particolare, l’Azienda si proponeva di calendarizzare le visite sulla base delle priorità cliniche dei pazienti, acquisendo le informazioni sullo stato di salute di questi ultimi in cura con modalità alternative rispetto a quelle ordinariamente previste di visita ambulatoriale, sottoponendo “a distanza” il questionario compilabile sul link contenuto nell’e-mail. La predetta e-mail era quindi trasmessa in via del tutto eccezionale, al di fuori delle procedure che l’Azienda si era data nella progettazione del trattamento dei dati personali, al solo fine di assolvere, durante l’emergenza COVID-19, agli - urgenti e non rinviabili - impegni di cura e assistenza sanitaria con modalità a distanza, in un contesto operativo stremato e notoriamente prossimo al collasso per molte Regioni italiane”;

c) “per quanto consta all’Azienda, la comunicazione in esame, dal tenore certamente generico, non cagionava alcun nocumento agli interessati. Ciò deve presumersi dalla circostanza che su 98 pazienti interessati dalla presunta violazione, a distanza di oltre due mesi dalla comunicazione agli interessati effettuata ai sensi dell’art. 34 del Regolamento, soltanto un paziente aveva presentato un reclamo telefonico all’Azienda alla data di presentazione dei presenti scritti difensivi”;

d) in relazione agli elementi soggettivi della condotta, nel periodo in contestazione, a causa dell’emergenza Covid19, “tutti gli uffici e i reparti (..) erano gravati da orari di lavoro estremi, ben oltre i consueti straordinari che possono talvolta richiedersi in situazioni temporalmente circoscritte. Ciò riguardava anche l’ufficio IT da cui era inviata l’e-mail, chiamato a supportare informaticamente la tempestiva riorganizzazione dei reparti ospedalieri e delle strutture territoriali per la migliore gestione dell’emergenza. (…), concludendo che “sebbene la presunta violazione tragga origine da un errore umano (l’inserimento degli indirizzi nella stringa sbagliata), il contesto di assoluta eccezionalità ed emergenza in cui l’Azienda stava operando esclude la sussistenza dell’elemento della colpa richiesta dalle norme di riferimento ai fini della punibilità della condotta e quindi dell’irrogazione di eventuali sanzioni. Lo stato di emergenza che in quei giorni caratterizzava l’ambiente lavorativo in modo assolutamente eccezionale, professionalmente nonché emotivamente estenuante e defatigante, induce ad argomentare che si possa ritenere operante l’esimente della forza maggiore. Quest’ultima non esaurendosi in un unico fatto od evento isolati, ma nel perdurare – costante e protratto nel tempo – dello stato di epidemia. Pur avendo adottato adeguati presidi di sicurezza di natura organizzativa e tecnica, l’Azienda non ha potuto evitare l’evento in esame, posto che l’imprevista necessità di affrontare l’epidemia aveva costretto il reparto interessato a individuare modalità di cura e assistenza sanitaria dei relativi pazienti alternative rispetto ai consueti e programmati strumenti di visita e controllo. Da tale imprevista necessità discendeva l’invio con modalità massiva (isolato ed eccezionale), del gruppo di e-mail contenente il link del questionario ai pazienti affetti dal virus dell’immunodeficienza umana, che proprio per la peculiarità della patologia, richiedevano una forma di assistenza e di controllo sanitari anche nel periodo emergenziale citato. (…). In tema di sanzioni amministrative, pur non essendo espressamente menzionati dalla legge 24 novembre 1981, n. 689, la giurisprudenza ritiene con orientamento consolidato che il caso fortuito e la forza maggiore debbano ritenersi implicitamente (Cass. Civ., sez. II, 29 aprile 2010, n. 10343) inclusi nella previsione dell’art. 3 della legge stessa ed escludono la responsabilità dell’agente, incidendo entrambi sulla colpevolezza e la forza maggiore sul nesso psichico. L’orientamento è condiviso dalla dottrina prevalente (…), secondo cui la causa di forza maggiore e il caso fortuito costituiscono “ipotesi legislativamente previste di circostanze anormali, che impediscono all’agente di conformare il proprio comportamento alla regola obiettiva di diligenza da osservare nel caso concreto”. Secondo detta dottrina caso fortuito e forza maggiore costituiscono quindi “circostanze scusanti legalmente tipizzate” che “incidono sulla stessa punibilità” (….). Le considerazioni sopra svolte inducono quindi a ritenere non punibile la condotta dell’Azienda nel contesto specifico, configurandosi un’esclusione di responsabilità del titolare di trattamento per forza maggiore”;

