Provvedimento del 18 dicembre 2025 [10214307]
Provvedimento del 18 dicembre 2025 [10214307]
Condividi[doc. web n. 10214307]
Provvedimento del 18 dicembre 2025
Registro dei provvedimenti
n. 751 del 18 dicembre 2025
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti, e il dott. Luigi Montuori, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;
Relatore la prof.ssa Ginevra Cerrina Feroni;
PREMESSO
1. Introduzione.
Con reclamo presentato in data XX ai sensi dell’art. 77 del Regolamento, il Sig. XX, nel lamentare, per il tramite del proprio difensore, una presunta violazione della normativa in materia di protezione dei dati personali, ha rappresentato che, con e-mail del XX, il Coordinatore della struttura dell’Azienda USL della Romagna, ove il reclamante presta servizio, avrebbe inoltrato a sedici colleghi una precedente e-mail del reclamante medesimo, risalente al XX, con la quale quest’ultimo comunicava al Coordinatore stesso e, per conoscenza, ad un ulteriore soggetto, che avrebbe usufruito di un permesso per l’espletamento di una specifica visita medico di controllo.
2. L’attività istruttoria.
Si evidenzia preliminarmente che il predetto evento è stato, altresì, oggetto di notifica all’Autorità da parte dell’Azienda, in data XX, ai sensi dell’art. 33 del Regolamento (cfr. art. 10 del Regolamento n. 1/2019, concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali – doc. web n. 9107633).
Ciò premesso, in merito alla vicenda lamentata, con nota del XX, la predetta Azienda ha dichiarato, in particolare, che:
il reclamante “inviava, in data XX, al Coordinatore del Servizio ed a una collega, una mail avente ad oggetto “Articolo 40” per chiedere un cambio turno” e “senza che gli fosse stato richiesto dal Coordinatore – né in questa né in nessun’altra precedente occasione – e senza che fosse previsto ai sensi di alcuna procedura aziendale, […] spontaneamente, su sua personale iniziativa, comunicava nella citata mail che la richiesta di modifica del proprio turno era motivata dallo spostamento di una propria visita di controllo diabetologica”;
“il Coordinatore del servizio, nel definire la turnistica dell’equipe, inoltrava, per mero errore materiale, ai componenti della stessa, quindi anche all’odierno reclamante e la collega in copia, la suddetta mail in data XX ore 08:06”;
“l’interessato telefonava al Coordinatore, lamentando siffatta divulgazione e chiedendone spiegazioni, portando così il Coordinatore a conoscenza dell’errore, il quale, appena resosi conto, ne comunicava la non intenzionalità” e “immediatamente (alle ore 11:15) […] inviava una mail a tutta l’equipe chiedendo la distruzione del precedente messaggio”; “la suddetta mail conteneva, tuttavia, in calce, il messaggio originario”;
“all’esito dell’incontro di cui sopra, al fine di porre in essere idonee misure tecniche ed organizzative per porre rimedio alla violazione ed attenuarne i possibili effetti negativi per l’interessato, il Coordinatore inviava alla equipe ulteriore mail con richiesta di cancellazione di entrambe le due precedenti mail (delle ore 08:06 e delle ore 11:15 del XX) chiedendo specifica conferma dell’avvenuta cancellazione”;
“in data XX il Coordinatore riferiva al gruppo aziendale preposto alle analisi sulle segnalazioni dei data breach, di avere ottenuto conferma della cancellazione da parte di tutta l’equipe”;
“all’interno [… del “Regolamento per l’utilizzo delle Risorse Informatiche”] è rubricato un articolo 13.7 che disciplina “le regole di buon comportamento per l’utilizzo delle caselle e-mail”, nel quale si raccomanda il controllo, ad ogni invio, della correttezza degli indirizzi, soprattutto qualora gli invii avvengano in modo aggregato, utilizzando, quindi, con cautela sia l’opzione “Inoltro” che quella “rispondi a tutti”; all’art. 13.6, rubricato "Invio per e-mail di documentazione sanitaria" è previsto il divieto di invio interno di documentazione sanitaria”;
“oltre alle misure immediatamente adottate al fine di porre rimedio alla violazione e ridurne gli effetti negativi, il Coordinatore, in aggiunta alle misure di sicurezza già in essere, allo scopo di prevenire simili violazioni future, in data XX ha inviato una mail […] alla propria equipe chiarendo che le richieste di congedo per visite e/o malattie non devono essere ulteriormente specificate”;
“questa Azienda ha doverosamente esercitato l’azione disciplinare di competenza datoriale a fronte dell’inosservanza delle regole di comportamento da parte del proprio dipendente”.
