[doc. web n. 9442643]

Provvedimento del 18 giugno 2020

Registro dei provvedimenti
n. 104 del 18 giugno 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il dott. Antonello Soro, presidente, la dott.ssa Augusta Iannini, vicepresidente, la dott.ssa Giovanna Bianchi Clerici e la prof.ssa Licia Califano, componenti, e il dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito Regolamento);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali (doc. web n. 1098801);

RELATORE la dott.ssa Giovanna Bianchi Clerici;

PREMESSO

1. Il reclamo

Con nota del 5 gennaio 2O19 la sig.ra XX ha presentato un reclamo, ai sensi degli artt. 77 del Regolamento e 142 del Codice, avente ad oggetto il contenuto delle informazioni sul trattamento dei dati personali rese dalla Casa di cura “XX/Villa dei Platani” S.p.A., (di seguito “Casa di cura”) che risultava privo di alcuni degli elementi richiesti dall’art. 13 del Regolamento, quali i dati di contatto del titolare del trattamento e del responsabile della protezione dei dati, il periodo di conservazione degli stessi e il diritto di proporre reclamo all’autorità di controllo.

2. L’attività istruttoria

Con nota del 16 maggio 2019 l’Autorità ha chiesto informazioni alla Casa di cura in ordine alla circostanza evidenziata nell’istanza. La Casa di cura ha fornito riscontro, confermando quanto evidenziato dalla reclamante, in ordine all’incompletezza delle informazioni rese all’interessata (nota del 30 maggio 2019).

Sulla base degli elementi in atti e dell’attività istruttoria effettuata, l’Ufficio ha accertato che la Casa di cura non aveva fornito alcuni degli elementi richiesti dal Regolamento, pienamente applicabile dal 25 maggio 2018 (i dati di contatto del titolare del trattamento e del responsabile della protezione dei dati, il periodo di conservazione dei dati personali e il diritto di proporre reclamo all’autorità di controllo).

Pertanto, l’Ufficio, con atto del 21 giugno 2019, prot. n. 0021556, notificato in pari data mediante posta elettronica certificata, che qui deve intendersi integralmente riprodotto, ha avviato, ai sensi dell’art. 166, comma 5, del Codice, con riferimento alle specifiche situazioni di illiceità in esso richiamate, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2 del Regolamento, nei confronti della Casa di cura, invitando la stessa a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, l. n. 689 del 24 novembre 1981).

Con nota del 19 luglio 2019, la Casa di cura ha esercitato il suo diritto di difesa, inviando i propri scritti difensivi e compilando un prospetto, in relazione alla violazione notificata.

Nello specifico, il rappresentante della Casa di cura, Dr. XX, ha rappresentato fra l’altro, che:

a) “l’applicativo gestionale stampava erroneamente un’informativa e un consenso al trattamento dei dati riferiti al d.lgs. 196/2003 non ancora modificato dal d.lgs. 101 del 10 agosto 2018; la nuova documentazione aderente al Regolamento UE 679/2016 (…) modificato era già disponibile in struttura, ma per errore non aveva sostituito nell’applicativo gestionale la precedente informativa”;

b) “la (predetta) informativa mancava di alcuni elementi richiesti dal Regolamento 679/2016. Pertanto, non è stata omessa del tutto l’informativa, ma è stata data in modo soltanto incompleto”;

c) “l’aver fornito l’informativa sbagliata ha carattere colposo, in quanto al più negligente”;

d) è stato quindi sostituito “nell’applicativo gestionale (..)la precedente informativa con la nuova informativa allineata ai requisiti del Regolamento UE 679/2016” che viene stampata all’atto dell’accettazione;

e) “la violazione non ha causato rischi di distruzione, perdita, modifica, divulgazione non autorizzata o accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati”;

f) “la struttura sanitaria si è da subito messa a disposizione del Garante, producendo una propria memoria difensiva” e “ha inteso cooperare con il Garante producendo la documentazione richiesta”.

La Casa di cura ha, altresì, trasmesso copia di un documento recante “Privacy-Informativa ai sensi dell’art. 13 del Regolamento Europeo 679/2016 per le persone interessate che afferiscono ai servizi sanitari presso Casa di cura Privata XX Villa Dei Platani SpA”, contenente gli elementi indicati nell’art. 13 del Regolamento.

3. Esito dell’attività istruttoria

Premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice (“Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”), all’esito dell’esame della documentazione acquisita nonché delle dichiarazioni rese all’Autorità nel corso del procedimento, che di fatto riconoscono le carenze contestate, emerge che la Casa di cura non ha fornito alcuni degli elementi richiesti dall’art. 13 del Regolamento (i dati di contatto del titolare del trattamento e del responsabile della protezione dei dati, il periodo di conservazione dei dati personali e il diritto di proporre reclamo all’autorità di controllo); ciò, in violazione del predetto art. 13 del Regolamento.

4. Conclusioni

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria volte a evidenziare il carattere colposo della violazione e la collaborazione con l’Autorità, si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019

Pertanto, si confermano le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali sulla salute effettuato dalla Casa di cura, in violazione dell’art. 13 del Regolamento.

Si prende favorevolmente atto del fatto che la Casa di cura ha provveduto a modificare il modello di “Informativa al paziente”, riportando gli elementi di cui risultava privo.

Al riguardo, si precisa tuttavia che, nella sezione dedicata alle “Finalità del trattamento e base giuridica del trattamento”, non risulta fornita l’informazione  sulla base giuridica che legittima i trattamenti indicati Si rappresenta, inoltre, che i soggetti esterni nominati responsabili del trattamento non devono essere indicati nella categoria di destinatari della comunicazione (art. 4, par. 1, punto 9) del Regolamento), considerato che per “comunicazione” si intende il dare conoscenza di dati personali a uno o più soggetti diversi dall’interessato, dal responsabile e dalle persone autorizzate al trattamento dei dati personali sotto l’Autorità diretta del titolare o del responsabile (art. 4, comma 1, lett. a) del Codice). Si invita, pertanto, a tenere conto di queste indicazioni.

In tale quadro, considerato che la condotta ha cessato di produrre i suoi effetti, non ricorrono i presupposti per l’adozione di misure correttive di cui all’art. 58, par. 2 del Regolamento, fermo restando quanto di affermerà in prosieguo.

Infatti, le circostanze del caso concreto inducono a qualificare il caso come “violazione minore”, ai sensi dell’art. 83, par. 2, e del Considerando n. 148 del Regolamento, nonché delle Linee guida WP 253, riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del Regolamento medesimo, tenuto conto che:

- il titolare del trattamento ha: dichiarato di aver, già nella fase di prima applicazione del decreto n. 101/2018, “ampiamente dato rimedio alle eventuali carenze, attuando tutto quanto prescritto dalla normativa sopravvenuta”, nonché “di aver sostituito nell’applicativo generale la nuova informativa allineata ai requisiti del Regolamento”; evidenziato il carattere colposo della violazione e collaborato con l’Autorità nel corso dell’istruttoria e del presente procedimento;

- non sono pervenuti ulteriori segnalazioni o reclami rispetto alla condotta oggetto del presente procedimento;

- non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento né sono stati precedentemente disposti provvedimenti di cui all’art. 58 del Regolamento.

Tuttavia, alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, che occorra ammonire la Casa di cura, in qualità di titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, affinché provveda a rispettare le previsioni del Regolamento che disciplinano l’obbligo di fornire le informazioni indicate nell’art. 13 del Regolamento agli interessati.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara l’illiceità del trattamento dei dati personali effettuato dalla Casa di cura “XX/Villa dei Platani” S.p.A., Partita IVA 00126180645, per la violazione dell’art. 13 del Regolamento nei termini di cui in motivazione;

b) ai sensi dell’art. 58, par. 2, lett. b), del Regolamento, ammonisce la predetta Casa di cura “XX/Villa dei Platani” S.p.A, quale titolare del trattamento in questione, per aver violato l’art. 13 del Regolamento, come sopra descritto;

c) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 18 giugno 2020

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia