g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Azienda Ospedale-Università Padova - 11 gennaio 2023 [9861356]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9861356]

Ordinanza ingiunzione nei confronti di Azienda Ospedale-Università Padova -  11 gennaio 2023

Registro dei provvedimenti
n. 7 dell'11 gennaio 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante il “Codice in materia di protezione dei dati personali”, contenente disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito il “Codice”);

VISTO il d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore l’avv. Guido Scorza;

PREMESSO

1. La violazione dei dati personali 

L’Azienda Ospedale-Università Padova (di seguito “Azienda”), in data XX, ha notificato all’Autorità, in via preliminare, una violazione di dati personali, ai sensi dell’art. 33 del Regolamento, rappresentando, in particolare, che “nell'ambito delle acquisizioni dei consensi informati per l’adesione ad uno studio clinico (UOC Cardiochirurgia) è stata inviata accidentalmente una mail (…) a pazienti coinvolti nello studio clinico in cui l'indirizzario degli stessi è stato inviato non in ccn (copia nascosta) ma cc (copia conoscenza) rendendo così conoscibile involontariamente l'indirizzo mail di tutti i pazienti in attesa di trapianto cardiaco e che, in fase istruttoria, hanno dato il proprio assenso al trattamento dei propri dati personali”.

In relazione a tale evento è stato, altresì, dichiarato che i soggetti coinvolti nella violazione sono 19 e che “esiste un aggiornato Regolamento per l’utilizzo degli strumenti informatici, posta elettronica e internet dell’Azienda Ospedale-Università Padova adottato con delibera n. XX del XX, comunicata a tutti i direttori di UOC e UOSD e trasmessa alla mail di tutto il personale. Con precedente delibera n. 262 del 7/3/2019 sono state adottate, tra l’altro, le istruzioni operative che i Delegati Privacy debbono impartire al personale della struttura di propria competenza. Sono stati effettuati, nel tempo e tutt’oggi, corsi di formazione a tutto il personale”.

Per porre rimedio alla violazione e ridurne gli effetti negativi per gli interessati è stata effettuata una “comunicazione al DPO aziendale e dato istruzioni al Direttore della UOC Cardiochirurgia di informare via mail ogni singolo interessato dell’errore avvenuto, raccomandando di cancellare la mail trasmessa in precedenza con l’indirizzario in chiaro e di non utilizzare detti indirizzi mail”.

In relazione alle misure tecniche e organizzative di cui si propone l’adozione per prevenire simili violazioni future, è stato rappresentata l’intenzione di “incaricare il Direttore della UOC interessata, in qualità di delegato privacy, di sensibilizzare il personale circa l’attenzione nel porre prima di inviare comunicazioni a più pazienti interessati (secondo quanto già previsto nelle istruzioni operative sopra citate)”.

Con successiva comunicazione del XX, nell’integrare la citata notifica, effettuata in data XX, l’Azienda ha confermato quanto già dichiarato, evidenziando che la gravità del potenziale impatto per gli interessati è media, considerato che “il dato sanitario (in attesa di trapianto cardiaco) è isolato e comune a tutti gli interessati” e “non è corredato da alcun altro dato sensibile”.

2. L’attività istruttoria

In ordine alla fattispecie descritta l’Ufficio, sulla base di quanto rappresentato dall’Azienda  nell’atto di notifica di violazione (preliminare e integrativa), nonché delle successive valutazioni, ha notificato al predetto titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio di un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitandolo a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981). In particolare, con atto n. XX del XX, l’Autorità ha ritenuto che l’Azienda ha effettuato una comunicazione di dati relativi alla salute in assenza di un idoneo presupposto giuridico, in violazione dei principi di base del trattamento di cui agli artt. 5, 6 e 9 del Regolamento e dell’art. 2-ter del Codice.

L’Azienda, quindi, con nota del XX, ritrasmessa il XX, ha fatto pervenire le proprie memorie difensive, ai sensi dell’art. 166, comma 6, del Codice, nelle quali, dopo aver illustrato la struttura e le caratteristiche specifiche della stessa, ha dichiarato che:

- “il personale dell’AOUP che, negli ultimi due anni, a causa della pandemia, ha visto un notevole turnover tra tutti i ruoli e profili oltre che, nell’ultimo periodo, un numero consistente di sospesi dal servizio (sia sanitari sia amministrativi) per rifiuto a vaccinarsi, è composto da dipendenti ospedalieri (estrazione al XX pari n. XX) e da personale universitario che opera in regime di convenzione (estrazione al XX pari n. XX). A questi si aggiungono, poi, tutte le persone fisiche che a vario titolo prestano, anche temporaneamente, la loro attività all’interno delle varie strutture dell’Azienda Ospedale – Università di Padova (specialisti ambulatoriali interni, titolari di incarichi libero professionali, di borse di studio, di collaborazioni occasionali, di co.co.co, di contratto di prestazione d’opera, frequentatori, tirocinanti, frequenze extra rete, volontari)”;

- “su 19 indirizzi (…) solo 7 sono riconoscibili, mentre gli altri dodici non sono immediatamente riconducibili al titolare dell'account. Inoltre, la seria motivazione clinica sottostante, comune a tutti gli interessati, nonché il loro estremo interesse ad accedere ad ogni terapia che possa portare un giovamento alle loro condizioni di salute, potrebbe spiegare come nessuno sinora abbia lamentato un disservizio, seppur dovuto ad un errore”;

- “senza dubbio la violazione ha avuto carattere colposo, causato, come meglio indicato in seguito, solamente dalla distrazione dell’operatrice non abitualmente addetta a tale attività. L’autrice della violazione non ha sicuramente tratto beneficio per sé o per altri dalla violazione stessa e, come è stato verificato il 24/02 u.s. dal Direttore della UOC Cardiochirurgia, non risultano al momento essere pervenute lamentele e/o segnalazioni da parte degli interessati successive alla notifica all’Autorità”;

- “il giorno XX il Direttore della UOC Cardiochirurgia (Delegato Privacy) ha inviato, a tutti gli interessati una @mail singola, dal testo “...La informiamo che per mero errore, del tutto involontario, gli indirizzi email dei destinatari della comunicazione sono stati indicati in chiaro anziché in ccn (in modalità nascosta). Ci scusiamo per l’accaduto e le chiediamo, cortesemente, di cancellare la mail trasmessa in precedenza con gli indirizzi in chiaro e di non utilizzare detti indirizzi mail, poiché illecito”;

- “l’AOUP con nota a firma del Direttore Generale, nell’ambito di un processo di continua informazione e sensibilizzazione del personale, ha adottato le seguenti misure:

Regolamento aziendale per l’utilizzo degli strumenti informatici, posta elettronica e internet (deliberazione n.XX …);

ampia comunicazione, a tutto il Personale, in merito al rispetto delle disposizioni contenute nel succitato Regolamento (…);

Corso formativo (nov/dic. XX), anche finalizzato ad illustrare, ulteriormente, il Regolamento soprarichiamato con particolare riferimento all’utilizzo della mail aziendale e dei dispositivi mobili, tenuto dal DPO, e indirizzato ai Direttori di UOC/UOSD, ai coordinatori e alle segreterie;

Invio circolare, a tutto il personale, in data XX ad oggetto: invito al rispetto dell’utilizzo degli strumenti informatici come da Regolamento Aziendale adottato con DDG n. XX (…);

invio, in data XX a tutto il Personale di un’ulteriore circolare ad oggetto “Nuova raccomandazione al rispetto delle corrette modalità di utilizzo degli strumenti informatici, come da Regolamento aziendale adottato con DDG XX”;

invio, in data XX, di ulteriore comunicazione a tutto il Personale ad oggetto: «Rispetto delle corrette modalità di utilizzo degli account di posta elettronica»”;

- “a fronte della violazione occorsa ed oggetto della notifica all’Autorità, il Titolare ha ritenuto necessario trasmettere, sempre a tutto il Personale, in data XX, un’ulteriore e più specifica comunicazione contenente «indicazioni operative relative a invio di mail a soggetti diversi dal destinatario e disclaimer»”;

- “l’Azienda Ospedale-Università Padova, consapevole non solo dell’obbligo normativo ma anche e soprattutto dell’importanza che la formazione in materia di Protezione dei Dati Personali svolge per accrescere la consapevolezza degli operatori dei rischi legati al trattamento dei dati, pianifica annualmente con deliberazione del Direttore Generale la formazione da erogare al Personale operante in Azienda. Negli ultimi due anni la formazione si è svolta, per le note motivazioni legate alla pandemia da COVID 19, via FAD (consentendo, tra l’altro, di raggiungere in poco tempo il maggior numero possibile di persone) o via meet. La formazione è consistita, inizialmente, in un corso base obbligatorio (…) per far conoscere i principi, gli adempimenti e le responsabilità dettati dalla nuova normativa (tutt’ora in corso) e, poi, più specifica e sempre obbligatoria (…) anche con l’ausilio del DPO, volta ad illustrare la documentazione prodotta dal Titolare in materia di Protezione dei Dati Personali. Per il XX si sta programmando la formazione indirizzata a specifici settori”;

- “è stato, altresì, tenuto, in data XX, dal DPO, in presenza, un corso specifico nel quale è stato ulteriormente trattato il tema delle tecnologie, rivolto agli operatori della UOS Sistemi Informativi aziendale ad oggetto: “Sicurezza Informatica e Data Protection nell’Azienda Ospedale –Università Padova”. Al corso hanno partecipato n. 12 persone tra le quali anche coloro che all’interno della UOS sovraintendono la gestione delle mail”;

- “l’Azienda si dichiara sin d’ora disponibile a cooperare con codesta Autorità per l’adozione di eventuali ulteriori misure da porre in essere per porre rimedio alla violazione e prevenire in futuro, se possibile, il ripetersi di circostanze analoghe (…). L’Azienda è altresì disponibile a cooperare con l’Autorità per attenuare i possibili effetti negativi derivanti dalla violazione, laddove ne ravvisi, di fatto, l’esistenza”;

- “per mero errore, sono state inviate in chiaro, agli interessati, delle mail (alcune peraltro spedite ad indirizzi da cui appare impossibile ricavare nome e cognome del destinatario), ciò che ha fatto sì che ogni paziente sia venuto a conoscenza che anche altri pazienti nella sua stessa situazione di salute (in attesa di trapianto di cuore) erano potenziali arruolati allo studio Multicentrico NIHP 2019. Infatti, la mail richiedeva l’eventuale adesione a tale progetto con la restituzione della documentazione (modelli da compilare e sottoscrivere per l’adesione allo studio) allegata alla stessa mail”;

- “la procedura oggetto della violazione è da ritenersi assolutamente temporanea, adottata dall’Azienda in pieno periodo pandemico per evitare l’accesso dei pazienti alla struttura ospedaliera. La Procedura, infatti, prevede solitamente la consegna brevi manu della documentazione ai pazienti”;

- “la pandemia da COVID-19 ha influito negativamente sotto questi aspetti fondamentali:

1. la persona che (…) solitamente si occupa della materia specifica era assente (…); l’attività è stata, dunque, necessariamente presa in carico da una collega, come incombenza per lei non usuale ed aggiuntiva rispetto alle proprie competenze;

2. il riguardo che in fase pandemica si deve avere, soprattutto per i pazienti più fragili, ha costretto i medici a spedire via @mail il testo della documentazione relativa allo studio per risparmiare loro un accesso in ambiente ospedaliero ed un colloquio di persona;

3. Recrudescenza della pandemia; 

4. Assenza del Personale per malattia, a vario titolo, al XX: totale n. 322

5. Sospensione del Personale, al XX, in quanto inadempiente all’obbligo vaccinale: totale n. 201”.

Le dichiarazioni rese sono state confermate trasmettendo copiosa documentazione.
In data XX si è svolta l’audizione richiesta dalla Azienda. In tale circostanza è stato sostanzialmente ribadito quanto già dichiarato nelle memorie difensive, precisando che:

- “l’Azienda ha profuso un forte impegno nella formazione del personale, come documentato all’Allegato 31 della comunicazione aziendale; inoltre, alla fine del XX ha svolto un programma formativo specificatamente indirizzato ai Direttori UOC e Coordinatori professioni sanitarie, specificatamente finalizzato alla conoscenza delle policy privacy aziendali in materia di protezione dei dati personali; inoltre, a breve, avrà inizio un corso di formazione destinato a tutto il personale neoassunto e una ulteriore attività formativa estesa a tutto il personale in servizio relativa all’uso degli strumenti telematici nella comunicazione con il paziente; entrambe le attività formative sono state progettate in accordo con il DPO aziendale”;

- “l’Azienda, altresì, sottolinea che l’incidente può essere imputato alla sostituzione della operatrice normalmente addetta a tale attività, assente dal servizio, i cui compiti sono stati assegnati, quindi, per motivi di urgenza, ad una operatrice normalmente non addetta a tale funzione (….)”;

- “nel caso specifico la comunicazione via mail si rendeva necessaria, essendo i destinatari della stessa dei pazienti fragili e, dunque, senz’altro, inopportuna la convocazione degli stessi in presenza; a questo proposito si fa presente che, rispetto ai 19 destinatari del messaggio, soltanto 7 risultavano in qualche modo identificabili dall’indirizzo di posta elettronica, essendo gli altri indirizzi composti da nickname non riconducibili ad un dato anagrafico”;

- “si sottolinea, infine, l’impegno dell’Azienda nell’implementazione di tutte le misure tecnologicamente disponibili per garantire la sicurezza delle comunicazioni a tutela della riservatezza dei dati degli interessati”.

L’Azienda ha, quindi, chiesto di procedere all’archiviazione del procedimento amministrativo e, in subordine, l’applicazione di una sanzione nella minore entità possibile o di un provvedimento di ammonimento.

3. Esito dell’attività istruttoria

Preso atto di quanto rappresentato e documentato dall’Azienda nel corso del procedimento con gli atti di notifica di violazione, con le relative memorie difensive e nel corso dell’audizione, si osserva che:

per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)” e per “dati relativi alla salute” “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, nn. 1 e 15 del Regolamento). Questi ultimi dati meritano una maggiore protezione dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali (Cons. n. 51 del Regolamento);

con particolare riferimento alla vicenda in esame, le informazioni sullo stato di salute possono essere comunicate soltanto all’interessato e possono essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico (art. 9 Regolamento e art. 84 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101);

il titolare del trattamento è, in ogni caso, tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di «integrità e riservatezza», secondo il quale i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. f) del Regolamento).

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dall’Azienda nel corso dell’istruttoria e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive sopra richiamate, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento del XX, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del regolamento del Garante n. 1/2019.

In particolare, le argomentazioni addotte dall’Azienda non sono idonee ad accogliere la richiesta di archiviazione. Infatti, in considerazione della definizione di dato personale sopra richiamata, gli indirizzi e-mail, sono riconducibili alla nozione di dato personale (v. Provv.ti del Garante del 25 giugno 2002, doc. web n. 29864 e 24 giugno 2003, doc. web n. 1132562, consultabili in www.gpdp.it). Si rileva, in particolare, che anche gli indirizzi e-mail privi di riferimenti al nome e al cognome o comunque ad altre informazioni direttamente identificative degli interessati, costituiscono dati personali, soggetti, pertanto, all’applicazione della specifica disciplina. Inoltre, la circostanza che, dal contesto della comunicazione poteva desumersi che i destinatari della mail, trasmessa dalla UOC Cardiochirurgia, erano pazienti in attesa di trapianto di cuore -ai quali si richiedeva l’eventuale adesione ad uno specifico studio clinico attraverso la restituzione della documentazione (modelli da compilare e sottoscrivere per l’adesione allo studio) allegata alla stessa mail- comporta che il trattamento in questione, oggetto della notifica di violazione, ha avuto ad oggetto dati sanitari, in quanto concernenti informazioni relative a prestazioni di assistenza sanitaria, che rivelano informazioni sullo stato di salute (art. 4, par. 1, n. 15 del Regolamento).

Pertanto, l’invio della citata comunicazione mediante un unico messaggio di posta elettronica indirizzato a un numero plurimo di destinatari, i cui indirizzi sono stati inseriti in chiaro nel campo copia conoscenza (c.c.), ha, di fatto, senza giustificato motivo e in assenza di presupposto giuridico, rivelato reciprocamente, ai destinatari della medesima comunicazione, lo stato di salute degli altri pazienti.

Per tali ragioni si confermano le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Azienda, per aver comunicato dati personali e relativi alla salute degli interessati (cui afferiscono gli indirizzi email), destinatari della comunicazione volta ad acquisire i consensi informati per l’eventuale adesione ad uno specifico studio clinico, in violazione dei principi base di cui agli artt. 5, par. 1, lett. f), e 9 del Regolamento.

La violazione delle predette disposizioni rende applicabile, ai sensi dell’art. 58, par. 2, lett. i), la sanzione amministrativa prevista dall’art. 83, par. 5 del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice.

In tale quadro, considerato, in ogni caso, che la condotta ha esaurito i suoi effetti e considerato che l’Azienda ha dichiarato di aver chiesto ai destinatari della mail, di cancellare e di non utilizzare gli indirizzi e-mail degli altri pazienti e di aver adottato ulteriori misure ritenute necessarie per scongiurare futuri analoghi accadimenti, non ricorrono i presupposti per l’adozione di provvedimenti, di tipo prescrittivo o inibitorio, di cui all’art. 58, par. 2, del Regolamento.

4. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice). 

La violazione degli artt. 5, par. 1, lett. f), e 9 del Regolamento, causata dalla condotta posta in essere dall’Azienda, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, del Regolamento.

Si consideri che il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2, del Regolamento in relazione ai quali, per il caso in esame, si osserva che:

l’Autorità ha preso conoscenza dell’evento a seguito della notifica di violazione dei dati personali effettuata dal titolare e non sono pervenuti reclami o segnalazioni al Garante su quanto accaduto (art. 83, par. 2, lett. h) e k) del Regolamento);

i dati personali interessati dalla violazione rientrano nella categoria particolare delle informazioni relative alla salute (art. 83, par. 2, lett. g) del Regolamento);

gli interessati sono 19 (art. 83, par. 2, lett. a) del Regolamento);

in relazione all’elemento soggettivo, non è stato manifestato alcun atteggiamento intenzionale da parte del titolare del trattamento, essendo la violazione avvenuta per errore nella fase di inserimento dei destinatari nello specifico campo della mail da parte di una dipendente non addetta a tale attività, che, per ragioni organizzative, è stata chiamata a sostituire una collega (art. 83, par. 2, lett. b) e k) del Regolamento);

l’Azienda ha preso in carico la problematica indicando misure volte ad attenuare il danno subito dagli interessati e a ridurre la replicabilità degli stessi eventi occorsi (art. 83, par. 2, lett. c) del Regolamento);

il titolare ha dimostrato un elevato grado di cooperazione con l’Autorità al fine di porre rimedio alle violazioni e attenuarne i possibili effetti negativi (art. 83, par. 2, lett. f) del Regolamento);

il fatto si è verificato nell’ambito di una procedura temporanea, adottata come iniziativa assunta dall’Azienda nel periodo pandemico, volta a evitare, per la consegna della documentazione, la convocazione in presenza dei pazienti fragili, destinatari della mail, inopportuna a causa dei rischi per la salute determinati dall’emergenza pandemica da Covid-19 (art. 83, par. 2, lett. k) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, del Regolamento, nella misura di euro 5.000,00 (cinquemila) per la violazione degli artt. 5, par. 1, lett. f) e 9 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che, debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati all’Autorità.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dall’Azienda Ospedale-Università Padova, per la violazione degli artt. 5, par. 1, lett. f) e 9 del Regolamento, nei termini di cui in motivazione.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, alla dall’Azienda Ospedale-Università Padova, con Sede legale in Via Giustiniani, 2 - 35128 Padova,  C.F.: 00349040287, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 5.000,00 (cinquemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla predetta Azienda, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 5.000,00 (cinquemila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.


DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso giurisdizionale dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 11 gennaio 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei