g-docweb-display Portlet

Provvedimento del 14 settembre 2023 [9940474]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9940474]

Provvedimento del 14 settembre 2023

Registro dei provvedimenti
n. 401 del 14 settembre 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante il “Codice in materia di protezione dei dati personali, contenente disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Il reclamo e l’attività istruttoria

Con reclamo presentato a questa Autorità, il sig. XX ha lamentato alcuni fatti occorsi nell’esercizio dell’attività medica svolta dal dott. XX, nato a XX il XX – C.F. XX, tali da far presumere una eventuale violazione della disciplina in materia di protezione dei dati personali da parte di quest’ultimo.

In relazione a quanto rappresentato nel reclamo, con nota del XX (prot. n. XX) - inviata, a mezzo PEC, all’indirizzo XX – l’Ufficio ha chiesto al dott. XX, ai sensi dell’art. 157 del Codice, di fornire, entro il termine di 30 gg. dalla ricezione della nota stessa, ogni informazione utile alla valutazione del caso.

Decorsi 30 giorni dalla notifica della citata nota, effettuata dall’Ufficio una verifica presso il servizio amministrativo che gestisce il protocollo dell’Autorità, è risultato che il dott. XX non ha fornito riscontro alla richiesta di informazioni formulata dall’Autorità ai sensi dell’art. 157 del Codice, sebbene la citata nota di richiesta risultasse consegnata all’indirizzo PEC sopra indicato.

2. Valutazioni del Dipartimento e notifica della violazione di cui all’art. 166, comma 5, del Codice

Sulla base degli elementi in atti e delle relative valutazioni, l’Ufficio, a fronte della risultanza per la quale il dott. XX non ha ottemperato all’invito di fornire gli elementi richiesti ai sensi dell’art. 157 del Codice, essendo decorso infruttuosamente il termine previsto, con atto del XX (prot. n. XX), ha notificato al medesimo medico la violazione di cui all’art. 166, comma 5, Codice e dell’art. 58, par. 1, lett. d), del Regolamento.

Con il medesimo atto è stato evidenziato che è facoltà del titolare del trattamento richiedere di essere ascoltato dall’Autorità o presentare memorie difensive ai sensi dell’art. 166, comma 6, del Codice, nonché dell’art. 18, comma 1, dalla legge n. 689 del 24/11/1981. 

Oltre a ciò, l’Ufficio, considerato il mancato riscontro alla richiesta di informazioni ai sensi dell’art. 157 del Codice, ha reiterato, con separata nota del XX (prot. n. XX), la richiesta inviata con la citata nota del XX evidenziando che, in caso di persistente inottemperanza, tale comportamento omissivo sarebbe stato valutato ai fini della quantificazione della sanzione.

Il dott. XX, per il tramite del proprio avvocato, con nota del XX, ha presentato una memoria difensiva e fornito, altresì, riscontro alla richiesta di informazioni formulata dall’Autorità, ai sensi dell’art. 157 del Codice.

In tale nota è stato rappresentato, fra altro, che:

- “il Professore manifesta il proprio rammarico per non aver tempestivamente riscontrato la prima comunicazione inoltrata dal Garante per la Protezione dei Dati Personali per non averne avuto concreta conoscenza, omettendo di prendere tempestiva visione delle comunicazioni ricevute via pec. Invero, anche per appartenere a una generazione che ha dovuto nel tempo cercare di adeguarsi all’uso degli strumenti informatici, l’esponente è solito consultare solo sporadicamente la suindicata casella pec e la presente vicenda sarà motivo per cambiare le proprie abitudini. Infatti, il Prof. XX solo casualmente ed in tempi recenti ha preso visione, in via simultanea, delle due distinte comunicazioni provenienti da Codesta Autorità e mai avendo avuto intenzione di omettere alcunché, intende fornire tutte le informazioni necessarie e mostrare piena disponibilità per chiarire in via esaustiva la propria posizione, non avendo alcuna intenzione di sottrarsi ai propri obblighi compresi quelli derivanti dalla disciplina contenuta nel GDPR e nel D.Lgs.196/03”;

Il summenzionato medico, ha, altresì, chiesto di essere ascoltato dall’Autorità ai sensi dell’art. 166, comma 6, del Codice, nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981 e, nel corso dell’Audizione, svoltasi in data XX, alla presenza del legale del titolare del trattamento, è stato evidenziato quanto segue:

- “con riferimento al mancato riscontro alla richiesta di informazioni, ai sensi dell’art. 157 del Codice, non vi è stata alcuna intenzionalità, dipendendo tale omissione dal mancato accesso, per un certo periodo, alla casella PEC dovuto alla scarsa praticità della parte nell’utilizzo degli strumenti informatici, nonché, trattandosi di casella PEC dell’Ordine dei Medici di Genova, dalla circostanza di essere in pensione da circa 4 anni. In considerazione di quest’ultima circostanza, non avendo, peraltro, adempimenti o specifiche necessità periodiche di accedere alla stessa, la parte non riteneva di dover frequentemente consultare detta casella. Pertanto, gli accessi erano sempre saltuari e, nel caso specifico, non avvenivano da circa due/tre mesi e non appena avuta conoscenza del procedimento prendendo visione di entrambe le PEC, la parte si è immediatamente attivata”.

4. Conclusioni

Sulla base degli atti e delle dichiarazioni rese nel corso dell’istruttoria - tenuto conto che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice (“Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”) - l’Ufficio, ritenuto di definire l’istruttoria - con le note prot. n. XX e prot. n. XX del XX, indirizzate rispettivamente al reclamante e al dott. XX -  con riguardo ai profili di merito lamentati nel reclamo per insussistenza di elementi costitutivi dell’illecito rilevante in materia di protezione dei dati personali, ritiene, invece, che le argomentazioni prodotte dal dott. XX con riguardo al mancato riscontro alla richiesta di informazioni formulata dall’Autorità, ai sensi dell’art. 157 del Codice, risultano inidonee a consentire l’archiviazione del presente procedimento.

In base al richiamato articolo 157 del Codice “Nell'ambito dei poteri di cui all'articolo 58 del Regolamento, e per l'espletamento dei propri compiti, il Garante può richiedere al titolare, […] di fornire informazioni e di esibire documenti”. L’art. 166, comma 2, del Codice stabilisce che la violazione dell’art. 157 del Codice è soggetta alla sanzione amministrativa di cui all’art.83, par. 5, del Regolamento. Il fatto che il dott. XX consultasse sporadicamente, per le ragioni dal medesimo rappresentate, la propria casella di posta elettronica certificata, non esclude la responsabilità per l’omesso riscontro all’Autorità. Pertanto, risulta accertata tale omissione avvenuta in violazione dell’art. 157 del Codice in relazione a quanto previsto dall’art. 166, comma 2, del medesimo Codice, in quanto il dott. XX ha omesso di fornire riscontro alla richiesta di informazioni rivolta a quest’ultimo dall’Autorità, ai sensi dell’art. 157 del Codice (nota del XX, prot. n. XX), fornendo riscontro solamente in data XX, a seguito della reiterata richiesta formulata con nota del XX (prot. n. XX).

Tutto quanto sopra premesso, tenuto conto che:

- si è trattato di un caso isolato e, come evidenziato nel corso dell’audizione del XX, senza “alcuna intenzionalità”;

- il procedimento istruttorio riguardante le doglianze prospettate dal reclamante è stato definito mediante archiviazione della trattazione (note prot. n. XX e prot. n. XX del XX indirizzate rispettivamente al reclamante e al dott. XX) per insussistenza di elementi atti a configurare un’ipotesi di violazione nel merito della questione;

- non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento;

- il medico sopra citato ha dimostrato di cooperare con l’Autorità;

- “trattandosi di casella PEC dell’Ordine dei Medici di Genova”, il dott. XX ha evidenziato che la consultazione non frequente di tale casella è legata alla “circostanza di essere in pensione da circa 4 anni”;

le circostanze del caso concreto inducono a qualificare tale caso come “violazione minore”, ai sensi del cons. 148 del Regolamento e delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017, WP 253 e fatte proprie dal Comitato europeo per la protezione dei dati con l’”Endorsement 1/2018” del 25 maggio 2018.

Si ritiene, pertanto, relativamente al caso in esame e per i motivi sopra rappresentati, che sia sufficiente ammonire il titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), del Regolamento, per avere violato l’art. 157 del Codice in ragione della mancata risposta alla richiesta di informazioni dell’Autorità formulata - ai sensi del medesimo art. 157 del Codice - con nota del XX (prot. n. XX), fornendo riscontro solamente in data XX, a seguito della reiterata richiesta dell’Ufficio del Garante comunicata con nota del XX (prot. n.XX).

Considerato che la condotta ha esaurito i suoi effetti non ricorrono i presupposti per l’adozione di misure correttive di cui all’art. 58, par. 2, del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

a) dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità della condotta del dott. XX per non avere risposta alla richiesta di informazioni dell’Autorità formulata ai sensi dell’art. 157 del Codice;

b) ai sensi dell’art. 58, par. 2, lett. b), del Regolamento, ammonisce il dott. XX per aver violato l’art. 157 del Codice, nei termini di cui in motivazione;

c) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma,14 settembre 2023

IL VICEPRESIDENTE
Cerrin Feroni

IL RELATORE
Ghiglia

IL VICE SEGRETARIO GENERALE
Filippi

 

 

Scheda

Doc-Web
9940474
Data
14/09/23

Argomenti


Tipologie

Prescrizioni del Garante