g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Azienda Socio Sanitaria Territoriale Dei Sette Laghi - 29 aprile 2021 [9682169]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9682169]

Ordinanza ingiunzione nei confronti di Azienda Socio Sanitaria Territoriale Dei Sette Laghi - 29 aprile 2021

Registro dei provvedimenti
n. 171 del 29 aprile 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Introduzione.

Con reclamo del 10 luglio 2019, presentato ai sensi dell’art. 77 del Regolamento, è stato rappresentato che, in data 9 dicembre 2013, il reclamante aveva inviato il proprio curriculum vitae all’Azienda Socio Sanitaria Territoriale (ASST) dei Sette Laghi (di seguito, l’”Azienda”), in risposta a un avviso pubblico per il conferimento dell’incarico di medico specialista. Dopo alcuni anni, in data 30 aprile 2018, il reclamante aveva contattato l’Azienda, opponendosi alla diffusione dei dati “personali relativi all’utenza cellulare privata, all’email personale e all’indirizzo di residenza” che comparivano nel proprio curriculum vitae, pubblicato sul sito web istituzionale dell’Azienda. In data 29 maggio 2018, l’Azienda rispondeva all’interessato (nota prot. 0032339 del 31 maggio 2018), sostenendo di aver pubblicato i dati personali dello stesso sulla pagina “Amministrazione Trasparente” del proprio sito web in virtù del consenso manifestato dall’interessato in occasione della partecipazione all’avviso pubblico del 2013, e precisando che il curriculum vitae sarebbe rimasto visibile nella sezione “Amministrazione Trasparente” per cinque anni dalla data di pubblicazione, ai sensi delle vigenti disposizioni in materia.

La pubblicazione del curriculum vitae del reclamante sul sito web istituzionale dell’Azienda, nonché l’indicizzazione sui motori di ricerca dalla pagina in questione, è stata accertata dall’Ufficio in data 9 gennaio 2020 (cfr. relazione di servizio prot. n. 8/20 del 14 gennaio 2020). In particolare, è stato accertato che, utilizzando il nome e il cognome del reclamante come parole chiave sul motore di ricerca “www.yahoo.it”, veniva menzionato un collegamento con la seguente descrizione: “[titolo, nome e cognome dell’interessato] - ASST Sette Laghi www.asst-settelaghi.it/delibere/PubblicazioneFtp/Incarichi/... [nome e cognome] [indirizzo di residenza] [numero cellulare privato] […] [e-mail privata] [data di nascita] Da 2003 - a 2006 […]”. Attraverso il collegamento in questione era possibile visualizzare e salvare una copia del curriculum vitae del reclamante, contenente, tra gli altri, dati personali relativi all’utenza cellulare privata, all’email personale, all’indirizzo di residenza e alla firma autografa dello stesso (https://www.asst-settelaghi.it/delibere/PubblicazioneFtp/Incarichi/Allegati/1161.pdf).

2. L’attività istruttoria.

Con nota del 14 gennaio 2020 (prot. n. 1356), l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato all’Azienda, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni degli artt. 5, par. 1, lett. a) e c), 6, par. 1, lett. c) ed e), 2 e 3, lett. b), nonché 2-ter, commi 1 e 3, del Codice, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).

Con nota del 13 febbraio 2020 (prot. n. n. 0009498), come integrata in data 14 febbraio 2020, l’Azienda ha dichiarato, in particolare, che:

“[il reclamante] ha assunto un incarico libero professionale presso [l’Azienda, che al tempo aveva una differente denominazione,] […] nell'anno 2013. In ossequio a quanto disposto dalla normativa vigente in materia di trasparenza, l'ufficio competente, contestualmente alla stipula del contratto, ha provveduto a richiedere copia del CV, al fine della pubblicazione del medesimo, sulla sezione dedicata "Amministrazione Trasparente" del sito internet aziendale. L'amministrazione, al fine di semplificare l'inserimento e la pubblicazione dei dati previsti dal D.Lgs. n. 33/2013, aveva implementato l'applicativo aziendale “Lapis Web" con una maschera che non consentiva l'automatizzazione dell'invio dei dati dal citato applicativo alla sezione “Amministrazione trasparente". Con tale modalità il curriculum veniva inserito nell'applicativo e l’operatore competente assegnato all'ufficio della SC Risorse Umane procedeva, cliccando sulla maschera dedicata, all'invio dei dati richiesti attuando la citata normativa”;

