[doc. web n. 1368946]

Ordinanza ingiunzione nei confronti di Asl Ferrara - 14 settembre 2006

Registro delle deliberazioni
Del. n. 43 del 14 settembre 2006

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

ORDINANZA INGIUNZIONE

NELLA riunione odierna, alla presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Giuseppe Fortunato, componente e del dott. Giovanni Buttarelli, segretario generale;

ESAMINATO il rapporto del Comando nucleo speciale funzione pubblica e privacy della Guardia di finanza redatto ai sensi dell´art. 17 della legge 24 novembre 1981, n. 689, relativo al verbale di contestazione per violazione amministrativa redatto in data 13 ottobre 2004 nei confronti dell´Azienda unità sanitaria locale di Ferrara sita in Ferrara via A. Cassoli n. 30, in persona del legale rappresentante pro-tempore, per violazione dell´articolo 37 del Codice in materia di protezione dei dati personali (d.lg. n. 196/2003);

RILEVATO che il predetto Nucleo speciale, in attuazione della richiesta di informazioni  ex art. 157 del Codice (n. 24029 datata 16 giugno 2004) ed a fronte di specifica delega del Garante (n. 26333 del 15 luglio 2004), ha svolto accertamenti di cui al verbale di operazioni compiute del 13 ottobre 2004 dai quali è risultato che:

a) l´azienda sanitaria tratta dati genetici, dati idonei a rivelare lo stato di salute e la vita sessuale menzionati dall´art. 37, comma 1, lett. a) e b) del Codice;

b) le finalità del trattamento sono riferite alla procreazione assistita, alla prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, ad indagini epidemiologiche per la rilevazione di malattie mentali, infettive e diffusive, a sieropositività, al trapianto di organi e tessuti e al monitoraggio della spesa sanitaria, all´assistenza sanitaria, nonchè ad attività di teleconsulto, telediagnosi e telemedicina, cura o terapia dei pazienti, prevenzione di patologie genetiche in popolazioni a rischio, prenotazione e refertazione di esami clinici o visite specialistiche per via telematica o telefonica, prescrizione elettronica di farmaci, registrazione dei pazienti, ricerca medica o biomedica, schede cliniche informatizzate;

c) il trattamento è svolto con le seguenti modalità: collegamento dei dati "sensibili" con informazioni relative a pagamenti, esenzioni o corretta prescrizione di medicinali, elaborazioni di dati raccolti da terzi, operazioni di trattamento affidate in parte a terzi, organizzazione di banche di dati, raccolta di dati mediante strumenti elettronici, raccolta di dati presso organismi e strutture del Servizio sanitario nazionale, trattamenti temporanei finalizzati ad una rapida aggregazione di dati o alla loro trasformazione in forma anonima, trattamento di dati mediante prelievo biologico;  considerato altresì, come dichiarato per conto dell´Azienda, che per detti trattamenti era stata effettuata la notificazione ai sensi dell´art. 7 della legge n. 675/1996, ma non la diversa e nuova notificazione dovuta, sempre al Garante, ai sensi dell´art. 37 del Codice e alla quale si è proceduto tardivamente solo in data 17 giugno 2004 (cfr. art. 181, comma 1, lett. c) del Codice);

VISTO il verbale n. 15 del 13 ottobre 2004 con cui si è contestata all´Azienda unità sanitaria locale di Ferrara la violazione prevista dell´art. 37 (e sanzionata dall´art. 163) del Codice, informandola della facoltà di effettuare il pagamento in misura ridotta ai sensi dell´art. 16 della legge n. 689/1981;

RILEVATO dal predetto rapporto che non risulta essere stato effettuato il pagamento in misura ridotta;

VISTO lo scritto difensivo inviato ai sensi dell´art. 18 della legge n. 689/1981, con il quale l´azienda ha ribadito di non aver provveduto, se non tardivamente (17 giugno 2004), alla notificazione al Garante ai sensi dell´art. 37 del Codice, avendo però effettuato la notifica all´Autorità ai sensi dell´art. 7 della legge n. 675/1996, ed ha motivato tale condotta con le seguenti deduzioni:

a) l´azienda, dopo aver proceduto alla notificazione ex art. 7 della legge n. 675/1996 (segnatamente con nota prot. n. 8380 del 22/4/1998), ha effettuato la notifica ex art. 37 del Codice, se pur tardivamente ovvero in data 17 giugno 2004, all´unico scopo di applicare la nuova normativa (d.lg. n. 196/2003) nella sola parte relativa all´obbligo della trasmissione per via telematica, ritenendo quello della notificazione ex art. 37 del Codice non un nuovo adempimento, bensì la ripetizione della vecchia notifica in forma diversa, anche in ragione dell´identico contenuto delle due notifiche; tali argomenti renderebbero a suo avviso annullabile il verbale di contestazione dell´illecito amministrativo relativo all´omessa notificazione ex art. 37 del Codice;

b) il ritardo dell´atto di notificazione ex art. 37 del Codice è conseguito ad un fatto di forza maggiore verificatosi a causa del decesso del responsabile del centro informatico di elaborazione dati dell´azienda sanitaria; tale circostanza renderebbe annullabile il verbale di contestazione applicandosi a suo avviso l´art. 3 della legge n. 689/1981 che prevede l´applicabilità delle sanzioni amministrative solamente se l´azione o l´omissione è dolosa o colposa;

VISTA la richiesta di audizione formulata nel predetto scritto difensivo dall´Azienda sanitaria locale di Ferrara  ai sensi dell´art. 18 della legge n. 689/1981;

VISTA la convocazione per audizione ai sensi dell´art. 18 della legge n. 689/1981 n. 34497/38835/30 del 15 novembre 2004 inviata da questa Autorità a mezzo raccomandata A/R notificata in data 19 novembre 2004;

CONSIDERATO il verbale di audizione delle parti datato 26 novembre 2004 nel quale l´azienda sanitaria ha ribadito quanto ipotizzato nella memoria difensiva;

RILEVATO che l´attività svolta dall´azienda configura un trattamento di dati personali (art. 4 comma 1, lett. d) del Codice) per il quale doveva essere assolto l´obbligo di effettuare la notificazione del trattamento all´Autorità, ai sensi e nei modi previsti dagli artt. 37, comma 1, lett. a) e b) e 38 del Codice;

RITENUTO che le argomentazioni addotte dall´azienda nelle memorie difensive non risultano idonee in relazione alla contestazione della violazione amministrativa per omessa notificazione con cui si è dato avvio al procedimento, in quanto:

a) risulta accertata,  e non è oggetto di contestazione, la circostanza che l´azienda effettua trattamenti di dati personali del tipo di quelli elencati alle lettere a) e b) dell´art. 37, comma 1. In base al nuovo istituto della notificazione dei trattamenti previsto dal Codice, sono tenuti a notificare al Garante solo i titolari che effettuino una o più attività di trattamento tra quelle specificamente indicate dal Codice all´art. 37, comma 1 (la precedente normativa, invece, prevedeva per tutti i titolari l´obbligo di effettuare la notificazione, a meno che potessero avvalersi dei casi di esonero o di possibile utilizzazione di una notificazione semplificata). L´art. 37, comma 2, del Codice demanda al Garante il compito di individuare, nell´ambito dei trattamenti di cui al comma 1, del medesimo articolo, quelli sottratti all´obbligo di notificazione. Il Garante, con deliberazione n. 1 del 31 marzo 2004 (in G.U. 6 aprile 2004, n. 81), pur avendo previsto alcuni esoneri tra cui quello a favore di persone fisiche esercenti le professioni sanitarie, non ha sottratto all´obbligo della notificazione i trattamenti effettuati da strutture sanitarie pubbliche o private (ospedali, case di cura e di riposo, aziende sanitarie, laboratori di analisi cliniche, associazioni sportive), come altresì specificato nelle precisazioni sulla notificazione in ambito sanitario del 24 aprile 2004, pubblicate sul sito web dell´Autorità (doc. web n. 996680). Dalla nuova disciplina del Codice è derivato, quindi, un nuovo e distinto obbligo di notificazione al Garante. Il  titolare del trattamento che aveva iniziato un trattamento anteriormente al 1° gennaio 2004, indipendentemente dalla circostanza che lo avesse notificato in passato, doveva procedere, se tenuto in base al tipo di trattamento effettuato, ad una nuova notificazione da effettuarsi entro il termine transitorio del 30 aprile 2004 (art. 181, comma 1, lett. c)), che è stata invece ritardata nel caso di specie;

b) l´art. 37 del Codice riconduce in via esclusiva la responsabilità della notificazione al Garante al titolare del trattamento, ovvero in base agli atti, nel caso di specie, all´Azienda unità sanitaria locale di Ferrara in persona del legale rappresentante pro-tempore. Non risulta pertinente il riferimento dell´Azienda alla "forza maggiore" quale causa di mancato perfezionamento dell´elemento soggettivo della violazione amministrativa, in quanto l´evento rappresentato (decesso di un dipendente) riguardava non la persona tenuta a sottoscrivere la notificazione, ma altro soggetto incaricato semmai di provvedere ad alcuni non meglio precisati adempimenti;

VISTO l´art. 163 del Codice, che punisce la violazione di cui all´art. 37 del Codice con la sanzione amministrativa pecuniaria del pagamento di una somma da diecimila euro a sessantamila euro e con la sanzione amministrativa accessoria della pubblicazione dell´ordinanza-ingiunzione;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni ed integrazioni;

RITENUTO di dover determinare l´ammontare della sanzione pecuniaria, avuto riguardo ai parametri indicati nell´art. 11 della legge 24 novembre 1981 n. 689, valutati anche in relazione all´attività svolta e al genere di trattamento di dati personali, nella misura del minimo pari alla somma di diecimila/00 euro;

RITENUTO di dover applicare la sanzione accessoria della pubblicazione, avuto riguardo alla gravità della violazione valutata alla luce dei predetti parametri e circostanze nella misura ritenuta congrua della sola pubblicazione per estratto, per una sola volta e su due sole testate giornalistiche, di cui una di maggiore tiratura a livello nazionale, identificata nel giornale "La Repubblica" e, l´altra, a livello locale nel giornale "Il Resto del Carlino";

VISTA la documentazione in atti curata dal Dipartimento attività ispettive e sanzioni;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE il prof. Francesco Pizzetti;

ORDINA

all´Azienda unità sanitaria locale di Ferrara, sita in Ferrara via A. Cassoli n. 30 in persona del legale rappresentante pro-tempore, di pagare la somma di euro 10.000,00 (diecimila) a titolo di sanzione amministrativa pecuniaria per la violazione dell´art. 163 del Codice, indicata  in motivazione;

DISPONE

la pubblicazione a cura dell´Ufficio della presente ordinanza-ingiunzione a titolo di sanzione amministrativa accessoria prevista dall´art. art. 163 del Codice, per estratto e per una sola volta, sulle testate giornalistiche "La Repubblica" e "Il Resto del Carlino";

INGIUNGE

alla medesima azienda di pagare, fermo restando quanto dovuto per la sanzione accessoria, la somma di euro 10.000,00 (diecimila) tramite il bollettino postale che verrà fornito in allegato, intestato a "Tesoreria provinciale dello Stato di Ferrara" entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale o in copia autentica, quietanza dell´avvenuto versamento;

DÀ ATTO CHE

avverso il presente provvedimento, ai sensi dell´art. 152 del Codice, può essere proposta opposizione davanti al tribunale ordinario del luogo ove ha sede il titolare del trattamento entro il termine di trenta giorni dalla notificazione del presente provvedimento.

Roma, 14 settembre 2006

IL PRESIDENTE
Pizzetti

IL RELATORE
Pizzetti

IL SEGRETARIO GENERALE
Buttarelli