Ordinanza ingiunzione - 15 aprile 2021
Ordinanza ingiunzione - 15 aprile 2021
CondividiVEDI ANCHE Newsletter del 19 maggio 2021
[doc. web n. 9587637]
Ordinanza ingiunzione - 15 aprile 2021
Registro dei provvedimenti
n. 144 del 15 aprile 2021
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;
Relatore il dott. Agostino Ghiglia;
PREMESSO
1. La violazione dei dati personali e l’attività istruttoria
L’Azienda unità locale socio sanitaria n. 9 Scaligera (di seguito Azienda) ha inviato all’Autorità una comunicazione di violazione di dati personali, ai sensi dell’art. 33 del Regolamento, circa la diffusione dei dati sulla salute di un paziente, mediante la proiezione, da parte della dott.ssa XX (in servizio presso l’Azienda), in un congresso medico di alcune diapositive relative ad un caso clinico dalla stessa affrontato e la successiva pubblicazione delle stesse sul sito della Società Triveneta di chirurgia (di seguito Società). In tale occasione, il suddetto caso clinico è stato premiato dalla predetta Società come “Migliore caso clinico 2017”.
Secondo quanto comunicato, a seguito dell’azione legale intrapresa dal predetto paziente, l’Azienda si è fatta parte attiva affinché fossero eliminate le suddette diapositive dal sito della Società, intervenendo, anche, sulla “possibilità di risalire alle immagini attraverso motore di ricerca”.
Dalla documentazione in atti emerge che, nelle predette diapositive, sono riportate: le iniziali del paziente, l’età, il sesso, l’anamnesi dettagliata della patologia sofferta dallo stesso, dettagli sui ricoveri effettuati dal 1980 al 2016 e sugli interventi chirurgici subiti in tale periodo, con l’indicazione delle date di ricovero e di intervento (in molti casi è riportato il giorno, il mese e l’anno degli stessi), l’unità di chirurgia che ha effettuato gli interventi, i giorni di degenza, numerose immagini diagnostiche (14), nonché 22 fotografie che ritraggono l’interessato durante gli interventi chirurgici.
Secondo quanto ritenuto dal legale rappresentante del paziente nella diffida in atti, le predette informazioni “non garantiscono l’impossibilità di individuare nella persona (del suo assistito) (…) il soggetto che ha subito l’intervento”.
A corredo della diffida del legale del suddetto paziente, sono state prodotte le stampe dei risultati effettuati sul motore di ricerca “Google” a seguito dell’interrogazione dello stesso con l’indicazione della peculiare tipologia di intervento effettuato e della diagnosi (laparostomia ileale; leiomiosarcoma paravescicale), dalle quali è stato possibile risalire agli indirizzi web in cui sono state pubblicate le predette diapositive.
Dalla documentazione in atti emerge inoltre che la dott.ssa XX, ai fini della predisposizione delle predette diapositive, ha utilizzato i dati e i documenti sanitari presenti negli archivi informatici dell’Azienda, nonché materiale fotografico dalla stessa realizzato nell’ambito del percorso di cura dell’interessato dalla stessa svolto all’interno della predetta Azienda.
Nell’ambito dell’istruttoria, avviata dall’Ufficio in merito alla predetta comunicazione di violazione, sono state acquisite informazioni dalla predetta Azienda, dalla dott.ssa XX e dalla citata Società.
Dagli elementi e dalla documentazione in atti, acquisiti anche a seguito delle predette richieste di informazioni, è emerso che l’Azienda sanitaria non ha ricevuto una richiesta di autorizzazione da parte della dott.ssa XX, né rilasciato alcuna autorizzazione per l’utilizzo del logo aziendale in occasione della presentazione delle predette diapositive ai fini della partecipazione al concorso relativo al “Miglior caso clinico 2017”.
Dalla documentazione in atti si evince inoltre che la dott.ssa XX ha compilato il modulo di iscrizione al predetto premio della Società Triveneta di chirurgia, dichiarando la paternità del lavoro presentato ai fini della partecipazione al concorso.