“nel 2017 [l’Azienda] chiedeva [all’interessato] la trasmissione di un nuovo CV a seguito del conferimento di nuovo incarico in qualità di specialista ambulatoriale. Il nuovo curriculum, aggiornato e privo di dati personali non necessari ai fini del trattamento in oggetto, veniva pubblicato nell'anno 2017”;

a seguito dell’entrata in vigore del Regolamento (UE) 2016/679, “[…] l’Azienda si era [, infatti,] premurata di fornire agli interessati dagli obblighi di pubblicazione previsti dal D.Lgs. 33/2013 indicazioni precise e puntuali sulle condotte da adottare per tutelare pienamente i propri dati personali”, indicando “le modalità attraverso cui [il curriculum vitae] avrebbe dovuto essere redatto (es. senza includere firma autografa, ecc)” (cfr. allegato 1 alla nota);

“con riferimento ai fatti oggetto della segnalazione [dell’interessato], ovvero la persistente pubblicazione del suo CV risalente al 2013 sul motore di ricerca Yahoo, […] l'Azienda, a seguito della richiesta ricevuta [dall’interessato] in data 30/04/2018, aveva provveduto tempestivamente alla rimozione del documento dal proprio sito internet. Lo stesso risultava, tuttavia, disponibile sul motore di ricerca "Yahoo", data la complessità tecnica della gestione e della mancanza di strumenti informatici”;

“a seguito di […] verifiche interne, è emerso che […] la sezione dedicata alla pubblicazione delle delibere aziendali è programmata con modalità idonee ad evitare l'indicizzazione dei dati pubblicati nonché la loro possibile copia da parte di ulteriori motori di ricerca. Di contro, la sezione "Amministrazione Trasparente" non opera secondo le medesime logiche in ossequio anche alle norme tecniche che prevedono la pubblicazione di tali dati in formato .pdf aperto. Proprio tale differente logica operativa ha indotto in errore gli operatori dell'Azienda e ha determinato gli eventi oggetto [del reclamo]”;

“ricevuta la richiesta di cancellazione del CV da parte [dell’interessato], l'Azienda si è subito adoperata per la rimozione del curriculum vitae attraverso apertura del correlato e necessario "ticket" inteso come richiesta di intervento tecnico informatico, ovvero attraverso formale richiesta di rimozione al fornitore dell'applicativo. La suddetta azione è stata tempestivamente intrapresa ed attuata, tuttavia la stessa non si è resa sufficiente ai fin in oggetto per le peculiarità tecniche sopra descritte. Invero, gli operatori hanno erroneamente presunto che la cancellazione del CV fosse completata attraverso la sola rimozione dall'applicativo e conseguentemente dal sito, che il documento non potesse più essere accessibile da altri motori di ricerca in quanto non più disponibile online”:

“il trattamento dei suddetti dati è stato eseguito in forza dell'obbligo di legge gravante [sull’Azienda] e non in forza del consenso [dell’interessato]. Pertanto, il medesimo si configura come lecito ai sensi dell'art. 6, par. 1, lett. c} GDPR”;

“l'Ufficio Risorse Umane nella nota del 31/05/2018 ha solo voluto precisare che il trattamento in oggetto era eseguito in adempimento del citato obbligo normativo […;] l'utilizzo - certamente a-tecnico - del termine “consenso” era utilizzato dall'Ufficio dal solo fine di evidenziare che [l’interessato] era pienamente [informato] delle finalità e delle modalità di trattamento del proprio CV e che [questo] volontariamente aveva deciso di inserire nel documento i propri riferimenti personali”;

“per l'Azienda è assai complicato verificare se il CV contiene dati relativi all'utenza personale o istituzionale, in quanto [l’Azienda è] estremamente complessa ed articolata, alla stessa riferiscono più strutture ospedaliere, moltissime strutture ambulatoriali, diverse strutture residenziali, semiresidenziali e consultori con utenze e servizi diversi”;

l’Azienda “sì è tempestivamente attivata al fine di porre immediatamente in essere le misure per attuare quanto richiesto [dall’interessato]. In particolare, [l’Azienda] si è attivata al fine di rimuovere il CV oggetto della segnalazione anche dal motore di ricerca "yahoo". Inoltre, la stessa ha provveduto a verificare che lo stesso non fosse più disponibile su alcuno dei motori di ricerca noti”;

l’Azienda ha adottato specifiche iniziative “al fine di rafforzare il livello di tutela degli interessati coinvolti nel trattamento in oggetto, con il supporto del Responsabile, della protezione dei dati”.

In occasione dell’audizione, richiesta dall’Azienda ai sensi dell’art. 166, comma 6, del Codice e tenutasi in data 10 dicembre 2020, l’Azienda ha, inoltre, dichiarato, in particolare, che:

“i fatti oggetto di reclamo sono stati causati da un errore umano. Anzitutto l’Ufficio Protocollo ha omesso di inviare le richieste dell’interessata al RPD. Inoltre, al tempo [il dipendente che ha gestito la richiesta dell’interessato] ha fornito una risposta inadeguata alla richiesta di esercizio dei diritti dell’interessata e non conforme sia alla normativa vigente sia ai regolamenti interni, i quali prevedevano che le richieste degli interessati dovessero essere trasmessi all’RPD e al comitato privacy. […] Ora, con il supporto del RPD, l’Azienda ha messo in atto tutta una seria di azioni di miglioramento per la gestione dei dati e, in particolare, la pubblicazione dei curriculum vitae”;

“[…] si è […] verificato un errore umano [, poiché] l’attività di pubblicazione dei CV era stata posta in essere consentendo a ciascun interessato di trasmettere all’Azienda il proprio CV, ai fini della successiva pubblicazione sul sito web, ai fini della trasparenza. Nel caso oggetto di reclamo, non è stato, però, effettuato un corretto controllo del documento al momento della pubblicazione. Il RPD ha, dunque, appurato la necessità di verificare periodicamente i file caricati e di impartire linee guida più stringenti per gli addetti incaricati della gestione della pubblicazione. È stato, altresì, creato un comitato dedicato all’anticorruzione e alla trasparenza, che ha consentito di migliorare i processi”;

“al fine di bilanciare la necessità di trasparenza con la protezione dei dati, i documenti erano stati indicizzati. I sistemi informatici erano stati configurati per non indicizzare i documenti pubblicati, ad eccezione di quelli pubblicati per finalità di trasparenza, atteso che la normativa consente l’indicizzazione per tali finalità. Ora, alla luce dei rilievi del Garante, sono state impartite indicazioni ai fornitori di cancellare automaticamente i documenti al termine del periodo di conservazione previsto e di verificare che tali documenti non risultino ancora indicizzati sui motori di ricerca”;

“il caso oggetto di reclamo è stato [, pertanto,] causato […] da un mero errore umano e dalla violazione, da parte di un soggetto autorizzato, delle procedure interne in materia di protezione dei dati personali”.

3. Esito dell’attività istruttoria.

La disciplina di protezione dei dati personali prevede che i soggetti pubblici, nell’ambito del contesto lavorativo, possono trattare i dati personali (art. 4, n. 1, del Regolamento) del personale che a vario titolo opera nella propria struttura organizzativa e sotto la propria diretta autorità (cfr. art. 29 del Regolamento), se il trattamento è necessario, in particolare, “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” (ovvero gli specifici obblighi o compiti previsti dalla legge per finalità di gestione del rapporto di lavoro) oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. c) ed e) del Regolamento).

La normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del […] regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento). Al riguardo, si evidenzia che l’operazione di diffusione di dati personali (come la pubblicazione su Internet), da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento (art. 2-ter, commi 1 e 3, del Codice).

Il titolare del trattamento è tenuto, in ogni caso, a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione dei dati”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c), del Regolamento).

Ciò premesso, si rileva che, l’Azienda ha sostenuto di aver pubblicare il curriculum vitae del reclamante nella sezione “Amministrazione Trasparente” del proprio sito web istituzionale per adempiere agli obblighi di legge in materia pubblicità e trasparenza dell’azione amministrativa di cui al d.lgs. 14 marzo 2013, n. 33.

Al riguardo si osserva che l’art. 15, comma 1, lett. b), del decreto in questione prevede che “fermo restando quanto previsto dall'articolo 9-bis […], le pubbliche amministrazioni pubblicano e aggiornano le seguenti informazioni relative ai titolari di incarichi di collaborazione o consulenza: […] b) il curriculum vitae”, anche con riguardo ai dirigenti medici (cfr. art. 41, comma 3, del medesimo decreto).

Tuttavia, già nelle “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” (provv. 15 maggio 2014, n. 243, doc. web n. 3134436), il Garante ha chiarito che il riferimento del legislatore all’obbligo di pubblicazione del curriculum vitae non può, comunque, comportare la diffusione di dati personali che non siano pertinenti rispetto alle finalità di trasparenza perseguite. Pertanto, “prima di pubblicare sul sito istituzionale i curricula, il titolare del trattamento dovrà […] operare un’attenta selezione dei dati in essi contenuti”, omettendo di pubblicare i “dati eccedenti, quali ad esempio i recapiti personali oppure il codice fiscale degli interessati, ciò anche al fine di ridurre il rischio di c.d. furti di identità” (parte prima, par. 9.a.) (cfr. le “FAQ in materia di trasparenza” dell’Autorità Nazionale Anticorruzione, in particolare n. 9.8, ove si afferma che la pubblicazione del curriculum vitae dei titolari di incarichi di collaborazione o consulenza deve essere effettuata operando “un’attenta selezione dei dati in essi contenuti ai fini del rispetto della tutela della riservatezza”).

Come è emerso nel corso dell’istruttoria, l’Azienda ha, invece, pubblicato il curriculum vitae del reclamante sul proprio sito web istituzionale, omettendo di oscurare preventivamente i dati afferenti alla sfera personale dello stesso (quali l’indirizzo di residenza, l’utenza cellulare privata, l’e-mail personale e la firma autografa), che non possono ritenersi “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. c), del Regolamento; cfr., con riguardo al rispetto del principio di minimizzazione dei dati in occasione della pubblicazione di documenti online, ancorché in contesti diversi, tra gli altri, provv. 25 febbraio 2021, n. 69, doc. web n. 9565258; provv. 11 febbraio 2021, n. 54, doc. web n. 9556625; provv. 14 gennaio 2021, n. 22, doc. web n. 9543138; provv. 1° ottobre 2020, n.  173, doc. web n. 9483375; provv. 3 settembre 2020, n. 154, doc. web n. 9468523; provv. 29 luglio 2020, n. 149, doc. web n. 9463997; provv. 9 luglio 2020, n. 140, doc. web n. 9451734; provv. 9 luglio 2020, n. 139, doc. web n. 9446659; provv. 2 luglio 2020, n. 120, doc. web n. 9440075; provv. 2 luglio 2020, n. 117, doc. web n. 9445324; prov. 12 marzo 2020, n. 50, doc. web n. 9365159; provv. 13 febbraio 2020, n. 35, doc. web n. 9285411; provv. 6 febbraio 2020, n. 27, doc. web n. 9283029; provv. 30 gennaio 2020, n. 21, doc. web n. 9283014; provv. 30 gennaio 2020, n. 20, doc. web n. 9302897). Il trattamento di tali dati personali, in assenza di un’idonea base giuridica e in maniera non conforme al principio di minimizzazione dei dati, ha, peraltro, comportato un’ulteriore e più ampia diffusione degli stessi, a causa dell’indicizzazione della pagina web che ospitava il curriculum vitae del reclamante e della conseguente inclusione di detti dati nell’anteprima del contenuto visualizzata nei motori di ricerca, allorquando venivano utilizzati il nome e il cognome dello stesso come parole chiave.

Come dichiarato dall’Azienda, il mancato oscuramento delle informazioni personali del reclamante è dipeso da un errore umano, in quanto “non è stato […] effettuato un corretto controllo del documento al momento della pubblicazione” (audizione del 10 dicembre 2020). Parimenti, la pubblicazione della versione integrale del curriculum vitae, nonostante l’interessato ne avesse chiesto la rimozione già in data 30 aprile 2018, si è verificata in conseguenza di una risposta inadeguata da parte di un dipendente dell’Azienda che ha gestito tale richiesta, il quale, difformemente dalle istruzioni impartite dal titolare, che prevedevano il necessario coinvolgimento del responsabile della protezione dei dati, ha risposto in maniera “non conforme sia alla normativa vigente sia ai regolamenti interni”, nonché, più in generale, a causa di errori umani nella gestione dei dati pubblicati online, che, come accertato, erano ancora consultabili sul sito web e indicizzati da un motore di ricerca alla data del 9 gennaio 2020.

Da ultimo, si osserva che la circostanza che l’interessato fosse stato “pienamente [informato] delle finalità e delle modalità di trattamento del proprio CV e che [questo] volontariamente aveva deciso di inserire nel documento i propri riferimenti personali” non rileva ai fini della valutazione della liceità e della correttezza del trattamento, atteso che la mera inclusione da parte dell’interessato di informazioni personali nel curriculum vitae consegnato all’Azienda non può equivalere a una “manifestazione di volontà libera, specifica, informata e inequivocabile” alla diffusione online di tali informazioni (art. 4, par. 1, n. 11) del Regolamento; cfr. anche art. 7 e considerando nn. 32 e 33 del Regolamento). Inoltre, nel contesto lavorativo, il consenso non può, di regola, “costituire un valido fondamento giuridico per il trattamento dei dati personali”, sussistendo “un evidente squilibrio tra l’interessato e il titolare del trattamento” (considerando n. 43 del Regolamento; cfr. il par. 21 delle “Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679” adottate il 4 maggio 2020 dal Comitato europeo per la protezione dei dati, ove si afferma che “lo squilibrio di potere sussiste anche nel contesto dell’occupazione. Data la dipendenza risultante dal rapporto datore di lavoro/dipendente, è improbabile che l’interessato sia in grado di negare al datore di lavoro il consenso al trattamento dei dati senza temere o rischiare di subire ripercussioni […] Di conseguenza il Comitato ritiene problematico per il datore di lavoro trattare i dati personali dei dipendenti attuali o futuri sulla base del consenso, in quanto è improbabile che questo venga prestato liberamente. Per la maggior parte delle attività di trattamento svolte sul posto di lavoro, la base legittima non può e non dovrebbe essere il consenso del dipendente […] in considerazione della natura del rapporto tra datore di lavoro e dipendente”). Si osserva, in ogni caso, che la pubblicazione dei dati personali afferenti alla sfera privata dell’interessato non sarebbe stata, comunque, conforme al principio di minimizzazione dei dati (art. 5, par. 1, lett. c) del Regolamento).

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si rappresenta, altresì, che per la determinazione della norma applicabile, sotto il profilo temporale, deve essere richiamato in particolare il principio di legalità di cui all’art. 1, comma 2, della l. n. 689/1981 che sancisce come «Le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati». Ciò determina l’obbligo di prendere in considerazione le disposizioni vigenti al momento della commessa violazione, che nel caso in esame – data la natura permanente dell’illecito contestato – deve essere individuato all’atto di cessazione della condotta illecita, verificatasi successivamente alla data del 25/5/2018 in cui il Regolamento è divenuto applicabile e il d.lgs. 10 agosto 2018, n. 101 è entrato in vigore. Dagli atti dell’istruttoria è, infatti, emerso che l’Azienda ha informato di aver cessato la diffusione dei dati personali appartenenti alla sfera privata del reclamante solo nel mese di gennaio 2020 (cfr. l’e-mail del 28 gennaio 2020 del Coordinatore Area Amministrativa-Contabile dell’Azienda, agli atti, ove si afferma che “la navigazione in rete, al di fuori del perimetro aziendale, non evidenzia in questo momento la presenza di dati personali riconducibili alla persona indicata”).

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Azienda Socio Sanitaria Territoriale (ASST) dei Sette Laghi, per aver diffuso dati personali del reclamante in assenza di idonei presupposti normativi, in violazione degli artt. 6, del Regolamento, e 2-ter, commi 1 e 3, del Codice, nonché dei principi di “liceità, correttezza e trasparenza” e “minimizzazione dei dati” di cui all’art. 5, par. 1, lett. a) e c), del Regolamento.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo e art. 166, comma 2, del Codice.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che la pubblicazione dei dati personali relativi alla sfera privata del reclamante è cessata, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

In relazione ai predetti elementi è stato considerato che la rilevata condotta, tenuta in violazione della disciplina in materia di protezione dei dati personali, ha avuto ad oggetto la diffusione di dati personali, anche alla luce delle indicazioni che, sin dal 2014, il Garante ha fornito a tutti i soggetti pubblici nelle «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicate in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436. Si è tenuto, altresì, conto del notevole lasso di tempo in cui i dati personali del reclamante sono stati oggetto di diffusione (dalla fine dell’anno 2013 fino al mese di gennaio 2020).

Di contro, si è tenuto favorevolmente atto che non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento, e che il titolare si è prontamente attivato per rimuovere i dati oggetto di reclamo non appena ha avuto contezza della violazione.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 4.000 (quattromila) per la violazione degli artt. 5, par. 1, lett. a) e c), e 6, par. 1, lett. c) ed e) e 2 e 3, lett. b) del Regolamento, nonché 2-ter, commi 1 e 3 del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, paragrafo 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Tenuto conto dell’esteso lasso temporale durante il quale i predetti dati sono stati reperibili in rete, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dall’Azienda Socio Sanitaria Territoriale Dei Sette Laghi per violazione degli artt. 5, par. 1, lett. a) e c), e 6 del Regolamento, nonché 2-ter, commi 1 e 3 del Codice, nei termini di cui in motivazione;

ORDINA

all’Azienda Socio Sanitaria Territoriale Dei Sette Laghi, in persona del legale rappresentante pro-tempore, con sede legale in Viale Borri, 57 - 21100 Varese (VA), C.F. 03510050127, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 5, del Regolamento, di pagare la somma di euro 4.000 (quattromila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Azienda, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 4.000 (quattromila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione del presente provvedimento sul sito web del Garante, ritenendo che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 29 aprile 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei