Diritti interna

Doveri interna

ricerca avanzata

Ordinanza ingiunzione nei confronti di Centro Laser s.r.l. - 20 luglio 2017 [7592608]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
7592608
Data:
20/07/17
Argomenti:
Imprese , Misure di sicurezza , Informativa , Password
Tipologia:
Ordinanza ingiunzione o revoca

[doc. web n. 7592608]

Ordinanza ingiunzione nei confronti di Centro Laser s.r.l. - 20 luglio 2017

Registro dei provvedimenti
n. 328 del 20 luglio 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

RILEVATO che la Guardia di finanza, Nucleo speciale privacy, in esecuzione della richiesta di informazioni n. 22908/91026 del 24 luglio 2014 formulata ai sensi dell´art. 157 del d. lgs. 30 giugno 2003 n. 196, recante il Codice in materia di protezione dei dati personali (di seguito "Codice") ha svolto, formalizzandola con il verbale di operazioni compiute datato 12 novembre 2014, un´attività di controllo nei confronti di Centro Laser s.r.l. P.Iva: 01354781211, con sede in Castellamare di Stabia (Na), viale Puglia n. 1, in persona del legale rappresentante pro-tempore. Tale attività di controllo ha consentito di accertare:

1. che gli accessi all´applicativo "DTS Consulting" (gestione laboratorio) in uso alla società per l´aggiornamento delle anagrafiche e delle richieste di prestazioni sanitarie dei clienti, nonché al portale internet dedicato al servizio di referti on-line, avvengono tramite procedure di autenticazione che comportano l´utilizzo da parte degli operatori di password composte da meno di otto caratteri nonostante il sistema preveda la possibilità di utilizzare password con un numero di caratteri superiore a otto, in violazione di quanto previsto dall´Allegato B al Codice , regola nr. 5;

2. che la società non ha reso l´informativa agli interessati di cui all´art. 13 del Codice per il trattamento dei dati raccolti tramite il form denominato "richiesta di prenotazione" del sito Internet della società www.centrolaser.biz;

RILEVATO, altresì, che nell´ambito dell´istruttoria preliminare successiva all´accertamento della Guardia di finanza – effettuata dal Dipartimento attività ispettive e sanzioni dell´Ufficio del Garante, ai sensi dell´art. 16 del Regolamento n. 1/2007 –, la notificazione prevista dall´art. 37 del Codice e presente sul Registro dei trattamenti (al sito web: https://web.garanteprivacy.it) non è stata aggiornata dalla Società con l´indicazione, espressamente richiesta, circa l´effettuazione di trattamenti tramite sito web (nome del dominio del sito web utilizzato, paese di ubicazione dei server, ecc.), risultando invece negato l´utilizzo di tale tipologia di trattamento;

VISTI i verbali nn.rr. 104 e 105 entrambi redatti dal Nucleo speciale privacy della Guardia di finanza in data 15 dicembre 2015 e 17945/97059 del 18 giugno 2015 redatto dall´Ufficio del Garante, con i quali sono state contestate a Centro Laser s.r.l., rispettivamente, la violazione amministrativa, non definibile in via breve ai sensi dell´art. 16 della legge 24 novembre 1981, n. 689, prevista dall´art. 162, comma 2-bis del Codice, in relazione alle misure indicate nell´art. 33, la violazione amministrativa, definibile in via breve ai sensi dell´art. 16 della legge 24 novembre 1981, n. 689, prevista dall´art. 161 del Codice, in relazione all´art. 13 e la violazione amministrativa, definibile in via breve ai sensi dell´art. 16 della legge 24 novembre 1981, n. 689, prevista dall´art. 163 del Codice, in relazione all´art. 37;