In particolare, l’Ufficio ha richiesto informazioni alla dott.ssa XX (nota del 22 gennaio 2019) che ha fornito riscontro con nota del 2 febbraio 2020 in cui ha rappresentato, in particolar modo, che:
“il paziente ebbe a prestare il relativo consenso al trattamento per finalità di cura, per la costituzione e l'alimentazione del dossier sanitario, per l'inserimento nel dossier dei dati pregressi. Nella relativa Informativa sul trattamento dei dati l'Azienda ha informato il paziente del fatto che il trattamento avveniva per il perseguimento della finalità di "indagine epidemiologica e ricerca scientifica";
“durante l'acquisizione delle fotografie il paziente era informato della finalità e collaborativo, come possono testimoniare i membri del personale coinvolto nell'attività clinica durante le medicazioni”;
“successivamente si presentò l'opportunità di esaminare il caso clinico in sede congressuale ai fini della condivisione scientifica ed altresì, stante la complessità del caso stesso, al fine di ottenere ulteriori spunti utili sul trattamento ln corso nell'interesse diretto del paziente. L'identità fu celata con l'impiego dell'iniziale, come da prassi durante l'esposizione dei casi clinici. I restanti elementi (anamnesi, sesso, età e tempistiche) costituiscono le consuete informazioni atte e necessarie alla proficua discussione del caso clinico tra la Comunità scientifica. In ogni caso, non consentono di risalire al soggetto garantendone la non identificabilità. La mancanza di tali elementi nella discussione del caso renderebbe inutile il lavoro”;
“nessuno immaginava potesse avvenire una pubblicazione sul sito della Società Triveneta di Chirurgia”;
“non venne richiesta l'autorizzazione all'utilizzo del logo trattandosi di caso clinico di particolare interesse scientifico e relativo all'attività dell'azienda, conformemente alla prassi convegnistica in ambito medico scientifico. Non risulta vi fosse all'epoca un regolamento”.
In relazione alle risultanze della predetta attività istruttoria, l’Ufficio, con atto n. 22808 del 22 giugno 2020, ha notificato alla dott.ssa XX, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, paragrafo 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).
In particolare, l’Ufficio, nel predetto atto ha rappresentato che:
- la dott.ssa XX ha trattato dati personali e documenti clinici relativi al predetto paziente, al di fuori delle finalità di cura per le quali la predetta Azienda aveva autorizzato la stessa ad accedere agli strumenti informativi aziendali. Successivamente, la dott.ssa XX ha inserito i predetti dati e documenti nelle diapositive oggetto della presentazione per la partecipazione al predetto Premio, senza procedere a una efficace anonimizzazione degli stessi;
- le informazioni presenti sulle predette diapositive, in particolar modo, le inziali del paziente, l’età, i dettagli dei ricoveri e dell’anamnesi, nonché le numerose immagini fotografiche hanno reso infatti identificabile il paziente, che, secondo quanto indicato dal relativo legale nella documentazione in atti, non ha prestato il proprio consenso informato in merito a tale trattamento di dati personali. Al riguardo, non può essere considerata idonea base giuridica del trattamento il consenso al trattamento dei dati personali effettuato attraverso il dossier sanitario per finalità di "indagine epidemiologica e ricerca scientifica", in quanto tale consenso è stato rilasciato nei confronti dei trattamenti effettuati dalla predetta Azienda sanitaria in qualità di titolare del trattamento e non anche con riferimento a quelli, eventualmente effettuati come nel caso di specie, dalla dott.ssa XX. Tale manifestazione di volontà inoltre fa riferimento ad indagini epidemiologiche e attività di ricerca scientifica che non attengono a trattamento in esame;
- la dott.ssa XX non ha richiesto alcuna autorizzazione alla predetta Azienda sanitaria per l’utilizzo di dati e documenti clinici di cui la stessa è titolare, acquisendo direttamente copia dei dati e dei documenti accedendo agli strumenti informativi in uso presso la stessa Azienda sanitaria in qualità di medico nonché di persona autorizzata al trattamento dei dati.
Nel richiamato atto del 22 giugno 2020, l’Ufficio ha, quindi, ritenuto che la messa a disposizione, da parte della dott.ssa XX, dei predetti dati personali e delle immagini diagnostiche e fotografiche, non anonimizzate, in occasione del predetto Premio, senza il consenso informato dell’interessato (paziente) e senza l’autorizzazione del titolare del trattamento degli stessi dati (Azienda ULSS 9 Scaligera) abbia determinato, a carico della professionista, una violazione dei principi di base del trattamento di cui agli artt. 5, 6 e 9 del Regolamento.
Con nota del 20 luglio 2020, la dott.ssa XX ha chiesto di essere sentita dall’Autorità e ha fatto pervenire le proprie memorie difensive, in cui ha ribadito quanto già rappresentato nella richiamata nota del 2 febbraio 2020, e ha, in particolare, rappresentato che:
“Il lavoro che portò al conferimento del premio "Migliore caso clinico 2017" fu presentato in ambito medico-scientifico in un seminario riservato a soli medici-chirurghi specialisti, ln numero limitato”;
“In ordine al richiamo al fatto che talune immagini sarebbero state, successivamente, pubblicate sul sito della Società Triveneta di Chirurgia, di tale successiva pubblicazione (se ed in quanto avvenuta) nulla sapeva la scrivente, né la scrivente ebbe ad autorizzare forma di diffusione alcuna” “Nessuno immaginava potesse avvenire una pubblicazione sul sito della Società Triveneta di Chirurgia”;
“si presentò l'opportunità di esaminare il caso clinico in sede congressuale ai fini della condivisione scientifica ed altresì, stante la complessità del caso stesso, al fine di ottenere ulteriori spunti utili sul trattamento ln corso nell'interesse diretto del paziente. L'identità fu celata con l'impiego dell'iniziale, come da prassi durante l'esposizione dei casi clinici. I restanti elementi (anamnesi, sesso, età e tempistiche) costituiscono le consuete informazioni atte e necessarie alla proficua discussione del caso clinico tra la Comunità scientifica. In ogni caso, non consentono di risalire al soggetto garantendone la non identificabilità. La mancanza di tali elementi nella discussione del caso renderebbe inutile il lavoro. (…) le Immagini radiologiche — i cui file originali contengono i dati del paziente — erano state appositamente anonimizzate”;
“Non venne richiesta l'autorizzazione all'utilizzo del logo trattandosi di caso clinico di particolare interesse scientifico e relativo all'attività dell'azienda, conformemente alla prassi convegnistica in ambito medico scientifico. Non risulta vi fosse all'epoca un regolamento”.
In relazione alla richiesta della dott.ssa XX, in data 24 novembre 2020, presso l’Ufficio del Garante, ai sensi degli artt. 166, commi 6 e 7, del Codice 18, comma 1, dalla legge n. 689 del 24/11/1981 si è svolta l’audizione con modalità telematiche nel corso della quale la dott.ssa XX ha ribadito quanto già rappresentato, precisando in particolar modo che:
“l’autorizzazione alla Società triveneta di chirurgia all’uso dell’elaborato è stata espressamente rilasciata sino al 31/12/2017 e non oltre e che non ero stata informata che l’elaborato sarebbe stato pubblicato sul sito della citata Società”;
“la finalità della presentazione del caso clinico è stata quella di condividere informazioni con i colleghi chirurghi presenti all’esposizione del mio elaborato, per ottenere anche consigli in merito alla miglior cura del paziente e nel suo primario interesse, stante la delicatezza della storia clinica del predetto. Preciso inoltre che il paziente, al quale è stata salvata la vita, è stato seguito dalla sottoscritta anche successivamente all’esposizione del predetto caso clinico”;
“le predette fotografie sono state realizzate per meglio esplicitare le modalità con cui procedere alle dovute medicazioni del paziente a vantaggio degli altri operatori sanitari che lo avrebbero preso in cura durante il ricovero nell’Azienda Scaligera. Assieme alle predette fotografie avevo redatto anche un vademecum sulle modalità con cui procedere alle medicazioni. Le fotografie, come già riportato negli atti trasmessi, risiedono nei sistemi informativi aziendali, ma non fanno parte della cartella clinica del paziente”.
2. Esito dell’attività istruttoria.
L’attività istruttoria effettuata dall’Ufficio ha riguardato l’utilizzo da parte della dott.ssa XX dei dati e dei documenti raccolti e redatti nel corso del ricovero di un paziente presso l’Azienda unità locale socio sanitaria n. 9 Scaligera per la realizzazione di un elaborato finalizzato alla partecipazione al Premio “Migliore caso clinico 2017”, patrocinato dalla Società triveneta di chirurgia.
Ai sensi del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, il “Regolamento”), i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («integrità e riservatezza»)” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»)” (art. 5, par. 1, lett. a) e c) del Regolamento).
La disciplina in materia di protezione dei dati personali prevede –in ambito sanitario- che le informazioni sullo stato di salute possano essere comunicate solo all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso previa delega scritta di quest’ultimo (art. 9 Regolamento e art. 83 d.lgs. n. 196 del 30 giugno 2003 (Codice in materia di protezione dei dati personali – di seguito, il “Codice”) in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101; cfr. anche provv. generale del 9 novembre 2005, consultabile in www.gpdt.it, doc. web n. 1191411, ritenuto compatibile con il suddetto Regolamento e con le disposizioni del decreto n. 101/2018; cfr. art. 22, comma 4, del citato d.lgs. n. 101/2018).
La normativa vigente, inoltra, vieta espressamente la diffusione dati idonei a rivelare lo stato di salute degli interessati (art. 2-septies, comma 8 e art. 166, comma 2, del Codice).
Con specifico riferimento alla pubblicazione di casi clinici, il Codice di deontologia medica approvato dalla Federazione nazionale degli ordini dei medici chirurghi e degli odontoiatri nel 2014 (così come modificato nel 2016 e nel 2017) prevede che “il medico assicur(a)(i) la non identificabilità dei soggetti coinvolti nelle pubblicazioni o divulgazioni scientifiche di dati e studi clinici” (art. 11 - Riservatezza dei dati personali).
4. Conclusioni.
Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
In particolare, si rileva che la dott.ssa XX ha trattato dati personali e documenti clinici relativi al predetto paziente, al di fuori delle finalità di cura per le quali la predetta Azienda aveva autorizzato la stessa ad accedere agli strumenti informativi aziendali, senza procedere a richiedere una specifica autorizzazione al titolare del trattamento e senza effettuare un’efficace anonimizzazione dei dati e dei documenti.
Come sopra evidenziato, le informazioni presenti sulle predette diapositive, in particolar modo, le inziali del paziente, l’età, i dettagli dei ricoveri e dell’anamnesi, nonché le numerose immagini fotografiche hanno reso infatti identificabile il paziente. Quest’ultimo, secondo quanto risultato in atti e sopra indicato, non ha prestato alla professionista il proprio consenso informato in merito a tale trattamento di dati personali, non potendosi qualificare idoneo, quale base giuridica del trattamento, il consenso prestato all’Azienda per i trattamenti finalizzati a "indagine epidemiologica e ricerca scientifica" effettuati attraverso il dossier sanitario aziendale. Ciò, in quanto tale consenso non è stato rilasciato nei confronti dei trattamenti effettuati dalla dott.ssa XX, bensì da quelli posti in essere dalla predetta Azienda sanitaria, attraverso il dossier sanitario aziendale, in qualità di titolare del trattamento.
Si rileva infine che dalla documentazione in atti, emerge che la dott.ssa XX non ha richiesto alcuna autorizzazione alla predetta Azienda per l’utilizzo di dati e documenti clinici di cui la stessa è titolare, avendo acquisito copia dei dati e dei documenti utilizzati nelle predette diapositive, dopo aver acceduto direttamente agli strumenti informativi, in uso presso la stessa Azienda, in qualità di medico e persona autorizzata al trattamento dei dati personali.
La messa a disposizione dei predetti dati personali e delle immagini diagnostiche e fotografiche, non anonimizzate, in occasione del predetto Premio, senza il consenso informato dell’interessato e senza l’autorizzazione del titolare del trattamento degli stessi dati (Azienda ULSS 9 Scaligera) ha determinato quindi una violazione dei principi di base del trattamento di cui agli artt. 5, par. 1, lett. a) e c), 6 e 9 del Regolamento. La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, lett. a) del Regolamento.
Al riguardo, si evidenzia comunque che il modello di iscrizione al predetto Premio non riporta alcuna autorizzazione, da parte della dott.ssa XX, alla pubblicazione delle predette diapositive sul sito web della Società triveneta di chirurgia.
Ciò stante, considerato che le predette diapositive sono state rimosse dal sito della Società triveneta di chirurgia e che la dott.ssa XX è stata oggetto di procedimento disciplinare in merito ai fatti oggetti del presente procedimento non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.
5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).
La violazione degli artt. 5, par. 1, lett. a) e c), 6 e 9 del Regolamento, causata dalla condotta posta in essere dalla dott.ssa XX è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par.5, lett. a) del Regolamento.
Si consideri che il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).
La predetta sanzione amministrativa pecuniaria inflitta, in ragione della gravità della condotta e in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 85, par. 2, del Regolamento in relazione ai quali si osserva che:
- il trattamento dei dati ha riguardato informazioni sulla salute di un paziente (art. 83, par. 2, lett. a) e g) del Regolamento);
- il trattamento dei dati dell’interessato è avvenuto nell’ambito di una occasione di condivisione del sapere scientifico nella comunità medica (art. 83, par. 2, lett. b) e k) del Regolamento);
- il modello di iscrizione al predetto Premio sottoscritto dalla dott.ssa XX non riporta alcuna autorizzazione della stessa alla pubblicazione delle predette diapositive sul sito web della Società Triveneta di chirurgia (art. 83, par. 2, lett. b) del Regolamento);
- la procedura descritta nel “Regolamento per la concessione del patrocinio e utilizzo del logo dell’Azienda ulss 9 Scaligera di Verona” (Deliberazione del Direttore generale n. 128 del 16 febbraio 2017), è stata adottata dopo la presentazione della domanda di partecipazione al premio da parte della dott.ssa XX (datata 23 gennaio 2017) e riguarda l’utilizzo del logo aziendale e non anche le procedure per ottenere l’autorizzazione dell’Azienda a utilizzare le informazioni dalla stessa trattate in qualità di titolare, previa anonimizzazione, per fini di divulgazione scientifica (art. 83, par. 2, lett. b) del Regolamento);
- la fattispecie di trattamento in esame presenta elementi di complessità in ordine all’individuazione delle corrette modalità di anonimizzazione dei dati dei pazienti tali da aver richiesto, dopo l’accaduto, la promozione da parte della Regione Veneto di un codice di condotta per l’uso dei dati a fini didattici e di pubblicazioni scientifiche, che è stato recentemente approvato dall’Autorità (provvedimento del 14 gennaio 2021) (art. 83, par. 2, lett. b) del Regolamento).
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, nella misura di euro 5.000,00 (cinquemila) per la violazione degli artt. 5, par. 1, lett. a) e c), 6 e 9 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.
Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della potenziale numerosità dei soggetti interessati e della tipologia di dati personali oggetto di illecito trattamento.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
TUTTO CIÒ PREMESSO IL GARANTE
dichiara l’illiceità del trattamento di dati personali effettuato dalla dott.ssa XX, per la violazione degli artt. 5, par. 1, lett. a) e c), 6 e 9 del Regolamento, nei termini di cui in motivazione.
ORDINA
ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento alla dott.ssa XX, C.F. XX, domiciliata presso l’Avv. XX (XX), a cui ha conferito mandato per il presente procedimento, di pagare la somma di euro 5.000,00 (cinquemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento, secondo le modalità indicate in allegato, entro 30 giorni dalla notifica in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.
INGIUNGE
alla predetta Società, di pagare la somma di euro 5.000,00(cinquemila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981. Al riguardo, si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro 30 giorni dalla data della notifica del presente provvedimento, ai sensi dell’art. 166, comma 8, del Codice (cfr. anche art. 10, comma 3, del d. lgs n. 150 dell’1/9/2011);
DISPONE
ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 15 aprile 2021
IL PRESIDENTE
Stanzione
IL RELATORE
Ghiglia
IL SEGRETARIO GENERALE
Mattei
