g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Azienda per la Tutela della Salute (ATS) della Sardegna - 14 ottobre 2021 [9722265]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9722265]

Ordinanza ingiunzione nei confronti di Azienda per la Tutela della Salute (ATS) della Sardegna - 14 ottobre 2021

Registro dei provvedimenti
n.  370 del 14 ottobre 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, l’avv. Guido Scorza, componenti e il cons. Fabio Mattei;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. L’istanza

Con nota del XX, la sig,ra XX ha lamentato una violazione della disciplina in materia di protezione dei dati personali da parte del Centro Salute Mentale di Assemini, afferente all’Azienda per la Tutela della Salute (ATS) della Sardegna, a seguito dell’inserimento di alcuni fogli che compongono il diario clinico della signora, all’interno di altra documentazione relativa ad un soggetto terzo e allo stesso consegnato.

In conseguenza di ciò, il predetto soggetto terzo, appartenente alla stessa comunità cittadina della sig.ra XX, avrebbe avvisato la stessa di quanto accaduto, comunicandole, altresì, che nei citati documenti sarebbero stati riportati parti di colloqui psicologici avuti dalla segnalante con gli operatori del Centro.

2. L’attività istruttoria

A seguito della richiesta di informazioni di questo Ufficio (nota del XX, prot. n. XX), con la quale è stato chiesto di far conoscere il presupposto giuridico che avrebbe consentito la comunicazione di dati personali relativi alla sig.ra XX soggetti terzi, l’ATS Sardegna ha fornito riscontro, con nota del XX.

In particolare, il Commissario straordinario dell’Azienda, in relazione al fatto contestato, ha rappresentato che:

- “l’evento lamentato …. (comunicazione a terzo utente di due fogli di diario clinico contenuti in una cartella clinica cartacea) è avvenuto sulla base di un incolpevole errore umano, commesso evidentemente non su base intenzionale, ma esclusivamente quale evento fortuito, fatalmente implicato dalla tenuta cartacea di tale documentazione, peraltro presidiata da modalità che, secondo consolidate prassi operative, ne hanno finora sempre assicurato adeguatamente la protezione”;

- “l’evento - peraltro al momento unico - non ha comportato diffusione di dati, atteso che il possesso della documentazione da parte di persona terza ha avuto brevissima durata (…)”;

- “la documentazione in argomento sia stata prontamente restituita all’interessata, la quale tuttavia risulta non aver provveduto alla sua riconsegna al fine del reinserimento nella specifica cartella clinica, bensì di aver depositato la documentazione stessa presso legale di fiducia, al fine di procedere ad azione risarcitoria avverso questa ATS Sardegna”.

La medesima Azienda ha inoltrato, altresì, una nota/relazione prodotta da XX, Dirigente del Dipartimento Salute Mentale C.S.M.-Assemini, dalla quale risulta che:

- “il giorno XX ci contatta la signora XX per segnalare il ritrovamento nella copia della sua cartella di due fogli di diario clinico appartenente alla signora XX. L’infermiere (…) invita la signora a riportare i documenti al CSM ma la signora XX riferiva di aver già informato la signora XX e che la stessa si stava recando a casa sua per il ritiro”;

- “nella stessa giornata la signora XX ha telefonato e parlato con l’infermiera (…) lamentando l’accaduto, manifestando l’intenzione del marito di sporgere denuncia”;

- contattata da un infermiere e dalla stessa dirigente e fissato un appuntamento, “la signora non si è presentata all’incontro” e visitata il giorno successivo “non portava con sé la documentazione affermando di averla consegnata all’avvocato”.

Con riferimento a quanto emerso dall’esame della documentazione esaminata e dalle dichiarazioni rese, tenuto conto che la descritta condotta non è risultata conforme alla disciplina rilevante in materia di protezione dei dati personali, l’Ufficio, con atto del XX (prot. n. XX), ha notificato all’ATS Sardegna, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitandola a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, l. n. 689 del 24 novembre 1981).

In particolare l’Ufficio ha rappresentato che:

- la disciplina in materia di protezione dei dati personali prevede che le informazioni sullo stato di salute possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso, previa delega scritta di quest’ultimo (art. 9 Regolamento e art. 84 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101; cfr. anche provv. generale del 9 novembre 2005, consultabile in www.gpdt.it, doc. web n. 1191411, ritenuto compatibile con il suddetto Regolamento e con le disposizioni del decreto n. 101/2018; cfr. art. 22, comma 4, del citato d.lgs. n. 101/2018);

- il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di «integrità e riservatezza», secondo il quale i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. f) del Regolamento).