e) con riferimento alle misure adottate per attenuare gli effetti della violazione per gli interessati, “subito dopo la presunta violazione, l’Azienda inviava via e-mail a tutti gli interessati una comunicazione di scuse (…) in data XX, chiedendo ai singoli utenti (in modalità copia conoscenza nascosta) di cancellare la precedente e-mail”;

f) con riferimento alle misure tecniche e organizzative poste in essere dal Titolare in generale e a seguito della notifica di data breach: “tutta la strumentazione informatica in dotazione all’Azienda è protetta da adeguati sistemi antivirus e firewall, nonché da (..)” specifiche “misure di sicurezza tecniche (…). Anche il server di posta elettronica posto all’interno del data center dell’Azienda è dotato di antivirus, avvalendosi di un sistema di antispam denominato Trend Micro dotato di sandbox” (…); “in seguito al verificarsi della presunta violazione in esame, al fine di evitare che una distrazione umana possa determinare in futuro una possibile violazione dei dati, si è provveduto a inibire l’invio massivo di e-mail, come avvenuto in via eccezionale nel caso di specie. In particolare si è intervenuti sul software utilizzato, denominato LimeSurvey, in modo che, dato un elenco di indirizzi e-mail a cui destinare una medesima comunicazione, sia predisposta una singola e-mail per ciascun destinatario, eliminando di fatto la funzionalità di invio massivo della stessa e-mail a più destinatari, anche con modalità “copia conoscenza”. Il citato programma LimeSurvey si interfaccia infatti con il programma di posta elettronica Zimbra, al fine di trasmettere tante singole e-mail quanti sono i singoli destinatari della comunicazione, in modo che nessun destinatario possa visualizzare eventuali ulteriori indirizzi e-mail di terzi”.

L’Azienda, chiedeva, pertanto, che fosse accolta la richiesta di archiviazione o, in via subordinata, che la violazione contestata venga ascritta alla mera colpa lieve del titolare, con ogni conseguenza sulla commisurazione della sanzione, o, in ogni caso, che l’eventuale provvedimento dell’Autorità sia limitato a un contenuto meramente prescrittivo.

3. Esito dell’attività istruttoria.

Preso atto di quanto rappresentato dall’Azienda nelle memorie difensive, si osserva che:

- considerato che per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)” (art. 4, par. 1, n. 1 del Regolamento), gli indirizzi e-mail, come già evidenziato nella nota del XX, sono riconducibili alla nozione di dato personale; pertanto, anche se la metà degli indirizzi e-mail erano privi di riferimenti al nome e al cognome o comunque ad altri dati direttamente identificativi degli interessati, si tratta di informazioni personali, soggette, come le altre, all’applicazione della disciplina in materia di protezione dei dati personali;

- la circostanza che dal contesto della comunicazione poteva desumersi che i destinatari della stessa erano “utenti dell’ambulatorio/clinica metabolica dell’AOU di Modena” e che erano “seguiti da un Medico Infettivologo”, comporta che il trattamento, rispetto al quale è stata effettuata al Garante la notifica di violazione dei dati, ha avuto ad oggetto informazioni relative alla salute, visto che, per tale categoria di dati, si intendono “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, n. 15 del Regolamento);

- per quanto attiene alla richiesta di valutare l’esclusione dell’elemento soggettivo, motivata sul presupposto del ricorrere di una circostanza di forza maggiore concretizzantesi “nel perdurare – costante e protratto nel tempo – dello stato di epidemia”, si fa presente che, affinché possa essere riconosciuta la ricorrenza della fattispecie della forza maggiore, è necessario, secondo l’orientamento della giurisprudenza, che la realizzazione dell’evento stesso, ovvero la consumazione della condotta antigiuridica, sia “dovuta all’assoluta ed incolpevole impossibilità dell’agente di uniformarsi al comando giuridico (..) La forza maggiore esclude come è noto la suitas della condotta, costituendo la ragione per la quale l'uomo “non agit sed agitur” (Cass., Sez. VII, 8 marzo 2019, n.14789). Secondo la costante giurisprudenza di legittimità la forza maggiore rileva come causa esclusiva dell'evento, non invece quale causa concorrente di esso (Cass., Sez. IV, 23 novembre 1982, n. 1492).(…) La forza maggiore, infatti, postula la verificazione di un fatto imprevisto ed imprevedibile, tale da rendere ineluttabile il verificarsi dell'evento e il quale non possa essere ricollegato in alcun modo ad un'azione od omissione cosciente e volontaria dell’agente” (cfr., da ultimo, Cass. Penale, Sez. 3, n. 15218/2020). Nel caso in esame, l’eccezionalità delle circostanze derivanti dall’emergenza sanitaria che ha reso, com’è noto, sia dal punto di vista professionale che emotivo, estenuante lo svolgimento dell’attività lavorativa, se giustificano, come descritto, la necessità di ricorrere ad una diversa modalità di cura, rispetto ai consueti e programmati strumenti di visita e controllo -che, secondo l’Azienda, ha determinato un “invio con modalità massiva (isolato ed eccezionale), del gruppo di e-mail contenente il link del questionario ai pazienti affetti dal virus dell’immunodeficienza umana, che proprio per la peculiarità della patologia, richiedevano una forma di assistenza e di controllo sanitari anche nel periodo emergenziale”- non consente di ritenere che si sia verificato un evento tale da impedire in modo oggettivo non tanto il citato invio con modalità massiva della comunicazione avente ad oggetto il questionario, quanto l’inserimento dell’indirizzo di tutti i destinatari dell’email nel campo denominato “copia conoscenza”, in luogo del campo “copia conoscenza nascosta” (Cfr. sul punto, anche la FAQ n. 2 sul “Trattamento dati nel contesto sanitario nell’ambito dell’emergenza sanitaria”, consultabile in www.gpdt.it, doc. web n. 9293264, nella quale è evidenziato che, nel caso in cui l’azienda sanitaria utilizzi la posta elettronica per comunicare contemporaneamente a tutti i soggetti le disposizioni che sono tenuti a osservare, ad esempio, durante il periodo di quarantena, dovrà avere cura di inserire l’indirizzo dei destinatari dell’e-mail nel campo denominato “copia conoscenza nascosta” (ccn), al fine di evitare che tutti i destinatari della predetta comunicazione vengano a conoscenza dell’indirizzo e-mail degli altri soggetti).

Pertanto, premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice (“Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”), all’esito dell’esame della documentazione acquisita nonché delle dichiarazioni rese all’Autorità nel corso del procedimento, e alla luce delle valutazioni sopra richiamate, gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni si rileva l’illiceità del trattamento di dati personali effettuato dall’Azienda Ospedaliero-Universitaria di Modena, per aver effettuato una comunicazione di dati relativi alla salute e, in particolare, di infezione da HIV, di 97 pazienti ad altrettanti pazienti, in assenza di un idoneo presupposto giuridico e, quindi, in violazione dei principi di base del trattamento di cui agli artt. 5 e 9 del Regolamento nonché dell’art. 75 del Codice, che riassume le condizioni del trattamento dei dati personali per finalità di tutela della salute in ambito sanitario, richiamando le specifiche disposizioni di settore. Tra queste, nel caso specifico, si evidenzia l’obbligo, da un canto, di comunicare i risultati di accertamenti diagnostici diretti o indiretti per l’infezione da HIV alla sola persona cui tali esami si riferiscono, dall’altro, l’obbligo, a carico dell’operatore sanitario e di ogni altro soggetto che venga a conoscenza di un caso di AIDS ovvero di infezione di HIV, di adottare ogni misura o accorgimento per la tutela dei diritti della persona e della sua dignità (art. 5, comma 4 e art. 1, comma 2, legge 5 giugno 1990, n. 135).

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

4. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione dell’art. 5, par. 1, lett. f) e 9 del Regolamento nonché dell’art. 75 del Codice, causata dalla condotta posta in essere dall’Azienda Ospedaliero-Universitaria di Modena, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, lett. a) (cfr. art. 166, comma 2 del Codice).

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 85, par. 2 e, del Regolamento, in relazione ai quali si osserva che:

- il trattamento dei dati effettuato ha riguardato informazioni, idonee a rilevare lo stato di salute, in particolare, relative all’infezione da HIV, per le quali il legislatore ha previsto una tutela rafforzata; i soggetti coinvolti sono 98 (art. 4, par. 1, n. 15 del Regolamento e art. 83, par. 2, lett. a) e g) del Regolamento);

- pur considerando l’esiguità dei reclami presentati all’Azienda, al momento della presentazione degli scritti difensivi, da parte dei soggetti i cui dati sono stati oggetto di comunicazione (un solo caso), non è possibile escludere che gli stessi possano aver subito, o subiscano in futuro, conseguenze pregiudizievoli per l’effetto della condotta dell’Azienda, soprattutto in considerazione del fatto che si tratta di soggetti vulnerabili in quanto sono state comunicate informazioni relative al loro stato di salute e, in particolare, riguardanti l’infezione da HIV (art. 83, par. 2, lett. a) del Regolamento);

- l’Azienda ha collaborato prontamente con l’Autorità, nel corso dell’istruttoria e, nello scusarsi con gli interessati per l’accaduto, ha chiesto agli stessi di non divulgare gli altri indirizzi di posta elettronica e di cancellare la mail ricevuta (art. 83, par. 2, lett. c) e f) del Regolamento);

- è stata la stessa Azienda sanitaria a comunicare al Garante la citata comunicazione di dati personali, mediante la notifica di violazione di dati personali (art. 83, par. 2, lett. h), del Regolamento);

- l’Azienda ha adottato delle misure organizzative volte a evitare la ripetizione della condotta illecita, inibendo l’invio massivo di mail e prevedendo l’utilizzo di un software che, da un elenco di indirizzi e-mail a cui destinare una medesima comunicazione, predisponga una singola e-mail per ciascun destinatario (art. 83, par. 2, lett. c), del Regolamento);

- la violazione ha carattere colposo e la condotta è maturata nell’ambito del peculiare contesto lavorativo caratterizzato da forte stress e stanchezza degli operatori dovute al perdurante contesto emergenziale derivante dall’epidemia da Covid-19, che ha interessato fortemente l’Azienda interessata (art. 83, par. 2, lett. b) e k)).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, nella misura di euro 20.000 (ventimila) per la violazione degli artt. 5, par. 1, lett. f) e 9, del Regolamento e dell’art. 75 del Codice che fa salve le specifiche disposizioni di settore, tra le quali la legge n. 135/1990 (recante “Piano degli interventi urgenti in materia di prevenzione e lotta all’AIDS”), quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1 e 3, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della potenziale numerosità dei soggetti interessati e della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dall’Azienda Ospedaliero-Universitaria di Modena, per la violazione degli artt. 5, par. 1, lett. f) e 9 del Regolamento e dell’art. 75 del Codice nei termini di cui in motivazione.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, all’Azienda Ospedaliero-Universitaria di Modena, con sede legale in Modena, Via del Pozzo 71 – P.IVA: 02241740360, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 20.000,00 (ventimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento.

Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.

INGIUNGE

alla predetta Azienda, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 20.000,00 (ventimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 16 settembre 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL VICE SEGRETARIO GENERALE
Filippi