VISTO il verbale dell´audizione delle parti redatto in data 5 novembre 2016, ai sensi dell´art. 18 della legge n. 689/1981, nel quale Centro Laser s.r.l., relativamente al verbale di contestazione n. 17945/97059, ha evidenziato, nella memoria difensiva prodotta in tale circostanza,  come la condotta oggetto di contestazione "(…) si riferisce semplicemente, ad una modalità di consegna atipica del referto, che consente di condividere con il solo paziente, e per un tempo definito (…). In pratica non sono mutate le modalità di trattamento e certamente non sono modificati i trattamenti", deducendone che "(…) nel nostro caso, non si tratta di un vero e proprio NUOVO TRATTAMENTO ma di diversa modalità di gestione del dato stesso, operato su scelta del paziente stesso, con modalità chiare e trasparenti illustrate al paziente stesso, non necessario ai sensi e nella ratio del provvedimento impugnato". Inoltre, ha rilevato la "Errata Formulazione della Contestazione" poiché "(…) non risultano mai indicati con precisione gli estremi della normativa di riferimento, facendosi riferimento genericamente a Codice, limitandosi notevolmente le possibilità di difesa del Centro Laser Srl". Ha rilevato, altresì, la "Sproporzione della Sanzione rispetto alla Violazione" motivandola, tra l´altro, sia in quanto "(…) i dati depositati da altri gestori dei dati risultano nella quasi totalità incompleti e le sanzioni in tal senso, (…), praticamente inesistenti. La conferma di tale sproporzione e di evidente accanimento, si hanno se si considera che è stato contestata un´altra violazione, (…), che ha portato al pagamento di una sanzione di euro 30.000,00 in oblazione, pur di evitare le lungaggini di un procedimento giudiziario";

VISTO lo scritto difensivo datato 3 gennaio 2017 inviato ai sensi dell´art. 18 della legge n. 689/1981, con il quale, a scioglimento della riserva formulata nel citato verbale di audizione, con riferimento al verbale di contestazione nr. 104 datato 15 dicembre 2014, Centro Laser s.r.l. nell´osservare come per la contestazione in argomento "(…) non può parlarsi di omissione di misure minime di sicurezza, ma mancata operatività di alcune procedure a supporto delle attività", ne fa discendere che per il caso che occupa "(…) non si tratta certamente di violazione dell´art. 33, in quanto l´organizzazione ha approntato tutte le misure richieste dal Codice Privacy, ma al limite di una non completa applicazione del solo art. 34 comma 1 bis lettera b, in riferimento all´All.B comma 5, per il quale non sono previste specifiche sanzioni(…)". Riguardo al verbale di contestazione nr. 105 datato 15 dicembre 2014, Centro Laser s.r.l. nell´evidenziare come l´informativa di cui all´art. 13 del Codice "(…) è presente nell´area del sito sportello del Paziente e nell´area curriculum (nonché) affissa sulla bacheca del Centro (…) ed è ulteriormente specificata nel modulo di richiesta delle credenziali per ottenere un referto on line", ha osservato come "(…) nel caso della prenotazione, (…) vi è un semplice inserimento di dati non sensibili (…), a seguito del quale il personale del Centro chiama l´interessato per la prenotazione della prestazione sanitaria, informandolo oralmente del trattamento dei dati (in conformità al comma 1 e al comma 4 dell´art. 13 D.lgs 196/2003). Successivamente a questo primo contatto, per ogni attività che preveda la gestione di dati personali (…), l´utente si troverà in contatto con tutte le informative, per iscritto, formalizzate e firma idoneo consenso alla gestione dei dati stessi". Inoltre, ha rilevato la "Errata Formulazione della Contestazione" poiché "(…) non risultano mai indicati con precisione gli estremi della normativa di riferimento, facendosi riferimento genericamente a Codice, limitandosi notevolmente le possibilità di difesa del Centro Laser Srl". Ha rilevato, altresì, la "Sproporzione della Sanzione rispetto alla Violazione", atteso che "Le difformità riscontrate non sono attribuibili a dolo, ignoranza della materia o cattiva organizzazione, ma a semplici errori operativi, ininfluenti sulla sicurezza e la trasparenza nella gestione dei dati";

CONSIDERATO che le argomentazioni addotte non permettono di escludere la responsabilità di Centro Laser s.r.l. in relazione alla contestazione in argomento.

Relativamente a quanto dedotto in riferimento alla contestazione nr. 104 datato 15 dicembre 2014 per la violazione prevista dall´art. 162, comma 2-bis del Codice in relazione alle misure indicate nell´art. 33 del Codice, si evidenzia come il trasgressore travisi quanto disciplinato dagli artt. 33 e 34 del Codice in ordine alle misure minime di sicurezza. L´art. 33 prevede esplicitamente che "(…) i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente Capo (Parte I Capo II Misure minime di sicurezza)". Il Capo del Codice richiamato ricomprende, tra gli altri, l´art. 34 del Codice che, riguardo ai trattamenti di dati con strumenti elettronici, subordina la liceità dei trattamenti di dati in parola all´adozione delle misure minime di sicurezza elencate dai punti da a) a h) nei modi previsti dall´allegato B al Codice. Risulta evidente come l´art. 33 del Codice, nel rappresentare la norma generale che dispone l´obbligatorietà dell´adozione delle misure minime di sicurezza, è stato puntualmente qualificato dall´organo accertatore quale norma violata, mentre il disposto dell´art. 34, quale norma speciale, disciplina le modalità di applicazione di quanto previsto dall´art. 33 nello specifico ambito dei trattamenti con strumenti elettronici. Nel caso che ci occupa, quindi, il modo previsto dall´allegato B) al Codice per applicare le misure minime di sicurezza ai trattamenti di dati effettuati con strumenti elettronici da Centro Laser s.r.l. è quello disciplinato al punto 5 del predetto allegato B) che impone l´utilizzo di password composte da un numero di caratteri pari o superiore a otto. Quanto sopra non consente di qualificare gli elementi costitutivi della disciplina sull´errore scusabile di cui all´art. 3 della legge n. 689/1981, atteso che l´errore sulla liceità del fatto, comunemente indicato come buona fede, può rilevare come causa di esclusione della responsabilità solo quando esso risulti incolpevole. A tal fine occorre, cioè, un elemento positivo idoneo ad indurre un errore siffatto, non ovviabile dall´interessato con l´ordinaria diligenza, elemento che non è riscontrabile nel caso di specie (Cass. Civ. sez. I del 21 febbraio 1995 n. 1873; Cass. Civ. sez II del 13 marzo 2006, n. 5426).

Relativamente a quanto dedotto in riferimento alla contestazione nr. 105 datata 15 dicembre 2014 per la violazione prevista dall´art. 161 del Codice in relazione al fatto di non avere reso l´informativa agli interessati di cui all´art. 13 del Codice per il trattamento dei dati degli interessati raccolti tramite il form denominato "richiesta di prenotazione" del sito Internet della società www.centrolaser.biz, si evidenzia l´inconferenza di quanto argomentato circa il fatto che l´informativa di cui all´art. 13 del Codice "(…) è presente nell´area del sito sportello del Paziente e nell´area curriculum (nonché) affissa sulla bacheca del Centro (…) ed è ulteriormente specificata nel modulo di richiesta delle credenziali per ottenere un referto on line". La condotta oggetto di contestazione non inerisce alcuno dei trattamenti richiamati dalla società, ma solo quello relativo alla raccolta di dati degli interessati effettuata tramite il form di raccolta denominato "richiesta di prenotazione", ove, peraltro, sul punto, non è stato fornito alcun elemento aggiuntivo rispetto a quelli già presi in esame nell´ambito dell´accertamento della violazione contestata. Risulta poi privo di pregio quanto dedotto circa la circostanza per la quale "(…) il personale del Centro chiama l´interessato per la prenotazione della prestazione sanitaria, informandolo oralmente del trattamento dei dati (…)", atteso che quella applicabile al caso in esame è la disciplina scandita dall´art. 13 comma 1 del Codice che impone di rendere l´informativa agli interessati previamente rispetto all´effettuazione del trattamento oggetto di contestazione. E´ di tutta evidenza come, per effetto di quanto previsto dall´art. 4, comma 1 lett. a) del Codice, il trattamento di dati in argomento ha avuto inizio nel momento del loro conferimento da parte degli interessati tramite il form di raccolta denominato "richiesta di prenotazione" senza che venisse resa previamente, così come accertato ai sensi dell´art. 13 della legge n. 689/1981, la prescritta informativa ai sensi dell´art. 13 del Codice.

Parimenti inconferente risulta quanto dedotto relativamente alla sproporzione dell´importo della sanzione. Sul punto si evidenzia come l´organo accertatore dell´illecito contestato, non abbia alcun potere discrezionale in ordine alla determinazione dell´importo della sanzione, potendo solo indicare, come gli impone l´art. 16 della legge n. 689/1981, l´ammontare della somma necessaria al pagamento in misura ridotta utile all´eventuale estinzione del procedimento amministrativo sanzionatorio. L´applicazione dei criteri previsti dall´art. 11 della legge n. 689/1981 spetta all´autorità che, definendo il procedimento amministrativo sanzionatorio, adotta l´ordinanza ingiunzione, ovvero il Garante.

Si rileva, altresì, la pretestuosità di quanto argomentato circa la "Errata Formulazione della Contestazione" poiché "(…) non risultano mai indicati con precisione gli estremi della normativa di riferimento (…)", considerato che tale atto, oltre che in ogni sua parte, a pagina 2 nella parte denominata RILIEVO individua la fattispecie contestata indicando sia la norma violata (art. 13 del Decreto Legislativo 30.6.2003, n. 196) sia la norma sanzionatoria (art. 161 del Decreto Legislativo 30.6.2003, n. 196).

Relativamente a quanto dedotto in riferimento alla contestazione nr. 17945/97059 datata 18 giugno 2015 per la violazione prevista dall´art. 163 del Codice in relazione al mancato aggiornamento della notificazione al Garante di cui all´art. 37 del Codice, si evidenzia come la società ritenga erroneamente che "(…) nel nostro caso, non si tratta di un vero e proprio NUOVO TRATTAMENTO ma di diversa modalità di gestione del dato stesso, operato su scelta del paziente stesso, con modalità chiare e trasparenti illustrate al paziente stesso, non necessario ai sensi e nella ratio del provvedimento impugnato(…)". Sul punto il disposto dell´art. 38 del Codice, nel disciplinare le modalità attraverso le quali ottemperare all´obbligo di notificazione di cui all´art. 37 del Codice, dispone, al comma 4, l´obbligatorietà della notificazione, come nel caso di specie, a fronte del mutamento di taluno degli elementi da indicare nella notificazione medesima, ove, peraltro, le osservazioni formulate dalla società non apportano alcun elemento aggiuntivo rispetto a quelli già valutati in sede di accertamento della violazione contestata. Inoltre, in ordine alla "Errata Formulazione della Contestazione", si ribadisce quanto già rappresentato relativamente alla contestazione nr. 105 datata 15 dicembre 2014. Diversamente, riguardo quanto osservato circa la "Sproporzione della Sanzione rispetto alla Violazione", se per un verso deve essere nuovamente ribadito quanto già menzionato a proposito della contestazione nr. 105 datata 15 dicembre 2014 sulla quantificazione della sanzione, per altro verso si evidenzia l´inconferenza di quanto esposto circa la circostanza che l´avvenuto pagamento "(…) di una sanzione di euro 30.000,00 in oblazione (…)"possa essere attribuito a un "(…) evidente accanimento (…)". Sul punto deve preliminarmente essere evidenziato come tali osservazioni non possano essere messe in relazione alla contestazione nr. 17945/97059 datata 18 giugno 2015 per la violazione prevista dall´art. 163 del Codice in relazione al mancato aggiornamento della notificazione al Garante di cui all´art. 37 del Codice. Eventualmente tali osservazioni vanno messe in relazione alla distinta fattispecie della violazione delle misure minime di sicurezza, senza che, ad ogni modo, producano alcun effetto. In effetti le disposizioni di cui all´art. 162, comma 2 bis, e all´art. 169, sono indirizzate alla tutela di interessi pubblici compatibili ma diversi, infatti, mentre la norma sanzionatoria amministrativa (applicata al caso che ci occupa) tende a prevenire e a reprimere i comportamenti omissivi e negligenti del titolare o del responsabile del trattamento, la norma penale si pone il principale obiettivo, attraverso l´istituto del "ravvedimento operoso" descritto nel comma 2 dell´art. 169 del Codice, di ripristinare un minimo livello di sicurezza nei sistemi e negli archivi contenenti dati personali. La logica conseguenza è che fra le predette norme non vi sia concorso apparente e conseguentemente alcun rapporto di specialità. In conclusione con la formula contenuta nella norma sanzionatoria amministrativa di cui all´art 162, comma 2-bis del Codice "è altresì applicata in sede amministrativa, in ogni caso, la sanzione…" si è intesa fare salva l´irrogazione della sanzione amministrativa pecuniaria anche nei casi in cui la condotta dell´agente integri il reato di cui all´art. 169, potendosi disapplicare il principio di specialità stabilito dall´art. 9 della legge n. 689/1981;

RILEVATO, pertanto, che Centro Laser s.r.l. ha effettuato un trattamento di dati personali (art. 4 comma 1, lett. a) e b) del Codice), omettendo di adottare le misure minime di sicurezza ai sensi dell´art. 33 del Codice, senza rendere l´informativa di cui all´art. 13 del Codice e omettendo di effettuare l´aggiornamento della notificazione al Garante ai sensi degli artt. 37 e 38 del Codice;

VISTO l´art. 161 del Codice, che punisce la violazione delle disposizioni di cui all´art. 13 del medesimo Codice con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro;

VISTO l´art. 162, comma 2-bis, del Codice che punisce la violazione delle disposizioni indicate nell´art. 33 del Codice con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

VISTO l´art. 163 del Codice che punisce la violazione delle disposizioni di cui agli art. 37 e 38 con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro;

RITENUTO, così come rilevato nei verbali di contestazione nn.rr. 105 del 15 dicembre 2014 per la violazione prevista dall´art. 161 del Codice e 17945/97059 del 18 giugno 2015 per la violazione prevista dall´art. 163 del Codice, che sussistono gli elementi per qualificare le violazioni di minore gravità che consentono di applicare, pertanto, la previsione di cui all´art. 164-bis, comma 1, del Codice per l´illecito contestato;

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge 24 novembre 1981 n. 689, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore e che, pertanto, l´ammontare della sanzione pecuniaria con riferimento alla violazione di cui all´art. 161 deve essere quantificato, in applicazione di quanto previsto dall´art. 164-bis, comma 1 del Codice, nella misura di euro 2.400,00 (duemilaquattrocento), l´ammontare della sanzione pecuniaria con riferimento alla violazione di cui all´art. 162, commi 2-bis deve essere quantificato nella misura di euro 10.000,00 (diecimila) e l´ammontare della sanzione pecuniaria con riferimento alla violazione di cui all´art. 163 deve essere quantificato, in applicazione di quanto previsto dall´art. 164-bis, comma 1 del Codice, nella misura di euro 8.000,00 (ottomila) per una quantificazione totale pari a euro 20.400,00 (ventimilaquattrocento);

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Licia Califano;

ORDINA

a Centro Laser s.r.l. P.Iva: 01354781211, con sede in Castellamare di Stabia (Na), viale Puglia n. 1, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 20.400,00 (ventimilaquattrocento) a titolo di sanzione amministrativa pecuniaria per le violazioni previste dagli artt. 161 e 162, comma 2-bis e 163 del Codice, come indicato in motivazione;

INGIUNGE

al medesimo soggetto di pagare la somma di euro 20.400,00 (ventimilaquattrocento), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d. lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 20 luglio 2017

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia