g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Ordinanza ingiunzione o revoca
  4. Ordinanza ingiunzione nei confronti di Società Lombarda Sport s.r.l. - 24 novembre 2022 [9842370]

Ordinanza ingiunzione nei confronti di Società Lombarda Sport s.r.l. - 24 novembre 2022 [9842370]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9842370]

Ordinanza ingiunzione nei confronti di Società Lombarda Sport s.r.l. -  24 novembre 2022

Registro dei provvedimenti
n. 388 del 24 novembre 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il Cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il D.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore l’avv. Guido Scorza;

PREMESSO

1. Il reclamo e l’attività istruttoria

Con nota dell’XX la sig.ra XX ha presentato un reclamo avente ad oggetto la comunicazione, da parte della Società Lombarda Sport s.r.l. (di seguito la “Società”), di informazioni sulla salute della reclamante alla Società GClub s.r.l., presso la quale la medesima reclamante si era iscritta il 5 gennaio 2022 per praticare attività sportiva. In particolare, secondo quanto evidenziato, “la suddetta società (..) richiede, per la frequenza, un certificato di idoneità alla pratica sportiva non agonistica rilasciato da un ente autorizzato. L’iscrizione prevede che il costo di tale certificazione sia compreso nel prezzo se effettuato presso l’ambulatorio Torri Sport (…). Mi è stato dato tempo un mese per consegnare la certificazione e per tale periodo ho firmato un documento per lo scarico di responsabilità a GClub in caso di problemi di salute a seguito dell’attività fisica. In data 19 gennaio mi reco per la visita medica presso Torri Sport che opera con la denominazione Lombarda Sport. Il medico che mi visita richiede per emettere il certificato un esame specialistico. In data 21 gennaio provvedo a mie spese a effettuare l’esame prescritto che dà esito negativo. In data 24 gennaio non avendo ancora portato l’esito dell’esame a Torri Sport mi reco presso GClub per una sessione di pratica sportiva dato che sono ancora nel periodo di mia diretta assunzione di responsabilità. Ma mi viene impedito l’accesso sulla base di un’informazione giunta a GClub da Torri Sport senza la mia autorizzazione”.

Per i profili di competenza in materia di protezione dei dati personali, a seguito della richiesta di informazioni dell’Autorità (nota del XX, prot. n. XX, ritrasmessa via Raccomandata il XX), con la quale sono stati chiesti, ai sensi dell’art. 157 del Codice, taluni elementi informativi utili alla valutazione del caso, la predetta Società ha fornito riscontro con nota del XX, nella quale è stato rappresentato che:

-“Lombarda Sport S.r.l., prima Torri Sport S.r.l., è una realtà che fornisce servizi ambulatoriali di medicina dello sport, per il rilascio di certificati per l’attività sportiva agonistica, normato dal D.M. del 18 febbraio 1982, e per la certificazione per l’attività sportiva non agonistica, come da D.M del 24 aprile 2013. Per l’erogazione di tali servizi si avvale della collaborazione di medici professionali regolarmente iscritti all’ordine, i quali gestiscono le attività di anamnesi, visita e seguente certificazione per ciascun paziente”;

- in relazione alla “struttura di Lombarda sport S.r.l, seppur si tratta di una società con tre differenti sedi, è da considerarsi come una piccola realtà dal punto di vista organizzativo, che sta ancora gestendo, col poco personale amministrativo a disposizione, la crescita che ha avuto nell’ultimo periodo. Si ritiene di precisare questo punto perché è alla base delle valutazioni svolte dalla società in merito alla necessità di designazione di un Responsabile per la Protezione dei Dati Personali (…); tuttavia (…), anche a seguito di codesta richiesta di informazioni, e nell’ottica di tutelare al meglio i dati personali dei pazienti è in corso di valutazione l’inserimento di una figura professionale esterna volta a ricoprire il ruolo di RPD”;

- “con riferimento al reclamo presentato dalla Sig.ra XX si conferma come la stessa si sia presentata presso la nostra struttura di Vimercate per il rilascio di un certificato per attività sportiva non agonistica, come da prassi alla stessa è stato chiesto se fosse iscritta alla palestra GClub s.r.l., in quanto gli iscritti a tale struttura non sono soggetti al pagamento del servizio, e le è stata fornita la scheda anamnestica e la relativa informativa sul trattamento dati personali”;

- “a seguito della visita medica, come correttamente riportato dalla Sig.ra XX, il Medico richiedeva degli esami di accertamento e sospendeva l'emissione del certificato e comunicava tale sospensione all’addetta all’amministrazione di Lombarda Sport, ovviamente senza comunicare i motivi che avevano portato alla sospensione dell’emissione della certificazione”;

- “stante il rapporto commerciale in essere tra Lombarda Sport e GClub S.r.l., in cui è previsto che quest’ultima si faccia carico degli oneri dei propri iscritti che utilizzano i servizi del centro e che dunque paghi l’importo relativo al rilascio del certificato, l’amministrazione inviava comunicazione della sospensione della pratica per il rilascio del certificato medico (…), senza tuttavia comunicare in alcun modo né lo stato di salute della paziente, né le motivazioni che avevano portato alla richiesta di sospensione. Si tiene a precisare che nessun dato sanitario è stato comunicato o trasmesso a GClub S.r.l., essendo la comunicazione limitata al riferire che Lombarda Sport S.r.l. non aveva concluso la fase necessaria al rilascio del certificato, informazione necessaria per la gestione amministrativa del rapporto commerciale tra la Lombarda Sport e GClub, con il solo scopo di gestire il pagamento e l’erogazione dei servizi resi da Lombarda Sport ai clienti di GClub”;

- “il flusso informativo relativo alla sola comunicazione della sospensione è stato impostato in tal modo proprio al fine di limitare i dati oggetto di comunicazione a GClub e di fornire le sole indicazioni indispensabili alla gestione del rapporto amministrativo con la stessa, tutelando al contempo i dati sanitari dell’utenza, i quali sono trattati dal solo personale medico, a riprova di ciò si evidenzia come le motivazioni legate alla sospensione non sono portate a conoscenza neanche del personale amministrativo di Lombarda Sport preposto a tale comunicazione. Difatti, il certificato e tutte le informazioni relative al paziente sono comunicati e consegnati solamente allo stesso e non vi è invio alcuno delle stesse alla struttura GClub S.r.l.”.

Alla predetta nota la Società ha allegato un documento, predisposto nell’anno 2020, contenente  “nel rispetto del principio di accountability, le valutazioni compiute al proprio interno finalizzate a stabilire se si applichi o meno l'obbligo di nomina di un RPD attraverso una disamina puntuale e corretta dei requisiti previsti dal regolamento europeo 2016/679” nonché ulteriore documentazione recante “Informativa all’utente sul trattamento dei dati personali ai sensi dell'art. 13 del Regolamento n. 2016/679” sottoposto e sottoscritto dalla Sig.ra XX, nella quale viene dichiarato che: “I Suoi dati personali potranno essere comunicati ai seguenti soggetti: - Medici che eseguono la prestazione sanitaria richiesta; - Soggetti che forniscono servizi per la gestione del sistema informativo; - Autorità giudiziarie, nonché tutti i soggetti ai quali la comunicazione è obbligatoria per legge su loro espressa richiesta”.

Il medesimo titolare ha, altresì, trasmesso copia delle mail di Lombarda Sport dirette alla reception di GClub S.r.l., aventi come oggetto “sospensione idoneità gclub” e “sblocco sospensione gclub”, in relazione all’utente XX.

2. Valutazioni del Dipartimento sul trattamento effettuato e notifica della violazione di cui all’art. 166, comma 5 del Codice

In relazione ai fatti descritti nel reclamo, l’Ufficio, con nota del XX (prot. n. XX), ha notificato alla Società, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitandola a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

In particolare, l’Ufficio, nel predetto atto, ha ritenuto che la Società ha effettuato una comunicazione di dati sulla salute in assenza di un presupposto giuridico in violazione dei principi di base del trattamento di cui agli artt. 5, lett. a) e f) e 9 del Regolamento e non abbia provveduto agli obblighi in materia di designazione del Responsabile della protezione dei dati (art. 37, par. 1 e 7 del Regolamento).

Con nota del XX, la Società ha fatto pervenire le proprie memorie difensive, nelle quali, in particolare, ha evidenziato che:

- “l’avvenuta comunicazione della “sospensione” dell’emissione del certificato non comport(a) la comunicazione di dati relativi alla salute, così come definiti dell’art. 4, par. 1, n. 15, del Regolamento Europeo 2016/679. Difatti così come previsto dalle linee guida emanate dal Ministero della Salute il 08/08/2014, il medico certificatore può avvalersi di altri accertamenti, o di consulenze di medici specialisti qualora sia in presenza di “casi dubbi”. Tali “casi dubbi” e/o l’eventuale “sospetto diagnostico” non comportano l’effettiva presenza di patologie potenzialmente in contrasto con l’emissione del certificato, ma rispecchiano invece la necessità di approfondimenti volti definire se l’attività sportiva non agonistica possa comportare rischi in capo al soggetto. Tali situazioni possono riscontrarsi, a titolo esemplificativo alla difficoltà ad avere un riscontro chiaro dagli esami effettuati, allo stile di vita del soggetto o ad elementi quali età o peso o come di una mancata presentazione di esami recenti già eseguiti (esami che possono variare da una richiesta di ecografia cardiaca. ad un semplice ECG eseguito di recente ma non presentato in sede di visita)”;

- “proprio per tale motivo, la richiesta di accertamenti è prodromica all'emissione o meno del certificato, e solamente con l’emissione di quest’ultimo si ritiene di poter identificare la presenza di eventuali dati relativi allo stato di salute; (..) ;pur non ritenendosi che la comunicazione oggetto della presente possa configurarsi come dato sanitario, in ossequio al principio di minimizzazione dei dati, Lombarda Sport S.r.l. ha interrotto la comunicazione dei nominativi dei certificati sospesi, le quali comunicazioni erano limitate in numero e frutto di eccezionalità e non di regola”;

- in relazione alla “designazione del Responsabile della protezione dei dati si evidenzia come Lombarda Sport sia stata oggetto di una espansione dell’attività che ha avuto inizio nel 2020, e che i servizi per la salute, in particolare in ambito di counseling cardiologico, ortopedico-traumatologico, neurologico, otorino, biomeccanico clinico, nutrizionale sono offerti da professionisti terzi rispetto a Lombarda Sport, i quali gestiscono in autonomia le prestazioni offerte in qualità di autonomi Titolari”;

- “le comunicazioni di sospensione avevano natura saltuaria e sporadica, la Società Lombarda Sport, oltre ad aver come premesso interrotto tale tipo di comunicazioni ha provveduto alla completa cancellazione delle e-mail all’interno dei propri sistemi”;

- “oltre ad aver rimosso tale operazione, sono state fornite nuove lettere di autorizzazione al trattamento dei dati al personale di Lombarda Sport relative alla gestione dei dati degli Utenti di Lombarda sport, in cui in particolare si ricorda che: solo il personale espressamente autorizzato con lettera di incarico potrà accedere ai dati degli utenti, limitando in particolar modo l’accesso ai dati relativi allo stato di salute”;

- “sono state predisposte nuove informative, in cui oltre essere inseriti i dati di contatto del Responsabile per la protezione dei dati personali, è stato predisposto un sistema di raccolta dei consensi granulare volto alla comunicazione del solo esito della certificazione di idoneità a soggetti terzi indicati specificamente dall’interessato” e “sono state riviste ed implementante le procedure relative alla gestione dei dati degli utenti di Lombarda Sport, in tali procedure vengono ricordate le modalità di raccolta dei consensi da parte dell’utente, le modalità di conservazione di tali consensi, e la conservazione in appositi spazi chiusi a chiave, ad accesso limitato al solo personale autorizzato, della documentazione relativa agli utenti. Nelle procedure viene, inoltre, ricordata la necessità che qualora debba essere inviata documentazione contenente dati relativi alla salute tramite mezzi di comunicazione telematica che i file debbano essere sottoposti a crittografia, e la chiave di apertura degli stessi inviata con modalità differenti rispetto al file”;

- “sono, inoltre, in fase di progettazione dei corsi di formazione in materia di protezione dei dati personali da erogare alle diverse figure operanti all’interno di Lombarda Sport, al fine di sensibilizzare sulla protezione dei dati personali degli utenti, e di agevolare il personale stesso nelle operazioni previste dalle procedure interne e nelle lettere di autorizzazione”.

3.  Esito dell’attività istruttoria

Preso atto di quanto rappresentato dalla Società nella documentazione in atti e nelle memorie difensive, si osserva che:

1. per “dati relativi alla salute”, ricompresi tra le categorie “particolari” di informazioni personali, si intendono i “dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, n. 1 e 15 del Regolamento; considerando n. 35);

2. i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»)” e “trattati in maniera da garantire un’adeguata sicurezza (…) compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti o dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)” (art. 5, par. 1, lett. a) e f) del Regolamento);

3. la disciplina in materia di protezione dei dati personali prevede – in ambito sanitario - che le informazioni sullo stato di salute possono essere comunicate a terzi sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso, previa delega scritta di quest’ultimo (art. 9 Regolamento e art. 84 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101);

4. il d.m. 24 aprile 2013, recante “Disciplina della certificazione dell'attività sportiva non agonistica e amatoriale e linee guida sulla dotazione e l'utilizzo di defibrillatori semiautomatici e di eventuali altri dispositivi salvavita” prevede che “i praticanti di attività sportive non agonistiche si sottopongono a controllo medico annuale che determina l'idoneità a tale pratica sportiva. La certificazione conseguente al controllo medico attestante l'idoneità fisica alla pratica di attività sportiva di tipo non agonistico è rilasciata dal medico di medicina generale o dal pediatra di libera scelta, relativamente ai propri assistiti, o dal medico specialista in medicina dello sport su apposito modello predefinito”  e che “in caso di sospetto diagnostico o in presenza di patologie croniche e conclamate è raccomandato al medico certificatore di avvalersi della consulenza del medico specialista in medicina dello sport e, secondo il giudizio clinico, dello specialista di branca” (art. 3, commi 2 e 4);

5. il decreto 8 agosto 2014 recante “Approvazione delle linee guida in materia di certificati medici per l’attività sportiva non agonistica” prevede che “il medico certificatore tenuto conto delle evidenze cliniche e/o diagnostiche rilevate, si può' avvalere anche di una prova da sforzo massimale e di altri accertamenti mirati agli specifici problemi di salute. Nei casi dubbi il medico certificatore si avvale della consulenza del medico specialista in medicina dello sport o, secondo il giudizio clinico, dello specialista di branca. Il medico certificatore conserva copia dei referti di tutte le indagini diagnostiche eseguite, nonché dell’ulteriore documentazione di cui ai precedenti commi, in conformità alle vigenti disposizioni e comunque per la validità del certificato” (All. n. 1, punti 2 e 3).

4. Conclusioni

Alla luce delle valutazioni sopra esposte, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice (“Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”), si rileva che gli elementi forniti dal titolare del trattamento nelle memorie difensive sopra richiamate non sono idonei ad accogliere le richieste di archiviazione, non consentendo di superare integralmente i rilievi notificati dall’Ufficio con il citato atto di avvio del procedimento.

In particolare, in relazione alle dichiarazioni della Società a sostegno della prospettata natura delle informazioni oggetto della comunicazione non qualificate quali  dati relativi alla salute, si evidenzia, in primo luogo, che, alla luce delle disposizioni sopra richiamate, la notizia relativa alla sospensione dell’idoneità all’attività sportiva non agonistica, essendosi resi necessari specifici esami di accertamento, rivela di per sé informazioni sullo stato di salute del soggetto il cui giudizio di idoneità è stato sospeso (sospetto diagnostico o patologie croniche e conclamate); pertanto, la predetta notizia risulta annoverabile nella categoria dei dati sulla salute, ai sensi dell’art. 4, par. 1, n. 15, del Regolamento, sebbene non contenga le motivazioni cliniche alla base di tale sospensione. Al riguardo, il Considerando n. 35 del Regolamento precisa che i dati relativi alla salute “comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria”; “un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari”.

Inoltre, alla luce di quanto riportato nel documento “Informativa all’utente sul trattamento dei dati personali ai sensi dell’art. 13 del Regolamento n. 2016/679” sottoscritto dalla Sig.ra XX, nel quale viene indicato che: “I Suoi dati personali potranno essere comunicati ai seguenti soggetti:

- Medici che eseguono la prestazione sanitaria richiesta;

- Soggetti che forniscono servizi per la gestione del sistema informativo;

- Autorità giudiziarie, nonché tutti i soggetti ai quali la comunicazione è obbligatoria per legge su loro espressa richiesta”,

la reclamante non aveva prestato il proprio consenso alla comunicazione dei dati personali in esame.

Per tali ragioni si rileva l’illiceità dei trattamenti di dati personali effettuati dalla Società, nei termini di cui in motivazione, per la violazione degli artt. 5, lett. a) e f) e 9 del Regolamento. 

In relazione alla designazione del Responsabile della protezione dei dati, si prende atto delle dichiarazioni e delle valutazioni della Società che, in ragione anche dell’ampliarsi della propria attività e del mutato livello di rischio connesso all’aumento del volume e della tipologia dei dati, ha designato un responsabile della protezione dei dati. Sul punto, infatti, da una verifica effettuata da questo Ufficio, dall’”Informativa ai sensi dell’art. 13 Reg. (UE) 2016/679 sulla protezione dei dati personali (GDPR)”, aggiornata il 23 giugno 2022 (in https://...) risulta che “Il Titolare ha nominato un responsabile per la protezione dei dati (“Data Protection Officer” o “DPO”), come previsto dal GDPR, con compiti di sorveglianza, vigilanza e consulenza specialistica in ambito privacy contattabile per eventuale supporto al seguente indirizzo di posta elettronica: salmi@studiolegalesalmi.it” e ha comunicato i relativi dati di contatto all’Autorità.

In tale quadro, considerato che la condotta ha esaurito i suoi effetti e che la Società ha dichiarato di aver interrotto la medesima condotta non conforme alla disciplina della protezione dei dati personali, non ricorrono allo stato i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i) e 83 del Regolamento; art. 166, comma 7, del Codice). 

La violazione degli artt. 5, lett. a) e f) e 9 del Regolamento causata dalla condotta della Società è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, lett. a) del Regolamento.

Si consideri che il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2, del Regolamento in relazione ai quali si osserva che:

l’Autorità ha preso conoscenza dell’evento a seguito di reclamo da parte dell’interessata (art. 83, par. 2, lett.  h) del Regolamento);

il trattamento dei dati effettuato dalla Società riguarda dati idonei a rilevare informazioni sulla salute dell’interessata e di altri utenti (in proposito, la Società ha dichiarato che la comunicazione dei dati concernenti i soggetti cui era stato sospeso il certificato medico, era occasionale e non sistematica) (art. 83, par. 2, lett.  a) e g) del Regolamento);

sotto il profilo riguardante l’elemento soggettivo emerge un atteggiamento intenzionale da parte del titolare del trattamento; inoltre la violazione ha comportato l’impossibilità per l’interessata di accedere al servizio fornito dalla palestra per praticare attività sportiva (art. 83, par. 2, lett. a) e b) del Regolamento);

la Società si è tempestivamente premurata di prendere in carico la problematica, interrompendo la comunicazione dei nominativi dei certificati sospesi, cancellando le relative e-mail all’interno dei propri sistemi (art. 83, par. 2, lett. c) del Regolamento);

il titolare ha dimostrato un buon grado di cooperazione con l’Autorità al fine di porre rimedio alle violazioni e attenuarne i possibili effetti negativi (art. 83, par. 2, lett. f) del Regolamento);

nei confronti della Società medesima non è stato in precedenza adottato alcun provvedimento per violazioni pertinenti e si tratta di un caso isolato (art. 83, par. 2, lett. e) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, nella misura di euro 4.000,00 (quattromila) per la violazione degli artt. 5 e 9 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dalla Società Lombarda Sport s.r.l. per la violazione degli artt. 5 e 9 del Regolamento.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, alla Società Lombarda Sport s.r.l., C.F./P.Iva 08961970962, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 4.000,00 (quattromila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 4.000,00 (quattromila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 24 novembre 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
9842370
Data
24/11/22

Argomenti

Dati sanitari Centri medici Centri sportivi Certificati medici

Tipologie

Ordinanza ingiunzione o revoca