Con nota del XX, l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato all’Azienda USL della Romagna, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, sul presupposto che, ancorché per errore materiale, l’inoltro, ai sedici componenti dell’equipe del Coordinatore della Struttura Semplice Neurofisiopatologia Clinica dell’Azienda, del messaggio di posta elettronica del reclamante, in forma integrale, concernente informazioni relative al proprio stato di salute, fosse stato effettuato in maniera non conforme al principio di “liceità, correttezza e trasparenza” nonché in assenza di base giuridica, in violazione degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento, nonché 2-ter del Codice.
Con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).
Con nota del XX, la predetta Azienda, che non ha richiesto di essere audita, ha depositato le proprie memorie difensive, rappresentando, in particolare, che:
- “l’episodio ha riguardato una perdita di riservatezza la cui gravità questa Azienda ritiene lieve per i seguenti motivi: la violazione ha riguardato un solo interessato; si è trattato di un episodio isolato nel contesto quotidiano di operatività dell’AUSL Romagna”;
- “l’ambito specialistico della visita a cui l’interessato si doveva sottoporre (nello specifico “diabetologica”) rappresentava una informazione ultronea, non necessaria, e, pertanto, mai richiesta da questa Azienda, nel pieno rispetto del principio di minimizzazione; la circostanza che l’interessato abbia ritenuto di comunicarla ugualmente al Coordinatore […] e ad un altro collega, senza alcun motivo, rende evidente che – pur trattandosi di un dato che non si dubita l’interessato non intendesse condividere con gli altri 16 colleghi – il reclamante non sentiva la necessità di mantenere totalmente riservata (pur avendone il diritto), avendola comunicata senza motivo al Coordinatore […]; è palese che si è trattato di una informazione che, quindi, suo malgrado l’Azienda si è trovata a trattare a causa della deliberata e impropria comunicazione fatta dall’interessato stesso”;
- “in seguito all’episodio in oggetto, è stata svolta una formazione specifica – rivolta a tutto il personale della AUSL Romagna – riguardante episodi di data breach e trattamenti illeciti di dati nel contesto sanitario sanzionati dal Garante allo scopo di trasmettere in maniera concreta alle risorse umane consapevolezza sul tema in ottica di prevenzione delle violazioni. A tale sessione di formazione ha partecipato anche il Coordinatore […] in data XX”.
3. Esito dell’attività istruttoria.
All’esito dell’attività istruttoria, è emerso che, in data XX, per mero errore materiale, il Coordinatore della struttura ove il reclamante presta servizio, al fine di pianificare la programmazione dei turni della propria equipe, ha accidentalmente inoltrato ai sedici componenti dell’equipe stessa una precedente e-mail del reclamante, risalente al XX, con la quale quest’ultimo spontaneamente comunicava al Coordinatore stesso e, per conoscenza, ad un proprio collega che avrebbe usufruito di un permesso per l’espletamento di una specifica visita medico di controllo, indicandone precisamente la tipologia specialistica (“diabetologica”).
Risulta, altresì, che, avvedendosi dell’errore, il Coordinatore, nel richiedere ai destinatari dell’e-mail in questione di procedere alla relativa cancellazione, ha, ancora una volta inavvertitamente replicato l’inoltro di tale e-mail a tutti i sedici componenti della propria equipe.
In via preliminare, deve ricordarsi che, nella cornice normativa del Regolamento e del Codice e secondo il costante orientamento del Garante, nella nozione di dato personale relativo alla salute “può rientrare anche una informazione relativa all’assenza dal servizio per malattia, indipendentemente dalla circostanza che sia contestualmente indicata esplicitamente la diagnosi” (v. provv.ti. 9 maggio 2024, n. 270, doc. web n. 10025870; 23 marzo 2023, n. 84, doc. web n. 9888113; 15 dicembre 2022, n. 420, doc. web n. 9853429; 25 febbraio 2021, n. 68, doc. web n. 9567429; 7 maggio 2015, n. 269, doc. web n.4167648;10 ottobre 2013, doc. web n.2753605; 7 luglio 2004, doc. web n. 1068839 e 1068917; v. anche par. 8 delle “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico”, adottate in vigenza del precedente quadro normativo in materia di protezione dei dati con provv. 14 giugno 2007, n. 23, doc. web n. 1417809).
Ciò in conformità al consolidato orientamento della Corte di Giustizia dell’Unione europea, secondo il quale “occorre dare all'espressione «dati relativi alla salute» […] un'interpretazione ampia tale da comprendere informazioni riguardanti tutti gli aspetti, tanto fisici quanto psichici, della salute di una persona” (sent. C-101/01, Lindqvist, 6 novembre 2003, parr. 13 e 50). Un’interpretazione ampia delle nozioni di “categorie particolari di dati personali” e di “dati sensibili” è, infatti, “suffragata dall’obiettivo della direttiva 95/46 e del [Regolamento] […], consistente nel garantire un elevato grado di tutela dei diritti e delle libertà fondamentali delle persone fisiche, in particolare della loro vita privata, con riguardo al trattamento dei dati personali che li riguardano” (sent. C-184/20, Vyriausioji tarnybinės etikos komisija, del 1° agosto 2022, par. 125), considerato che i trattamenti di tali particolari categorie di dati “possono costituire un’ingerenza particolarmente grave nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali, garantiti agli articoli 7 e 8 della Carta dei diritti fondamentali” (sent. C-667/21, Krankenversicherung Nordrhein, del 21 dicembre 2023, par. 41; cfr. cons. 51 del Regolamento, ai sensi del quale “meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali”).
Anche nell’ordinamento nazionale, la giurisprudenza di legittimità ha affermato che “non può essere messo in dubbio che un'assenza dal lavoro "per malattia" costituisca un dato personale "relativo alla salute" del soggetto cui l'informazione si riferisce” (Cass. civ., sez. I, 8 agosto 2013, n. 18980; v. anche Cass. civ., sez. I, ord. 11 ottobre 2023, n. 28417, ove si afferma che “il semplice riferimento ad un'assenza dal lavoro “per malattia” costituisc[e] un dato personale "relativo alla salute" del soggetto cui l'informazione si riferisce”).
Ciò a prescindere dalla circostanza, pure invocata dall’Azienda nelle proprie memorie difensive, che, in generale, lo svolgimento di una visita diabetologica non implichi di per sé la sussistenza di una diagnosi di diabete, posto che nella definizione di “dati relativi alla salute” risulta “compresa [anche] la prestazione di servizi di assistenza sanitaria” (cfr. art. 4, n. 15) del Regolamento) nonché che, comunque, l’informazione relativa alla sottoposizione di un soggetto ad una visita specialistica è idonea a confermare quantomeno l’esistenza di un “rischio di malattia” (v. considerando 35 del Regolamento).
In tale quadro, sin dal 2007, nell’adottare le citate "Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico", il Garante, richiamando la specifica normativa di settore applicabile, ha chiarito che “risulta giustificata […] la conoscenza da parte dell’amministrazione di appartenenza di informazioni personali relative all´effettuazione di visite mediche, prestazioni specialistiche o accertamenti clinici […] quando il dipendente richiede di usufruire del trattamento di malattia o di permessi retribuiti per le assenze correlate a tali esigenze” e che, in ogni caso, il datore di lavoro non è di regola “legittimato a raccogliere certificazioni mediche contenenti anche l’indicazione della diagnosi” né altre informazioni comunque suscettibili di dare evidenza della patologia sofferta dal reclamante (cfr. par. 8.2 delle “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico”, del 14 giugno 2007, pubblicate in G.U. 13 luglio 2007, n. 161, e in www.garanteprivacy.it, doc. web n. 1417809).
Ancorché, in via di principio, spetti al lavoratore l’onere di astenersi dal produrre al proprio datore di lavoro qualsivoglia informazione concernente la specifica tipologia di visita medica o la prestazione sanitaria effettuata o, ancora, altri dettagli da cui sia comunque possibile risalire alla patologia sofferta (ad esempio, lo specifico reparto della struttura sanitaria che ha erogato la prestazione, la specializzazione del medico, la terapia farmacologia ecc.), occorre evidenziare che, quando invece il dipendente faccia esplicito riferimento a dettagli informativi che consentano di risalire direttamente o indirettamente alla propria diagnosi, il datore di lavoro, salva la conservazione della documentazione prodotta in base agli obblighi di legge, deve astenersi da ulteriori utilizzi di tali informazioni, altresì rivolgendo al personale l’invito ad evitare la produzione di altre informazioni aventi le medesime caratteristiche (cfr. art. 2-decies del Codice e par. 8.2 delle Linee Guida citate; v. anche, tra i tanti, da ultimo, provv. 30 gennaio 2025, n. 34, doc. web n. 10112637 e provv.ti ivi citati, nonché, più in generale, FAQ n. 13 in tema di oblio oncologico, doc. web n. 10044898 e FAQ n. 12 reperibile in https://www.garanteprivacy.it/temi/coronavirus/faq#scuola).
Per quanto in particolare rileva in relazione al caso in esame, si fa, altresì, presente che i dati personali dei dipendenti non possono, di regola, essere messi a conoscenza di coloro che non abbiano necessità di trattarli in ragione delle mansioni assegnate e dello specifico ruolo ricoperto all’interno dell’organizzazione del titolare del trattamento e che, di conseguenza, non siano stati espressamente “autorizzati” al trattamento (cfr. artt. 4, n. 10, 28, par 3, lett. b), 29 e 32, par. 4, del Regolamento nonché art. 2-quaterdecies del Codice). Ciò in quanto, come affermato in molte occasioni dal Garante, la messa a disposizione dei dati a soggetti che, ancorché facenti parte dell’organizzazione del titolare del trattamento, non siano “autorizzati” al trattamento in ragione delle funzioni esercitate all’interno di detta organizzazione, può dare luogo, anche tenuto conto della definizione di “terzo”, contenuta nell’art. 4, par. 1, n. 10), del Regolamento, a una “comunicazione” di dati personali illecita in quanto sprovvista di un’idonea base giuridica (cfr. art. 2-ter, commi 1 e 3, del Codice nonché, nel caso in cui i dati oggetto di comunicazione appartengano a categorie particolari, artt. 9 del Regolamento).
Inoltre, in special modo nei casi in cui il datore di lavoro è chiamato a trattare, per finalità di gestione del rapporto di lavoro, informazioni di dettaglio inerenti alle condizioni di salute dei lavoratori, al datore di lavoro è richiesto di osservare cautele particolari, avendo cura, tra l’altro, di evitare ogni occasione di superflua e ingiustificata conoscibilità dei dati da parte di soggetti non autorizzati (cfr. par. 8 delle Linee Guida citate).
Quanto al caso di specie, occorre evidenziare che, come tradizionalmente affermato dal Garante, la pur legittima esigenza di organizzare con celerità i turni di lavoro in determinati contesti, come nel caso dei turni ospedalieri del personale sanitario, non può giustificare la circolazione di informazioni di dettaglio, relative alla specifica sintomatologia sofferta dei lavoratori o alla sottoposizione degli stessi a visite specialistiche, potendo essere perseguita la medesima finalità attraverso le sole informazioni necessarie, ovvero facendo riferimento alla mera assenza dal servizio dei lavoratori interessati (v., da ultimo, provv. 9 maggio 2024, n. 270, doc. web n. 10025870, e provv.ti ivi citati; v., altresì, da ultimo, provv. 19 dicembre 2024, n. 796, doc. web n. 10102504), come peraltro evidenziato anche dalle dichiarazioni rese dalla stessa Azienda in corso d’istruttoria, per cui “l’ambito specialistico della visita a cui l’interessato si doveva sottoporre (nello specifico “diabetologica”) rappresentava una informazione ultronea, non necessaria” (cfr. memorie difensive del XX).
Tale impostazione risulta, peraltro, trovare conferma nella stessa circostanza che, nel contesto della vicenda in esame, l’Azienda ha dato atto di aver avviato specifiche iniziative per verificare eventuali responsabilità al proprio interno (cfr. nota del XX) e che “il Coordinatore, in aggiunta alle misure aziendali già in essere, al fine di prevenire simili violazioni future, in data XX ha inviato una mail alla propria equipe chiarendo che le richieste di congedo per visite e/o malattie non devono essere ulteriormente specificate” (v. memorie difensive del XX).
Nel caso di specie, è stato, peraltro, inoltrato un messaggio di posta elettronica - forma di corrispondenza in generale assistita da garanzie di segretezza tutelate anche costituzionalmente (artt. 2 e 15 Cost.) - che l’interessato, indipendentemente dagli obblighi di formale comunicazione al datore di lavoro che incombono sul lavoratore in caso di assenza per visita medica specialistica, aveva ritenuto opportuno trasmettere unicamente al proprio superiore e al proprio collega. Non può dunque ritenersi, contrariamente a quanto sostenuto dall’Azienda, che tale circostanza “rende evidente che […] il reclamante non sentiva la necessità di mantenere totalmente riservata [… l’informazione sulla sua assenza dal servizio per visita diabetologica], avendola comunicata senza motivo al Coordinatore”, atteso che i contenuti della corrispondenza devono rimanere nella disponibilità del mittente e dei destinatari, anche qualora in qualità di lavoratori utilizzino la casella di posta elettronica istituzionale.
Alla luce di tutte le considerazioni che precedono, deve concludersi che, ancorché per mero errore materiale, l’inoltro, ai sedici componenti dell’equipe del Coordinatore della struttura dell’Azienda ove il reclamante presta servizio, del messaggio di posta elettronica del reclamante medesimo, in forma integrale, concernente informazioni relative al proprio stato di salute, è stato effettuato in maniera non conforme al principio di “liceità, correttezza e trasparenza” nonché in assenza di base giuridica, in violazione degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento, nonché 2-ter del Codice.
4. Conclusioni.
Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento ai sensi dell’art. 14, comma 1, del Regolamento del Garante n. 1/2019 non ricorrendo alcuno dei casi previsti dall’art. 11 ivi richiamato.
Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Azienda USL della Romagna nei termini di cui sopra.
Tanto premesso, occorre, tuttavia, tenere in considerazione taluni elementi, anche di contesto, emersi nel corso dell’istruttoria, che risultano indispensabili ai fini della valutazione in concreto dell’entità delle violazioni riscontrate e della lesività della complessiva condotta (v. cons. 148 del Regolamento).
In particolare, tenuto conto che:
ancorché le informazioni oggetto della divulgazione non autorizzata appartengano alla categoria dei dati relativi alla salute di cui all’art. 9 del Regolamento, la violazione ha riguardato un solo interessato e rappresenta, ad ogni modo, un episodio di carattere isolato (cfr. art. 83, par. 2, lett. a) e g), del Regolamento);
la violazione presenta carattere colposo, atteso che, nel caso di specie, gli inoltri della predetta e-mail sono dipesi da un mero errore umano di natura accidentale (cfr. nota del XX; cfr. art. 83, par. 2, lett. b), del Regolamento);
nella prospettiva di prevenire il verificarsi di simili accadimenti in futuro, l’Azienda ha dichiarato di aver svolto una specifica attività di formazione e sensibilizzazione; inoltre, risulta che lo stesso Coordinatore, che nel caso di specie ha inavvertitamente dato luogo alla divulgazione non autorizzata dei dati del reclamante, ha inteso rivolgere alla propria equipe l’invito a evitare di specificare ulteriormente le richieste di congedo per visite mediche o malattie (cfr. art. 83, par. 2, lett. c), del Regolamento);
l’Azienda ha offerto una piena cooperazione con l’Autorità nel corso dell’istruttoria (art. 83, par. 2, lett. f), del Regolamento);
non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento, aventi la medesima natura di quelle accertate in relazione ai fatti di reclamo, con riferimento ai trattamenti effettuati in ambito lavorativo (art. 83, par. 2, lett. e), del Regolamento).
le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi del cons. 148 e dell’art. 83, par. 2, del Regolamento, nonché delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017, WP 253, e fatte proprie dal Comitato europeo per la protezione dei dati con l’“Endorsement 1/2018” del 25 maggio 2018.
Alla luce di tutto quanto sopra rappresentato, e dei termini complessivi della vicenda in esame, si ritiene, pertanto, sufficiente ammonire il titolare del trattamento per la violazione delle disposizioni sopraindicate, ai sensi dell’art. 58, par. 2, lett. b), del Regolamento (cfr. anche cons. 148 e art. 83, par. 2, del Regolamento).
Considerato che la condotta ha ormai esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
TUTTO CIÒ PREMESSO IL GARANTE
a) dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento dei dati personali effettuato dall’Azienda USL della Romagna, in persona del legale rappresentante pro-tempore, con sede legale in Via De Gasperi, 8 - 48121 Ravenna (RA), C.F. 02483810392, per violazione degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento e 2-ter del Codice nei termini di cui in motivazione;
b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce la predetta Azienda, quale titolare del trattamento in questione, per aver violato artt. 5, par. 1, lett. a), 6 e 9 del Regolamento e 2-ter del Codice, come sopra descritto;
c) ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, dispone la pubblicazione del presente provvedimento sul sito internet dell’Autorità;
d) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 18 dicembre 2025
IL PRESIDENTE
Stanzione
IL RELATORE
cerrina Feroni
IL SEGRETARIO GENERALE
Montuori
