Con provvediemnto in data 24 giugno 2020 ( Registro dei provvedimenti n. 106 del 24 giugno 2020 ) il Garante ha adottato una Ordinanza ingiunzione nei confronti di XY nato a Varese (VA) il 22 giugno 1965, (C.F. ...), titolare dell´omonima impresa individuale XX, con sede in Induno Olona (VA), Via YY, di pagare la somma di euro 2.400,00 (duemilaquattrocento) a titolo di sanzione amministrativa pecuniaria per la violazione prevista dall´art. 161 del Codice, come indicato in motivazione;
Continua a leggere
Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il dott. Antonello Soro, presidente, la dott.ssa Augusta Iannini, vicepresidente, la dott.ssa Giovanna Bianchi Clerici e la prof.ssa Licia Califano, componenti e il dott. Giuseppe Busia, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTA la legge n. 689/1981 e successive modificazioni e integrazioni, con particolare riferimento all’art. 1, comma 2;
VISTA la segnalazione secondo la quale la società GE Medical System Italia S. p. a. (di seguito GEMSI), che fornisce apparecchiature per l’acquisizione di immagini diagnostiche TAC, “avrebbe estratto copia della documentazione clinica dalla (…) TAC in uso presso l’Ospedale di Gorizia”, appartenente all’Azienda per l’Assistenza Sanitaria n. 2 “Bassa Friulana-Isontina”, C.F.: 01162270316 - P.IVA: 01162270316 – con sede legale in Gorizia, Via Vittorio Veneto, n. 174 (d’ora innanzi l’”Azienda”), ai fini della partecipazione a una gara d’appalto per l’affidamento della fornitura di TAC e risonanze magnetiche per i fabbisogni dell’Azienda sanitaria della Regione Veneto;
VISTA la richiesta di informazioni (nota prot. n. 0016746 del 1° giugno 2018) del Dipartimento Libertà Pubbliche e Sanità di questa Autorità, con la quale si invitava l’Azienda a fornire ogni elemento e informazione utile in relazione a quanto segnalato;
PRESO ATTO della missiva del 29 giugno 2018, con la quale il Direttore generale dell’Azienda forniva riscontro in ordine a quanto richiesto;
VISTA l’ulteriore richiesta (nota prot. n. 0011330 del 2 aprile 2019) con la quale il Dipartimento sanità e ricerca, riscontrate alcune difformità tra le dichiarazioni ricevute nell’istruttoria dall’Azienda e quelle fornite dalla società GEMSI, chiedeva all’Azienda ulteriori elementi informativi;
PRESO ATTO della nota di risposta dell’Azienda (Prot. n. 9/19 del 15 aprile 2019) con la quale il Direttore generale della medesima, fra l’altro, evidenziava la buona fede della stessa, dichiarando che il sanitario, alla cui presenza è stata effettuata l’estrazione delle immagini radiologiche, ha consentito l’accesso “nell’erroneo convincimento che GEMSI fosse già in possesso di debita autorizzazione all’estrazione delle immagini richieste”…”inoltre Gemsi rappresentava di essere quest’ultimo [accesso] volto a recuperare immagini asseritamente deteriorate, e forniva al sanitario, con dati molto precisi e dettagliati l’immagine richiesta così inducendo lo stesso a ritenere proprio per tale ragione realmente esistente la millantata autorizzazione”;
VISTA la nota n. 29273/125488 del 30 agosto 2019 del Dipartimento sanità e ricerca, con la quale veniva definito il procedimento, le cui motivazioni devono intendersi qui integralmente richiamate, nella quale risulta accertato che: “[…] GEMSI ha avuto accesso ad informazioni sulla salute di alcuni pazienti dell’Azienda per l’Assistenza sanitaria n. 2 “Bassa Friulana-Isontina” e ha effettuato un trattamento (estrazione, anonimizzazione e pseudonimizzazione attraverso il software “Anonymous maker”) dei medesimi dati, al fine di produrre la documentazione richiesta negli allegati tecnici del bando della Regione Veneto per partecipare alla gara d’appalto per la fornitura di apparecchiature TAC e di risonanze magnetiche per le Aziende sanitarie della predetta Regione. Pertanto (..) la condotta posta in essere dalla stessa (Azienda) ha determinato una “comunicazione” di dati personali relativi alla salute di alcuni soggetti identificati, in assenza di un adeguato presupposto normativo (artt. 11 e 20 del Codice, vigenti al momento in cui si sono verificati i fatti oggetto di segnalazione);
CONSIDERATO che i fatti oggetto della segnalazione si sono verificati nel maggio del 2017, in data, quindi, anteriore a quella nella quale il Regolamento (UE) 2016/679 è diventato applicabile (25 maggio 2018) e che, pertanto, ai trattamenti di dati personali in esame si applica il Codice in materia di protezione dei dati personali nella versione antecedente alla riformulazione del medesimo operata a mezzo del d.lgs. n. 101/2018;
VISTO l'atto del 10 settembre 2019 (prot. n. 0030459) con cui il Garante ha contestato all’Azienda per l’Assistenza sanitaria n. 2 “Bassa Friulana-Isontina” C.F.: 01162270316 - P.IVA: 01162270316 – con sede legale in Gorizia, Via Vittorio Veneto, n. 174, in persona del legale rappresentante pro-tempore, la violazione della disposizione di cui all'articolo 20 del Codice, sanzionata dall'articolo 162, comma 2-bis del medesimo Codice, per aver comunicato dati sulla salute in assenza di un adeguato presupposto normativo e ponendo in essere, in tal modo, un trattamento illecito di dati personali;
RILEVATO dal rapporto amministrativo predisposto dall’Ufficio, ai sensi dell’art. 17 della legge 24 novembre 1981 n. 689, che non risulta essere stato effettuato il pagamento in misura ridotta di cui all’art. 16 della legge 689/81;
VISTA la memoria difensiva, presentata ai sensi dell’art. 16 della legge 24 novembre 1981 n. 689, con cui l’Azienda ha evidenziato di essere stata “totalmente all’oscuro dei propositi e delle finalità ulteriori per i quali la società (…) aveva estrapolato i medesimi dati” e di non avere contezza “che Gemsi avesse proceduto all’estrazione (..) per finalità del tutto egoistiche e commerciali (…), quali per l’appunto la partecipazione ad una gara d’appalto per la fornitura di apparecchiature TAC e risonanze magnetiche per le regioni Veneto e Lombardia”, essendo certa che “l’estrazione in commento (..) rientrasse fra le ordinarie prestazioni del servizio di manutenzione full risk che GE offe per la diagnosi e/o risoluzione di un eventuale guasto o per effettuare verifiche sullo stato del sistema del suo monitoraggio”. “Inoltre l’Azienda sanitaria, stante il fatto che GEMSI è per l’appunto un fornitore leader nel settore e che già da tempo intercorrevano numerosi rapporti con detta Società ha fatto pieno affidamento sulla lealtà e professionalità nel trattamento, da parte di quest’ultima, dei dati personali di titolarità dell’A.A.S. n. 2”. L’Azienda, dopo aver richiamato le motivazioni che l’avevano indotta in errore, già evidenziate nella nota del 15 aprile 2019, ha rappresentato che “la sanzionata comunicazione è stata alquanto circoscritta in quanto le immagini estratte sono state viste in chiaro e quindi con i dati identificativi completi del paziente cui si riferivano, esclusivamente dai tecnici GE che hanno estratto e successivamente anonimizzato le immagini medesime, nonché, almeno per quanto concerne la seconda estrazione dal sanitario coinvolto”, tutti soggetti nominati autorizzati al trattamento, “vincolati dai rispettivi datori di lavoro ad un vincolo di segretezza la cui violazione comporta inevitabili sanzioni non solamente disciplinari”. In chiusura, l’Azienda, in relazione al presente procedimento sanzionatorio ne ha chiesto, in via principale l’archiviazione e, in via subordinata, l’applicazione del minimo edittale;
RITENUTO che le argomentazioni addotte dall’Azienda non sono idonee ad accogliere le richieste formulate nella memoria difensiva. Infatti, con riferimento all’errore in cui è incorso l’operatore sanitario, dipendente dell’Azienda, che ha effettuato la comunicazione in questione, “non autorizzata dal titolare del trattamento e indotta da comportamenti da parte del personale di GEMSI fuorvianti e tali da influire sulla buona fede del medico”, si fa presente che secondo consolidata giurisprudenza (Cass. Civ. sez. I del 21 febbraio 1995 n. 1873; Cass. Civ. sez II del 13 marzo 2006, n. 5426), per l’applicazione dell’art. 3 della legge n. 689/1981 è necessario che la buona fede o l’errore, affinché siano scusabili, si fondino su un elemento positivo, estraneo all’agente e idoneo a determinare in lui la convinzione della liceità del suo comportamento. Tale elemento positivo deve risultare non ovviabile dall’interessato con l’uso dell’ordinaria diligenza. In tal caso, l’Azienda, avrebbe potuto diligentemente accertare, attraverso il personale preposto, se GEMSI fosse, o meno, legittimata all’accesso ai dati sanitari rilevati attraverso le apparecchiature mediche evitando, pertanto, di comunicare i predetti dati a soggetti non autorizzati. Inoltre, la circostanza che i tecnici di GEMSI fossero stati designati quali incaricati del trattamento dalla stessa GEMSI - in qualità di responsabile del trattamento nominata dall’Azienda - non rileva nel caso di specie, in quanto i trattamenti aventi ad oggetto l’estrazione dei dati, le operazioni successive e il loro utilizzo (partecipazione alla gara e conseguente difesa in giudizio) hanno perseguito finalità proprie della Società e non erano, quindi, riconducibili a quelle per i quali tale società era stata designata responsabile del trattamento dall’Azienda;
RILEVATO che, sulla base delle considerazioni sopra richiamate, l’Azienda, in persona del rappresentante legale pro-tempore, in qualità di titolare del trattamento, risulta aver commesso la violazione della disposizione di cui all’art. 20 del Codice sanzionata dall’art. 162, comma 2-bis, del Codice medesimo, per aver effettuato un trattamento illecito di dati personali, comunicando dati sulla salute senza un adeguato presupposto giuridico, come sopra specificato;
VISTO l’art. 162, comma 2-bis del Codice, che punisce le violazioni indicate nell’art. 167, tra cui la violazione relativa all’art. 20 del medesimo Codice con la sanzione amministrativa del pagamento di una somma da euro 10.000,00 (diecimila) a euro 120.000,00 (centoventimila);
CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;
CONSIDERATO che, in relazione alla gravità della violazione, il trattamento, pur avendo avuto ad oggetto dati sulla salute, è consistito nella comunicazione di copia di immagini diagnostiche acquisite tramite apparecchiatura TAC, riferite ad alcuni pazienti identificati dell’Azienda, ai soli tecnici della GEMSI, che hanno proceduto all’estrazione a alla successiva anonimizzazione delle immagini medesime, nonché che l’estrazione dei dati è avvenuta senza alcuna espressa o formale autorizzazione del titolare o dei responsabili interni designati;
CONSIDERATO, altresì, che in ordine all’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, l’Azienda ha tenuto una condotta collaborativa con il Garante, offrendo con prontezza la propria disponibilità a fornire i chiarimenti richiesti in tutte le fasi del procedimento;
RITENUTO, quindi, in ragione dei suddetti elementi valutati nel loro complesso di dover determinare, ai sensi dell’art. 11 della legge n. 689/1981, l’ammontare della sanzione pecuniaria prevista dall’art. 162, comma 2-bis del Codice, nella misura minima di euro 10.000,00 (diecimila) per la violazione dell’art. 20 del medesimo Codice;
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;
RELATORE la dott.ssa Giovanna Bianchi Clerici;
ORDINA
all´Azienda Sanitaria Universitaria Giuliano Isontina, C.F. e P.IVA 01337320327, con sede legale in Trieste, Via Costantino Costantinides 2, in persona del legale rappresentante pro-tempore, la quale, in attuazione di quanto disposto dall´art. 11 della legge 17 dicembre 2018, n. 27 della Regione Friuli Venezia Giulia, è subentrata in tutti i rapporti attivi e passivi dell´Azienda per l’Assistenza sanitaria n. 2 “Bassa Friulana-Isontina”, soppressa a far data dal 1° gennaio 2020, di pagare la somma euro 10.000,00 (diecimila) prevista dall’art. 162, comma 2-bis del Codice, a titolo di sanzione amministrativa pecuniaria per la violazione della disposizione di cui all’art. 20 del Codice medesimo per aver comunicato dati sulla salute senza un idoneo presupposto giuridico e ponendo in essere, in tal modo, un trattamento illecito di dati personali;
INGIUNGE
alla medesima Azienda di pagare la somma di euro 10.000,00 (diecimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689.
Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.