[doc. web n. 1855450]

Ordinanza di ingiunzione nei confronti di Azienda USL della Valle D´Aosta - 21 aprile 2011

Registro deli provvedimenti
n. 158 del 21 aprile 2011

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele De Paoli, segretario generale;

ESAMINATO il rapporto del Comando Nucleo speciale privacy della Guardia di finanza predisposto ai sensi dell´art. 17 della legge 24 novembre 1981, n. 689, relativo al verbale di contestazione per violazione amministrativa redatto in data 28 maggio 2009 nei confronti di Azienda USL della Valle D´Aosta, con sede in Aosta via Guido Rey n. 1, in persona del legale rappresentante pro-tempore, per violazione degli articoli 13 e 33 del Codice in materia di protezione dei dati personali (di seguito denominato Codice);

RILEVATO che il predetto Comando Nucleo, in attuazione della richiesta di informazioni  ex art. 157 del Codice (n. 1075/53969 datata 20 gennaio 2009) e su specifica delega di questa Autorità (n. 1083/53969 del 20 gennaio 2009), ha svolto gli accertamenti di cui al verbale di operazioni compiute datato 26 maggio 2009, dai quali è risultato che l´Azienda: a) effettua, all´atto della prenotazione telefonica di una visita ambulatoriale, un trattamento di dati personali senza rendere l´informativa di cui all´art. 13 del Codice; b) pur essendovi tenuta, non ha redatto un aggiornato Documento programmatico sulla sicurezza di cui alla regola n. 19 dell´allegato B) al Codice, omettendo di adottare le misure minime di sicurezza di cui all´art. 33 del Codice;

VISTO il verbale datato 28 maggio 2009 con cui sono state contestate alla predetta Azienda le violazioni amministrative previste dall´art. 161 del Codice, in relazione all´art. 13, e dall´art. 162, comma 2-bis del Codice, in relazione all´art. 33, informandola della facoltà di effettuare il pagamento in misura ridotta ai sensi dell´art. 16 della legge n. 689/1981;

RILEVATO dal predetto rapporto che non risulta essere stato effettuato il pagamento in misura ridotta per l´unica sanzione oblabile quella di cui all´art. 161 del Codice

VISTO lo scritto difensivo inviato ai sensi dell´art. 18 della legge n. 689/1981, con il quale l´Azienda, relativamente al trattamento di dati personali effettuato all´atto della prenotazione telefonica di una visita ambulatoriale, ha evidenziato di avere, in effetti, reso l´informativa di cui all´art. 13 agli interessati mediante i medici convenzionati nonché direttamente tramite il servizio postale a tutti gli iscritti al servizio sanitario regionale. Riguardo la tenuta di un aggiornato Documento programmatico sulla sicurezza, l´Azienda, nel riconoscere "(…) di non aver ottemperato a quanto previsto dal punto 19 dell´allegato B) al D.LGS 196/2003" ha tuttavia documentato la successiva adozione delle misure di sicurezza e in particolare la redazione del Documento programmatico sulla sicurezza entro il 31 marzo 2010, chiedendo che questi elementi siano valutati in relazione alla determinazione dell´importo della sanzione amministrativa contestata;

RITENUTO che le argomentazioni addotte risultano idonee solo parzialmente per escludere la responsabilità in relazione a quanto contestato. Durante l´attività di controllo, formalizzata con il verbale di operazioni compiute, l´Azienda non ha fornito alcun elemento circa le modalità con le quali, nel rispetto di quanto previsto dall´art. 13 del Codice e del provvedimento a carattere generale sugli adempimenti semplificati per il customer care (in bound) del 15 novembre 2007, ha reso, nel tempo, l´informativa agli interessati, con particolare riferimento al trattamento di dati personali effettuato all´atto di una prenotazione telefonica al CUP. Solo negli scritti difensivi è stato illustrato più dettagliatamente il procedimento con il quale tale informativa, negli anni, è stata resa a tutti gli iscritti al Servizio Sanitario Regionale. Ma, anche a fronte delle precisazioni fornite, non risulta ancora puntualmente accertato se il CUP, fino al 30 settembre 2009 (data a partire dalla quale è stata pubblicata sul sito istituzionale un´informativa completa), abbia mai reso l´informativa prevista dall´art. 13, anche oralmente e nelle forme semplificate di cui al provvedimento del 15 novembre 2007, alle persone che contattano l´Azienda e forniscono i propri dati personali per prenotare una visita, ciò in particolar modo per coloro che non sono iscritti al SSR, e quindi mai raggiunti in precedenza da alcuna informativa. Non rilevandosi tuttavia dagli atti elementi istruttori che consentano di accertare se tale omissione si sia in concreto verificata, il procedimento sanzionatorio relativo alla violazione dell´art. 161 del Codice deve comunque essere archiviato;

RITENUTO, peraltro, di non doversi procedere all´applicazione della sanzione amministrativa di cui all´art. 161 del Codice;

RILEVATO, peraltro, che l´Azienda ha effettuato un trattamento di dati (art. 4 comma 1, lett. a) e b) del Codice) omettendo di adottare alcune delle misure minime di sicurezza ai sensi dell´art. 33 del Codice, non redigendo un aggiornato documento programmatico sulla sicurezza pur essendovi tenuta trattando, in formato elettronico, dati idonei a rilevare lo stato di salute degli interessati;

VISTO l´art. 162, comma 2-bis, del Codice, nella formulazione antecedente alla modifica apportata con la legge 20 novembre 2009 n. 166, che punisce la violazione delle disposizioni indicate nell´art. 33 del Codice con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro;

CONSIDERATO che, ai fini della determinazione dellammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge 24 novembre 1981 n. 689, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

RITENUTO che, nel caso in cui l´infrazione non abbia caratterizzazioni specifiche che possano portare a valutazioni di maggiore o minor rigore, nella determinazione della sanzione può ritenersi corretta l´individuazione di un importo pari al terzo del massimo o, se più favorevole, al doppio del minimo, in linea con quanto previsto dall´art. 16 della L. n. 689/1981, ferma restando la valutazione degli ulteriori elementi previsti dall´art. 11 della medesima legge (Cass. civ., sez. I, 4 novembre 1998, n. 11054);

CONSIDERATO che, nel caso in esame:

a) la gravità della violazione deve essere valutata tenendo conto dell´apprezzabile entità del potenziale pregiudizio o del pericolo poiché è stata posta in essere nell´ambito di un´azienda sanitaria;

b) l´opera svolta dall´agente non può essere favorevolmente apprezzata atteso che, come si evince dagli scritti difensivi, alla data della contestazione della sanzione amministrativa l´Azienda era ancora in fase organizzativa al fine di ottemperare agli obblighi di cui all´art. 33 (punto 19 dell´allegato B al Codice);

c) in ordine alla personalità dell´autore della violazione, deve essere positivamente considerata la circostanza che l´Azienda non risulti avere precedenti specifici in termini di violazioni alle disposizioni del Codice;

d) trattandosi di un ente pubblico, le condizioni economiche dell´agente, al fine di commisurare l´importo della sanzione alla reale capacità economica del trasgressore nel rispetto del principio di uguaglianza, non sostanziano elementi specifici idonei ad incidere sulla quantificazione della sanzione;

RITENUTO di dover determinare, ai sensi dell´art. 11 della L. n. 689/1981, l´ammontare della sanzione pecuniaria nella misura di euro 20.000,00 (ventimila), sia in ragione dei suddetti elementi valutati nel loro complesso, sia alla luce delle modifiche apportate all´apparato sanzionatorio del Codice con legge 20 novembre 2009, n. 166;
VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Francesco Pizzetti;

DISPONE

l´archiviazione del procedimento sanzionatorio amministrativo con riferimento alla contestazione relativa alla violazione di cui all´art. 13 del Codice;

ORDINA

all´Azienda USL della Valle D´Aosta, con sede in Aosta via Guido Rey n. 1, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 20.000,00 (ventimila) a titolo di sanzione amministrativa pecuniaria per la violazione prevista dall´art. 162, comma 2 bis, relativamente all´art. 33 del Codice indicata in motivazione;

INGIUNGE

alla medesima Azienda di pagare la somma di euro 20.000,00 (ventimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale o in copia autentica, quietanza dell´avvenuto versamento.

Avverso il presente provvedimento, ai sensi dell´art. 152 del Codice, può essere proposta opposizione davanti al tribunale ordinario del luogo ove ha sede il titolare del trattamento entro il termine di trenta giorni dalla notificazione del presente provvedimento.

Roma, 21 aprile 2011

IL PRESIDENTE
Pizzetti

IL RELATORE
Pizzetti

IL SEGRETARIO GENERALE
De Paoli