Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Poliambulatorio Talenti S.r.l. - 14 gennaio 2021 [9542096]

[doc. web n. 9542096]

Ordinanza ingiunzione nei confronti di Poliambulatorio Talenti S.r.l. - 14 gennaio 2021

Registro dei provvedimenti
n. 8 del 14 gennaio 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali”, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

Relatore l’avv. Guido Scorza;

PREMESSO

1. Il Reclamo

In data 19 settembre 2019, il sig. XX esercitava, nei confronti del Poliambulatorio Talenti S.r.l. con sede legale in Roma, via Padre Semeria, 33 C.F. 1961330584/ P.IVA 01021921000, (d’ora in avanti la “struttura sanitaria”), il diritto di accesso ai dati personali di cui all’art. 15 del Regolamento, in relazione al trattamento sia dei propri dati personali sia dei dati personali relativi alle due figlie minori.

A tale richiesta non seguiva alcun riscontro nei termini indicati dall’art. 12, par. 3, del Regolamento e, a seguito di ciò, l’interessato, in data 23 ottobre 2019, presentava formale reclamo a questa Autorità.

2. L’attività istruttoria.

Con nota prot. n. 39690 del 18 novembre 2019, la struttura sanitaria veniva formalmente invitata dall’Ufficio ad aderire alle richieste del reclamante entro 20 giorni dal ricevimento di tale invito.

In data 20 novembre 2019 tale struttura, forniva risposta scusandosi con il reclamante “(…) per non aver evaso nei tempi la (…) richiesta di esercizio (dei diritti di cui all’) art. 15 del Reg. UE 2016/679 e (informandolo), eventualmente per il futuro, (…) (di aver) predisposto, a partire dall'anno (precedente), una procedura interna che (…) consente di dar seguito alle richieste di esercizio dei diritti degli interessati attraverso la sottoscrizione di un apposito modulo presente in accettazione, che (…) permette di registrare la richiesta e darvi risposta prontamente”, e allegando, altresì, la relativa documentazione. Di tale risposta, nella medesima data, rendeva edotta la scrivente Autorità.

Successivamente, in data 27 novembre 2019, il reclamante scriveva a questa Autorità lamentando che, fra la documentazione inviata dalla suddetta struttura e, precisamente, in quella riguardante il consenso al trattamento dei dati, nonché il consenso per l’invio dei referti via e-mail - entrambi relativi alla figlia minore del reclamante - appariva un nominativo che il reclamante riferiva essere il nome di uomo, “ (…) ma dal codice fiscale inverso che si legge tra parentesi dopo detto nome (…) risulta(va)  invece (…)” che tale nome era riferito a individuo di sesso femminile. 

Con e-mail del 9 dicembre 2019, il reclamante, rappresentando a questa Autorità di aver chiesto spiegazioni alla Società in ordine a tale irregolarità, si dichiarava insoddisfatto della risposta ricevuta in data 28 novembre 2019.

Con richiesta di informazioni inviata alla struttura sanitaria con nota prot. n. 19148 del 26 maggio 2020, ai sensi dell’art. 157 del Codice, venivano richiesti chiarimenti in ordine alla sopra evidenziate inesattezze e se, in particolare, altri soggetti, senza alcuna legittimazione, fossero venuti a conoscenza di informazioni riguardanti la figlia minore del reclamante, nonché chiarimenti circa le misure attuate e utilizzate per garantire l’esattezza e la riservatezza dei dati personali, in particolare sanitari.

Con nota del 4 giugno 2020, la struttura sanitaria, in risposta alla richiesta di informazioni, rappresentava che l’inesattezza dei dati anagrafici del sottoscrittore riportati sui documenti relativi alla minore era dovuta all’errata trascrizione sui sopra citati moduli per i consensi del nominativo di un altro paziente avente il medesimo cognome della madre delle figlie minori del reclamante; inoltre veniva rappresentato che, in una comunicazione inviata al reclamante era stato rappresentato che “i moduli, contenenti i consensi e le informazioni riguardanti la minore (…) non sono stati in alcun modo comunicati (al soggetto del quale appare il nome sui modelli) o ad altro soggetto in quanto si tratta di moduli conservati in formato cartaceo internamente e cui hanno accesso solo i soggetti interni autorizzati” e (…) quindi, all’infuori dell’errore di trascrizione, non vi è stata in alcun modo fuoriuscita dei dati della minore”.

Inoltre, la struttura sanitaria rappresentava che (…) il personale è stato adeguatamente informato su come procedere e, soprattutto, sono stati elaborati e messi a disposizione dei moduli di consenso (distinti per: consensi al trattamento dati per le finalità indicate in informativa / consenso all’invio dei referti tramite posta elettronica / consensi al prelievo venoso) attraverso i quali sia chiaramente possibile inserire i dati del minore/interdetto e del genitore/tutore che dovrà firmare per suo conto”, illustrando, infine,  le misure di sicurezza tecnico-organizzative adottate all’interno del Poliambulatorio e allegando la documentazione attestante la nomina del responsabile della protezione dati e la relativa comunicazione al Garante.

Con nota prot. n. 22936 del 22 giugno 2020, l’Ufficio, sulla base degli elementi acquisiti, ha notificato alla struttura sanitaria, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

Con la nota sopra menzionata, l’Ufficio ha rappresentato di aver accertato che la struttura sanitaria aveva fornito riscontro alla richiesta di accesso ai dati, avanzata dall’interessato, solo a seguito dell’invito formulato dall’Ufficio nell’ambito del procedimento relativo al reclamo presentato da quest’ultimo, ai sensi dell’art. 77 del Regolamento, ovvero dopo 62 giorni a decorrere dalla data in cui l’interessato aveva esercitato il proprio diritto; ciò, in violazione dell’art. 12, par. 3,  in relazione all’art. 15 del Regolamento.

In ordine alla violazione notificata, la struttura sanitaria ha fatto pervenire le proprie memorie difensive con nota del 25 giugno 2020,  rappresentando che “i profili di critici che  hanno coinvolto il Poliambulatorio Talenti Srl in qualità di Titolare del Trattamento hanno riguardato l’inottemperanza a quanto previsto dall’art. 12, paragrafo 3, che impone al Titolare di fornire all’interessato le informazioni relative al diritto esercitato entro un mese; tale termine non è stato rispettato per sopravvenuti problemi all’impianto hardware  che (…) hanno portato al cambio del pc (per cui) non si è potuto prendere visione della email [relativa alla richiesta di accesso presentata dall’interessato] entro i termini previsti” e chiedendo di essere sentito dall’Autorità.

Per quanto riguarda l’inesattezza “dei dati anagrafici riguardanti il sottoscrittore dei documenti relativi alla minore (…), si è trattato di errore materiale dovuto alla decisione di copiare a mano i dati della madre della minore (…) sul documento di consenso generato la software gestionale. Il problema è sorto dall’impossibilità di inserire in tale software l’anagrafica dell’interessato minore e l’anagrafica del genitore firmatario in maniera distinta. Nel riportare tali dati manualmente sul modulo di consenso si è integrato l’errore materiale che ha portato a copiare i dati dalla riga superiore del gestionale, relativi al sig. XXX (avente lo stesso cognome della madre della figlia minore del reclamante). Non si è verificata alcuna comunicazione dei dati della minore (…)  al sig. XXX.”

In data 11 novembre 2020 si è svolta l’audizione ai sensi dell’art. 166, commi 6 e 7, del Codice e dell’art. 18, comma 1, dalla legge n. 689 del 24/11/1981. In tale circostanza, la struttura sanitaria ha ribadito quanto già rappresentato nelle memorie difensive, chiedendo di procedere all’archiviazione del procedimento o, in subordine, l’applicazione di una sanzione nella minore entità possibile.

3. La normativa in materia di protezione dei dati personali

Il Regolamento, agli artt. 12 e ss. disponendo in materia di “diritti dell’interessato”, prevede il diritto di quest’ultimo di ottenere dal titolare del trattamento le informazioni relative richieste ai sensi degli artt. da 15 a 22 del Regolamento medesimo (nel caso specifico, ai sensi dell’art. 15 e del Considerando 63), senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta. Ciò, a meno che non ricorra uno dei casi di limitazione dei diritti dell’interessato, tassativamente indicati all’art. 23 del Regolamento e 2-undecies del Codice, i quali non risultano conferenti rispetto alla vicenda in questione.

4. Esito dell’attività istruttoria

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento negli scritti difensivi ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Nel caso oggetto di reclamo, avendo la struttura sanitaria fornito riscontro all’esercizio del diritto di accesso ai dati personali - effettuato dal reclamante in data 19 settembre 2019 - in data 20 novembre 2019, ovvero dopo 62 giorni da quello di presentazione di tale richiesta di accesso e, dunque, ben oltre il termine di un mese previsto dall’art. 12 del Regolamento, si confermano le valutazioni preliminari dell’Ufficio relative all’accertata violazione dell’art. 12, par. 3, in relazione all’art. 15 del Regolamento medesimo.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5 del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2, del Regolamento in relazione ai quali si considera il carattere colposo dell’intempestivo riscontro fornito dalla struttura sanitaria, determinato da problemi tecnici all’impianto hardware, oltre al fatto che tale struttura ha tenuto una condotta collaborativa con l’Autorità nel corso dell’istruttoria del presente procedimento e che non risultano precedenti violazioni pertinenti commesse dalla struttura medesima o precedenti provvedimenti di cui all’art. 58 del Regolamento a carico della stessa.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria, nella misura di euro 2.000,00 (duemila) per la violazione dell’art. 12, par. 3, in relazione all’art. 15 del Regolamento.

Si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata la violazione dell’art. 12, par. 3, in relazione all’art. 15 del Regolamento da parte del Poliambulatorio Talenti S.r.l. nei termini di cui in motivazione;

ORDINA

al Poliambulatorio Talenti S.r.l. in persona del legale rappresentante pro-tempore, con sede legale in Roma, via Padre Semeria, n. 33 C.F. 1961330584/ P.IVA 01021921000 ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 5, del Regolamento e 166, comma 2, del Codice, di pagare la somma di euro 2.000,00 (duemila) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla medesima struttura sanitaria di pagare la somma di euro 2.000,00 (duemila), in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice;

l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 14 gennaio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei