g-docweb-display Portlet

Ordinanza di ingiunzione nei confronti di Policlinico Sassarese s.p.a. - 20 settembre 2012 [2268477]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 2268477]

Ordinanza di ingiunzione nei confronti di Policlinico Sassarese s.p.a. - 20 settembre 2012

Registro dei provvedimenti
n. 251 del 20 settembre 2012

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

ESAMINATO il rapporto del Nucleo speciale privacy della Guardia di finanza predisposto ai sensi dell´art. 17 della legge 24 novembre 1981, n. 689, relativo al verbale di contestazione per cinque distinte violazioni amministrative redatto in data 24 febbraio 2010 nei confronti del Policlinico Sassarese s.p.a. (d´ora in poi Policlinico), con sede in Sassari, viale Italia n. 11, in persona del legale rappresentante pro-tempore, per violazione degli artt. 13 (in relazione a due distinti trattamenti di dati), 23, 37 e 154, comma 1, lett. c),  del Codice in materia di protezione dei dati personali (di seguito denominato Codice);

RILEVATO che il Nucleo speciale privacy della Guardia di finanza, in esecuzione della richiesta di informazioni ai sensi dell´art. 157 del Codice n. 200001/U del 16 settembre 2009 formulata da questa Autorità, ha svolto gli accertamenti di cui al verbale di operazioni compiute datato 23 e 24 febbraio 2010, dal quale è risultato che il Policlinico: a) ha effettuato un trattamento di dati personali mediante l´utilizzo di due impianti di videosorveglianza, rendendo, per l´impianto composto da quattro telecamere poste al piano terra della società, un´informativa semplificata inidonea e omettendo di rendere l´informativa circostanziata, in violazione di quanto previsto dall´art. 13 del Codice e dal provvedimento del Garante sulla videosorveglianza del 29 aprile 2004 in vigore all´epoca dei fatti; b) ha trattato dati sensibili per prestazioni ambulatoriali senza rendere l´informativa di cui all´art. 13 del Codice e senza acquisire il necessario consenso ai sensi dell´art. 23, comma 4 del Codice; c) ha effettuato trattamenti di dati personali di cui all´art. 37, comma 1, lett. a) e b), del Codice senza aver provveduto tempestivamente (ma solo in data 31 dicembre 2005) alla notificazione al Garante; d) ha omesso di adottare, in violazione dell´art. 154, comma 1, lett. c), del Codice, le prescrizioni di cui al provvedimento del Garante datato 1° marzo 2007, recante "Linee guida del Garante per posta elettronica e internet";

VISTO il verbale n. 18/2010 del 24 febbraio 2010 (che qui si intende integralmente richiamato) con cui sono state contestate al Policlinico le violazioni amministrative previste dagli artt. 161 (applicato due volte per i due distinti trattamenti afferenti la videosorveglianza e i dati sensibili per prestazioni ambulatoriali), 162, commi 2-bis e 2-ter nonché dall´art. 163 del Codice, in relazione agli artt. 13, 23, 37 e 154, comma 1, lett. c), informandolo della facoltà di effettuare il pagamento in misura ridotta ai sensi dell´art. 16 della legge n. 689/1981;

RILEVATO dal predetto rapporto che non risulta essere stato effettuato il pagamento in misura ridotta;

VISTO lo scritto difensivo datato 23 marzo 2010, inviato ai sensi dell´art. 18 della legge n. 689/1981 nel quale il Policlinico, riguardo ai due rilievi afferenti l´informativa di cui all´art. 13 del Codice e il consenso di cui all´art. 23 del Codice, relativi al trattamento dei dati sensibili per prestazioni ambulatoriali, ha evidenziato che all´atto della prenotazione della visita ambulatoriale "(…) i dati che vengono richiesti sono quelli relativi all´identificazione del soggetto richiedente ed alla sua residenza" e che "(…) in tale circostanza viene in ogni caso fornita l´informativa orale sul trattamento dei dati", mentre "successivamente, al momento della visita ambulatoriale e dell´eventuale ricovero, viene formalizzata l´informativa scritta con richiesta di consenso al trattamento dei dati personali". Diversamente, circa la violazione di cui all´art. 13 del Codice relativa al trattamento dei dati personali effettuato mediante l´impianto di videosorveglianza, il Policlinico ha precisato che "(…) accanto a ciascuna telecamera funzionante vi è un apposito cartello che riporta la dovuta informativa" che, in base a quanto accertato dai verbalizzanti "(…) non sarebbe circostanziata". Al riguardo, il Policlinico ha evidenziato che lo stesso "(…) con nota del 25.07.2005 ha provveduto a richiedere chiarimenti (…) al Garante (…) ed ha operato attenendosi alle indicazioni dell´Autorità (…)". Relativamente alla violazione di cui all´art. 37, comma 1, lett. a) e b), del Codice, il Policlinico, negando di aver omesso o effettuato in maniera incompleta la notificazione al Garante, ha ribadito di aver adempiuto all´obbligo in argomento in data 31 dicembre 2005. Con riferimento alla violazione di cui all´art. 154, comma 1, lett. c), del Codice, il medesimo ha osservato che "(…) per la manutenzione dell´hardware del sistema informatico si avvale dell´opera di (…) Solaris s.p.a. (che) (..) è stata nominata responsabile del trattamento (…)", descrivendo, poi, gli accorgimenti adottati a salvaguardia del sistema informatico della società;

TENUTO CONTO che con la nota n. 10368/U del 18 maggio 2011 ritualmente notificata, l´Ufficio del Garante ha convocato il Policlinico per essere sentito ai sensi dell´art. 18 della legge n. 689/1981, ma che nessun rappresentante si è presentato alla stessa senza, peraltro, inviare alcuna comunicazione;

RITENUTO che le argomentazioni addotte non risultano idonee ad escludere la responsabilità del Policlinico in relazione a quanto contestato per le motivazioni di seguito riportate distintamente per ciascun rilievo. Riguardo ai due rilievi afferenti all´informativa di cui all´art. 13 del Codice e il consenso di cui all´art. 23 del Codice relativi al trattamento dei dati sensibili resi nell´ambito di prestazioni ambulatoriali, si osserva come le violazioni contestate siano state puntualmente accertate ai sensi dell´art. 14 della legge n. 689/1981, atteso che, a fronte della domanda inequivoca formulata dal verbalizzanti nel verbale di operazioni compiute, il direttore sanitario del Policlinico ha risposto, in maniera altrettanto inequivoca, come "agli interessati che si presentano presso l´accettazione per i servizi ambulatoriali l´informativa, per scelta societaria, non viene fornita" in considerazione delle motivazioni illustrate nel medesimo verbale. Nel merito è stato altresì specificato, che "per lo stesso motivo l´informativa non viene resa e il consenso non viene raccolto nemmeno quando lo stesso interessato si presenta per effettuare la visita ambulatoriale precedentemente prenotata". Sul punto, inoltre, si rileva come quanto riportato negli scritti difensivi circa la formalizzazione scritta dell´informativa con richiesta di consenso, non è stato supportato da alcun elemento di fatto. Nell´ambito del procedimento non è stato, peraltro, nemmeno rappresentato se e con quali modalità il Policlinico abbia eventualmente adottato le misure di semplificazione in tema di informativa e consenso previste per i trattamenti di dati personali in ambito sanitario nella parte II, titolo V, del Codice in materia di protezione dei dati personali. Relativamente alla violazione dell´art. 13 del Codice inerente all´impianto di videosorveglianza installato al piano terra della struttura ove ha sede il Policlinico, si evidenzia come, diversamente da quanto sostenuto, la Guardia di finanza abbia accertato, ai sensi del già citato art. 14 della legge n. 689/1981, l´inidoneità delle informative semplificate affisse in prossimità delle telecamere sotto un duplice profilo: nei casi in cui erano presenti al piano terra, le predette informative non risultavano immediatamente visibili agli interessati essendo di piccole dimensioni e affisse in alto vicino alle telecamere; le stesse risultavano comunque prive dell´indicazione del titolare del trattamento, così come previsto al punto 3.1 del provvedimento del Garante sulla videosorveglianza datato 29 aprile 2004, in vigore all´epoca dei fatti (e rappresentato nel modello di informativa semplificata allegato al provvedimento stesso).  Si osserva altresì che il Garante, fornendo riscontro alla citata richiesta del Policlinico menzionata nelle memorie difensive, aveva indicato chiaramente, con la nota n. 12633/42866 dell´8 giugno 2005, quanto necessario al fine di effettuare il trattamento di dati in questione ottemperando a tutti gli obblighi previsti, ivi compresa "la predisposizione dell´informativa da rendere agli interessati eventualmente utilizzando il modello semplificato messo a disposizione dal Garante in allegato al citato provvedimento".  Con riferimento alla violazione dell´art. 37, comma 1, lett. a) e b), risulta inconferente quanto asserito negli scritti difensivi atteso che, preso atto di quanto ribadito dal Policlinico in merito alla data di avvenuta notificazione al Garante, la violazione di che trattasi si configura anche quando la notificazione all´Autorità viene effettuata tardivamente, ovvero successivamente all´inizio dei trattamenti previsti dall´art. 37, comma 1, lett. a) e b). Risulta inconferente anche quanto asserito circa la contestata violazione di cui all´art. 154, comma 1, lett. c), del Codice, atteso che le prescrizioni impartite dal Garante con il provvedimento datato 1° marzo 2007, recante "Linee guida del Garante per posta elettronica e internet" non riguardano alcuno degli elementi menzionati nello scritto difensivo;

RILEVATO, quindi, che il Policlinico ha effettuato un trattamento di dati personali mediante l´utilizzo di un impianto di videosorveglianza senza rendere un´informativa semplificata idonea, in violazione di quanto previsto dall´art. 13 del Codice e dal provvedimento del Garante sulla videosorveglianza del 29 aprile 2004 in vigore all´epoca dei fatti: ha trattato dati sensibili in relazione a prestazioni ambulatoriali senza rendere l´informativa di cui all´art. 13 del Codice e senza acquisire il necessario consenso ai sensi dell´art. 23, comma 4, del Codice; ha effettuato trattamenti di dati personali di cui all´art. 37, comma 1, lett. a) e b), del Codice senza aver provveduto tempestivamente alla notificazione al Garante;

RILEVATO, invece, che sulla base degli atti e di quanto rappresentato nel corso del procedimento non sussistono elementi per applicare la sanzione prevista dall´art. 162 comma 2-ter in quanto il punto 2) del dispositivo del provvedimento del Garante datato 1° marzo 2007, recante "Linee guida del Garante per posta elettronica e internet", indica l´adozione e la pubblicazione di un disciplinare interno (linee guida di cui al punto 3.2 del provvedimento citato) tra le misure meramente opportune, per cui la loro mancata adozione non determina un´inosservanza del provvedimento in parola sanzionabile ai sensi dell´art. 162, comma 2-ter, del Codice;

VISTO l´art. 161 del Codice che punisce la violazione delle disposizioni di cui all´art. 13 con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro per ciascuna delle due violazioni accertate;

VISTO l´art. 162, comma 2-bis, del Codice che punisce la violazione delle disposizioni indicate nell´art. 167 del Codice, tra le quali quella di cui all´art. 23 del medesimo Codice, con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

VISTO l´art. 163 del Codice, nella formulazione antecedente alla modifica apportata con d.l. n. 207 del 30 dicembre 2008 (essendosi l´omissione protratta fino alla data del 31 dicembre 2005), convertito con legge 27 febbraio 2009, n. 14, che punisce la violazione delle disposizioni di cui agli art. 37 e 38 con la sanzione amministrativa del pagamento di una somma da diecimila euro a sessantamila euro;

RITENUTO che, nel caso in cui l´infrazione non abbia caratterizzazioni specifiche che possano portare a valutazioni di maggiore o minor rigore, nella determinazione della sanzione può ritenersi corretta l´individuazione di un importo pari al terzo del massimo o, se più favorevole, al doppio del minimo, in linea con quanto previsto dall´art. 16 della l. n. 689/1981, ferma restando la valutazione degli ulteriori elementi previsti dall´art. 11 della medesima legge (Cass. civ., sez. I, 4 novembre 1998, n. 11054);

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge 24 novembre 1981 n. 689, della gravità della violazione, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della stessa, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a) in ordine all´aspetto della gravità, relativamente alle contestazione di cui agli artt. 161 e 162, comma 2-bis afferenti al trattamento dei dati sensibili resi dai pazienti del Policlinico per le prestazioni ambulatoriali, gli elementi dell´entità del pregiudizio o del pericolo, dell´intensità dell´elemento psicologico e delle modalità concrete della condotta devono essere valutati in termini di aumento della sanzione poiché per il trattamento in questione nessuna informativa e nessun consenso risultano documentati in atti nonostante la natura dei dati trattati; i medesimi elementi, con riferimento alle contestazioni di cui agli artt. 161 e 163 relative rispettivamente all´impianto di videosorveglianza e all´omessa notificazione al Garante, devono essere valutate in senso favorevole alla parte, nel primo caso in ragione della semplice inidoneità dell´informativa, mentre, nel secondo, a fronte del fatto che il trasgressore, anche se tardivamente, ha provveduto a notificare all´Autorità prima dell´attività di controllo effettuata dalla Guardia di finanza;

b)  ai fini della valutazione dell´opera svolta dall´agente, relativamente a entrambe le contestazioni di cui all´art. 161 e a quella di cui all´art. 162, comma 2-bis, si rileva come il Policlinico non abbia fornito alcun elemento di riscontro documentale circa l´avvenuto adempimento degli obblighi oggetto di contestazione, mentre, riguardo alla violazione di cui all´art. 163, si rinvia a quanto già esposto alla lett. a);

c) circa la personalità dell´autore della violazione, deve essere positivamente considerata la circostanza che il Policlinico non risulta avere precedenti specifici in termini di violazioni alle disposizioni del Codice;

d) in merito alle condizioni economiche dell´agente, al fine di commisurare l´importo della sanzione alla reale capacità economica del trasgressore nel rispetto del principio di uguaglianza, si rileva che il Policlinico, per l´anno 2010, risulta aver conseguito un cospicuo valore della produzione;

RITENUTO di dover determinare, ai sensi dell´art. 11 della legge n. 689/1981, l´ammontare della sanzione per la violazione dell´art. 161, in relazione al trattamento dei dati sensibili per prestazioni ambulatoriali, nella misura di euro 18.000,00 (diciottomila); per la violazione dell´art. 161, in relazione al trattamento dei dati per mezzo di un impianto di videosorveglianza, nella misura di euro 6.000,00 (seimila); per la violazione dell´art. 162,comma 2-bis, nella misura di euro 30.000,00 (trentamila) e per la violazione dell´art. 163, nella misura di euro 10.000,00 (diecimila), per un importo complessivo pari a euro 64.000,00 (sessantaquattromila);

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la prof.ssa Licia Califano;

DISPONE

l´archiviazione del procedimento sanzionatorio amministrativo con riferimento alla contestazione relativa alla violazione di cui all´art. 154, comma 1, lett. c), del Codice;

ORDINA

al Policlinico Sassarese s.p.a., con sede in Sassari, viale Italia n. 11, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 64.000,00 (sessantaquattromila) a titolo di sanzione amministrativa pecuniaria per le due violazioni previste dall´art. 161 e per quelle previste dagli artt. 162, comma 2-bis e 163 del Codice;

INGIUNGE

alla medesima società di pagare la somma di euro 64.000,00 (sessantaquattromila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale o in copia autentica, quietanza dell´avvenuto versamento.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 20 settembre 2012

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia