Diritti interna

Doveri interna

ricerca avanzata

Provvedimento del 28 giugno 2018 [9037359]

[doc. web n. 9037359]

Provvedimento del 28 giugno 2018

Registro dei provvedimenti
n. 403 del 28 giugno 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano, della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il ricorso presentato al Garante in data 19 marzo 2018 da XX, rappresentato e difeso dall’avv. Stefano Vittorini Giuliano nei confronti della MultiMedica S.p.A. con cui il ricorrente -che ha svolto la propria attività medica presso strutture sanitarie gestite dalla ricorrente- contestando il riscontro da questa fornito e ribadendo le istanze già avanzate in data 11 dicembre 2017, ai sensi degli artt. 7 e 8 del d.lgs. 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito “Codice”), ha chiesto:

- la disattivazione della casella di posta elettronica a lui intestata “secondo modalità tali da inibire in via definitiva le ricezione in entrata dei messaggi diretti al predetto account con contestuale utilizzo di un riservatore automatico che avvisi gli utenti dell’avvenuta disattivazione di quest’ultima”;

- l’accesso al contenuto dei messaggi indirizzati alla suddetta casella di posta dall’8 settembre 2017 “data delle dimissioni sino alla effettiva disattivazione della casella medesima e di trasporre su supporto cartaceo o informatico la corrispondenza”;

- la cancellazione di tutti i messaggi pervenuti nella citata casella;

- la liquidazione in proprio favore delle spese sostenute per il procedimento; 

CONSIDERATO che il ricorrente ha, in particolare, rappresentato:

- di avere svolto, dal maggio 2010 all’8 settembre 2017, la propria attività lavorativa presso la resistente -proprietaria di numerose strutture sanitarie in Lombardia- con la qualifica di medico primario e con mansioni di coordinatore di una delle aree cliniche della struttura, nonché come libero professionista;

- di avere comunicato, nello svolgimento di tale attività lavorativa, l’indirizzo della casella di posta elettronica che gli era stata assegnata dalla resistente “a pazienti istituzionali e privati, a medici di medicina generale e/o colleghi di altre strutture sanitarie italiane e straniere, a conoscenti e parenti”;

- che alla cessazione del rapporto di lavoro la resistente gli ha precluso la possibilità di accedere alla propria casella di posta “senza però disattivare l’account né adottare sistemi automatici di risposta per informare i mittenti” che non svolgeva più la propria attività presso tale struttura “e/o che la casella non era più nella sua disponibilità”, attivando, inoltre, un sistema di lettura e controllo della corrispondenza a lui destinata, prevedendo il “ri-indirizzamento della stessa ad altri dipendenti”;

- che, con tale comportamento, la resistente ha violato il principio costituzionale di segretezza della corrispondenza, principio rafforzato, nel caso di specie, dall’obbligo previsto in capo ai medici di mantenere il segreto professionale su ogni informazioni di cui vengono a conoscenza nell’ambito della loro professione e ha, inoltre, indotto in errore molti mittenti convinti di inviare i messaggi al proprio medico e non ad altri soggetti ai quali la posta era stata reindirizzata;

VISTI gli ulteriori atti d’ufficio e, in particolare: a) la nota del 16 aprile 2018 con la quale questa Autorità, ai sensi dell’art. 149, comma 1, del Codice, ha invitato il titolare del trattamento a fornire riscontro alle richieste dell’interessato; b) la nota datata 16 maggio 2018 con la quale è stata disposta, ai sensi dell’art. 149, comma 7, del Codice, la proroga del termine per la conclusione del procedimento; c) il verbale di audizione delle parti svoltasi in data 3 maggio 2018 presso la sede dell’Autorità; 

VISTE le note del 23 e 30 marzo 2018 con le quali la resistente, nell’eccepire che la richiesta di cancellazione dei messaggi contenuti nella casella di posta elettronica del ricorrente non è stata avanzata in sede di interpello preventivo, ha rappresentato che:

