- VEDI ANCHE NEWSLETTER DEL 21 MARZO 2025

[doc. web n. 10107219]

Provvedimento del 13 febbraio 2025

Registro dei provvedimenti
n. 81 del 13 febbraio 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. del 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. del 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. L’attività istruttoria.

L’Ufficio è venuto a conoscenza da una segnalazione e da alcune notizie stampa che il dott. Claudio Battaglia, chirurgo oncologo, iscritto all’Ordine dei Medici Chirurghi e degli Odontoiatri di Imperia, avrebbe inviato, in occasione delle ultime elezioni comunali presso il Comune di Sanremo, ad alcune sue pazienti affetti da una specifica malattia oncologica (tumore della mammella) una lettera in cui, dopo aver ricordato il percorso diagnostico e terapeutico effettuato dalla destinataria del messaggio, le sue competenze in materia e i ruoli professionali ricoperti, ha formulato la seguente richiesta: ”Le chiedo pertanto, come quando ha avuto fiducia in me per la malattia, di averla anche su questa scelta che, le assicuro, nasce da motivazioni assolutamente legate alla volontà di essere ancora una volta utile a Sanremo” (lettera acquisita in atti).

In merito a quanto sopra evidenziato, l’Ufficio ha chiesto informazioni con nota del 23 maggio 2024 (prot. n. 62874) a cui il dott. Battaglia ha risposto con nota del 5 giugno 2024, rappresentando, in particolare, che:

“sono state inviate solamente meno di 100 lettere dal proprio indirizzo di residenza”;

“fonte dei nominativi è strettamente personale e gli indirizzi precisi sono stati raccolti attraverso pubblici elenchi, non si ritiene necessaria alcuna base giuridica per il trattamento dati personali richiesta dal GDPR in siffatto contesto”;

“dr. Battaglia per aver certezza della destinazione delle proprie missive ha dovuto rivolgersi ed ottenere presso il Comune di Sanremo l’elenco pubblico degli iscritti alle liste elettorali sia maschile che femminile”.

Con riferimento alla presente istruttoria, il dott. Battaglia ha presentato istanza di accesso ai documenti amministrativi con nota del 14 luglio 2024 che è stata accolta con provvedimento del 5 agosto 2024.

2. La notifica delle violazioni e le memorie difensive.

In relazione a quanto emerso in atti, l’Ufficio, con nota del 15 luglio 2024 (prot. n. 87182), ha effettuato una notifica di violazione di cui all’art. 166, comma 5, del Codice al dott. Claudio Battaglia in quanto è stato rilevato che il trattamento di dati personali in esame è stato effettuato in maniera non conforme ai principi di “liceità, correttezza e trasparenza” e di “limitazione della finalità” (art. 5, par. 1, lett. a) e b) del Regolamento), nonché in assenza di un idoneo presupposto normativo (art. 9 del Regolamento).

Con nota del 12 agosto 2024 il dott. Claudio Battaglia ha presentato le proprie memorie difensive ribadendo quanto già rappresentato nella richiamata nota del 5 giugno 2024 ed evidenziando, in particolare, che:

“Se è certamente vero che trattasi di persone da me curate nel corso degli anni, tale primo contatto ha rappresentato l'"occasione" per l'instaurazione di un rapporto di natura privata, in ragione del quale, in assoluta buona fede e senza alcun dolo non ho ritenuto che la mia condotta fosse assoggettabile alla normativa in materia di protezione dei dati personali.”;

“Infatti, a fronte di migliaia di casi operati e curati dal sottoscritto ho desiderato contattare solo alcune Signore con le quali si era creato un rapporto più stretto e personale; nello specifico approssimativamente una ottantina, anche se le lettere inviate sono circa cinquanta”;

“Dei nominativi delle destinatarie della missiva ero invece in possesso in quanto registrati all'interno della mia rubrica personale, senza pertanto doverli ricercare in alcun database sanitario, al quale peraltro mi è  ovviamente inibito accedere per questi scopi”;

“Formalmente ho poi ricercato nelle liste degli aventi diritto al voto detenute presso i comuni (cd. liste elettorali) i loro indirizzi ritenendo di potermi presentare a loro con la lettera causa di questa contestazione, confidando anche in questo caso, di non aver commesso illiceità sotto -il profilo della protezione dei dati personali”;

“Ciò in particolare dal momento che ho estratto i nominativi da una fonte pubblica — ovvero conoscibile da chiunque senza limitazioni — trattandosi di elenchi detenuti da un soggetto pubblico e liberamente accessibili, senza discriminazioni, in base ad un' espressa disposizione di legge o di regolamento, che legittima la possibilità di prescindere da una richiesta di consenso, come dal Provv. di Codesta Autorità "Privacy e propaganda elettorale. Decalogo elettorale - 12 febbraio 2004 (G. U. n. 45 del 24 febbraio  2004) doc. web. n. 634369”;

“Ciononostante, e con mia ingenua sorpresa, appena inviate le prime comunicazioni ne ho ricevuto contestazione da alcuni giornalisti cui era stata consegnata una copia. Ho immediatamente provveduto a bloccare l'invio delle ulteriori lettere e ho ritenuto opportuno presentare ufficialmente a mezzo stampa le mie scuse nei confronti delle destinatarie laddove io ne avessi urtato la sensibilità o le avessi messe a disagio”;

“Ciò nondimeno, ho ritenuto che la riservatezza delle destinatarie fosse stata da me adeguatamente rispettata, attraverso: l'invio di una lettera specificatamente personale all'interno di una busta chiusa priva di qualsiasi  logo e/o dicitura la scelta di non affidare la spedizione al servizio postale ma a un distributore privato appositamente incaricato, che ovviamente non era stato messo a conoscenza del contenuto delle missive, e al quale mi sono rivolto appositamente per assicurarmi che le lettere non  venissero smarrite ma fossero correttamente recapitate”;

“Mi scuso profondamente per la mia inesperienza nell'osservare la normativa privacy in un settore che non è il mio, ma è stata la prima volta che mi sono impegnato in una tornata elettorale e, come detto, sarà senza dubbio l'ultima”.

3. L’esito dell’istruttoria.

Preso atto di quanto rappresentato nella documentazione in atti e nelle memorie difensive, si osserva che:

ai sensi del Regolamento per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)”; “i dati relativi alla salute” sono quelli attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute (art. 4, par. 1, punti 1 e 15). Il considerando n. 35 del Regolamento precisa poi che i dati relativi alla salute “comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria”; “un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari”;

la Corte di Cassazione ha reputato che “il fatto stesso di comunicare l’esigenza di un trattamento sanitario e, quindi, l’esistenza di una “malattia” in senso lato – intesa dunque come situazione che renda necessario un trattamento sanitario – attiene a dato sulla salute: non occorre cioè, a tal fine, che sia specificato di quale trattamento o di quale malattia si tratti” (Sent. n. 28417/2023);

da ultimo, con riferimento al concetto di dati sulla salute, anche la CGUE ha ritenuto che “costituiscono dati relativi alla salute ai sensi del RGPD le informazioni inserite dai clienti (quali il loro nome, l'indirizzo di consegna e gli elementi necessari all'individuazione dei medicinali) al momento dell'ordine online dei medicinali riservati alle farmacie, anche qualora la vendita di questi ultimi non sia soggetta a prescrizione medica. Infatti, tali dati sono idonei a rivelare, mediante un'operazione intellettuale di raffronto o di deduzione, informazioni sullo stato di salute di una persona fisica identificata o identificabile, perché viene stabilito un nesso tra quest'ultima e un medicinale, le sue indicazioni terapeutiche o i suoi usi, indipendentemente dal fatto che tali informazioni riguardino il cliente o qualsiasi altra persona per la quale quest'ultimo effettui l'ordine. Pertanto, è indifferente che, in mancanza di prescrizione medica, sia solo con una certa probabilità, e non con certezza assoluta, che tali medicinali siano destinati ai clienti che li hanno ordinati” (cfr. comunicato stampa della Corte di giustizia dell’Unione europea n. 159/24, in relazione alla sentenza 4 ottobre 2024, nella causa C-21/23);

i dati personali devono essere “trattati in modo lecito corretto e trasparente” e “raccolti per finalità determinate esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità” (principi di “liceità, correttezza e trasparenza” e di “limitazione della finalità”, art. 5, par. 1, lett. a) e b) del Regolamento);

il trattamento in esame concerne dati sulla salute, in quanto- per espressa ammissione del dott. Battaglia- le destinatarie sono pazienti oncologiche e il contenuto del messaggio elettorale richiama espressamente la malattia sofferta dalle stesse;

con riferimento ai dati sulla salute, come quelli in esame, l’art. 9, par. 1, del Regolamento ne vieta in generale il trattamento, salvo che si verifichi uno dei casi previsti dal par. 2, dello stesso articolo;

sul punto, come già evidenziato nella richiesta di informazioni citata, si evidenzia che il Garante ha da tempo delineato un preciso quadro di garanzie e di adempimenti che partiti, organismi politici, sostenitori di liste e candidati devono osservare per raccogliere ed utilizzare correttamente i dati personali dei cittadini che intendono contattare a fini di comunicazione e propaganda elettorale (cfr. da ultimo provvedimento del 18 aprile 2019, doc. web n. 9105201). In tale provvedimento è stato, in particolare, ricordato che i dati personali raccolti nell’ambito dell’attività di tutela della salute da parte di esercenti la professione sanitaria e di organismi sanitari non sono utilizzabili per fini di propaganda elettorale e connessa comunicazione politica. Tale finalità non è infatti riconducibile agli scopi legittimi per i quali i dati sono stati raccolti (art. 5, par. 1, lettere a) e b) del Regolamento), salvo che il titolare acquisisca uno specifico e informato consenso dell’interessato (art. 9, par. 1, lett. a); cfr. per quanto riguarda l’ambito sanitario il provvedimento 7 marzo 2019, doc. web n. 9091942, in particolare, par. 1, punto d);

il dott. Battaglia, come sopra rappresentato, ha ritenuto che la base giuridica del trattamento di dati in esame sia da rinvenire nella circostanza che gli indirizzi di residenza delle destinatarie della missiva elettorale sono stati estratti da “una fonte pubblica”, ovvero dal” l’elenco pubblico degli iscritti alle liste elettorali”. Sul punto, si evidenzia quanto segue:

come sopra richiamato, l’art. 9, par. 1 del Regolamento vieta il trattamento dei dati appartenenti alle categorie particolari, tra cui si annoverano quelli sulla salute. Tali informazioni possono essere trattate esclusivamente in presenza di una delle condizioni indicate nel successivo par.  2, tra le quali non è contemplata la fattispecie relativa all’acquisizione dei dati da “pubblici elenchi”;

il dott. Battaglia, ai fini dell’invio delle suddette missive elettorali, non ha utilizzato solo i dati relativi alla residenza acquisiti dalle liste elettorali, ma anche quelli sulla salute di circa 50 tra le sue pazienti oncologiche. Il dott. Battaglia ha infatti riconosciuto di aver selezionato tra le pazienti dallo stesso “curate nel corso degli anni” un gruppo di 50 donne con riferimento alle quali ha poi acquisito dalle liste elettorali i rispettivi dati di residenza;

il contenuto del messaggio elettorale richiama espressamente la malattia sofferta dalle destinatarie del messaggio facendo leva sul rapporto fiduciario instaurato nel percorso di cura e sulla riconoscenza delle destinatarie per le cure ricevute al fine di chiedere loro anche la fiducia elettorale;

la circostanza che “a fronte di migliaia di casi operati e curati dal sottoscritto ho desiderato contattare solo alcune Signore con le quali si era creato un rapporto più stretto e personale” non giustifica il trattamento dei dati sulla salute di tali pazienti a loro insaputa per fini elettorali. Il rapporto “più stretto e personale”, che può talvolta verosimilmente crearsi tra medico e paziente, avrebbe dovuto indurre il dott. Battaglia a parlare della propria candidatura solo nell'ambito delle normali occasioni di contatto con le stesse;

il Regolamento nel disciplinare i parametri di liceità del trattamento effettuato dal professionista sanitario richiama il segreto professionale e il rispetto delle norme di settore stabilite dagli organismi sanitari competenti tra le quali può ricondursi il Codice di deontologia medica (art. 9, par. 2, lett. h) e par. 3 del regolamento e art. 75 del Codice). Il predetto Codice di deontologia medica prevede che “In nessun caso il medico (possa) abusa(re) del proprio status professionale” e che “il medico (debba) evita(re) qualsiasi condizione di conflitto di interessi nella quale il comportamento professionale risulti subordinato a indebiti vantaggi economici o di altra natura” (artt. 7 e 30 del Codice di deontologia medica del 2014 aggiornato da ultimo nel 2017). Al riguardo, si evidenzia la possibilità di vantaggio elettorale del dott. Battaglia nel rivolgersi ai propri pazienti in funzione del rapporto fiduciario creatosi nell’ambito del percorso di cura.

4. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ex art. 58, par. 2, Regolamento.

Alla luce di quanto complessivamente rilevato, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria, non consentano di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultino pertanto inidonee a disporre l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento dei dati personali effettuato dal dott. Claudio Battaglia, risulta infatti illecito, nei termini su esposti, in quanto posto in essere in violazione dei principi di “liceità, correttezza e trasparenza” e di “limitazione della finalità” (art. 5, par. 1, lett. a) e b) del Regolamento) e in assenza di un idoneo presupposto normativo (art. 9 del Regolamento).

Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par. 1, lett. a) e b) e 9 del Regolamento comporta l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 5 del Regolamento.

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83 del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. L. 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali posto in essere dal dott. Claudio Battaglia, di cui è stata accertata l’illiceità, nei termini sopra esposti.

Ritenuto di dover applicare il par. 3 dell’art. 83 del Regolamento laddove prevede che “se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente Regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Alla luce di quanto sopra illustrato e, in particolare, della categoria di dati personali interessata dalla violazione che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, del numero dei soggetti interessati (50 pazienti) i cui dati sono stati trattati senza acquisirne il consenso per finalità elettorali da parte del medico a cui si erano affidati per scopi di cura, si ritiene che il livello di gravità della violazione commessa dal dott. Battaglia sia alto (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60).

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nell’ipotesi in esame, sono state tenute in considerazione le circostanze sotto riportate:

il dott. Claudio Battaglia ha trattato i dati personali di numerosi suoi pazienti (circa 50) -acquisiti nell’ambito del rapporto fiduciario finalizzato alla prestazione di cure oncologiche- per un vantaggio personale legato alla sua presentazione alle elezioni del Comune di Sanremo del 2024 (art. 83, par. 2, lett. k) del Regolamento);

il Garante ha preso conoscenza della violazione attraverso una segnalazione e alcune notizie stampa (art. 83, par. 2, lett. h) del Regolamento);

il dott. Claudio Battaglia non è destinatario di precedenti provvedimenti prescrittivi o sanzionatori da parte dell’Autorità ed ha collaborato nel corso dell’attività istruttoria che lo ha visto coinvolto (art. 83, par. 2, lett. e) e f) del Regolamento).

Si ritiene inoltre che assumano rilevanza nell’ipotesi di specie, in ragione dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), la circostanza che il dott. Claudio Battaglia svolge la professione di medico oncologo nel Comune di Sanremo ove vi sono state le richiamate consultazioni elettorali.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti del dott. Claudio Battaglia la sanzione amministrativa del pagamento di una somma pari ad euro 10.000,00 (diecimila/00).

In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante.

Ciò in considerazione della gravità della condotta contestata che coinvolge la disciplina sulla protezione dei dati personali e gli obblighi deontologici che costituiscono parametro di liceità del trattamento ai sensi dell’art. 9, par. 2, lett. h) e par. 3 del Regolamento e dell’art. 75 del Codice. Per i medesimi motivi si ritiene opportuno trasmettere il presente provvedimento all’Ordine dei Medici Chirurghi e degli Odontoiatri di Imperia a cui il dott. Claudio Battaglia risulta iscritto.

TUTTO CIÒ PREMESSO, IL GARANTE

a) ai sensi degli artt. 57, par. 1, lett. f) e 83, del Regolamento, rileva l’illiceità del trattamento effettuato dal dott. Claudio Battaglia, c.f. XX, iscritto all’Ordine dei Medici Chirurghi e degli Odontoiatri di Imperia, residente in XX, XX nei termini di cui in motivazione, per la violazione dell’art. 5, par. 1, lett. a) e b) e dell’art. 9 del Regolamento;

ORDINA  

b) ai sensi dell’art. 58, par. 2, lett. i) del Regolamento al dott. Claudio Battaglia di pagare la somma di euro 10.000,00 (diecimila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento.

INGIUNGE

c) quindi al dott. Claudio Battaglia di pagare la predetta somma di euro 10.000,00 (diecimila/00), secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall'art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento -sempre secondo le modalità indicate in allegato- di un importo pari alla metà della sanzione irrogata entro il termine di cui all'art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

d) ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

e) ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

f) ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento;

g) l’invio del presente provvedimento all’Ordine dei Medici Chirurghi e degli Odontoiatri di Imperia per le valutazioni di competenza.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 13 febbraio 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL VICE SEGRETARIO GENERALE
Filippi