g-docweb-display Portlet

Provvedimento del 5 agosto 2022 [9809218]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9809218]

Provvedimento del 5 agosto 2022

Registro dei provvedimenti
n. 293 del 5 agosto 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito il “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante il “Codice in materia di protezione dei dati personali”, contenete disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito il “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Il reclamo e l’attività istruttoria

Con reclamo presentato in data XX, il sig. XX, ha lamentato una presunta violazione della disciplina in materia di protezione dei dati personali per aver ricevuto, da parte del dott. Massimo Citro, nato a X il XX, esercente la professione medica presso lo Studio IDRAS, XX, C.F. XX e domiciliato all’indirizzo PEC XX, al proprio indirizzo di posta elettronica ordinaria - rilasciato dal reclamante al medico per comunicazioni finalizzate a “scopi strettamente legati al rapporto medico/paziente” – un messaggio a fini promozionali riguardante una iniziativa di carattere legale.

In particolare, il reclamante ha rappresentato di aver ricevuto, in data XX, presso il sopra citato indirizzo di posta elettronica “una comunicazione dalla segreteria dello Studio medico Dott. Massimo Citro che diffondeva un messaggio di promozione di una iniziativa da parte di uno studio legale inerente al Green Pass”.

A seguito di tale reclamo, l’Ufficio, al fine di disporre di ulteriori elementi riguardanti la vicenda in questione, utili alla valutazione dei profili rilevanti in materia di protezione dei dati personali, con nota del XX (prot. n. XX), ha chiesto - ai sensi dell’art. 157 del Codice – talune informazioni al sopra citato medico, titolare del trattamento, il quale con nota del XX, ha fornito riscontro rappresentando, fra altro:

- “di aver mandato (…) quella comunicazione, in data XX ore XX, contestata dal (…) (reclamante)”;

- “nell’informativa/consenso, sottoscritto dal (…) (reclamante), è specificato che quei dati non sarebbero stati mai usati per fini pubblicitari, di attività commerciale e/o promozionale o di vendita diretta”;

- “di aver utilizzato le email dei (…) pazienti nel loro unico interesse, facendo loro sapere dell’esistenza di un’iniziativa alla quale per altro non ho nemmeno parte personalmente (…);

- “(si è trattato di) un’informazione (…) ritenut(a) (…) utile per chi, nello sconforto più profondo, avrebbe potuto generare un momento di confronto e conforto, anche per la propria salute mentale, dato che nei mesi di pandemia molti pazienti mi segnalavano di aver pensato a gesti insani, pensieri scaturiti dalla disperazione di perdere il lavoro per via del Green Pass”;

- “se non riteniate che il mio comportamento rientri nell’alveo del potere del medico di suggerire informazioni e che in casi eccezionali, come i tempi che ci tocca di vivere, anche sapere di iniziative differenti può essere “terapeutico” (…). Non ho proposto prodotti o servizi, ma semplicemente davo un’informazione che poteva essere occasione di sfogo umano, come sopra ho precisato e come ho precisato nella mia missiva al (…) (reclamante) il XX”;

- “nel caso in questione si tratta unicamente dell’indirizzo di posta elettronica dell’interessato, al quale, peraltro, come da Sua legittima richiesta ai sensi dell’Art. 17 Regolamento UE n. 679/2016 non scriverò mai più mandando consigli o informazioni utili per riflessioni, perché è stato chiaro: le reputa sgradite e io ho già accettato e recepito il suo lecito convincimento”;

- “Ai sensi dell’art. 13 par. 2 lett. a) e 14 par. 2 lett a) del GDPR, conservo i dati personali dei miei pazienti per un periodo minimo di 5 anni, nel loro unico interesse”.

Sulla base di quanto rappresentato in atti e dichiarato dal titolare del trattamento, l’Ufficio, con atto del XX (prot. n. XX), ha notificato al dott. Massimo Citro, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del Regolamento.

In particolare l’Ufficio, nel predetto atto, ha ritenuto che, sulla base degli elementi in atti e delle relative valutazioni effettuate, il dott. Massimo Citro, avendo utilizzato l’indirizzo di posta elettronica ordinaria del reclamante - rilasciato da quest’ultimo al medico quale strumento di comunicazione finalizzato a “scopi strettamente legati al rapporto medico/paziente” - al fine di promuovere una iniziativa di carattere legale riguardante la certificazione verde Covid-19, cd. “Green pass” in assenza di un idoneo presupposto giuridico, abbia violato, con tale condotta, gli artt. 6 e 9 del Regolamento, nonché i principi di base del trattamento di cui agli artt. 5, lett. a) (principio di “liceità, correttezza e trasparenza”) e b) (principio di “limitazione delle finalità”) del Regolamento medesimo. 

In relazione a ciò, l’Ufficio ha, altresì, invitato il titolare del trattamento a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

Con nota del XX, il dott. Citro ha presentato una memoria difensiva, nella quale, ribadendo quanto già comunicato con l’atto di notifica di violazione, ha evidenziato, fra altro, che: 

- “La mail in questione è stata inviata solamente una volta. Non è stata inviata più volte, non era richiesta una risposta o un feedback ma semplicemente era una “informazione”, come meglio vedremo qui sotto, per sollevare la psiche del paziente destinatario ed eventualmente innescare una telefonata per poi parlare dello stato di salute psico-fisica. L’elenco degli indirizzi email coinvolti ammonta a 1.282 unità”;

- “Non c’è stato nessun dolo da parte del sottoscritto: sono ed ero in totale buona fede. Sono ancora convinto che sollevare la psiche del paziente, dato che sono anche psicoterapeuta, sia un gesto di imprescindibile cautela in un’epoca come questa, anche con inediti strumenti, a costo di essere frainteso, come, ritengo, in questo caso. Ho agito esclusivamente con questo animus. Si tenga conto che l’emergenza Covid-19 ha precipitato grandi fasce di popolazione in condizioni di isolamento e incertezza, costringendo a ripensare al tradizionale rapporto tra paziente e psicoterapeuta, mettendo in campo inedite forme di vicinanza alle persone. Io ho pensato che una mail su un’iniziativa altrui avrebbe potuto eventualmente innescare uno stimolo per portare i pazienti a contattarmi e parlare delle proprie vicende, anche per trovare conforto e quindi, per me, dare consigli pratici.  Ci tengo a precisare che non ho nessun collegamento “commerciale”, di ritorno economico o altro dall’iniziativa oggetto della mail. Ho semplicemente ritenuto utilizzarla per eventualmente innescare una reazione nei pazienti di ogni scolarità e ceto sociale, dalla quale avrei potuto comprendere la situazione personale.  In ultimo, sul punto, aggiungo che il merito dell’evento non mi interessava: avrei semplicemente accolto le reazioni dei pazienti per eventualmente, in caso di feedback, comprendere meglio il loro stato psico-fisico”;

- “Ho scritto immediatamente al dr. XX per spiegare il senso della mia comunicazione e mi sono dato disponibile ad un chiarimento. Mi è sinceramente spiaciuto essere stato frainteso, e mi sono scusato. Ho spiegato via mail al dr. XX che non avrei mai più inviato nessuna comunicazione, che mi dispiaceva averlo contrariato. È tutto documentato nella mia PEC del giorno XX alla Vostra Spettabile Autorità”;

- “Ho inviato la mail nascondendo gli indirizzi dei coinvolti, non ho usato nessun altro strumento tecnologico se non il mio pc con cui lavoro.  Come avete potuto constatare dalla mia PEC del giorno XX, ho sempre fatto firmare l’informativa privacy ai pazienti, in merito al trattamento dei loro dati personali. I collaboratori che hanno accesso ai dati dei miei pazienti sono nominati ed autorizzati, dopo l’evento occorso. Ho organizzato momenti di formazione con un consulente esperto di privacy, in particolare del Regolamento UE n. 679/16 e della fitta produzione di provvedimenti del Garante che potrebbero avere rilevanza ai fini dell’attività del mio studio medico. Sto valutando siano periodici, per restare sempre aggiornato su evoluzioni della materia”;

- “Sono qui per collaborare con l’Autorità “senza se e senza ma”, consapevole che ogni Vostro suggerimento dovrà essere colto nel miglior modo dalla mia organizzazione. Circa gli effetti negativi della mail, ritengo di essermi adoperato nel miglior modo possibile, scrivendo il giorno successivo al dr. XX, come ampiamente descritto nella mia PEC del giorno XX a Voi indirizzata. (…) Ad ogni buon conto, ho immediatamente escluso di inviare simili comunicazioni e non ne ho effettivamente più inviate. Per giunta ho cancellato la mail del dr. XX che mi ha chiesto di non essere più contattato (è tutto già ampiamente descritto nella suddetta mail del XX)”;

- “Nessun dato particolare è stato utilizzato! Trattasi unicamente dell’utilizzo dell’indirizzo email, nient’altro. Pertanto, mi si perdoni l’osservazione, l’oggetto della Vostra missiva GPDP Ufficio Protocollo XX, che inizia con “violazione dei dati personali relativi alla salute” non credo sia esatta”.

2. Esito dell’attività istruttoria

Preso atto di quanto rappresentato nel corso del procedimento istruttorio dal titolare del trattamento, si osserva quanto segue.

Per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)” (art. 4, par. 1, n. 1 del Regolamento).

Il Regolamento, in relazione a tali dati, prevede che il trattamento è lecito solo se fondato sul consenso dell'interessato o su altra base legittima prevista per legge dal Regolamento medesimo o dal diritto dell'Unione o degli Stati membri (Considerando n. 40 e art. 6 del Regolamento).

Per «consenso dell'interessato» si intende “(…) qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento (art. 4, n. 11, del Regolamento). Inoltre, “Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali” (art. 7 e Considerando 42 del Regolamento).

In relazione a ciò, il titolare del trattamento è, altresì, tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di «liceità, correttezza e trasparenza», secondo il quale i dati devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” (art. 5, par. 1, lett. a) del Regolamento), nonché quello di “limitazione delle finalità”) (art. 5, par. 1, lett. b), del Regolamento) per il quale i dati personali sono raccolti “per finalità determinate, esplicite e legittime, e successivamente trattati in modo che (il trattamento) non sia incompatibile con tali finalità (…)”. Infatti, “il trattamento dei dati personali per finalità diverse da quelle per le quali i dati personali sono stati inizialmente raccolti dovrebbe essere consentito solo se compatibile con le finalità per le quali i dati personali sono stati inizialmente raccolti. In tal caso non è richiesta alcuna base giuridica separata oltre a quella che ha consentito la raccolta dei dati personali” (Considerando 50 e art. 6, par. 4, del Regolamento).

Con riguardo, nello specifico, all’utilizzo, in concreto, da parte del medico, titolare del trattamento, del dato del paziente-reclamante per una finalità “ulteriore” rispetto a quella di fornire la propria prestazione sanitaria in considerazione della quale il dato era stato rilasciato dall’interessato e raccolto dal titolare medesimo – in tal caso l’indirizzo di posta elettronica - si evidenzia che - ulteriori trattamenti, attinenti solo in senso lato alla cura e non strettamente necessari, richiedono, anche se effettuati da professionisti della sanità, una distinta base giuridica da individuarsi, eventualmente, nel consenso dell’interessato o in un altro presupposto di liceità (Provvedimento n. 55 del 7 marzo 2019 consultabile sul sito istituzionale www.gpdp.it, doc. web n. 9091942).

In ordine all’utilizzo dell’indirizzo di posta elettronica per una finalità promozionale in assenza di consenso dell’interessato, quale ipotesi di comunicazione indesiderata, il Codice, all’art. 130 (“Comunicazioni indesiderate”) prevede che “1. Fermo restando quanto stabilito dagli articoli 8 e 21 del decreto legislativo 9 aprile 2003, n. 70, l'uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l'intervento di un operatore per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso del contraente o utente. (…) 2. La disposizione di cui al comma 1 si applica anche alle comunicazioni elettroniche, effettuate per le finalità ivi indicate, mediante posta elettronica, telefax, messaggi del tipo Mms (Multimedia Messaging Service) o Sms (Short Message Service) o di altro tipo”. 3 Fuori dai casi di cui ai commi 1 e 2, ulteriori comunicazioni per finalità di cui ai medesimi commi effettuate con mezzi diversi da quelli ivi indicati, sono consentite ai sensi degli artt. 6 e 7 del regolamento nonché ai sensi di quanto previsto dal comma 3-bis”.

Alla luce delle disposizioni in materia di protezione dei dati personali sopra evidenziate, il dott. Massimo Citro ha utilizzato l’indirizzo di posta elettronica ordinaria del reclamante, rilasciato per comunicazioni finalizzate a “scopi strettamente legati al rapporto medico/paziente” - e, quindi, per finalità di cura del paziente medesimo - per una finalità ulteriore e diversa, non compatibile con la finalità in relazione alla quale l’indirizzo email era stato raccolto, in quanto volta a “(…) diffonde(re) un messaggio di promozione di una iniziativa da parte di uno studio legale inerente al Green Pass”. Il dott. Citro ha asserito “(…) di aver mandato (…) quella comunicazione, in data XX ore XX, contestata dal (…) (reclamante)” (cfr. nota del XX, di riscontro alla richiesta di informazioni dell’Autorità).

Inoltre, il dott. Citro, nella memoria difensiva inviata all’Autorità il XX, ha dichiarato di aver inviato la medesima email ad altri pazienti.  In particolare, fa presente di aver “pensato che una mail su un’iniziativa altrui avrebbe potuto eventualmente innescare uno stimolo per portare i pazienti a contattarmi e parlare delle proprie vicende, anche per trovare conforto e quindi, per me, dare consigli pratici” e che “(…) L’elenco degli indirizzi email coinvolti ammonta a 1.282 unità”, nonché di aver “inviato la mail nascondendo gli indirizzi dei coinvolti”.

Risulta accertato, pertanto, che la comunicazione effettuata dal dott. Citro mediante l’utilizzo dell’indirizzo di posta elettronica ordinaria del reclamante sia stata effettuata in violazione dell’art. 130 (“Comunicazioni indesiderate”) del Codice e dei principi di base del trattamento di cui all’art. 5, par. 1, lett. a) e b) del Regolamento medesimo..  Infatti, dalla documentazione prodotta dal titolare del trattamento non risulta che l’interessato, né gli altri pazienti destinatari della email sopra citata, abbiano prestato il consenso al trattamento dei propri dati personali per una finalità ulteriore e non compatibile - rispetto alla finalità di cura - quale quella di ricevere comunicazioni, attraverso l’indirizzo di posta elettronica, riguardanti promozioni di iniziative di carattere legale.

Il dott. Citro, ha dichiarato di agire per “sollevare la psiche del paziente” sostenendo che “l’emergenza Covid-19 ha precipitato grandi fasce di popolazione in condizioni di isolamento e incertezza, costringendo a ripensare al tradizionale rapporto tra paziente e psicoterapeuta, mettendo in campo inedite forme di vicinanza alle persone”, di essersi immediatamente scusato con il dott. XX rendendosi disponibile a un chiarimento e che “non (…) (scriverà) più mandando consigli o informazioni utili per riflessioni”.

Inoltre ha dichiarato di aver “organizzato momenti di formazione con un consulente esperto di privacy, in particolare del Regolamento UE n. 679/16 (…) valutando (che tali momenti) siano periodici, per restare sempre aggiornato su evoluzioni della materia”.

3. Conclusioni

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni si rileva l’illiceità del trattamento di dati personali effettuato dal dott. Massimo Citro per aver utilizzato l’indirizzo di posta elettronica ordinaria del reclamante – rilasciata per finalità di cura – per inviare una comunicazione avente finalità promozionale in assenza del consenso di quest’ultimo e, quindi, una comunicazione indesiderata in violazione degli artt. 130 del Codice e dei principi di base del trattamento di cui all’art. 5, par. 1, lett. a) e b) del Regolamento. La medesima email è stata inviata ad altri pazienti, “nascondendo gli indirizzi” degli altri destinatari e “(…) L’elenco degli indirizzi email coinvolti ammonta a 1.282 unità” (cfr. memoria difensiva del XX).

Ciò premesso, tenuto conto che:

- l’utilizzo dell’indirizzo di posta elettronica raccolto per finalità di cura per l’invio di una comunicazione promozionale indesiderata ha riguardato il reclamante e altri 1282 pazienti. La email è stata inviata nascondendo gli indirizzi degli altri pazienti. All’Autorità è pervenuto il reclamo da parte di un solo paziente; 

- si è trattato di una vicenda isolata e nei confronti del dott. Massimo Citro non sono stati, in precedenza, adottati altri provvedimenti;

- il medico, titolare del trattamento, ha tenuto un comportamento collaborativo nel corso dell’istruttoria;

- il medico si è attivato con il reclamante, scusandosi e assicurando che quanto accaduto non si ripeterà;

Le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi del cons. 148 del Regolamento e delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017, WP 253 e fatte proprie dal Comitato europeo per la protezione dei dati con l’”Endorsement 1/2018” del 25 maggio 2018. Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, per avere violato gli artt. 5, par. 1, lett. a) e b) e 130 del Codice.

Considerato che la condotta ha esaurito i suoi effetti e che il medico ha contattato il reclamante al fine di chiarire la vicenda e porgere le proprie scuse, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

a) dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dal dott. Massimo Citro - nato a XX il XX, esercente la professione medica presso lo Studio IDRAS, XX, C.F. XX e domiciliato all’indirizzo PEC XX per violazione degli artt. 5, par. 1, lett. a) e b) del Regolamento e dell’art. 130 del Codice, nei termini di cui in motivazione;

b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce il dott. Massimo Citro, quale titolare del trattamento in questione, per aver violato gli artt. 5, par. 1, lett. a) e b) e 130 del Regolamento, come sopra descritto;

c) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 5 agosto 2022

PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei