g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Ordinanza ingiunzione o revoca
  4. Provvedimento del 16 novembre 2023 [9960948]

Provvedimento del 16 novembre 2023 [9960948]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

VEDI Newsletter del 15 dicembre 2023

 

[doc. web n. 9960948]

Provvedimento del 16 novembre 2023

Registro dei provvedimenti
n. 527 del 16 novembre 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”);

VISTO il D.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il prof. Pasquale Stazione;

PREMESSO

1. L’istanza e l’attività istruttoria

Con nota del XX la sig.ra XX ha formulato un reclamo avente ad oggetto la comunicazione a terzi e la diffusione sul web (v. url: XX), di suoi dati personali, nonché di informazioni relative alla salute e a indagini su reati concernenti suo figlio XX, deceduto nel XX.

In particolare, risultavano visibili alcune relazioni di perizie psichiatriche, effettuate dal dott. XX, come documentazione facente parte del “Materiale clinico non diffusibile e trasmesso ai partecipanti alla XX con il vincolo del segreto professionale”. In tale documento erano riportate moltissime informazioni su XX (in una sezione il cognome è in chiaro) relative a biografia, anamnesi, medicinali assunti, reati per i quali era indagato, nonché sulla madre dello stesso (reclamante nel procedimento de quo). Tale documentazione contiene anche informazioni che riguardano un altro soggetto, denominato “XX”, del quale veniva pubblicata la relazione di perizia psichiatrica.

Quanto dichiarato dalla reclamante è stato riscontrato dal Dipartimento, nell’ambito di una preliminare verifica effettuata e documentata in atti.

A seguito della richiesta di informazioni dell’Ufficio nei confronti del dott. XX, redattore della citata relazione (nota del XX, prot. n. XX), lo stesso ha fornito riscontro, dichiarando che:

- “il documento dal quale origina il reclamo presentato dalla Signora XX fa parte del materiale didattico predisposto dallo scrivente in occasione dell’evento formativo, organizzato dalla CLUSTER S.r.l. (Ente di organizzazione di convegni professionali in ambito medico-scientifico) da titolo XX, tenutosi a XX dal 21 al 23 giugno XX, e rivolto a Laureati in Medicina e Chirurgia, Specialisti o Specializzandi in Psichiatria”;

- “come da prassi consolidata nei corsi formativi per Medici, nell’occasione, fu prevista la presentazione di alcuni “Casi clinici”, utili a commentare ed integrare le Relazioni teoriche tenute dai diversi Relatori”;

- “la mia attività (…) prevedeva la presentazione della casistica clinica attraverso il commento di Perizie e Consulenze, alle quali ho partecipato in prima persona in occasione dello svolgimento della mia professione di Consulente tecnico per la Procura e il Tribunale per i minorenni di XX, e la condivisione, (…), di materiale didattico riepilogativo della casistica presentata, sul quale era espressamente riportata la seguente dicitura: «Materiale clinico non diffusibile e trasmesso ai partecipanti alla XX con il vincolo del segreto professionale»”;

- “si trattava, dunque, di materiale condiviso a solo scopo formativo con i partecipanti al corso, anch’essi sottoposti al vincolo del segreto professionale (da medico a medico) del quale si era espressamente vietata la divulgazione”;

- “lo scrivente ritiene di aver fatto corretto affidamento sull’obbligo del segreto professionale incombente sui destinatari del materiale didattico di cui trattasi, apponendo sul medesimo la dicitura sopra ricordata”;

- “apprendo, invece, solo oggi, (…), che il documento di cui trattasi è stato, indebitamente, pubblicato” e “in tal modo, reso disponibile sulla rete internet. Nel ribadire con forza che si tratta di un comportamento a cui sono totalmente estraneo (..), affermo che in nessun modo può essermi attribuita alcuna responsabilità né per la pubblicazione del materiale didattico – a cui, in ogni caso, non ho prestato alcun consenso – né per la possibilità di reperirlo e “scaricarlo” da parte di soggetti diversi rispetto ai partecipanti al corso ECM a cui tale materiale era esclusivamente rivolto”.

Anche alla luce delle dichiarazioni del medico, con nota del XX, prot. n. XX, è stato chiesto alla Società Cluster s.r.l. (di seguito “la Società”), che aveva organizzato l’evento formativo XX, di fornire, ai sensi dell’art. 157 del Codice, taluni elementi di informazione utili alla valutazione del caso. Con nota del 1° marzo la Società ha fornito riscontro alla citata richiesta di informazioni dell’Autorità, dichiarando, fra l’altro, che:

- “Cluster, proprio malgrado, ha appreso soltanto con la presa visione della presente richiesta di chiarimenti che, anche a seguito del buon esito delle iniziative promosse dal Dott. XX, continuavano a risultare accessibili sul web (attraverso un link alla medesima riconducibile) contenuti e dati trattati in occasione della realizzazione dell’evento XX che la stessa riteneva di aver trattato con le opportune cautele e in modo assolutamente compatibile con la tipologia di dati”;

- “Cluster insomma era del tutto inconsapevole che fosse in atto (…) la diffusione on line di dati personali trattati nell’ambito della XX e ha provveduto senza indugio a rimuovere dal proprio sistema gestionale i contenuti accessibili attraverso il link (…) sincerandosi che tale iniziativa possa aver escluso ogni possibile ulteriore diffusione”;

- “in ragione degli incarichi assunti nell’ambito dell’evento il Dott. XX ha dunque trasmesso in formato digitale a Cluster le perizie psichiatriche dallo stesso redatte a conclusione di incarichi dal medesimo svolti quale CTU del Tribunale di XX richiedendo espressamente a Cluster che tale materiale didattico fosse graficamente impaginato e posto a disposizione dei partecipanti al termine dell’evento affinché potessero consultarlo ed acquisire maggior consapevolezza dei contenuti trattati”;

- “Cluster ha dunque caricato la documentazione ricevuta sul proprio sistema gestionale (CMS – Congress Management System …) in aderenza alla richiesta ricevuta, circoscrivendo la diffusione del materiale didattico ai soli medici-chirurghi già iscritti al corso (ossia a soggetti tenuti al dovere di riservatezza e al segreto professionale)”;

- “la documentazione in oggetto è stata formata e comunque predisposta dal Dott. XX (…) in esecuzione degli incarichi al medesimo attribuiti dal Tribunale di XX e Cluster ha meramente ricevuto tale documentazione al fine di realizzare l’evento. Giova in questa sede sottolineare che dette relazioni, al pari di tutto il materiale didattico abitualmente trattato in occasione di eventi a sfondo medico scientifico, “appartengono” al soggetto che le redige e le forma e la relativa opera dell’ingegno è tutelata dall’art. 1 della Legge n. 633/1941 (…)”;

- “ciò significa che, applicando la disciplina citata al rapporto tra Docente e Provider, a quest’ultimo è fatto divieto di apportare qualunque modifica all’opera dell’ingegno posta a disposizione dal docente, così come di fare uso di materiale didattico del docente senza la sua preventiva autorizzazione. L’unico margine di manovra (se così si può definire) consentito al Provider riguarda modifiche per così dire “estetiche”, relative all’editing o all’impaginazione, essenzialmente rivolte ad agevolare la consultazione del materiale didattico nel corso dell’evento”;

- “eventuali violazioni alle disposizioni vigenti in tema di trattamento dei dati personali contenute nel testo del documento potranno essere ascritte a Cluster nei soli limiti di una non corretta attività di controllo rispetto alla documentazione”;

- “ciò non implica però che Cluster non avrebbe dovuto prestare maggiore attenzione nel verificare che il Dott. XX avesse avuto l’accuratezza di rimuovere integralmente le generalità del paziente rendendo il dato a tutti gli effetti anonimo in ottemperanza alle prescrizioni in tema di trattamento di dati particolari. Cluster non può che ribadire il proprio rammarico al riguardo”;

- “nel caso di specie fu attivato il modulo web per l’evento XX e, tramite il sito www.clustersrl.it vennero raccolte le 26 adesioni dei partecipanti. Il giorno antecedente l’inizio del corso venne, come sempre, inibita la possibilità di iscrizione a nuovi partecipanti e il corso venne oscurato su www.clustersrl.it. In linea teorica, quindi, l’URL in questione non avrebbe dovuto più essere raggiungibile. Come anticipato, al termine del corso, il Prof. XX ed il Dott. XX ci chiesero di rendere disponibile ai 26 discenti coinvolti il materiale didattico presentato. E’ verosimile che, al fine di agevolarne la diffusione fra tali 26 soggetti, tale materiale sia stato caricato come allegato sul modulo web dell’evento e che tale URL (non più diversamente raggiungibile) sia stato inviato via e-mail ai 26 interessati al fine di consentire loro il download del pdf contenente le relazioni predisposte dal Dott. XX”;

- “pare potersi escludere senza timore di smentita che la comunicazione a terzi dei dati e la loro diffusione on line possano essere conseguite ad un cattivo funzionamento del gestionale stesso ovvero a condotte a ciò preordinate o semplicemente negligenti di Cluster”;

- “il fatto (appreso dall’invito a dedurre) che l’URL generato dal CMS di Cluster sia stato reso accessibile sul web consegue, dunque e certamente, a condotte illecite poste in essere da soggetti che, indebitamente e senza essere in alcuna misura a ciò autorizzati da Cluster (né a quanto si è appreso dal Dott. XX, titolare dell’opera dell’ingegno), si sono impossessati di dati e contenuti a loro non appartenenti facendosi leciti di divulgarli”;

- “la diffusione online, o meglio il caricamento sul sistema gestionale CMS, è verosimilmente avvenuta a partire dalla data di fine dell’evento”;

- “le misure tecniche e organizzative abitualmente adottate da Cluster così come descritte nei paragrafi che precedono risultano idonee a garantire il corretto trattamento dei dati personali raccolti dalla Società che ha operato nella convinzione di limitare la circolazione dei dati a quanto fosse strettamente necessario per dare esecuzione all’evento esclusivamente rivolto a soggetti tenuti al rispetto del dovere di riservatezza e al segreto professionale”.

2. Valutazioni del Dipartimento sul trattamento effettuato e notifica della violazione di cui all’art. 166, comma 5 del Codice

In relazione ai fatti descritti, l’Ufficio, con nota del XX (prot. n. XX), ha notificato alla Società, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitandola a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

In particolare, l’Ufficio, nel predetto atto, ha ritenuto che la Società abbia effettuato un trattamento di dati personali, sulla salute e giudiziari, in violazione dei principi di base del trattamento di cui agli artt. 5, 6, 9, 10 e, consentendo l’accessibilità, senza il superamento di alcuna procedura di autenticazione informatica, al menzionato indirizzo web, degli obblighi in materia di sicurezza di cui all’art. 32 del Regolamento, nonché degli artt. 2-septies e 2-octies del Codice.

Con nota del XX Cluster, nel richiamare quanto già evidenziato con la nota del XX, ha fatto pervenire le proprie memorie difensive, nelle quali, in particolare, ha evidenziato che:

- “le circostanze di fatto esposte con nota XX convergono rispetto alle affermazioni rese dal Dott. XX nell’ambito dell’istruttoria in merito al sostanziale andamento dei fatti storicamente accaduti. Le rispettive narrative confermano infatti che il materiale didattico utilizzato nel corso della XX è stato predisposto e formato dal Dott. XX in occasione di incarichi professionali conferiti dal Tribunale di XX, così come appare confermato che lo stesso Dott. XX, unico titolare dei diritti autoriali sul materiale didattico, abbia trasmesso a Cluster la documentazione affinché fosse resa disponibile ai partecipanti”;

- “nessun comportamento negligente può essere dunque contestato a Cluster (quale mera destinataria/ricevente di tale materiale didattico) con riferimento al trattamento e alla raccolta iniziale dei dati sanitari e giudiziari utilizzati dal Dott. XX per la redazione delle perizie psichiatriche. Si ritiene allo stesso modo che si possa convenire sul fatto che fosse proprio il Dott. XX l’unico soggetto tenuto sia alla raccolta dell’apposito consenso da parte degli interessati a che i dati fossero trasmessi a terzi (compresa la stessa Cluster), sia di fare quanto necessario per anonimizzare i dati personali contenuti nella propria relazione. Si consideri che Cluster non ha mai intrattenuto rapporti diretti con i pazienti menzionati nelle relazioni mediche che ci riguardano”;

- “ricevuto il materiale didattico Cluster, a richiesta del Dott. XX, ha effettuato il caricamento del materiale didattico sul gestionale aziendale (CMS) senza che il soggetto a ciò preposto prestasse la dovuta attenzione e accuratezza rispetto al contenuto della documentazione ricevuta e omettendo, in particolare, di verificare che detto materiale fosse conforme ai principi stabili dal Codice in tema protezione dei dati”;

- “il caricamento del materiale sul gestionale è tuttavia atto che ha generato un mero URL di servizio ad uso interno, di per sé inidoneo a provocare la diffusione di dati (di qualunque tipo) sul web. La diffusione dei dati in commento sul web non consegue, dunque, al caricamento dei dati sul gestionale interno ma è dipesa esclusivamente da condotte ulteriori poste in essere da uno (o più) dei 26 medici che, avendo ricevuto via e-mail l’URL in questione, hanno diffuso i dati operando in violazione del segreto professionale a cui sono tenuti in ragione della loro qualifica”;

- “la narrativa che precede evidenzia dunque che la diffusione sul web di dati personali appartenenti a particolari categorie è stata resa possibile solo per effetto di una serie di condotte illecite concorrenti ad iniziare dalla trasmissione del materiale didattico non anonimizzato da parte del Dott. XX alla stessa Cluster per concludersi con il fatto materiale ascrivibili a uno o più discenti che hanno pubblicato l’URL in questione”;

- “non appare, dunque, errato affermare che l’unico eventuale comportamento negligente ascrivibile a Cluster in questa sede possa essere solo l’invio a mezzo e-mail dell’URL ai 26 partecipanti, condotta che, anche dal punto di vista causale, non può aver comportato la diffusione dell’URL sul web”;

- “a Cluster non potrà dunque né essere addebitata né sanzionata alcuna violazione riferibile alla (mancata) raccolta del consenso al trattamento dei dati del paziente (che è adempimento a cui era tenuto il Dott. XX il quale era altresì tenuto a rendere anonimi i dati prima di procedere alla trasmissione alla stessa Cluster); parimenti a Cluster non potrà essere addebitata e conseguentemente sanzionata la diffusione sul web del materiale in oggetto che è, come detto, fatto ascrivibile a uno o più dei 26 partecipanti al corso”;

- “nel caso in esame (…), la condotta illegittima eventualmente ascrivibile a Cluster consiste nel mero invio dell’URL ai 26 partecipanti e tale è la circostanza che indirettamente ha reso possibile la successiva diffusione dei dati sul web da parte di terzi. Va tuttavia tenuto in considerazione che: il materiale didattico (…) non appartiene a Cluster ma al Responsabile Scientifico, unico soggetto titolare del diritto di autore sull’opera, circostanza che, in ragione di quanto previsto ex art. 1 della Legge n. 633/1941, pone in capo a Cluster il divieto di apportare alcuna modificazione o manipolazione dei contenuti ricevuti. Ne deriva che il soggetto che in primis non ha dunque adottato le opportune cautele volte ad ottemperare all’obbligo di anonimizzazione del dato è da individuarsi nel Responsabile Scientifico che ha predisposto il documento e trasmesso lo stesso a Cluster alla quale potrà al più ascriversi una condotta colpevole già individuata; il materiale didattico di cui trattasi era destinato alla consultazione di soli soggetti che, in ragione della loro qualifica di medico, erano espressamente tenuti ad osservare un obbligo di riservatezza oltreché tenuti al rispetto del segreto professionale con espresso divieto di diffusione e circolazione di qualunque dato. Ne deriva che la diffusione del materiale didattico è stata resa possibile per effetto di un fatto illecito del terzo a cui Cluster non ha neppure materialmente preso parte; la diffusione dei dati non è conseguita a carenze relative alle misure di sicurezza informatiche ovvero a violazione degli obblighi in materia di sicurezza essendo il CMS uno strumento tecnologico che, per sua natura, non propaga dati (di alcun tipo) verso l’esterno”;  

- “la condotta ascrivibile a Cluster, anche sotto il profilo causale, rispetto alla violazione contestata possa considerarsi limitata o comunque marginale. Di contro, le condotte tenute dal Dott. XX e dai discenti hanno avuto un’incidenza causale dirimente nella causazione delle violazioni contestate”;

- “tra le tipologie di dati abitualmente trattati da Cluster non rientrano né dati sanitari riconducibili ad uno specifico soggetto, né tantomeno dati giudiziari. La circostanza oggetto del presente procedimento è dunque del tutto eccezionale, anomala e del tutto irrituale rispetto a quella che è l’ordinaria e abituale attività imprenditoriale di Cluster e si è verificata in ragione della scelta dei Responsabili Scientifici di utilizzare, quale materiale didattico, casi clinici concreti che gli stessi hanno avuto modo di conoscere per effetto dell’attività libero-professionale svolta. Il trattamento di particolari categorie di dati non fa parte dell’ordinaria attività di impresa di Cluster; il numero degli interessati coinvolti nella violazione: la ricostruzione dei fatti, operata in esito all’istruttoria promossa dall’Ill.mo Garante (così confermata sia dalla narrazione del Dott. XX sia da quella di Cluster) porta a convergere sul fatto che la violazione contestata sia da ritenersi circoscritta ai soli dati del soggetto menzionato”;

-  “in mancanza di elementi che permettono di stabilire con certezza il dies a quem della violazione contestata dovrà dunque ritenersi che la sua durata sia circoscritta tra il giorno in cui l’Ill.mo Garante ha ricevuto il reclamo da cui è scaturito il presente procedimento e quello in cui sono stati concretamente rimossi i contenuti dal web”;

- “la violazione (ha) carattere “non intenzionale” secondo l’accezione indicata dalle Linee Guida Wp253 che attribuiscono alla parola “unintentional” l’assenza in capo al titolare del trattamento dell’intenzione di causare la violazione (…); deve dunque escludersi la sussistenza di qualsivoglia connotato doloso o intenzionale in capo a Cluster che ha già espresso il proprio sincero rammarico per l’accaduto e che potrà ritenersi al più rea di aver trasmesso, per eccesso di fiducia nei partecipanti, il materiale ai discenti una volta concluso l’evento”;

- “(…) Cluster era del tutto inconsapevole che fosse in atto (sebbene in modo assolutamente limitato) la diffusione online di dati personali trattati nell’ambito della XX e, dopo aver appreso con la richiesta di informazioni ricevuta ex art. 157 del Codice che neppure a seguito delle iniziative promosse dal Dott. XX la diffusione dei dati poteva ritenersi arginata, ha provveduto senza indugio a rimuovere dal proprio sistema gestionale i contenuti accessibili attraverso il link citato in premessa sincerandosi che tale iniziativa possa aver escluso ogni possibile ulteriore diffusione”;

- “Cluster ritiene dunque di aver tempestivamente adottato misure efficienti ed efficaci in tempi il più celeri possibili rispetto all’emersione della violazione”;

- “a seguito della violazione contestata Cluster ha provveduto a far verificare nuovamente la tipologia di dati custoditi sul proprio CMS e, in esito alla disamina svolta, può escludersi che il gestionale CMS contenga dati diversi da quelli comuni raccolti nell’ambito dell’attività di impresa ordinariamente svolta”;

- “anche con riferimento ai dati trattati il gestionale CMS risponde alle prescrizioni tecnico-organizzative previste dal GDPR. Il CMS in uso da parte di Cluster è strutturato per raccogliere, per impostazione predefinita, solo i dati personali strettamente necessari per il perfezionamento dell’iscrizione di operatori appartenenti al settore medico scientifico e, sempre per impostazione predefinita, non consente la divulgazione dei dati raccolti a soggetti diversi da Age.Na.S.”;

- “i dati contenuti nel CMS possono essere consultati solo da personale interno munito delle debite autorizzazioni al trattamento dei dati in forza di credenziali di accesso individuali e nessuna circolazione dei dati verso l’esterno è prevista se non nei limiti di quanto occorra per l’erogazione dei crediti formativi ai discenti”;

- “Cluster ribadisce (…) che la diffusione dei dati verso terzi sottoposta all’attenzione dell’Ill.mo Garante non è avvenuta in conseguenza ad una carenza o violazione dei sistemi di accesso al proprio gestionale aziendale e che, parimenti, la violazione contestata non è avvenuta in conseguenza a errori di sistema, accessi non autorizzati o ad un utilizzo di misure di sicurezza insufficienti”;

- “Cluster ritiene che la rimozione dal proprio sistema gestionale dei contenuti accessibili attraverso il link citato in premessa unitamente alla verifica svolta in merito all’esclusione di ulteriori possibili forme di circolazione dei dati vada ad esaurire lo spettro delle possibili attività da attuarsi per porre rimedio alla violazione contestata”;

- “Cluster ha infatti nell’ordine dato atto che:

- il proprio comportamento negligente va contestualizzato e considerato nell’ambito delle condotte negligenti certamente poste in essere dagli altri soggetti coinvolti nel presente procedimento nonché dei partecipanti al corso ECM (e che sono estranei al presente procedimento) che hanno in concreto diffuso sul web i contenuti;

- la condotta negligente eventualmente ascrivibile a Cluster è in ogni caso riconducibile al mero invio di un URL a mezzo e-mail a 26 partecipanti tenuti al dovere di riservatezza e al segreto professionale. e, comunque, consegue ad un unico trattamento (“the same or linked processing operations”) di dati; unica è stata la finalità sottesa al trattamento dei dati che ci occupano ossia facilitare la diffusione (“dissemination”) dei medesimi tra i partecipanti al corso ECM;

- il trattamento dei dati richiesto a Cluster è necessario al fine di assolvere ad una funzione di interesse pubblico che trova per l’appunto la propria regolamentazione in accordi a rilevanza pubblica;

- l’ambito del trattamento dei dati è circoscritto, al più, a livello nazionale;

- il proprio comportamento non è connotato da dolo o intenzionalità;

- ha tempestivamente provveduto a rimuovere il link dal proprio gestionale così adottando, in tempi il più celeri possibili, le misure opportune per porre rimedio alla violazione”;

- “rispetto alle varie soglie indicate dall’art. 83 GDPR e dalle Guidelines 04/2022 Cluster dà atto che il fatturato aziendale conseguito negli ultimi 10 anni di attività è sempre stato inferiore a 2.000.000 euro e, anche viste le dimensioni dell’impresa che allo stato annovera 1 solo dipendente, ritiene che possano sussistere i requisiti per poter procedere ad una riduzione dello 0.2% rispetto all’ammontare iniziale in ragione del livello basso di gravità della violazione quale risultante dalla considerazione di tutti gli elementi indicati”;

- “laddove l’Ill.mo Garante (…) non ritenesse di dover concludere il procedimento avviato con l’archiviazione della posizione, Cluster insta affinché venga dichiarata la prescrizione dell’illecito amministrativo in contestazione essendo decorso il termine quinquennale fissato dall’art. 28 comma 1 della l. 689/1981. Al riguardo, Cluster ha precisato che l’unica condotta negligente imputabile alla medesima consiste nell’invio a mezzo e-mail dell’URL contenente il materiale didattico ai 26 discenti che si sono iscritti alla XX e che non può in alcuna misura ascriversi a Cluster la successiva diffusione di detto materiale didattico sul web”;

- “deve dunque ritenersi che la condotta ascrivibile a Cluster si sia consumata in occasione dell’invio dell’URL a mezzo e-mail una volta conclusosi l’evento formativo del 21-23 giugno XX con la conseguenza che il termine quinquennale, stabilito a pena di decadenza dall’art. 28, comma 1 L. 689/1981, per la contestazione dell’eventuale illecito amministrativo dovrà ritenersi spirato in data certamente anteriore all’avvio del procedimento e comunque in data anteriore al compimento di ogni atto avente effetto interruttivo”.

La Società ha, pertanto, chiesto di procedere all’archiviazione del procedimento de quo.

In data XX si è svolta l’audizione richiesta dalla Società. In tale circostanza è stato precisato che:

- “il rapporto tra la società e i responsabili scientifici non è paritario (…); ciò ha indotto la società ad accettare la richiesta del Medico, di comunicare ai discenti l’URL da cui era possibile scaricare il materiale didattico in questione”;

- “il semplice caricamento sul sistema CMS non avrebbe prodotto alcuna diffusione o propagazione se l’URL non fosse stato inviato via mail e successivamente condiviso da uno o più dei 26 destinatari della stessa”;

- “la società riponeva legittima aspettativa di riservatezza nei confronti dei destinatari della mail, considerato che gli stessi erano medici soggetti al segreto professionale”;

- “da quanto accaduto la società non ha riportato alcun tipo di vantaggio”;

- “si comprende la tensione emotiva della sig.ra XX che ha deciso di avviare questo procedimento”.

3.  Esito dell’attività istruttoria

Preso atto di quanto rappresentato dalla Società nella documentazione in atti, nelle memorie difensive e nel corso dell’audizione, si osserva che:

1. per dato personale si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, par. 1, punto n. 1 del Regolamento) e, per dati anonimi si intendono “(...) informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l'identificazione dell'interessato” (cfr. Considerando n. 26 del Regolamento e WP29 Opinion 05/2014 on Anonymisation techniques, adottata il 10 aprile 2014);

2. l’anonimizzazione non può considerarsi realizzata attraverso la mera rimozione delle generalità dell’interessato o sostituzione delle stesse con un codice pseudonimo. Il dato anonimizzato, infatti, è tale solo se non consente in alcun modo l’identificazione diretta o indiretta di una persona, tenuto conto di tutti i mezzi (economici, informazioni, risorse tecnologiche, competenze, tempo) nella disponibilità di chi (titolare o altro soggetto) provi a utilizzare tali strumenti per identificare un interessato. Il rischio di re-identificazione dell’interessato va accuratamente valutato tenendo conto di “tutti i mezzi, [...], di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l'insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento sia degli sviluppi tecnologici” (cfr. ancora Considerando n. 26 del Regolamento e WP29 Opinion 05/2014 on Anonymisation techniques, adottato il 10 aprile 20141);

3. ai dati personali concernenti le persone decedute continuano ad applicarsi le tutele previste dalla disciplina in materia di protezione dei dati personali (come evidenziato dal Garante nei provv. del 10 gennaio 2019, n. 2, doc. web n. 9084520 e 29 aprile 2021, n. 173, doc. web n. 9672313);

4. i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza (…) compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti o dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)” (art. 5, par. 1, lett. f) del Regolamento);

5. in materia di sicurezza del trattamento, l’art. 32 del Regolamento stabilisce che “tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: la pseudonimizzazione e la cifratura dei dati personali[…]” (par. 1) e che “nel valutare l’adeguato livello di sicurezza si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati” (par. 2);

6. il Garante, nell’approvare il Codice di Condotta della Regione Veneto per l'utilizzo di dati sulla salute a fini didattici e di pubblicazione scientifica (doc. web n. 9535402, https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9535402), che individua specifiche garanzie e misure a tutela dei pazienti, ha rappresentato che: “l’utilizzo dei dati personali per fini didattici e di pubblicazione scientifica da parte degli esercenti le professioni sanitarie che operano all’interno della struttura organizzativa del titolare del trattamento può avvenire solo previa adozione di specifiche misure di anonimizzazione e pseudonimizzazione” (…); “qualora non sia possibile procedere all’anonimizzazione dei dati, il titolare dovrà acquisire uno specifico consenso dell’interessato, raccolto il quale i dati saranno comunque sottoposti a pseudonimizzazione (art. 5 del Codice)” (provv. del 14 gennaio 2021, n. 7, doc. web n. 9535354).

4. Conclusioni

Alla luce delle valutazioni sopra esposte, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice (“Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”), si rileva che gli elementi forniti dalla Società nelle memorie difensive sopra richiamate e nel corso dell’audizione non sono idonei ad accogliere la richiesta di archiviazione, non consentendo di superare integralmente i rilievi notificati dall’Ufficio con il citato atto di avvio del procedimento.

In particolare, ferma restando la valutazione in ordine all’omessa adozione di specifiche misure di anonimizzazione dei dati trattati da parte del medico che ha redatto la documentazione e l’ha successivamente utilizzata per finalità didattiche, si fa presente che, se la condotta relativa all’invio dell’url a mezzo e-mail ai medici partecipanti al corso si è conclusa al momento dell’evento formativo del 21-23 giugno XX, con conseguente decorrenza del termine quinquennale, stabilito dall’art. 28, comma 1, legge n.  689/1981, secondo il quale “il diritto a riscuotere le somme dovute per le violazioni indicate dalla presente legge si prescrive nel termine di cinque anni dal giorno in cui è stata commessa la violazione”, non parimenti può considerarsi conclusa la condotta concernente gli obblighi in materia di sicurezza del trattamento, persistente fino al momento in cui si è palesata la violazione. Come, infatti, sopra ricordato, l’obbligo in capo al il titolare del trattamento di mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi nonché una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento (art. 32, par. 1, lett. b) e d) del Regolamento) era sussistente fino al momento in cui è avvenuto l’accertamento della violazione, perdurata nel tempo fino all’avvio dell’istruttoria da parte dell’Autorità.

Per tali ragioni si rileva l’illiceità del trattamento di dati personali effettuato dalla Società, nei termini di cui in motivazione, per aver omesso di prevedere misure adeguate per assicurare su base permanente la riservatezza e di verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative, adottando, ad esempio, una procedura di autenticazione informatica per accedere alla documentazione descritta, contenente dati personali, rispetto ai quali non era stata effettuata alcuna valutazione in ordine all’adeguatezza delle misure di anonimizzazione adottate.

In tale quadro, considerato che la Società ha provveduto alla rimozione del link dal proprio gestionale, non ricorrono allo stato i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i) e 83 del Regolamento; art. 166, comma 7, del Codice). 

La violazione degli artt. 5 e 32 del Regolamento è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 4 e 5, del Regolamento.

Tenuto conto che la violazione degli artt. 5 e 32 ha avuto luogo in conseguenza di un’unica condotta, trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave. Considerato che, nel caso di specie, la violazione più grave riguarda l’art. 5, par. 1, lett. f), del Regolamento, soggetta alla sanzione amministrativa prevista dall’83, par. 5, del Regolamento, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000 o, per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore.

Si consideri che il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2, del Regolamento.

Alla luce di quanto sopra illustrato e, in particolare, della durata della violazione nonché delle categorie di dati personali interessate (dati personali, sulla salute e giudiziari), si ritiene che il livello di gravità della violazione commessa dalla Società sia alto (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60).

Considerato il fatturato della Società e valutati nel loro complesso una serie di elementi, tra i quali che l’Autorità ha preso conoscenza dell’evento a seguito di un reclamo da parte dell’interessata in relazione al trattamento dei dati personali suoi e del figlio (art. 83, par. 2, lett.  h) del Regolamento) e la Società ha provveduto alla rimozione del link dal proprio gestionale (art. 83, par. 2, lett. c) del Regolamento), si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, nella misura di euro 18.000,00 (diciottomila) per la violazione degli artt. 5 e 32, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dalla Società Cluster s.r.l., per la violazione degli artt. 5 e 32 del Regolamento.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, alla Società Cluster s.r.l., con sede legale in XX (10123), Via Carlo Alberto n. 32, C.F./Partita IVA 07530720015, di pagare la somma di euro 18.000,00 (diciottomila) a titolo di sanzione amministrativa pecuniaria per la violazione indicata nel presente provvedimento; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 18.000,00 (diciottomila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 16 novembre 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL VICE SEGRETARIO GENERALE
Filippi

Scheda

Doc-Web
9960948
Data
16/11/23

Argomenti

Misure di sicurezza Dati sanitari Formazione professionale

Tipologie

Ordinanza ingiunzione o revoca

Vedi anche (1)