Diritti interna

Doveri interna

ricerca avanzata

Ordinanza ingiunzione nei confronti di Ditta individuale “La Scuola della Salute di Francesco Parisi” - 9 maggio 2018 [9022531]

[doc. web n. 9022531]

Ordinanza ingiunzione nei confronti di Ditta individuale “La Scuola della Salute di Francesco Parisi” - 9 maggio 2018

Registro dei provvedimenti
n. 282 del 9 maggio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale; 

RILEVATO che nel febbraio 2017 la Stazione Navale della Guardia di Finanza di Trieste avviava accertamenti, dapprima amministrativi ed in seguito di P.G. di iniziativa, nei confronti del Ditta individuale “La Scuola della Salute di Francesco Parisi” (di seguito denominata “Ditta”), P.Iva 06279120486, con sede legale in Via S. Allende, 31, 50032, Borgo San Lorenzo, Firenze. Il titolare della Ditta è il Sig. Parisi Francesco, nato a Tricarico (MT) il 17.07.1978 e residente a Grassano (MT) in Via Don Minzoni n. 24, nei confronti del quale sono state avviate indagini preliminari relativamente a reati attinenti alla fede pubblica di cui l’indagato ha avuto notizia attraverso il compimento di atto garantito – perquisizioni personali e locali – espletato in data 1° agosto 2017. Il “nulla osta” da parte della Procura della Repubblica presso il Tribunale di Firenze all’utilizzo ai fini amministrativi dei dati e degli elementi acquisiti in sede di indagine di p.g., al fine di consentire al Nucleo di procedere alla contestazione amministrativa nei confronti della Ditta individuale in esame, è stato rilasciato tra il 6 settembre 2017 e l’11 settembre 2017, come si evince dalle note trasmesse dalla Stazione Navale suddetta al Nucleo Speciale Privacy della Guardia di Finanza di Roma il 6 settembre 2017, nonché alla Procura competente il 25 agosto 2017, con in calce il “nulla osta” del p.m. dell’11 settembre 2017;

VISTI i verbali nr. 255-256-257-258/2017 del 20 novembre 2017, che qui si intendono integralmente richiamati, nei quali la suddetta Stazione Navale ha rappresentato che nel corso delle indagini preliminari citate è emerso che la Ditta “esegue analisi di genetica medica presso il laboratorio di Via Allende 31, in piena autonomia e distintamente dalle altre Imprese riconducibili a Parisi Francesco” (pag. 2). E’ risultato, altresì, che la Ditta “vende, attraverso il proprio sito web aziendale i medesimi servizi delle altre Imprese facenti capo a PARISI Francesco; infatti, è possibile, collegandosi al sito web www.test-intolleranze.it, acquistare direttamente test per intolleranze alimentari, attraverso la compilazione del modulo MRT... Successivamente, con procedure identiche alle altre Imprese, il cliente trasmette «il campione buccale presso il laboratorio di Via Allende 31 per la conseguente analisi genetica; analisi che, come pubblicizzato sul sito web, sarà eseguita dal Laboratorio di cui ci avvaliamo (. . .)», ovvero, sempre quello di Via Allende ove ha sede la Ditta individuale, lo STUDIO PARISI e la PROIGEA … Il cliente stampa il modulo contenente anche il "Consenso informato per l'esecuzione di test genetici" e "L'informativa e consenso per il trattamento dei dati personali nell'esecuzione di test genetici" e sottoscrive i medesimi che si riferiscono al trattamento di dati operato, appunto da PARISI Francesco (All. 11) …  La fatturazione della prestazione del servizio al cliente viene resa da detta Ditta individuale.”. Ciò premesso sono state accertate e contestate le seguenti violazioni: omessa notificazione al Garante in violazione degli artt. 37 e 38 del Codice; inidonea informativa resa all’interessato in violazione dell’art. 13 del Codice; mancata adozione di misure minime di sicurezza di cui all’art. 33 del Codice; comunicazione di dati all’interessato in violazione dell’art. 84 comma 1 del Codice e, pertanto, contestate alla Ditta:

1) la violazione amministrativa prevista dall’art. 163 del Codice in relazione agli artt. 37 comma 1 lett. a) e 38 del Codice per l’omessa notificazione al Garante per il trattamento dei dati genetici, applicata in combinato disposto con l’art. 164-bis comma 3 (verbale n. 255/2017);

2) la violazione amministrativa prevista dall’art. 161 del Codice in relazione all’art. 13 del Codice,  applicata in combinato disposto con l’art. 164-bis comma 3 (verbale n. 256/2017);

3) la violazione amministrativa prevista dall’art. 162 comma 2-bis del Codice in relazione all’art. 33 del Codice, applicata in combinato disposto con l’art. 164-bis comma 3 (verbale n. 257/2017);

4) la violazione amministrativa prevista dall’art. 162 comma 2 del Codice in relazione all’art. 84 comma 1 del Codice, applicata in combinato disposto con l’art. 164-bis comma 3 (verbale n. 258/2017);

VISTO, in particolare, il verbale n. 255/2017 redatto dalla Stazione Navale nel quale, con riferimento alla violazione dell’art. 163 del Codice, si è rilevato che l’attività svolta dalla Ditta configura un trattamento di dati anche genetici per il quale dovevano essere assolti gli obblighi di cui agli artt. 37 comma 1 lett. a) e 38 del Codice, mentre dalle verifiche svolte sia dalla Stazione Navale suddetta sia dal Nucleo Speciale Privacy della Guardia di Finanza nessuna notificazione è stata effettuata. Nel verbale è stata applicata, altresì, l’aggravante di cui all’art. 164-bis comma 3 del Codice per cui in casi di maggiore gravità e, in particolare, di maggiore rilevanza del pregiudizio per uno o più interessati, ovvero quando la violazione coinvolge numerosi interessati i limiti minimo e massimo delle sanzioni di cui agli artt. 161, 162, 162-ter, 163 e 164 sono applicati in misura pari al doppio in quanto “è comprovato in atti, che Parisi Francesco, sicuramente dall'anno 2015, ha trattato e tratta dati personali, biometrici, medici e genetici di centinaia di persone. Inoltre, per ciò che attiene la maggiore rilevanza del pregiudizio si consideri, nel complesso, la condotta complessiva di PARISI Francesco, come enunciata nell'esposizione dei fatti, gravemente e volontariamente lesiva dei diritti dei clienti in materia di Privacy” (pag. 6);

VISTO, in particolare, il verbale n. 256/2017 redatto dalla Stazione Navale nel quale, con riferimento alla violazione dell’art. 161 del Codice, si è rilevato che “per tutto quanto attiene le disquisizioni in fatto e diritto relative all'inidoneità dell'informativa privacy resa ai clienti e relativo consenso prestato, valgono le stesse considerazioni svolte nei confronti dello "STUDIO PARISI SRL", "STUDIO PARISI ITALIA SRLS", che quivi si intendono integralmente richiamate.” (pag. 4). Anche in questo caso è stata applicata, altresì, l’aggravante di cui all’art. 164-bis comma 3 del Codice, con riguardo ai numerosi interessati coinvolti (v. verbale n. 255/2017) e tenuto conto, per ciò che attiene la maggiore rilevanza del pregiudizio, alla circostanza che la condotta complessiva di Parisi Francesco è risultata essere “gravemente e volontariamente lesiva dei diritti dei clienti in materia di Privacy; condotta che, tra l'altro, è stata posta in essere da Parisi Francesco - in maniera identica - anche per le Società di cui è rappresentante legale.” (pag. 7);

VISTO, in particolare, il verbale n. 258/2017 redatto dalla Stazione Navale nel quale, con riferimento alla violazione dell’art. 162 comma 2 del Codice, si è rilevato che “contrariamente a quanto prescritto dalla normativa privacy agli esercenti le professioni sanitarie, il laboratorio di analisi presso cui opera anche la Scuola della Salute (Ditta), nella trasmissione dei documenti che contengono gli esiti degli esami clinici effettuati dai pazienti, non ha mai soddisfatto il requisito dell'intermediazione laddove, ai sensi dell'art. 84, commi 1 e 2 del Codice, non ha dato agli interessati la possibilità di individuare un medico a cui trasmettere gli esiti degli esami effettuati, come dimostrano i numerosi modelli compilati dalla clientela, con indicazione del proprio indirizzo e-mail, in luogo di quello del medico; e tanto meno, nell'informativa non risulta neppure che lo stesso titolare del trattamento provvederà, in luogo della trasmissione al cliente, di inviare i risultati ad un medico da egli stesso designato. Stando a quanto prescritto dal punto 4. del doc. web. n. 1191411 del Garante Privacy rubricato "Comunicazione di dati all'interessato'', l'obbligo di intermediazione nella comunicazione degli esiti relativi agli esami clinici effettuati "(. . .)può essere soddisfatta accompagnando un giudizio scritto con la disponibilità del medico a fornire ulteriori indicazioni a richiesta.” (pag. 5) Ciò considerato, si è ritenuto che la Ditta non ha osservato tale adempimento in quanto, “così come accade per i referti diagnostici emessi dalla PROIGEA SRL, non è apposta la firma di alcun medico e/o tecnico che ha eseguito e/o validato l'analisi ed a cui il paziente può rivolgersi per eventuali dubbi.” (pag. 5). Anche in questo caso è stata applicata l’aggravante di cui all’art. 164-bis comma 3 del Codice;

CONSIDERATO che il verbale n. 257/2017,  relativo alla contestata violazione dell’art. 162 comma 2-bis del Codice per la mancata adozione delle misure minime di sicurezza (art. 33 del Codice), è stato annullato in autotutela ex art. 21 nonies della legge n. 241/1990, con verbale del 6 febbraio 2018;

VISTI i verbali n. 244/2017 e n. 248/2017 del 20 novembre 2017, che qui si intendono integralmente richiamati, in ragione del rinvio agli stessi effettuato dal verbale n. 256/2017 relativamente alla violazione dell’art. 161 del Codice, con cui sono state contestate le sanzioni di cui all’art. 161 del Codice a Parisi Francesco e allo “STUDIO PARISI SRL” in liquidazione, in qualità di obbligato in solido ex art. 6 della legge n. 689/1981 (v. verbale n. 244/2017) e a Parisi Francesco e allo “STUDIO PARISI ITALIA SRL Semplificata” in liquidazione ex art. 6 della legge n. 689/1981 (v. verbale n. 248/2017);

CONSIDERATO che i verbali n. 244/2017 e n. 248/2017 del 20 novembre 2017 sono stati annullati in autotutela ex art. 21 nonies della legge n. 241/1990 in data 6 febbraio 2018 e contestualmente la Guardia di Finanza, avendo rilevato che la titolarità del trattamento dei dati non era in capo alla persona fisica ma all’entità giuridica nel suo complesso ex art. 28 del Codice, ha contestato la sanzione di cui all’art. 161 del Codice direttamente allo “STUDIO PARISI SRL” in liquidazione (v. verbale n. 23 del 6 febbraio 2018) e allo “STUDIO PARISI ITALIA SRL Semplificata” (v. verbale n. 26 del 6 febbraio 2018); 

CONSIDERATO che “le disquisizioni in fatto e diritto” relative all’inidonea informativa ai soggetti interessati svolte nei confronti dello “STUDIO PARISI SRL” e dello “STUDIO PARISI ITALIA SRLS” di cui ai verbali n. 244/2017 e n. 248/2017, richiamati dal verbale n. 256/2017 relativamente alla Ditta, sono state riportate anche nei verbali n. 23/2018 e n. 26/2018 che hanno sostituito i verbali n. 244/2017 e n. 248/2017 oggetto di annullamento d’ufficio. In particolare, con i verbali suddetti si è accertato che “sull'informativa resa al cliente (all. 18 del verbale n. 244/2017) è specificato che: "(. . .)la struttura alla quale Lei si è affidata effettuerà un trattamento di dati genetici finalizzati a compiere una diagnosi o a confermare un sospetto clinico (test diagnostico), oppure a individuare o escludere la presenza di una mutazione associata ad una malattia genetica che possa svilupparsi (test presintomatico) o, ancora, a valutare la Sua maggiore o minore suscettibilità a sviluppare patologie comuni (test predittivo), oppure a individuare dei fattori genetici, che possono evidenziare alcuni aspetti del suo stile di vita." Analizzando il primo periodo di detta informativa, emerge in maniera del tutto lampante, come il trattamento dei dati posto in essere dalla Società dovrebbe riguardare esclusivamente i dati genetici del paziente ma, come già detto …, il trattamento in realtà comprende anche i dati anamnestici, comportamentali, nutrizionali dei pazienti prevedendo, in aggiunta, a carico degli stessi, esibizioni e/o allegazioni di referti medici di cui il cliente è in possesso. Solo successivamente, senza tra l'altro evidenziarne le ulteriori finalità, viene menzionato nel corpo dell'informativa quanto segue "(. . .) I suoi dati personali, sensibili e genetici, saranno perciò trattati da incaricati del trattamento di dati sensibili specificatamente autorizzati e formati secondo principi e regole del D.Lgs 196103 e del Provvedimento di autorizzazione al trattamento dei dati genetici- 22 febbraio 2007 del garante per la protezione dei dati personali". Di fatto, oltre a non risultare la finalità precipua del trattamento dei dati personali e sensibili, viene qui in rilievo un altro problema, insito nell'individuazione di quei soggetti che dovrebbero essere "incaricati del trattamento" ... Nel caso di specie, contrariamente a quanto disposto dall'art. 13, comma 1, lettera d), del Codice, non è possibile individuare nell'informativa predisposta quali sono i soggetti incaricati del trattamento dei dati. … i dati trattati dal Parisi, oltre a risultare eccedenti rispetto alle finalità proprie dell'attività genetica e per ciò inutilizzabili (così come statuito nell'autorizzazione generale del Garante), vengono impiegati in operazioni che, lungi dall'essere dirette alla tutela e salvaguardia della salute dei clienti, privano di fatto il paziente di qualsivoglia garanzia circa l'attendibilità e la veridicità dei dati trasfusi nelle diagnosi e nelle diete genetiche, ad opera di personale non medico ed all'interno di una struttura privata non munita di specifica autorizzazione sanitaria. In conclusione, da un’informativa così strutturata, non è possibile riconoscere in maniera chiara, precisa, trasparente e puntuale, quali sono concretamente le finalità che detto trattamento persegue sia con riguardo ai dati genetici che alle altre categorie di dati richiesti alla clientela. Continuando nella disamina dell'informativa sulla privacy predisposta dall'Impresa, al periodo successivo viene testualmente riportato: "(. . .) tale attività, così come meglio dettagliata nel corso delle visite e degli incontri che ha svolto con il personale medico, avverrà tramite apposito test genetico, test farmaco-genetico, test sulla variabilità individuale, cui seguirà apposita consulenza genetica". … Ne consegue che, per l'espletamento di tali compiti, evincibili dall'informativa, la Società dovrebbe avvalersi di personale medico qualificato. In concreto, le risultanze d'indagine hanno permesso di appurare che il laboratorio di Via Allende 31, in Borgo San Lorenzo (FI), non è dotato di personale medico specializzato, eccezion fatta per il Direttore sanitario (un Biologo-nutrizionista assunto con un contratto di collaborazione), presente solo sporadicamente e per il tecnico di laboratorio (anch'esso assunto con contratto di collaborazione e presente solo alcuni giorni della settimana). A quest'ultimo è affidata l'elaborazione del dato genetico (ottenuto mediante estrazione del DNA). Di fatto, gli unici costantemente presenti presso il laboratorio sono il titolare, PARISI Francesco e la segretaria. È stato appurato altresì, che il risultato dei Test sulle intolleranze alimentari (su 600/1000 alimenti, 250 acque minerali e centinaia di additivi alimentari) si fonda sull'elaborazione, per mezzo di un software, del risultato del test genetico di intolleranza al glutine e lattosio implementato dei dati anamnestici forniti dal cliente; in pratica, se il cliente non fornisse (o fornisse sbagliate) le proprie informazioni anamnestiche, il software non potrebbe elaborare un risultato o lo elaborerebbe su dati errati e non previamente accertati, tramite apposita visita di controllo, da un medico specializzato. Detta ultima modalità vale, ovviamente, anche per l'elaborazione delle diete genetiche tra l'altro non annoverate sull'informativa ed anche per esse, in base a quanto riportato nell'informativa privacy fatta firmare al cliente che acquista una dieta, sarebbe prevista una consulenza genetica. Sulla base delle informazioni acquisite ex art 351 c.p.p. nel corso delle indagini, la Guardia di Finanza ha poi ricostruito la prassi realmente seguita, in quel caso dalla Società “STUDIO PARISI SRL” in liquidazione, anche nell'attività di consulenza genetica, ed ha accertato che  “il cliente, che viene seguito per periodi di tempo più o meno lunghi (anche per tre mesi), non avrà mai la consapevolezza che i dati sensibili che lo stesso fornisce via e-mail o per telefono allo Studio, saranno trattati da personale non medico, come invece riportato sull'informativa laddove è garantita una consulenza genetica ed ampiamente pubblicizzato anche sul sito web aziendale (all.20)” (v. pagg. 5-9 dei verbali n. 244/2017 e n. 23/2018);

CONSIDERATO che la Ditta non si è avvalsa delle facoltà previste dall'art. 18 della legge n. 689/1981, non inviando all'Autorità scritti difensivi né chiedendo di essere ascoltata;

CONSIDERATO che la Ditta individuale non è un soggetto distinto dal suo titolare, ma si identifica con esso sotto l'aspetto sia sostanziale che processuale (Cass., n. 9138 del 1990; n. 8246 del 1987), costituendo soltanto il segno distintivo mediante il quale l'imprenditore esercita la sua attività (Cass., n. 5157 del 1999);

RILEVATO, pertanto, che la Ditta individuale “La Scuola della Salute di Francesco Parisi”, in qualità di titolare del trattamento ai sensi dell’art. 28 del Codice:

- ha omesso di effettuare la notificazione al Garante prima dell’inizio del trattamento dei dati genetici, in violazione degli artt. 37 comma 1 lett. a) e 38 del Codice;

- ha fornito un’inidonea informativa agli interessati, in violazione dell’art. 13 del Codice;

- ha comunicato agli interessati dati idonei a rilevare il loro stato di salute senza l’intermediazione di un medico designato, in violazione dell’art. 84 comma 1 del Codice;

VISTO l’art. 163 del Codice che punisce la violazione delle disposizioni di cui agli artt. 37 e 38, con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro; 

RITENUTO che, con riferimento alla violazione di cui all’art. 163 del Codice, ricorrono le condizioni per applicare l'art. 164-bis comma 1 del Codice, per cui i limiti minimi e massimi previsti nell’articolo suddetto sono applicati in misura pari a due quinti;

VISTO l’art. 161 del Codice che punisce la violazione delle disposizioni di cui all’art. 13 con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro;

VISTO l’art. 162 comma 2 del Codice che punisce la violazione della disposizione di cui all’art. 84 con la sanzione amministrativa del pagamento di una somma da mille euro a seimila euro;

CONSIDERATO che, nel caso in esame:

a) in ordine all’aspetto della gravità con riferimento agli elementi dell’entità del pregiudizio o del pericolo e dell’intensità dell’elemento psicologico, le violazioni non risultano connotate da elementi specifici;

b) circa la personalità dell’autore della violazione, deve essere considerata la circostanza che la Ditta non risulta gravata da precedenti procedimenti sanzionatori;

c) in merito alle condizioni economiche dell’agente, sono stati presi in considerazione i dati relativi alla situazione reddituale per l’anno di imposta 2016:  euro 7.001,00;

RITENUTO, quindi, di dover determinare, ai sensi dell’art. 11 della legge n. 689/1981, l’ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso:

- nella misura di euro 8.000,00 (ottomila) per la violazione di cui all’art. 163;

- nella misura di euro 6.000,00 (seimila) per la violazione dell’art. 161 del Codice;

- nella misura di euro 1.000,00 (mille) per la violazione dell’art. 162 comma 2 del Codice;

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la prof.ssa Licia Califano;

ORDINA

alla Ditta individuale “La Scuola della Salute di Francesco Parisi” P.Iva 06279120486, nella sede legale in Via S. Allende, 31, 50032, Borgo San Lorenzo, Firenze la somma complessiva di euro 15.000,00 (quindicimila) a titolo di sanzione amministrativa pecuniaria per le violazioni previste dagli artt. 163, 161 e 162 comma 2 del Codice come indicato in motivazione;

INGIUNGE

alla medesima Ditta di pagare la somma di euro 15.000,00 (quindicimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale o in copia autentica, quietanza dell’avvenuto versamento.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero. 

Roma, 9 maggio 2018

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia