g-docweb-display Portlet

Provedimento 1° dicembre 2022 [9842754]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9842754]

Provvedimento del 1° dicembre 2022

Registro dei provvedimenti
n. 403 del 1° dicembre 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito il “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante il “Codice in materia di protezione dei dati personali”, contenete disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito il “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Il reclamo e l’attività istruttoria

In data XX è stato presentato un reclamo all’Autorità per mezzo del quale è stata lamentata una presunta violazione della disciplina in materia di protezione dei dati personali ad opera del medico odontoiatra dott. Anatoli Sestov.

In particolare, il reclamante ha rappresentato che “A seguito di numerose richieste dello scrivente tese ad ottenere documentazione medica detenuta dal Dr. Sestov, in data XX questi mi inviava via PEC dall’indirizzo XX un file .zip contenente una TAC Cone Beam effettuata sul sottoscritto presso il suo studio dentistico. Nell’inoltro, senza alcuna motivazione che giustificasse tale trattamento, si rendeva partecipe dell’invio di tale TAC anche all’Ordine dei Medici di Genova (alla PEC: ordinemedici@pec.omceoge.eu), diffondendo così un mio dato sensibile di tipo sanitario”.

Con nota del XX (prot. n. XX) l’Ufficio, ai sensi dell’art. 157 del Codice, ha richiesto, al dott. Sestov, titolare del trattamento, ogni elemento di informazione utile alla valutazione del caso.

Con nota del XX, il titolare del trattamento forniva riscontro alla richiesta sopra citata, rappresentando, fra altro, che:

- “il rapporto con il paziente ha preso poi una piega spiacevole, in quanto successivamente (…) ha avanzato pretese fuori dal normale rapporto clinico e adottato vari comportamenti sgradevoli – come per esempio un ossessivo atteggiamento da stalker con insistenti messaggi su whatsapp e a seguire numerosi messaggi anche sulla pec (…). Tra i vari messaggi via posta elettronica certificata, c’era anche un sollecito dei file della tac, con un messaggio pec al quale io potessi rispondere allegando i file. Ho quindi risposto, purtroppo scoprendo successivamente con sorpresa la novità che il (…) (reclamante) aveva messo in copia al suo messaggio, senza metterlo in evidenza, anche l’indirizzo pec dell’Ordine dei Medici di Genova, cosicché i file mandati con la mia risposta sono arrivati, per via dell’automatismo del software e ovviamente senza alcuna mia intenzione, anche all’Ordine”;

- “Da notare che successivamente, a seguito dei vari messaggi ricevuti via pec dal (…) (reclamate), lo stesso Ordine dei Medici mi ha sollecitato una copia dello scambio di dati avvenuti con il Paziente, tra cui anche i file della tac, per cui il procedimento che lo stesso (…)  ha voluto avviare con l’Ordine ha reso necessario condividere i dati di cui il (reclamante medesimo) lamenta la condivisione…”.;

Sulla base della documentazione in atti e delle valutazioni effettuate, l’Ufficio ha preliminarmente archiviato taluni profili lamentati nell’atto di reclamo non ravvisandosi gli estremi di una violazione della disciplina in materia di protezione dei dati personali (nota del XX prot. n. XX indirizzata al reclamante). Con riferimento, invece, alla condotta posta in essere dal dott. Sestov - anch’essa lamentata nell’atto di reclamo – riguardante la comunicazione al Consiglio dell’Ordine dei Medici e degli Odontoiatri di Genova di dati relativi alla salute del reclamante medesimo in assenza di un presupposto giuridico, l’Ufficio, con atto del XX (prot. n. XX), ha notificato al dott. Sestov, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del Regolamento.

In particolare, sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni effettuate, è stato riscontrato che il dott. Sestov, nel rispondere all’interessato allegando i file dell’esame diagnostico (tac) da questi richiesto, ha comunicato tali informazioni all’Ordine dei Medici e Odontoiatri di Genova, che era destinatario della medesima mail in c.c., in assenza di un presupposto giuridico legittimante. Ciò, in violazione dell’art. 9, nonché dell’art. 5, lett. f), del Regolamento.

In relazione a quanto rilevato, il medesimo titolare del trattamento è stato invitato a produrre scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

Con nota del XX, il dott. Sestov ha presentato una memoria difensiva, nella quale, ribadendo quanto già comunicato in risposta alla richiesta d’informazioni sopra citata, ha evidenziato, fra altro, che: 

- “I dati sensibili oggetto della segnalazione sono rappresentati unicamente da un file contenente immagini radiologiche delle arcate dentali (...) che non sono visualizzabili in mancanza di un software apposito per la lettura delle radiografie in 3D, software di cui l’Ordine dei Medici è sprovvisto”;

- “nel mio comportamento non si può ravvisare né dolo, poiché non c’era alcuna premeditazione né intenzione di trasmettere la TAC all’Ordine, né colpa grave. In realtà io non ho scritto alcuna email all’Ordine dei Medici, ma semplicemente ho risposto alla email (…) (dell’interessato) con quale lui mi chiedeva di fornirgli tale file e, per il fatto che (…) (l’interessato medesimo) aveva messo a mia insaputa in copia l’indirizzo dell’Ordine, il file è stato automaticamente, per mia svista, inviato anche a quest’ultimo”;

- “Lo stesso Ordine dei Medici ha successivamente voluto, con aperta ed espressa richiesta, che inviassi al loro ufficio questo stesso file della TAC, per gestire delle controversie che (…) (il reclamante) ha lamentato nei miei confronti, mandando un gran numero di email pec all’Ordine – preciso che l’Ordine ha voluto il file per metterlo agli atti ma non ha mai sollevato alcuna irregolarità nel trattamento da me reso (…) (al reclamante medesimo)”;

- “Non esistono a mio carico precedenti violazioni in materia di privacy da me commesse né alcuna segnalazione in venticinque anni di professione”;

- “Non ho tratto alcun beneficio economico dalla trasmissione del file della TAC – direi piuttosto che me ne sia derivato un danno, finora quantificabile in termini di stress e tempo speso in carteggi e comunicazioni esplicative e difensive”.

2. Esito dell’attività istruttoria

Preso atto di quanto rappresentato e documentato nel corso dell’istruttoria dal titolare del trattamento sia con la nota del XX, di risposta alla richiesta di informazioni ai sensi dell’art. 157 del Codice, sia con la memoria difensiva del XX, prodotta a seguito della notifica dell’avvio del procedimento per l’adozione dei provvedimenti di cui all’art 58, par. 2, del Regolamento - effettuata dall’Autorità ai sensi dell’art. 166, comma 5, del Codice con atto prot. n. XX del XX - si osserva che:

- il Regolamento definisce i “dati relativi alla salute” come “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, paragrafo 1, n. 15 del Regolamento); tali dati meritano una maggiore protezione dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali (Considerando n. 51);

- la disciplina in materia di protezione dei dati personali prevede che tali informazioni possano essere comunicate unicamente all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso previa delega scritta di quest’ultimo (art. 9 Regolamento e art. 84 del Codice - nella versione precedente la riformulazione del medesimo Codice a opera del legislatore con il d.lgs. 10 agosto 2018, n. 101 - in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101);

- il titolare del trattamento è, in ogni caso, tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di «integrità e riservatezza», secondo il quale i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. f) del Regolamento);

- il dott. Anatoli Sestov, dichiarando che “(il reclamante ha) (…) messo in copia al suo messaggio, senza metterlo in evidenza, anche l’indirizzo pec dell’Ordine dei Medici di Genova, cosicché i file mandati con la (…) risposta sono arrivati, per via dell’automatismo del software e ovviamente senza alcuna (…) intenzione, anche all’Ordine”, ha rappresentato di aver trasmesso informazioni relative alla salute del reclamante medesimo, in assenza di un presupposto giuridico legittimante, all’Ordine dei Medici e Odontoiatri di Genova;

- tali informazioni, relative alla salute, oggetto di reclamo, sulla base di quanto dichiarato dal titolare non erano immediatamente visualizzabili dal destinatario (Consiglio dell’Ordine), almeno nell’immediatezza, in quanto “I dati sensibili oggetto della segnalazione sono rappresentati unicamente da un file contenente immagini radiologiche delle arcate dentali (...) che non sono visualizzabili in mancanza di un software apposito per la lettura delle radiografie in 3D, software di cui l’Ordine dei Medici è sprovvisto”;

- l’Ordine dei Medici avrebbe, comunque, conosciuto in seguito tali informazioni in quanto, come dichiarato dal titolare, “Lo stesso Ordine dei Medici ha successivamente voluto, con aperta ed espressa richiesta, che inviassi al loro ufficio questo stesso file della TAC, per gestire delle controversie che (…) (il reclamante) ha lamentato nei miei confronti, mandando un gran numero di email pec all’Ordine – preciso che l’Ordine ha voluto il file per metterlo agli atti ma non ha mai sollevato alcuna irregolarità nel trattamento da me reso (…) (al reclamante medesimo)”. Ciò, nell’ambito del potere ispettivo e disciplinare attribuito dal nostro ordinamento agli Ordini dei medici-odontoiatri presenti sul territorio nazionale, in base al quale questi ultimi possono chiedere informazioni e l’esibizione di documenti ai medici ad essi iscritti (cfr. in tal senso: D.Lgs.C.P.S. 13 settembre 1946, n. 233 “Ricostituzione degli Ordini delle professioni sanitarie e per la disciplina dell’esercizio delle professioni stesse” e, in particolare, l’art. 1, comma 3, lett. i) e art. 3, comma 2, lett. c);  D.P.R 5 aprile 1950, n. 221 “Approvazione del regolamento per la esecuzione del decreto legislativo 13 settembre 1946, n. 233, sulla ricostituzione degli Ordini delle professioni sanitarie e per la disciplina dell’esercizio delle professioni stesse” e, in particolare il Capo IV, artt. 38 e 39; Legge 24 luglio 1985, n. 409 “Istituzione della professione sanitaria di odontoiatria e disposizioni relative al diritto di stabilimento ed alla libera prestazione di servizi da parte dei dentisti cittadini di Stati membri delle Comunità europee”, che ha riconosciuto, quale professione sanitaria, quella svolta dai professionisti odontoiatri);

- quanto all’atteggiamento psicologico, il titolare ha più volte evidenziato che “(…) non c’era alcuna premeditazione né intenzione di trasmettere la TAC all’Ordine, né colpa grave (…) (avendo) risposto alla email di XX con quale lui mi chiedeva di fornirgli tale file e, per il fatto che XX aveva messo a mia insaputa in copia l’indirizzo dell’Ordine, il file è stato automaticamente, per mia svista, inviato anche a quest’ultimo”.

3. Conclusioni

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗  si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni si accerta l’illiceità del trattamento di dati personali relativi alla salute effettuato dal dott. Anatoli Sestov, il quale, nel rispondere all’interessato allegando i file dell’esame diagnostico (tac) da questi richiesto, ha omesso di verificare che l’interessato fosse l’unico destinatario della PEC, inviando, in tal modo, anche all’Ordine dei Medici e Odontoiatri di Genova tali file contenenti informazioni relative alla salute dell’interessato; ciò, in assenza di un presupposto giuridico legittimante e, quindi, in violazione dell’art. 9, nonché dell’art. 5, par. 1, lett. f), del Regolamento.

Ciò premesso, tenuto conto che:

- si è trattato di una vicenda isolata che ha riguardato un unico paziente; 

- l’invio della email al Consiglio dell’Ordine dei Medici e Odontoiatri, implicante la comunicazione di dati relativi alla salute del reclamante, da quanto sostenuto dal dott. Sestov, non è avvenuto intenzionalmente, in quanto ha dichiarato di non aver “scritto alcuna email all’Ordine dei Medici, ma semplicemente (…) risposto alla email (…) (dell’interessato) con quale lui mi chiedeva di fornirgli tale file e, per il fatto che (…) (l’interessato medesimo) aveva messo a mia insaputa in copia l’indirizzo dell’Ordine, il file è stato automaticamente, per mia svista, inviato anche a quest’ultimo”;

- i dati relativi alla salute, oggetto di reclamo, sulla base di quanto dichiarato dal titolare, non erano immediatamente visualizzabili dal destinatario (Consiglio dell’Ordine), come specificato nelle dichiarazioni del titolare sopra riportate;

- il Consiglio dell’Ordine dei Medici-Odontoiatri ha, comunque, successivamente richiesto di acquisire il file contenente dati relativi alla salute oggetto di reclamo, in quanto, come anche sopra riportato, al fine di “gestire delle controversie che (…) (il reclamante) ha lamentato nei (…) confronti (del dott. Sestov) mandando un gran numero di email pec all’Ordine, (quest’ultimo) (…) ha voluto il file (in questione) per metterlo agli atti, ma non ha mai sollevato alcuna irregolarità nel trattamento (…) reso (…) (dal dott. Sestov al  reclamante medesimo)”;

- il dott. Sestov si è reso disponibile e ha tenuto un comportamento collaborativo con l’Autorità nel corso dell’istruttoria;  

- nei confronti del dott. Anatoli Sestov non sono stati, in precedenza, adottati dall’Autorità provvedimenti pertinenti o eterogenei;

le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi del cons. 148 del Regolamento e delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal “Gruppo di Lavoro Art. 29” il 3 ottobre 2017, WP 253 e fatte proprie dal Comitato europeo per la protezione dei dati con l’”Endorsement 1/2018” del 25 maggio 2018. Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, per avere violato gli artt. 5, par. 1, lett. f) e 9 del Regolamento. Considerato che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

TUTTO CIÒ PREMESSO IL GARANTE

a) dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dal dott. Anatoli Sestov, C.F. XX, esercente la professione di odontoiatra con iscrizione presso l’Ordine dei Medici Chirurghi e Odontoiatri di Genova e domiciliato all’indirizzo PEC XX;

b) ai sensi dell’art. 58, par. 2, lett. b), del Regolamento, ammonisce il dott. Anatoli Sestov, quale titolare del trattamento in questione, per aver violato gli artt. 5, par. 1, lett. f) e 9 del Regolamento, come sopra descritto;

c) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 1° dicembre 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei