Con provvedimento in data 14 giugno 2018 (Registro dei provvedimenti n. 384 del 14 giugno 2018 ) il Garante ha adottato una Ordinanza ingiunzione nei confronti dell' Azienda Ospedaliera Pugliese Ciaccio P.Iva: 01991520790, con sede in Catanzaro, via Cortese n. 25, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 16.000,00 (sedicimila) a titolo di sanzione amministrativa pecuniaria per le violazioni previste dagli artt. 161 in relazione all’art. 13 del Codice e 162, comma 2-bis in relazione all’art. 23 del Codice, come indicato in motivazione;
Continua a leggere
Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;
RILEVATO che la Guardia di finanza, Nucleo speciale privacy, in esecuzione della richiesta di informazioni n. 31538/114083 del 3 ottobre 2017 formulata ai sensi dell’art. 157 del d. lgs. 30 giugno 2003 n. 196, recante il Codice in materia di protezione dei dati personali (di seguito “Codice”) ha svolto, formalizzandola con i verbali di operazioni compiute datati 23 e 24 gennaio 2018, un’attività di controllo nei confronti dell’Azienda Ospedaliera Pugliese Ciaccio P.Iva: 01991520790, con sede in Catanzaro, via Cortese n. 25, in persona del legale rappresentante pro-tempore. Tale attività di controllo, anche a fronte dello scioglimento delle riserve formulate e da ultimo sciolte con la ricezione della nota avvenuta in data 6 febbraio 2018, ha consentito di accertare che:
1. presso i Reparti di Radiologia e Ortopedia non è stata riscontrata la presenza di modulistica riportante l’informativa sul trattamento dei dati personali in violazione dell’art. 13 del Codice, né la modulistica per il rilascio del consenso al trattamento dei dati sensibili di cui agli artt. 23 e 26 del Codice; presso il Reparto di Cardiologia, a fronte di un controllo a campione effettuato dagli accertatori su tre cartelle cliniche di pazienti ricoverati presso il Reparto in parola, non è stata riscontrata la presenza di modulistica riportante l’informativa sul trattamento dei dati personali in violazione dell’art. 13 del Codice, né la modulistica per il rilascio del consenso al trattamento dei dati sensibili di cui agli artt. 23 e 26 su due delle tre cartelle esaminate; presso l’Ufficio ticket aziendale non è stata riscontrata la presenza del modulo riportante l’informativa da rendere ai sensi dell’art. 13 del Codice, né affissa né somministrata in altra modalità;
2. l’Azienda Ospedaliera Pugliese Ciaccio non ha provveduto, anche tenuto conto della produzione documentale ricevuta dalla Guardia di finanza in data 6 febbraio 2018 a scioglimento delle riserve formulate, a designare gli incaricati del trattamento ai sensi dell’art. 30 del Codice e a impartire loro le prescritte istruzioni, così disattendendo quanto previsto dall’Allegato B al Codice;
VISTO il verbale redatto dal Nucleo speciale privacy della Guardia di finanza in data 14 febbraio 2018, con il quale sono state contestate all’Azienda Ospedaliera Pugliese Ciaccio, rispettivamente, due violazioni amministrative, definibili in via breve ai sensi dell’art. 16 della legge 24 novembre 1981, n. 689, previste dall’art. 161 e dall’art. 162, comma 2-bis del Codice, in relazione all’art. 13 e all’art. 23, nonchè la violazione amministrativa, non definibile in via breve ai sensi dell’art. 16 della legge 24 novembre 1981, n. 689, prevista dall’art. 162, comma 2-bis del Codice, in relazione alle misure indicate nell’art. 33;
VISTO lo scritto difensivo datato 26 marzo 2018 inviato ai sensi dell’art. 18 della legge n. 689/1981, con il quale l’Azienda Ospedaliera Pugliese Ciaccio, relativamente a quanto contestato circa la violazione dell’art. 13 del Codice, pur dando atto del fatto che “Gli operanti, successivamente recatesi presso l’Ufficio ticket, non rinvenivano l’informativa affissa (…)”, ha osservato come “Non è tuttavia chiaro (…) quanti e quali sportelli ticket siano stati visionati/verificati dalla GdF”, evidenziando, altresì, come “Alcun controllo è stato poi effettuato presso l’URP e l’Ufficio Privacy: strutture assolutamente accessibili al pubblico e in possesso della c.d. informativa”. Inoltre, ha rilevato come, fermo restando quanto rappresentato, “(…) non vi sia alcuna imposizione da parte del Legislatore di fornire le informazioni in forma scritta”. Riguardo quanto contestato per la violazione dell’art. 23 del Codice, ha evidenziato come “(…) di 850.000 richieste di ausilio da parte della cittadinanza (…) e diversamente articolate, l’attività della GdF ha interessato 6 (sei) caso in cardiologia e ortopedia, esplicitati numericamente nel verbale (di operazioni compiute), e varie cartelle tutte debitamente corredate di consenso. Sul punto è doveroso aggiungere che, all’interno delle 6 (sei) cartelle cliniche, il consenso non è stato rinvenuto per 5 di esse alla quali però vanno sommate le varie cartelle esaminate in geriatria tutte regolarmente complete e corredate di informativa e consenso”. Ha rilevato, altresì, come, alla luce di quanto rappresentato dall’Autorità nella news letter n. 165 del 31 marzo – 8 aprile 2013 e quanto previsto dall’art. 92 del Codice, non vi sia alcuna “(…) menzione (…) sul dovere di inserire il modulo di consenso al trattamento dei dati all’interno della cartella clinica”, facendone discendere come “(…) l’attività della GdF non sia esente da vizi procedurali essendosi limitata alla sola visione della cartella clinica, senza accertare la possibilità di rinvenire altrove la documentazione informativa, presente in ogni reparto, come modulistica predisposta dall’azienda, con appositi moduli prestampati rinvenibili anche in magazzino economale e per i quali vengono rinvenuti costi di stampa rinvenibili (…)”. Con specifico riferimento a quanto contestato in ordine alla violazione dell’art. 33 del Codice, ne ha rilevato l’infondatezza alla luce del fatto che “(…) ha nominato gli incaricati del trattamento dei dati personali, di cui si allegano (alle memorie difensive in trattazione) alcune lettere (cfr. all.to 5)”. Sul punto ha poi aggiunto come “La mancata rilevazione delle lettere di incarico, sempre negli stessi reparti, è da imputare a smarrimento da parte degli interessati e da mancato ritiro da parte dei nuovi assunti (…)”. Inoltre, ha motivato l’infondatezza della violazione di quanto previsto dall’art. 34, comma 1 lett. a), b), e c) del Codice illustrando le architetture della rete informatica dell’Azienda e le infrastrutture dei sistemi;
VISTO il verbale dell’audizione delle parti redatto in data 4 maggio 2018, ai sensi dell’art. 18 della legge n. 689/1981, nel quale l’Azienda Ospedaliera Pugliese Ciaccio, sostanzialmente ribadendo quanto argomentato nella memoria difensiva, ha, tra l’altro, prodotto in atti alcune designazioni a incaricato del trattamento dei dati risalenti all’anno 2007;
CONSIDERATO che le argomentazioni addotte impongono di procedersi all’archiviazione della contestazione relativa alla mancata designazione degli incaricati del trattamento, mentre non permettono di escludere la responsabilità dell’Azienda Ospedaliera Pugliese Ciaccio in relazione alla residue contestazioni.
Relativamente a quanto argomentato circa la violazione dell’art. 13 del Codice, si evidenzia come l’Azienda Ospedaliera Pugliese, oltre a non aver fornito ulteriori elementi valutativi rispetto a quelli considerati all’atto dell’accertamento dell’illecito contestato, non tiene conto dell’evidenza formalizzata nel verbale di operazioni compiute 24 gennaio 2018 a fronte della quale, ai sensi dell’art. 13 della legge n. 689/1981, dalla verifica di quanto dichiarato circa le modalità con le quali sarebbe stata resa l’informativa di cui all’art. 13 del Codice agli interessati, i militari della Guardia di finanza hanno constatato che “(…) non è stata riscontrata la presenza del modulo riportante l’informativa resa ai sensi dell’art. 13 del Codice, né affissa né somministrata in altra modalità”. Tale circostanza evidenzia, quindi, chiaramente come non fosse materialmente possibile per l’Azienza sanitaria fornire all’utenza l’informativa in questione; l’ipotesi che la stessa venisse resa oralmente, poi, oltre a non essere stata comunque formulata dalla predetta Azienda, risulterebbe in ogni caso poco verosimile, attesa la lunghezza e analiticità della stessa (consistente in circa tre pagine di testo). Peraltro, sul punto, rileva considerare che, quanto osservato circa il fatto che “Alcun controllo è stato poi effettuato presso l’URP e l’Ufficio Privacy (…)”, non rende esente da responsabilità, atteso che l’informativa agli interessati, per essere resa conformemente a quanto disposto dall’art. 13 del Codice, deve essere facilmente accessibile, senza rendere necessarie ricerche in distinti uffici dell’Azienda che, tra l’altro, non sono in alcun modo indicati quali strutture preposte ad assolvere alla funzione di rendere l’informativa ai sensi dell’art. 13 del Codice in parola.
Relativamente a quanto argomentato circa la violazione dell’art. 23 del Codice, fermo restando che la rilevanza della quantità di interessati dei quali non è stato raccolto il consenso non costituisce elemento costitutivo dell’illecito contestato, ma può essere considerato in ordine alla quantificazione dell’importo della sanzione irrogabile, si rileva come i richiami alla news letter n. 165 del 31 marzo – 8 aprile 2013 e all’art. 92 del Codice sia inconferente alla luce del fatto che la disciplina del consenso non ha nulla a che vedere con la richiamata news letter e con l’art. 92 del Codice che reca “cartelle cliniche”. Si evidenzia invece come, accertato che l’Azienda Ospedaliera Pugliese non ha costituito il dossier sanitario, la stessa non ha fornito alcun elemento in ordine all’avvenuta raccolta del consenso nei casi esplicitati sia nel verbale di operazioni compiute del 24 gennaio 2018 sia nella successiva nota del 6 febbraio 2018, con ciò accertando puntualmente, ai sensi dell’art. 13 della legge n. 689/1981, il rilievo in esame.
Relativamente a quanto argomentato circa la violazione dell’art. 33 del Codice, invece, l’Azienda Ospedaliera Pugliese, a fronte di esplicita richiesta dell’organo accertatore, nel verbale di operazioni compiute del 24 gennaio 2018 ha formulato una riserva circa la produzione in atti degli atti di designazione ad incaricato del trattamento nei confronti di soggetti specificatamente individuati. La nota datata 6 febbraio 2018 con la quale è stata sciolta la riserva del 24 gennaio 2018, reca, in allegato, gli atti con i quali “(…) ha nominato gli incaricati del trattamento dei dati personali, di cui si allegano (alle memorie difensive) alcune lettere (cfr. all.to 5)”; dai documenti allegati alla nota del 2 maggio 2015, inoltre, si evince chiaramente come l’Azienda ospedaliera avesse correttamente invitato tutti i predetti incaricati del trattamento al ritiro delle lettere di incarico, sollecitandoli anche mediante avvisi specifici inseriti nei cedolini dello stipendio. Si ritiene, pertanto, che l’onere di nomina sia stato correttamente assolto e che il mancato ritiro da parte di alcuni dipendenti delle lettere in questione non possa essere in alcun modo imputabile all’Azienda medesima;
RILEVATO, pertanto, che l’ Azienda Ospedaliera Pugliese Ciaccio ha effettuato un trattamento di dati personali (art. 4 comma 1, lett. a) e b) del Codice) presso i Reparti di Radiologia e Ortopedia dove non è stata riscontrata la presenza di modulistica riportante l’informativa sul trattamento dei dati personali in violazione dell’art. 13 del Codice, né la modulistica per il rilascio del consenso al trattamento dei dati sensibili di cui agli artt. 23 e 26 del Codice; presso il Reparto di Cardiologia in cui, a fronte di un controllo a campione effettuato dagli accertatori su tre cartelle cliniche di pazienti ricoverati presso il Reparto in parola, non è stata riscontrata la presenza di modulistica riportante l’informativa sul trattamento dei dati personali in violazione dell’art. 13 del Codice, né la modulistica per il rilascio del consenso al trattamento dei dati sensibili di cui agli artt. 23 e 26 su due delle tre cartelle esaminate; presso l’Ufficio ticket aziendale dove non è stata riscontrata la presenza del modulo riportante l’informativa da rendere agli interessati ai sensi dell’art. 13 del Codice, né affissa, né somministrata in altra modalità;
VISTO l’art. 1, comma 2, della legge sopra citata, ai sensi del quale le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e per i tempi in esse considerati;
VISTO l’art. 161 del Codice, che punisce la violazione delle disposizioni di cui all’art. 13 del medesimo Codice, con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro;
VISTO l’art. 162, comma 2-bis, del Codice che punisce la violazione delle disposizioni indicate nell’art. 23 del Codice con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;
CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge 24 novembre 1981 n. 689, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore e che, pertanto, l’ammontare della sanzione pecuniaria con riferimento alla violazione di cui all’art. 161 deve essere quantificato nella misura di euro 6.000,00 (seimila); l’ammontare della sanzione pecuniaria con riferimento alla violazione di cui all’art. 162, comma 2-bis, in relazione all’art. 23 del Codice, deve essere quantificato nella misura di euro 10.000,00 (diecimila), per una quantificazione totale pari a euro 16.000,00 (sedicimila);
VISTA la documentazione in atti;
VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;
VISTE le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE la dott.ssa Augusta Iannini;
DISPONE
l’archiviazione del procedimento sanzionatorio di cui al verbale del 14 febbraio 2018 limitatamente alla contestazione della violazione amministrativa prevista dall’art. 162, comma 2-bis, del Codice, in relazione all’art. 33, nei termini di cui in motivazione;
ORDINA
all’Azienda Ospedaliera Pugliese Ciaccio P.Iva: 01991520790, con sede in Catanzaro, via Cortese n. 25, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 16.000,00 (sedicimila) a titolo di sanzione amministrativa pecuniaria per le violazioni previste dagli artt. 161 in relazione all’art. 13 del Codice e 162, comma 2-bis in relazione all’art. 23 del Codice, come indicato in motivazione;
INGIUNGE
al medesimo soggetto di pagare la somma di euro 16.000,00 (sedicimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689.
Ai sensi degli artt. 152 del Codice e 10 del d. lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.