- i pazienti trattati dal ricorrente, non erano suoi “pazienti privati”, ma venivano trattati per conto della Multimedica, della quale lo stesso ricorrente utilizzava strumenti, risorse e attrezzature, in base ad un rapporto contrattuale che prevedeva tale coordinamento anche quando egli operava presso la struttura nel ruolo di libero professionista;

- a seguito della cessazione del rapporto di lavoro l’account di posta elettronica assegnato al ricorrente “è stato da subito disabilitato e al contempo è stata attivata la consueta procedura di cancellazione completa dell’account gestita dagli operatori autorizzati dell’Unità dei Sistemi Informativi aziendali”;

- “nell’arco di tale fase” la casella elettronica del ricorrente “è rimasta attiva unicamente per i messaggi in entrata e gestita attraverso gli amministratori di sistema del Gruppo MultiMedica, così da assicurare l’operatività aziendale per eventuali comunicazioni urgenti che […] in ragione delle prestazioni sanitarie che la società […] fornisce necessitavano di un riscontro immediato”;

- la procedura di cancellazione, avviata a seguito della risoluzione del rapporto di lavoro, risulta “terminata con la completa e totale disattivazione dell’account” del ricorrente, al quale quest’ultimo potrà accedere ed estrarre le comunicazioni ricevute dal giorno della cessazione del rapporto di lavoro, fino alla data di cancellazione definitiva dello stesso;

VISTA la memoria del 2 maggio 2018 con la quale il ricorrente ha contestato quanto rappresentato dalla resistente ribadendo la natura di segretezza della corrispondenza e rilevando che, alla data del 25 aprile 2018, la casella di posta elettronica a lui intestata “risultava ancora attiva”; 

VISTO il verbale di audizione delle Parti sottoscritto presso gli Uffici del Garante il 3 maggio 2018, con il quale le Parti, nel ribadire ciascuna quanto già rappresentato nei rispettivi atti,  si sono dichiarate entrambe disponibili a fissare un incontro, alla presenza anche di propri tecnici, al fine di:

- verificare l’effettiva chiusura dell’account (rispetto alla quale la parte resistente ha depositato una nota del 28 aprile 2018 con la quale il responsabile dei servizi informatici della società accertava che in quella data “la mail risultava definitivamente chiusa”);

- consentire al ricorrente di accedere ai messaggi contenuti nella sua casella di posta elettronica;

- provvedere, prima della cancellazione integrale della corrispondenza, “all’estrazione di quelle mail relative all’attività sanitaria svolta da MultiMedica e di quelle […] che risultino pacificamente istituzionali”;

VISTA la nota del 23 maggio con la quale il ricorrente ha rilevato che la corrispondenza consegnata dalla resistente, in occasione dell’incontro tra le Parti avvenuto il 9 maggio 2018, “non coincide con quella effettivamente pervenuta, nello stesso periodo, in detta casella”;

VISTE le note del 21 e 30 maggio 2018 con le quali la resistente:

- ha trasmesso il verbale redatto tra le Parti all’esito dell’incontro avvenuto il 9 maggio 2018 con il quale si è dato atto:

• dell’avvenuta chiusura dell’account aziendale del ricorrente, nonché della casella di posta elettronica allo stesso intestata;

• dell’integrale estrazione della corrispondenza pervenuta su tale casella di posta elettronica “dalla data di cessazione del rapporto di lavoro (8.09.2017) sino alla data di chiusura della casella […] e salvata su supporto elettronico” dal ricorrente;

- ha precisato che la corrispondenza rinvenuta nell’inbox e consegnata al ricorrente “in occasione dell’incontro che si è tenuto in data 9 maggio 2018 […] coincide integralmente con la corrispondenza che è pervenuta nel periodo compreso tra l’8 settembre 2017 e il 24 aprile 2018, sull’account di posta elettronica” del ricorrente, circostanza questa “pacificamente appurata durante il citato incontro del 9 maggio scorso, nel corso del quale il consulente informatico del ricorrente che “ha avuto accesso incondizionato all’account di posta elettronica […] non ha significativamente sollevato alcun tipo di obiezione” dando atto della regolarità delle operazioni; 

CONSIDERATO che:

a partire dal 25 maggio 2018 è divenuto applicabile il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (di seguito, “Regolamento”),  che rende necessario l’adeguamento del quadro normativo nazionale esistente in materia;

a tale fine, il Consiglio dei Ministri, nell’esercizio della delega contenuta nell’art. 13 della legge 25 ottobre 2017, n. 163, ha adottato in via preliminare uno schema di decreto legislativo che tuttavia non è stato ancora fatto oggetto di approvazione definitiva;

la diretta applicabilità del Regolamento comporta, pure in assenza del citato decreto legislativo, un possibile contrasto con le norme del Codice e che pertanto l’Autorità, con delibera n. 374 del 31 maggio 2018, ha disposto la disapplicazione, a partire dal 25 maggio 2018, delle norme sulla procedura dei ricorsi in quanto ritenute incompatibili con le disposizioni relative ai reclami di cui agli artt. 77 ss. del Regolamento;

RITENUTO, dunque, in ossequio al principio generale di conservazione degli atti del procedimento sinora svolto, di dover decidere l’odierna istanza secondo le disposizioni di cui agli artt. 142 ss. del Codice attualmente applicabili ai reclami, in quanto compatibili con il predetto Regolamento e artt. 77 e ss. del Regolamento medesimo, in quanto strumento idoneo a tutelare l’interessato in caso di violazione della disciplina; 

RILEVATO che:

- con il presente provvedimento si debba corrispondere all’istanza avanzata dall’interessato nei limiti di cui la stessa poteva considerarsi ammissibile al momento della sua presentazione

- potranno essere esaminate le sole istanze avanzate in sede di interpello preventivo e ribadite nell’atto introduttivo del procedimento, dovendosi tenere conto dei requisiti richiesti dalla disciplina vigente al momento della presentazione di quest’ultimo;

- per tale ragione, non potrà essere valutata la richiesta formulata nei confronti di MultiMedica S.p.A. volta ad ottenere la cancellazione di tutti i messaggi contenuti nella casella di posta elettronica  intestata al ricorrente, pur dando atto che, nel corso del procedimento, il titolare del trattamento ha comunque dichiarato la propria disponibilità a procedere alla cancellazione;

PRESO ATTO, con riferimento alla richiesta di disattivazione dell’account intestato al ricorrente che il titolare del trattamento ha dichiarato di avere aderito a tale richiesta;

CONSIDERATO, altresì, in relazione alla richiesta di accesso ai messaggi contenuti nella casella di posta elettronica aziendale intestata al ricorrente, che:

- nel verbale sottoscritto dalle Parti in occasione dell’incontro del 9 maggio 2018, le stesse nel dichiarare di avere verificato la corrispondenza in essa contenuta, hanno confermato “l’estrazione dell’intera corrispondenza elettronica pervenuta” sulla citata casella di posta elettronica;

- la resistente ha confermato che la corrispondenza contenuta nella citata casella e consegnata al ricorrente, “coincide integralmente con [… quella…] pervenuta, nel periodo tra l’8 settembre 2017 e il 24 aprile 2018, sull’account di posta elettronica”;
e che, pertanto, si possa ritenere che il titolare abbia aderito correttamente alle richieste del ricorrente;

RITENUTO, in ragione del nuovo quadro normativo applicabile alla presente procedura, di non dover disporre in relazione alle spese;

VISTA la documentazione in atti;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Licia Califano; 

TUTTO CIÒ PREMESSO IL GARANTE

prende atto della spontanea adesione della MutiMedica S.p.A. alle richieste avanzate dal ricorrente.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150 avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero. 

Roma, 28 giugno 2018

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia