Provvedimento del 16 gennaio 2026 [10218564]
Provvedimento del 16 gennaio 2026 [10218564]
Condividi[doc. web n. 10218564]
Provvedimento del 16 gennaio 2026
Registro dei provvedimenti
n. 3 del 16 gennaio 2026
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il dott. Luigi Montuori, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;
Relatore il dott. Agostino Ghiglia;
PREMESSO
1. Introduzione.
Con reclamo presentato ai sensi dell’art. 77 del Regolamento il sig. XX, dipendente dell’Azienda Ospedaliera S. Pio di Benevento (di seguito “Azienda Ospedaliera”), ha lamentato la circolazione all’interno del contesto lavorativo di atti relativi a un contenzioso in atto con l’amministrazione e precisamente la Consulenza tecnica di parte (di seguito “CTP”).
In particolare, ha rappresentato che “la CTP contiene informazioni legate a vicende lavorative, dati sensibili relativi allo stato di salute nonché una puntuale elencazione delle visite specialistiche alle quali [il reclamante] è stato sottoposto”.
2. L’attività istruttoria.
In riscontro a una richiesta d’informazioni dell’Autorità l’Azienda Ospedaliera, con nota del XX, ha dichiarato, in particolare, che:
“al fine dell’istruttoria relativa agli atti giudiziari del ricorrente […] in seguito a istanza urgente dell’Avvocato difensore sono state richieste relazioni ai destinatari e titolari di incarichi e responsabilità attinenti al ricorso, alle pec, ove dotati, e-mail aziendali individuali”;
“in particolare [sono state richieste relazioni]: -alla UOC URP, via pec, perché tale Struttura contiene in se anche l'URS, del quale ha fatto parte il ricorrente; - alla UOC DMP, via pec, per gli aspetti medico legali; -alla UOC Risorse Umane, via pec, perché l'URS precedentemente era assegnata proprio alle RU e perché il ricorso chiama in causa tale Struttura”;
sono state inoltre inviate richieste “alla mail personale del XX, perché il ricorso chiama in causa l'incarico di P.O., svolto presso il Dipartimento e la UOC di cui tale Dirigente Medico ne è Direttore; alla mail personale di XX in quanto Dirigente Responsabile delle Professioni Sanitarie/Servizio Infermieristico, presso cui afferisce l'incarico di P.O. ricoperto dal ricorrente”;
“si rileva che tali Direttori di Dipartimento/Struttura Complessa e il Dirigente Responsabile delle Professioni Sanitarie/Servizio Infermieristico sono Responsabili in materia di privacy/trattamento dati in quanto espressamente delegati in merito con atti deliberativi n. 437/2018, n.505 del 05/09/21”.
Con nota del XX, l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato all’Azienda Ospedaliera, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento per aver comunicato a diversi uffici e, in particolare, all’Unità Operativa Complessa – Ufficio Relazioni con il Pubblico, che comprende l’Ufficio Relazioni Sindacali, all’Unità Operativa Complessa - Dipartimento Medico Presidia e all’Unità Operativa complessa – Risorse Umane, tramite la casella di posta elettronica condivisa, accessibile a personale svolgente funzioni e mansioni eterogenee all’interno dell’amministrazione, la CTP contenente anche dati sulla salute dell’interessato, in violazione degli artt. 5, par. 1, lett. a) e c), 6 e 9 par. 2 lett. b) del Regolamento e dell’art.2-ter Codice.
Con la medesima nota il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).
Con nota del XX l’Azienda Ospedaliera, che non ha chiesto di essere audita, ha presentato una memoria difensiva, dichiarando, in particolare, che:
“diversamente da Enti di grandi dimensioni […], le modalità operative di un Ente dal numero ridotto di personale amministrativo [devono] necessariamente ricomprendere l'attribuzione/pro-unità di una pluralità di competenze, anche al fine di garantire, nella gestione delle assenze a vario titolo degli operatori, la continuità di un servizio pubblico essenziale qual è quello erogato da un'Azienda Ospedaliera”;
“l'Azienda, a garanzia del rispetto delle disposizioni in materia di privacy e protezione dei dati della persona, ha inteso sancire quanto di seguito nel Codice di Comportamento (C.C.) e nel Codice Etico (C.E.), approvato con delibera n.457 del 13/07/2018 […], che infatti stabiliscono: i destinatari sono tenuti a non utilizzare informazioni riservate per scopi non connessi con l'esercizio della propria attività (Codice Etico art.2.2 lett. d ultima parte);l'impiego di dati e di notizie acquisite nell'esercizio delle proprie funzioni o per l'incarico rivestito, a vantaggio proprio o di altri è in contrasto con gli interessi dell'Azienda (C.E. art.2.2 lett e, secondo capoverso); e soprattutto il divieto di usare per fini privati le informazioni di cui dispone per ragioni d'ufficiò (Codice Comportamento: art.4, comma 4, terzo capoverso); l'obbligo di riservatezza nello svolgimento delle prestazioni sanitarie, di rispettare il segreto professionale e d'ufficio (C.C. Art.4, comma 4, ultimo capoverso);
“non vi è stata peraltro dimostrazione alcuna che i dipendenti abilitati all'uso della PEC (ma non interessati dalla assegnazione del procedimento) abbiano in concreto proceduto alla visualizzazione - eventualità allo stato meramente potenziale - sì da prendere effettiva contezza di quanto riportato proprio in quel determinato documento (CTP), tra i diversi allegati acclusi a ricorso, contenuti nella PEC in questione”;
“l'assenza di prova fornita dal ricorrente di una qualsivoglia fuoriuscita di dati che abbiano arrecato a costui un danno, anche solo potenziale, aspetto infatti non oggetto di contestazione alcuna, non essendovi mai stata -si ribadisce - prova che gli addetti alla UOC di riferimento -autorizzati ma non interessati dallo specifico procedimento in quanto non assegnatari della pratica- abbiano anche solo preso visione (comunque vincolata al rigore del segreto d'ufficio) di quanto contenuto nella documentazione riguardante il reclamante”.
3. Esito dell’attività istruttoria.
All'esito dell’attività istruttoria, risulta accertato, in particolare, che l’Azienda Ospedaliera ha inviato tramite PEC la CTP contenente dati personali del reclamante, anche relativi alla salute, a diversi uffici e, in particolare, all’Unità Operativa Complessa – Ufficio Relazioni con il Pubblico, che comprende l’Ufficio Relazioni Sindacali alla cui PEC hanno accesso due operatori del medesimo ufficio; all’Unità Operativa Complessa- Dipartimento Medico Presidia, alla cui PEC hanno accesso due operatori, con la qualifica di assistente amministrativo; all’Unità Operativa complessa – Risorse Umane alla cui PEC hanno accesso venti dipendenti di varie qualifiche.
La disciplina di protezione dei dati personali prevede che i soggetti pubblici, nell’ambito del contesto lavorativo, possono trattare i dati personali degli interessati, anche relativi a categorie particolari, se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalla legge o dal diritto dell’Unione o degli Stati membri (artt. 6, par. 1, lett. c), 9, par. 2, lett. b) e 4 e 88 del Regolamento). Il trattamento è, inoltre, lecito quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, parr. 1, lett. e), 2 e 3, e art. 9, par. 2, lett. g), del Regolamento; art. 2-ter del Codice e art. 2-sexies, comma 1, del Codice). Tali trattamenti devono, comunque, trovare fondamento nel diritto dell’Unione o dello Stato membro, che deve perseguire un obiettivo di interesse pubblico ed essere proporzionato al perseguimento dello stesso. La finalità del trattamento deve essere necessaria per l'esecuzione di un compito svolto nel pubblico interesse o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento. Al riguardo, si evidenzia che l’operazione di “comunicazione” di dati personali, da parte di soggetti pubblici, è ammessa solo quando prevista da una idonea base giuridica (cfr. art. 6, par. 3, del Regolamento e 2-ter del Codice).
Il datore di lavoro, titolare del trattamento, è, in ogni caso, tenuto a rispettare i principi generali in materia di protezione dei dati personali (art. 5 del Regolamento) e deve trattare i dati mediante il personale “autorizzato” e “istruito” in merito all’accesso e al trattamento dei dati (artt. 4, punto 10), 29, e 32, par. 4, del Regolamento).
Come noto fin dal 2007 il Garante ha chiarito che, nell’ambito del rapporto di lavoro, i dati personali dei dipendenti non possono, di regola, essere messi a conoscenza di soggetti diversi da coloro che sono parte dello specifico rapporto di lavoro nonché del solo personale specificamente autorizzato, in ragione delle mansioni svolte all’interno della realtà organizzativa del titolare, tenuto conto delle definizioni di “dato personale” e “interessato”, contenute nell’art. 4, par. 1, n. 1, del Regolamento (cfr., punti 2, 4, 5.1 e 5.3 delle “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico”, del 14 giugno 2007, doc. web n. 1417809, le quali, sebbene adottate nel contesto del previgente quadro normativo in materia di protezione dei dati personali, forniscono indicazioni e orientamenti ancora validi). L’amministrazione, in qualità di datore di lavoro, deve, comunque, adottare le misure tecniche e organizzative per prevenire la conoscibilità ingiustificata di dati personali dei propri dipendenti da parte di altri colleghi o soggetti terzi, al fine di evitare la indebita circolazione di informazioni personali - nel caso di specie riguardanti informazioni particolarmente delicate e sensibili quali i dati sulla salute - non solo verso l’esterno, ma anche all’interno dei contesti lavorativi in capo a soggetti non autorizzati. Ciò in quanto la messa a disposizione dei dati a soggetti che, ancorché facenti parte dell’organizzazione del titolare del trattamento, non possono, in ragione del ruolo da essi svolto e delle funzioni esercitate all’interno di detta organizzazione, essere considerati “autorizzati” al trattamento (cfr. artt. 4, n. 10, 28, par 3, lett. b), 29 e 32, par. 4, del Regolamento, nonché art. 2-quaterdecies del Codice), può dare luogo a una comunicazione di dati personali in assenza di base giuridica (cfr., tra i tanti, provv.ti n. n.485 dell’11 settembre 2025, doc. web n. 10177237; 27 febbraio 2025, n. 101, doc. web n. 10123227; 27 febbraio 2025, n. 92, doc. web n. 10114763; 3 febbraio 2025, n. 70, doc. web n. 10118395; del 30 gennaio 2025, n.35 doc web 10112709; del 30 gennaio 2025, n. 36, doc. web n. 10112750; 26 settembre 2024, n. 606, doc. web n. 10068155; 1° giugno 2023, n. 223, doc. web n. 9916798; 23 marzo 2023, n. 82, doc. web n. 9885151; 23 febbraio 2023, n. 43, doc. web n. 9868646; 16 settembre 2021, n. 322, doc. web n. 9711517; 27 maggio 2021, n. 214, doc. web. 9689234; 18 giugno 2020, n. 105, doc. web n. 9444865; 24 marzo 2022, n. 98, doc. web n. 976305; 11 febbraio 2021, n. 50, doc. web n. 9562866; 31 luglio 2014, n. 392, doc. web n. 3399423; 3 ottobre 2013, n. 431, doc. web 2747867; 8 maggio 2013, n. 232, doc. web n. 2501216; 18 ottobre 2012, n. 296, doc. web n. 2174351 e n. 297, doc. web n. 2174582).
Al datore di lavoro è, in ogni caso, richiesto di limitare l’accessibilità ai dati personali dei dipendenti ai soli soggetti che effettivamente ne necessitino in ragione delle funzioni esercitate all’interno dell’organizzazione del titolare e di ciascuna singola unità o struttura organizzativa nonché di evitare ogni occasione di superflua e ingiustificata conoscibilità dei dati da parte di soggetti non autorizzati. In tal senso, per quanto in particolare rileva ai fini del caso oggetto di reclamo, si evidenzia, altresì, che “il datore di lavoro deve adottare particolari cautele anche nelle trasmissioni di informazioni personali che possono intervenire tra i medesimi incaricati o responsabili nelle correnti attività di organizzazione e gestione del personale [… ed] evitare, in linea di principio, di fare superflui riferimenti puntuali a particolari condizioni personali riferite a singoli dipendenti, specie se riguardanti le condizioni di salute, selezionando le informazioni di volta in volta indispensabili, pertinenti e non eccedenti)” (cfr. spec. punti 5.1 delle predette Linee Guida citate).
A tale riguardo si evidenzia che, seppure l’Azienda Ospedaliera abbia dichiarato che ai dipendenti degli uffici sopra indicati sono state fornite tutte le istruzioni necessarie e che gli stessi sono tenuti a stringenti obblighi di riservatezza la stessa non ha comprovato che tutti i destinatari della predetta comunicazione, comprensiva dell’allegata CTP, fossero effettivamente legittimati, in ragione dei compiti attribuiti e delle mansioni svolte, a trattare gli specifici dati personali in questione, peraltro anche relati alla salute, riferiti al reclamante. Ciò tenuto, altresì, conto in particolare per quanto riguarda i venti dipendenti dell’Ufficio Risorse Umane alla luce di quanto dichiarato circa le funzioni e specifiche mansioni loro attribuite (cfr. n.1 dipendente assegnato alla “Segreteria area dei professionisti della salute e dei funzionari”; n.1 dipendente assegnato alla “Segreteria area degli Assistenti”; n.1 dipendente assegnato a “Economico area dei professionisti della salute e dei funzionari”;n.2 dipendenti assegnati a “concorsi area dei professionisti della salute e dei funzionari”; n.1 dipendente assegnato a “Economico - area degli assistenti”; n.2 dipendenti assegnati a “Previdenza Area degli assistenti”; n.5 dipendenti assegnati a “Concorsi area degli Assistenti”; n.1 dipendente assegnato a “Art.53 area degli assistenti”; n.2 dipendenti assegnati a “Gestione area dei professionisti della salute e dei funzionari”; n.1 dipendente assegnato a “Economico Dirigente PTA”).
In particolare, sebbene i predetti dipendenti, stando a quanto dichiarato e come si evince dalla documentazione in atti, avessero accesso alla casella di posta elettronica condivisa dell’Ufficio Risorse Umane attribuito all’intera unità organizzativa , deve considerarsi che il canale di trasmissione utilizzato nel caso di specie abbia, di fatto, reso edotti di vicende legate al contenzioso dell’amministrazione con l’interessato e di dati personali pure riferiti alla salute dello stesso, anche personale, colleghi del reclamante, che, tuttavia, non aveva necessità, come peraltro confermato dal titolare del trattamento (“i dipendenti abilitati all'uso della PEC (ma non interessati dalla assegnazione del procedimento) […] in quanto non assegnatari della pratica” v. nota del XX) di conoscere le predette informazioni in ragione delle specifiche mansioni svolte. Infatti, a titolo esemplificativo, lo svolgimento di mansioni specifiche di personale preposto all’ “area concorsi” o all’“area Previdenza” non risulta di per sé sufficiente a giustificare la messa a disposizione di documentazione concernente il contenzioso dell’amministrazione con l’interessato e i dati ivi contenuti tra cui i dati sulla salute dello stesso.
Più in generale si osserva che, in base al principio della “protezione dei dati fin dalla progettazione” (art. 25, par. 1, del Regolamento), il titolare del trattamento deve adottare misure tecniche e organizzative adeguate ad attuare i principi di protezione dei dati (art. 5 del Regolamento) integrando nel trattamento le necessarie garanzie per soddisfare i requisiti del Regolamento ai fini della tutela dei diritti e delle libertà degli interessati e, in conformità al principio della “protezione dei dati per impostazione predefinita” (art. 25, par. 2, del Regolamento), deve effettuare scelte tali da assicurare che venga garantito, per impostazione predefinita, solo il trattamento strettamente necessario per conseguire una specifica e lecita finalità (cfr. “Linee guida 4/2019 sull’articolo 25 Protezione dei dati fin dalla progettazione e per impostazione predefinita”, adottate il 20 ottobre 2020 dal Comitato europeo per la protezione dei dati, spec. punti 42, 44 e 49). Alla luce di tali considerazioni, nel caso di specie, si sarebbe dovuto utilizzare un canale di trasmissione finalizzato ad assicurare la ricezione della documentazione relativa al contenzioso dell’interessato esclusivamente a coloro che, nello svolgimento delle proprie mansioni, erano tenuti a trattare i predetti dati (ad esempio ,selezionando tra i destinatari esclusivamente gli indirizzi di posta elettronica individuali, potendo in tal modo avere certezza dell’effettiva ricezione da parte del solo personale, in concreto, effettivamente tenuto ad essere coinvolto) e non invece utilizzare la casella di posta elettronica condivisa fra una pluralità di dipendenti con funzioni e mansioni eterogenee, seppure facenti capo a una più ampia unità organizzativa.
Sotto diverso ma connesso profilo si sarebbe dovuto procedere all’invio di una versione della predetta CTP, priva di dettagli personali riferiti al reclamante, quali, nello specifico, la puntuale elencazione delle visite specialistiche alle quali lo stesso era stato sottoposto, nel rispetto del principio di necessità, liceità e minimizzazione (ad esempio, oscurando, anche ricorrendo alla tecnica degli “omissis”, tutti i riferimenti al reclamante e alle sue condizioni di salute, evitando in tal modo di rendere edotti tutti i colleghi degli uffici a cui il documento è stato inviato, di informazioni particolarmente delicate, come quelle concernenti la salute).
Non può, inoltre, essere ritenuto sufficiente, ai fini dell’esclusione della responsabilità del titolare del trattamento quanto sostenuto dall’Azienda Ospedaliera circa il fatto che “le modalità operative di un Ente dal numero ridotto di personale amministrativo [devono] necessariamente ricomprendere l'attribuzione/pro-unità di una pluralità di competenze” in quanto, come chiarito dal Garante in numerose occasioni e come sopra riportato, l’ambito di conoscibilità di dati personali dei dipendenti, tanto più se relativi alla salute e nella prospettiva di prevenire indebite circolazioni tra i colleghi di informazioni che afferiscono al singolo rapporto di lavoro di ciascun interessato, deve essere strettamente limitato a quei soggetti che, nella complessiva realtà organizzativa e nei singoli uffici, siano effettivamente legittimati a trattarli per lo svolgimento della propria attività lavorativa.
Alla luce delle considerazioni che precedono si evidenzia che la messa a disposizione tramite l’invio della CTP alla casella di posta elettronica condivisa, accessibile a personale svolgente funzioni e mansioni eterogenee all’interno dell’amministrazione, contenente anche dati sulla salute dell’interessato, ha determinato la conoscibilità di vicende assai delicate e sensibili di un lavoratore da parte di numerosi colleghi, non tutti legittimati a trattare, nell’ambito dello svolgimento della propria attività lavorativa, i predetti dati personali. Ciò ha comportato che le predette informazioni, rese note in favore di soggetti che non erano tutti autorizzati a trattarle, ha determinato una comunicazione di dati personali in violazione degli artt. 5, par. 1, lett. a) e c), 6 e 9 par. 2 lett. b) del Regolamento e dell’art.2-ter Codice.
4. Conclusioni.
Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Azienda Ospedaliera per aver posto in essere un trattamento di dati personali, anche relativi alla salute, in assenza di base giuridica, in violazione degli artt. 5, par. 1, lett. a) e c), 6 e 9 par. 2 lett. b) del Regolamento e dell’art.2-ter Codice.
Tenuto conto che la violazione delle predette disposizioni ha avuto luogo in conseguenza di un’unica condotta (stesso trattamento o trattamenti tra loro collegati), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, le violazioni più gravi, relative agli artt. 5, par. 1, lett. a) e c), 6 e 9 par. 2 lett. b) del Regolamento e dell’art.2-ter Codice sono soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000.
In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.
5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).
Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).
Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.
La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.
Tenuto conto che:
con specifico riguardo alla natura, alla gravità e alla durata della violazione occorre evidenziare che il trattamento è avvenuto in riferimento ai dati personali di un solo lavoratore (art. 83, par. 2, lett. a), del Regolamento);
con specifico riguardo al profilo soggettivo la violazione è stata effettuata nella convinzione di aver operato correttamente, essendo dipesa da un errore di valutazione (art. 83, par. 2, lett. b del Regolamento);
il trattamento ha riguardato informazioni assai delicate, tra cui dati sulla salute del reclamante (cfr. art. 83, par. 2, lett. g), del Regolamento),
si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).
Ciò premesso, si ritiene che, ai fini della quantificazione della sanzione, debbano essere prese in considerazione le seguenti circostanze:
l’Azienda Ospedaliera ha offerto una buona cooperazione con l’Autorità nel corso dell’istruttoria (art. 83, par. 2, lett. f), del Regolamento);
l’Azienda Ospedaliera ha dichiarato di aver fornito ai propri dipendenti specifiche indicazioni finalizzate al rispetto delle disposizioni in materia di protezione dei dati personali (cfr. art. 83, par. 2, lett. c), del Regolamento);
non risultano precedenti violazioni pertinenti commesse dall’Azienda Ospedaliera (art. 83, par. 2, lett. e), del Regolamento).
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 6.000 (seimila) per la violazione degli artt. 5, par. 1, lett. a) e c), 6 e 9 par. 2 lett. b) del Regolamento e dell’art.2-ter Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.
Si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. Ciò in considerazione della delicatezza delle informazioni oggetto di trattamento.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.
TUTTO CIÒ PREMESSO IL GARANTE
dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dall’Azienda Ospedaliera S. Pio - Benevento per violazione degli artt. 5, par. 1, lett. a) e c), 6 e 9 par. 2 lett. b) del Regolamento e dell’art.2-ter Codice nei termini di cui in motivazione;
ORDINA
All’Azienda Ospedaliera S. Pio - Benevento, in persona del legale rappresentante pro-tempore, con sede legale in via dell'Angelo n.1- Benevento (BN) C.F. 01009760628, di pagare la somma di euro 6.000 (seimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;
INGIUNGE
Alla predetta Azienda Ospedaliera in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 6.000 (seimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;
DISPONE
- ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;
- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;
- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.
Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 16 gennaio 2026
IL PRESIDENTE
Stanzione
IL RELATORE
Ghiglia
IL SEGRETARIO GENERALE
Montuori