Ciò premesso, sulla base degli elementi acquisiti, con il predetto atto del XX, l’Ufficio ha ritenuto che la ATS Sardegna abbia effettuato una comunicazione di dati sulla salute in assenza dei presupposti giuridici previsti dall’art. 9 del Regolamento e, quindi, in violazione dei principi di base del trattamento di cui agli artt. 5 e 9 del Regolamento.

Con nota del XX (prot. XX), la ATS Sardegna ha fatto pervenire le proprie memorie difensive, nelle quali, in particolare, dopo aver descritto il generale contesto di riorganizzazione del Sistema Sanitario Regionale, ha rappresentato che:

a) “nel (..) generale contesto di riorganizzazione del Sistema Sanitario Regionale, si inserisce il notorio quadro epidemiologico, che nel recente periodo presenta una sempre maggiore gravità, continuando ad indurre inconvenienti operativi e complicazione nei rapporti tra le strutture aziendali, fra l’altro variamente localizzate nel territorio regionale e pertanto costrette a rapportarsi prevalentemente non in presenza”;

b) “relativamente alla natura della violazione, andrà necessariamente evidenziato come, allo stato, la violazione nel trattamento dei propri dati personali che l’interessata sostiene essere stata commessa dall’ATS Sardegna, potrebbe considerarsi “presunta”. Infatti, a seguito di verifica in loco eseguita dal D.P.O. dell’Azienda presso il Centro di Salute Mentale di Assemini, dell’esibizione dei documenti di cui il medesimo D.P.O. richiedeva ostensione e copia nonché dai colloqui intercorsi con il Direttore del C.S.M. e del relativo personale, si è evinto che l’interessata aveva richiesto copia della propria cartella clinica, copia regolarmente eseguita dal personale del C.S.M. ma mai ritirata dall’interessata; la documentazione di cui è stata richiesta copia dall’interessata è, dunque, presente integralmente” (ergo, senza alcuna pagina mancante) presso il C.S.M. Allo stato, pertanto, non si è in grado di comprendere come possa essersi verificata la violazione sostenuta, considerato anche come la genericità della richiesta di risarcimento del danno formulata dall’interessata (nell’ambito della quale sembrerebbe non esservi nemmeno certezza dei contenuti dei documenti oggetto della violazione in quanto si legge “pare che, nella pagina inserita per errore nelle copie consegnate ad altra persona, comparissero addirittura le tracce di colloqui avuti dalla nostra assistita”) non consenta di risalire a quali pagine del diario clinico dell’interessata siano state inserite nella cartella di altra paziente ma a tutt’oggi ancora non note a questa Azienda in quanto né restituite né, tanto meno, esibite alla medesima così da poter consentire un’esatta ricostruzione dei fatti”;

c) “quanto alla gravità della violazione, non si può non considerare come i soggetti coinvolti siano stati unicamente due: l’interessata (la quale ha nell’immediatezza messo a conoscenza del fatto il proprio legale) e la XX la quale comunica all’interessata di aver rinvenuto tra i propri documenti, dei quali anch’essa aveva eseguito richiesta di copie due giorni prima l’interessata, le due pagine relative al diario clinico di quest’ultima. Entrambi i soggetti coinvolti frequentavano/frequentano il C.S.M. di Assemini (centro di dimensioni assai limitate che consta di circa 3.700 abitanti i quali fondano la loro comunità sulla conoscenza reciproca, come abitualmente avviene nei centri di limitate dimensioni), evidentemente conoscevano i propri recapiti telefonici e, per effetto di ciò, non vi è stata comunicazione o diffusione di dati sanitari a soggetti che già non fossero a conoscenza delle necessità terapeutiche dell’interessata. Quanto alla durata, invece, la presunta violazione si sarebbe sviluppata in un arco temporale estremamente limitato in quanto l’episodio in sé si esauriva nel momento in cui la XX, dopo aver ritirato nel pomeriggio del giorno XX le proprie copie, avvisava l’interessata la mattina del giorno XX della presenza dei due fogli nella propria cartella clinica”;

d) “la condotta che avrebbe determinato la violazione” può “descriversi con assoluta certezza come colposa: nessun elemento della vicenda induce, infatti, a pensare ad un gesto intenzionale da parte del personale del C.S.M”;

e) “a conforto dell’assenza di dolo, ma anche di colpa grave, andrà osservato come dal personale in organico al C.S.M. di Assemini venga rispettata un ben precisa e consolidata procedura per la soddisfazione delle richieste di estrazione di copie della documentazione sanitaria da parte dell’utenza: a) ricevuta la richiesta di estrazione di copie dei documenti, il personale infermieristico del C.S.M. a ciò provvede b) consegnando le copie al personale amministrativo il quale si occupa di numerare le pagine, autenticarle e trasmetterle c) al Responsabile del C.S.M. per l’apposizione della firma finale. All’interno della procedura, quindi, possono essere individuati tre momenti di controllo: il primo all’atto dell’esecuzione delle copie da parte del personale infermieristico (competente nella valutazione dell’esattezza delle copie rispetto alla richiesta), il secondo nella fase di vidimazione da parte del personale amministrativo e, infine, il terzo controllo precedente all’apposizione della firma da parte del Responsabile. L’intenzionalità ovvero le manifestazioni comportamentali tipizzanti la colpa grave dovrebbero essere distribuite in maniera equa tra tre soggetti che, spesso, non sono nemmeno gli stessi in quanto, come nel caso in ispecie, il personale infermieristico che riceve la richiesta di estrazione/copia non è lo stesso che materialmente all’estrazione stessa provvede. La vicenda semmai, senza nulla ammettere nel merito, potrebbe essere ricondotta ad eventuale colpa lieve del personale il quale, tuttavia, non può non considerarsi come sia soggetto a particolare pressione per effetto della pandemia in corso e da essa costretto a porre in essere ultronee operazioni rispetto alla normale quotidianità, quali ad esempio quelle di triage all’ingresso del C.S.M., anche magari costringendolo a sospendere temporaneamente operazioni nelle quali era precedentemente impegnato. Non da ultimo, deve considerarsi come il personale effettivo sia sempre, in linea generale, sottodimensionato rispetto alla previsione organica, nel particolare momento storico attuale anche considerando l’impossibilità di espletamento di concorsi pubblici che consentirebbero il turn over del personale in quiescenza con nuovi assunti. Da ciò consegue una maggiore pressione nell’esecuzione dei propri compiti e funzioni e, consequenzialmente, un aumento delle probabilità di incorrere in errori incolpevoli”;

f) “il personale del C.S.M. provvedeva immediatamente a contattare l’interessata per prendere visione e chiedere la restituzione delle pagine di cui si lamentava lo smarrimento (in possesso dell’interessata in quanto a lei consegnate dalla XX nell’immediatezza dei fatti) e poter avere contezza delle eventuali responsabilità e, per l’effetto, contenere le conseguenze della violazione: l’interessata, tuttavia, rifiutava la restituzione delle copie in quanto già in possesso del proprio legale, il quale inoltrava richiesta di risarcimento danno nei confronti dell’ATS Sardegna e procedeva a segnalare all’Autorità Garante la presunta violazione”;

g) “si è proceduto alla verifica delle condizioni generali degli archivi del C.S.M. di Assemini e si è rinvenuto uno stato di fatto che consente la protezione adeguata delle cartelle ivi contenute, protette da porta di accesso chiusa a chiave e dotata di opportune segnalazioni di area riservata e divieto di accesso. Al suo interno, l’archivio è composto da armadi metallici a cassettiera dotati di chiusura a chiave per ciascuna di essa e privi di indicazioni nominative ma semplicemente di lettere iniziali e finali per l’individuazione del cognome del paziente (…) Non è possibile entrare in maniera clandestina o forzare l’accesso del C.S.M. in quanto l’ingresso è costantemente presidiato dal personale impegnato nel triage di preingresso e gli archivi si trovano in prossimità dell’accesso ma da esso comunque distanti e protetti dalla porta chiusa a chiave, in possesso a personale a ciò autorizzato”;

h) “in sede di programmazione dei propri interventi di evoluzione strategica del parco applicativo ed infrastrutturale ICT, è prevista l’attivazione di un’unica soluzione di Cartella Clinica Elettronica (CCE) aziendale (…) al momento in fase di progettazione esecutiva”;

i) “presso la ASSL di Cagliari, nel cui ambito territoriale ricade il CSM di Assemini, a far data dal 2017 è operativo un servizio esternalizzato di archiviazione, magazzinaggio e movimentazione di cartelle cliniche e cartelle radiografiche, con procedura di affidamento indetta nel 2015 presso la preesistente ASL di Cagliari.  Inoltre con Deliberazione n. 163/2020 “Aggiornamento del Regolamento aziendale in materia di accesso agli atti documentale, civico semplice e civico generalizzato”, (…) si è proceduto all’aggiornamento del Regolamento aziendale in materia di accesso agli atti, prevedendosi un’apposita disciplina in materia di documentazione sanitaria maggiormente dettagliata rispetto alla precedente” e “con Deliberazione n. 319/2019 (…), l’ATS Sardegna si è dotata di apposite «Linee guida per la gestione degli archivi correnti e di deposito»”;

j) “l’ATS Sardegna provvedeva tempestivamente a riscontrare l’Autorità Garante a fronte della richiesta di informazioni relativamente alla vicenda de qua nonché con la presente fornisce ulteriori informazioni conseguenti a sopralluoghi, audizioni dei soggetti coinvolti ed acquisizione di documentazione relativa in ossequio alla massima collaborazione possibile seppur nell’incertezza di una situazione la cui sussistenza rimane ancora non acclarata ma semplicemente sostenuta con affermazioni di parte e senza che mai sia stato consentita la visione delle pagine oggetto della vicenda al fine di una consentire una precisa ricostruzione dei fatti”;

k) “l’ATS Sardegna aderisce al gruppo di lavoro Art. 40 del G.D.P.R. per lo studio e la redazione dei codici di condotta in ambito sanitario”.

In data XX si è tenuta l’audizione richiesta dal titolare del trattamento innanzi all’Autorità, nel corso della quale, in relazione alla violazione notificata, è stato ribadito quanto già dichiarato e, comunque, precisato che:

- “nella cartella della sig.ra XX, che non è stata ritirata ed è a tutt’oggi in nostro possesso, non vi sono aggiornamenti psicologici (colloqui tra psicologo e paziente), ma esclusivamente aggiornamenti psichiatrici; tale precisazione è volta a confutare quanto dichiarato dai legali di controparte nella richiesta di risarcimento del XX, laddove si afferma che nelle pagine inserite nella documentazione consegnata all’altra persona sarebbero comparse  addirittura tracce di colloqui avuti dalla nostra assistita con gli psicologi; in realtà la dott.ssa XX ha avuto modo di precisare che gli aggiornamenti psicologici non sono inserii nella cartella clinica “psichiatrica” ma vanno a costituire una cartella clinica a parte rispetto a quella propriamente “psichiatrica” proprio per maggiore riservatezza e tutela della paziente stessa; solo quando l’interessata richiede espressamente l’accesso alla cartella “psicologica” vengono fornite le registrazioni dei colloqui”;

- “la copia della cartella richiesta dalla segnalante risulta allo stato integra e non mancante dei fogli oggetto dell’istanza … la segnalazione non è suffragata da documentazione; i fatti imputati non sono circostanziati e provati e sono affermazioni della segnalante; non è stato possibile accertare quanto segnalato; le signore coinvolte sono state contattate prontamente dall’Azienda ma nessuna delle due si è presentata presso la stessa per fornire la documentazione richiesta, l’una dicendo che la stessa documentazione era stata consegnata all’avvocato, e l’altra dichiarando di aver consegnato i due fogli all’interessata”;

- “in tale sede si rettifica quanto dichiarato con nota del XX; in particolare (…) il riferimento ai 3700 abitanti è da riferirsi non al Centro Salute Mentale ma al paese di provenienza e residenza delle signore coinvolte”.

Successivamente, a seguito di specifica richiesta dell’Ufficio nei confronti della sig.ra XX, di esibire la documentazione relativa ai predetti fogli che sarebbero stati consegnati alla stessa da altra paziente, sono stati acquisiti, agli atti, i documenti rilasciati ad altra concittadina, trasmessi dalla sig.ra XX, con nota del XX.

L’allegato alla citata nota consta di tre fogli (di cui due riproducono la medesima pagina) recanti “Diari clinici/cliente (…) diari medico/psichiatrico”, nei quali è annotato sinteticamente il contenuto dei colloqui avuti dal 2016 al 2019 e sono indicate le terapie somministrate, talvolta, anche con l’indicazione della diagnosi.

3. Esito dell’attività istruttoria

Premesso che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice (“Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”), all’esito dell’esame della documentazione acquisita, attestante la fondatezza dell’istanza, nonché  delle dichiarazioni rese all’Autorità nel corso del procedimento, risulta che la ATS Sardegna ha effettuato un trattamento di dati personali in violazione dei principi di base del trattamento di cui agli artt. 5 e 9 del Regolamento.

4. Conclusioni

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria e della documentazione trasmessa dall’interessata, si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive e nel corso dell’audizione, seppure meritevoli di considerazione -considerato il dettaglio e l’appropriatezza delle spiegazioni fornite, in relazione a ciascun elemento indicato nell’art. 83, par. 2, del Regolamento- non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni si rileva l’illiceità del trattamento di dati personali effettuato dall’ATS Sardegna, nei termini di cui in motivazione, in violazione degli artt. 5 e 9 del Regolamento.

In tale quadro, considerato, in ogni caso, che la condotta ha esaurito i suoi effetti e che sono state fornite assicurazioni in ordine alle verifiche effettuate e alle iniziative, anche organizzative, volte a evitare la ripetizione dell’errore occorso, non ricorrono i presupposti per l’adozione da parte dell’Autorità delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

5.Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5 e 9 del Regolamento, determinata dal trattamento di dati personali, oggetto del presente provvedimento, effettuato dall’Azienda, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, lett. a) del Regolamento.

Si consideri che il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2, del Regolamento in relazione ai quali si osserva che:

- il trattamento dei dati effettuato dall’Azienda riguarda dati idonei a rilevare informazioni sulla salute di due sole persone interessate e la violazione ha riguardato un arco temporale estremamente ridotto (art.  83, par. 2, lett. a) e g) del Regolamento);

- l’episodio è stato accidentale e determinato da una disattenzione del personale che prestava servizio presso l’Azienda; la condotta è maturata nell’ambito del peculiare contesto lavorativo caratterizzato da particolare tensione degli operatori sanitari dovuta al perdurante contesto emergenziale derivante dall’epidemia da Covid-19, che ha interessato l’Azienda interessata (art. 83, par. 2, lett. b) e k) del Regolamento);

- l’Autorità ha preso conoscenza della violazione a seguito dell’istanza da parte della sig.ra XX al Garante sull’accaduto (art. 83, par. 2, lett. h) del Regolamento);

- l’Azienda ha collaborato pienamente con l’Autorità nel corso dell’istruttoria e del presente procedimento, anche producendo memorie difensive particolarmente articolate (art. 83, par. 2, lett. f) del Regolamento);

- il titolare del trattamento si è prontamente attivato per porre rimedio all’accaduto e ha previsto una revisione di molteplici procedure, con particolare riferimento alla gestione della documentazione sanitaria (art. 83, par. 2, lett. c) e d) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, nella misura di euro 8.000,00 per la violazione degli artt. 5 e 9 del Regolamento quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata la violazione degli artt. 5 e 9 del Regolamento, dichiara l’illiceità del trattamento di dati personali effettuato dall’ATS Sardegna nei termini di cui in motivazione;

ORDINA

all’Azienda per la Tutela della Salute (ATS) della Sardegna, con sede legale in Via E. Costa, 57 07100 Sassari P. IVA: 00935650903 C.F.: 92005870909, in persona del legale rappresentante pro-tempore, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, di pagare la somma di euro 8.000,00 (ottomila) a titolo di sanzione amministrativa pecuniaria per la violazione di cui al presente provvedimento, secondo le modalità indicate in allegato, entro 30 giorni dalla notifica in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Azienda, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 8.000,00 (ottomila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

- la pubblicazione del presente provvedimento sul sito web del Garante, ai sensi dell’art. 166, comma 7, del Codice;

- l’annotazione del presente provvedimento nel registro interno dell’Autorità - previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante - relativo alle violazioni e alle misure adottate in conformità all'art. 58, par. 2, del Regolamento medesimo.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 14 ottobre 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei