g-docweb-display Portlet

Ordinanza di ingiunzione nei confronti di Fondazione Policlinico Tor Vergata di Roma - 21 aprile 2021 [9591223]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9591223]

Ordinanza di ingiunzione nei confronti di Fondazione Policlinico Tor Vergata di Roma - 21 aprile 2021

Registro dei provvedimenti
n. 147 del 21 aprile 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore il prof. Pasquale Stazione;

PREMESSO

1. Il reclamo e l’attività istruttoria.

Nel mese di febbraio del 2020 un interessato ha presentato un reclamo al Garante con il quale è stata lamentata una presunta violazione della disciplina in materia di protezione dei dati personali, riguardante le modalità di prenotazione delle prestazioni specialistiche presso la Fondazione Policlinico Tor Vergata (di seguito Policlinico). Sulla base di quanto segnalato, l’Ufficio ha verificato che, tra i servizi on-line offerti sul sito del predetto Policlinico (http://www.ptvonline.it/), alla sezione denominata “richiesta visita di controllo” (http://www.ptvonline.it/richiesta-prenotazione.asp), era presente un form di contatto in cui erano richiesti dati personali, correlati a una richiesta di prestazione a carico del servizio sanitario nazionale, su un protocollo di comunicazione “http”.

In relazione a quanto accertato, l’Ufficio ha richiesto informazioni al Policlinico (note del 26.2.2020, prot. n. 147250 e del 14.9.20202, prot. n. 925365) che ha risposto con le note del 18.3.2020 (prot. n. 5772) e del 13.10.2020 (prot. n. 20445), la prima delle quali è stata esaminata al termine della sospensione dei termini dettata dal contesto emergenziale in atto (D.L. 17 marzo 2020 n. 18, pubblicato in G.U. n. 70 del 17 marzo 2020, provvedimento del 30 aprile 2020, doc web n.9299858). Nelle richiamate note, codesta Fondazione ha rappresentato che:

“il form in contestazione è in realtà un mero "FormMail" che genera l'invio automatico di una email alla casella di posta elettronica dell'URP del PTV gestita da n. 2 unità di personale dedicato, previamente autorizzato ed istruito al trattamento dei dati personali. Gli addetti una volta ricevuta l'email effettuano la prenotazione della visita di controllo, così come richiesto dall'utente, mediante il sistema messo a disposizione dal RECUP regionale. Un modo guidato quindi per generare una email di contatto tra l'utente ed il PTV, senza che ciò determini alcun tipo di raccolta dati o vada ad alimentare un data base. Una volta prenotata la visita di controllo infatti e comunicata all'utente la data della stessa, l'email da quest'ultimo inviata viene eliminata dall'operatore” (nota del 18.3.2020 citata);

“I dati raccolti per l'attivazione e la gestione del servizio, assolutamente facoltativo, sono trattati esclusivamente per le finalità — esplicite e legittime — dettagliate nelle "Informazioni sul trattamento dei dati personali degli utenti che consultano il sito web della Fondazione PTV Policlinico Tor Vergata ai sensi dell'articolo 13 del regolamento (UE) 2016/679" rese agli interessati sul sito web istituzionale del PTV (www.ptvonline.it) sulla home page in apposita sezione in basso, denominata "Privacy" (nota del 18.3.2020, citata);

“Nell'implementazione del servizio in questione, la Fondazione PTV Policlinico Tor Vergata ha compiuto ogni sforzo utile a garantire che, con riguardo ai trattamenti dei dati personali effettuato mediante "FormMail", venisse pienamente rispettato il principio di cui al par. 2 dell'art. 5 lett. c) del Regolamento 2016/679/UE (minimizzazione dei dati). I dati previsti nel FormMail sono, infatti, tutti e solo quelli adeguati, pertinenti e limitati a quanto necessario per il raggiungimento della finalità determinata, esplicita e legittima perla quale sono trattati” (nota del 18.3.2020, citata);

“I dati che l'utente deve fornire sono esclusivamente quelli propedeutici alla prenotazione di sole visite di controllo ed utilizzando tale mezzo si è addirittura evitato che venissero forniti e trattati dati eccedenti rispetto alla finalità da perseguire” (nota del 18.3.2020, citata);

“I dati previsti nel FormMail sono stati individuati in quanto corrispondenti, nella quasi totalità, a quelli richiesti dal ReCUP regionale al momento dell'inserimento della prenotazione. La previsione di dati ulteriori rispetto a quelli richiesti dal modello ReCUP "Prenotazione prestazioni sanitarie" (…) non determina, a parere di chi scrive, una violazione del principio di minimizzazione in quanto si tratta sempre e comunque di dati assolutamente adeguati, pertinenti e limitati a quanto necessario per effettuare la prenotazione, come di seguito si va a dimostrare” (nota del 18.3.2020, citata);

“Agli operatori del PTV è consentito prenotare mediante il sistema del ReCUP regionale solo ed esclusivamente le visite di controllo, in quanto attività demandata all'azienda che ha in carico il paziente, e ad essi è riconosciuto un livello di accesso al sistema più limitato rispetto a quello consentito agli operatori del ReCUP regionale. In ragione di ciò è richiesto ad essi l'inserimento di dati ulteriori quale condizione per poter completare le operazioni di prenotazione. Il personale del PTV deve, infatti, necessariamente inserire, al momento della prenotazione, il "Numero di impegnativa ", la "Data impegnativa " e l'"Asl di appartenenza". Tali dati sono stati, altresì, inseriti nel FormMail perché non viene richiesto al paziente di allegare la copia dell'impegnativa. L'omessa indicazione degli stessi impedisce all'operatore del PTV di procedere alla compilazione dei successivi campi. Il FormMail prevede, altresì, l'inserimento, oltre al codice fiscale, del nome, del cognome e della data di nascita del paziente. Ciò si è reso necessario a causa dei numerosi casi di omocodia verificatisi nel primo periodo di utilizzo del servizio. Lo scopo è stato comunque sempre quello di garantire l'esattezza dei dati trattati conformandosi in tal modo anche al principio di esattezza sancito all'art. 5, par. 2 lett. d) Regolamento 2016/679/UE. Si è scelto poi di prevedere la voce "Classe di priorità indicata " in quanto il PTV, come chiarito, può effettuare solo la prenotazione di visite di controllo e molto spesso nelle impegnative compilate a mano dal medico prescrittore la classe di priorità non viene indicata. Si è reso, inoltre, necessario inserire la voce "Prestazione da prenotare ", al posto del "Codice di prescrizione" previsto dal modello del Recup regionale, perché, mentre nelle ricette dematerializzate l'inserimento del codice è obbligatorio, in quelle compilate manualmente molto spesso non viene inserito. La sezione "Note " infine è stata inserita sempre per venire incontro alle richieste degli utenti e fornire loro un servizio il più possibile efficiente. Per mezzo di questa sezione, per esempio, i pazienti specificano il nome del medico con il quale effettuare la visita di controllo o chiedono i tempi di esecuzione della visita. Si ritiene, quindi, sulla base di quanto riferito, che i dati richiesti mediante il FormMail siano esclusivamente quelli adeguati pertinenti e non eccedenti rispetto alla finalità per i quali sono trattati che è appunto quella di effettuare una prenotazione per conto del paziente che ne faccia richiesta attraverso l'email” (nota del 18.3.2020, citata);

“La pagina in questione non è in protocollo "https" in quanto la procedura non gestisce le transazioni come una normale applicazione software, ossia il sistema non è dotato di una propria infrastruttura di data base dove storicizzare le informazioni, ma elabora le stesse informazioni caricate nella maschera per la sola fase di invio della mail. Il sistema quindi compone una mail e la inoltra usando il nostro sistema di posta elettronica. Una volta creata l'email ed inoltrata nessun dato viene registrato o conservato ed una volta effettuata la prenotazione e comunicata al paziente, l'email viene definitivamente cancellata dall'operatore” (nota del 18.3.2020, citata);

“Il servizio in oggetto, che — si ribadisce — non consiste in una raccolta dati, è attivo dal mese di giugno dell'anno 2016” (nota del 18.3.2020, citata);

“La Fondazione PTV, dal mese di agosto u.s., al fine di soddisfare ancora meglio i requisiti di riservatezza dei dati trasmessi ha attivato il protocollo https, con certificato multi dominio di tipo DV registrato da ente certificatore DigiCert” (nota del 13.10.2020 citata);

“è in corso di realizzazione un'adeguata infrastruttura tecnologica più sviluppata in grado di offrire un significativo miglioramento dell'affidabilità e tracciamento delle informazioni” (nota del 13.10.2020 citata).

In relazione a quanto emerso dalla documentazione in atti, l’Ufficio ha notificato al Policlinico, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981) (nota del 22 ottobre 2020, prot. n.39418).

In particolare l’Ufficio, nel predetto atto, ha ritenuto che l’accesso al sito/servizio web denominato “richiesta visita di controllo” avveniva in modo non sicuro, ovvero mediante il protocollo di rete “http” (hypertext transfer protocol), che, -per sua natura,- non garantisce la riservatezza e l’integrità dei dati scambiati tra il browser dell’utente e il server che ospita il sito web del Policlinico, e non consente agli utenti di verificare l’autenticità del sito web visualizzato. Tenuto conto della natura, dell’oggetto e della finalità del trattamento, nonché dei rischi che insistono sui dati e, in particolare, della possibile “clonazione” del sito web in questione per l’acquisizione dei dati trasmessi per fini illeciti, la soluzione adottata dal Policlinico non è stata ritenuta pertanto una misura tecnica idonea a garantire un livello di sicurezza adeguato.

Nel predetto atto l’Ufficio ha pertanto ritenuto che il mancato utilizzo di tecniche crittografiche per il trasporto dei dati configuri una violazione dell’art. 5, par. 1, lett. f), e dell’art. 32 del Regolamento, anche alla luce di quanto disposto dal par. 1, lett. a), dello stesso articolo secondo cui la cifratura dei dati si configura come una delle possibili misure idonee a garantire un livello di sicurezza adeguato al rischio.

L’Ufficio ha inoltre rilevato che il mancato utilizzo delle predette tecniche crittografiche rende evidente che il Policlinico non ha messo in atto, fin dalla progettazione della partizione del proprio sito web dedicato ai servizi offerti all’utenza, misure tecniche e organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati, tra cui quello di “integrità e riservatezza”, provvedendo ad adottare un protocollo di rete sicuro, quale il protocollo “https” (hypertext transfer protocol over secure socket layer).

Nel predetto atto l’Ufficio ha infine rilevato che, nella pagina web dedicata al predetto servizio (“richiesta visita di controllo”), non erano presenti gli elementi informativi di cui all’art. 13 del Regolamento, essendo riportata esclusivamente la seguente dicitura non selezionabile “Ho letto e compreso l’informativa ex art. 13 regolamento (UE)2016/679 fornitami ed acconsento all’utilizzo, da parte del PTV, dei miei dati personali ai fini della gestione della presente richiesta”. Al riguardo, è stato contestualmente rappresentato che il trattamento dei dati personali necessario per finalità di diagnosi, assistenza o terapia sanitaria ovvero di gestione dei sistemi e servizi sanitari effettuato sulla base della disciplina vigente può essere effettuato, nel rispetto del Regolamento, senza il consenso dell’interessato (art. 9, par. 2, lett. h) del Regolamento).

L’Ufficio ha pertanto ritenuto che la raccolta dei dati personali, effettuata attraverso il servizio denominato “richiesta visita di controllo”, sia stata posta in essere:

- in maniera non conforme ai principi di “integrità e riservatezza” e di “liceità, correttezza e trasparenza” in violazione dell’art. 5, par. 1, lett. a) e f) del Regolamento;

- omettendo di mettere in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, in violazione dell’art. 32 del Regolamento;

- omettendo di mettere in atto, fin dalla progettazione della partizione del sito web del Policlinico dedicato ai servizi offerti all’utenza, misure tecniche e organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati e a integrare nella raccolta dei dati le necessarie garanzie al fine di soddisfare i requisiti del Regolamento e di tutelare i diritti degli interessati, in violazione dell’art. 25 del Regolamento;

- senza fornire agli interessati tutte le informazioni di cui all’art. 13 del Regolamento.

Con nota del 20 novembre 2020 (prot. n. 153526), il Policlinico, ha fatto pervenire le proprie memorie difensive, in cui, in particolare, è stato rappresentato che:

- “il form in contestazione è in realtà un mero "FormMail" che genera l'invio automatico di una email alla casella di posta elettronica dell'URP del PTV gestita da n. 2 unità di personale dedicato, previamente autorizzato ed istruito al trattamento dei dati personali. Gli addetti una volta ricevuta l'email effettuano la prenotazione della visita di controllo, così come richiesto dall'utente, mediante il sistema messo a disposizione dal RECUP regionale. Un modo guidato quindi per generare una email di contatto tra l'utente ed il PTV, senza che ciò determini alcun tipo di raccolta dati o vada ad alimentare un data base. Una volta prenotata la visita di controllo infatti e comunicata all'utente la data della stessa, l'email da quest'ultimo inviata viene eliminata dall'operatore”;

- “La pagina in questione non è in protocollo "https " in quanto la procedura non gestisce le transazioni come una normale applicazione software, ossia il sistema non è dotato di una propria infrastruttura di data base dove storicizzare le informazioni, ma elabora le stesse informazioni caricate nella maschera per la sola fase di invio della mail. Il sistema quindi compone una mail e la inoltra usando il nostro sistema di posta elettronica. Una volta creata l'email ed inoltrata nessun dato viene registrato o conservato ed una volta effettuata la prenotazione e comunicata al paziente, l'email viene definitivamente cancellata dall'operatore”.

In relazione alla richiesta avanzata con la citata nota del 20 novembre 2020, in data 23 dicembre 2020, ai sensi degli artt. 166, commi 6 e 7, del Codice 18, comma 1, dalla legge n. 689 del 24/11/1981, si è svolta l’audizione del Policlinico con modalità a distanza nel corso della quale lo stesso ha ribadito quanto già rappresentato, precisando, in particolar modo, che:

“dal luglio del 2014 sono state messe in atto molte azioni con riferimento all’adeguamento alla disciplina in materia di protezione dei dati personali in una situazione d’origine del Policlinico caratterizzata da un forte disavanzo economico, che impediva anche di acquisire nuove professionalità nel settore della protezione dei dati personali”;

“Non appena si è verificata una situazione di sostenibilità economica, il Policlinico ha investito nei sistemi informativi, con particolare riferimento alla cartella clinica informatizzata, anche di degenza e di ambulatorio, all’informatizzazione delle sale operatorie (controllo informatizzato in sala), al sistema di terapie intensive, al sistema ADT, al sistema di anatomia patologica e del business intelligence e al sistema di interoperabilità”;

“L’aggiornamento delle caratteristiche informatiche del sito del Policlinico, in procinto di ultimazione alla data di inizio della pandemia, ha avuto un rallentamento proprio a causa dell’emergenza sanitaria in atto, che ha determinato un impegno straordinario in termini di organizzazione, di prestazione dei servizi e di terapie, nonché finanziari. La carenza delle risorse economiche non ha permesso di intervenire precedentemente sul sito web del Policlinico, al fine di migliorare le caratteristiche tecniche dello stesso. L’investimento economico che si rendeva necessario per il complessivo ammodernamento dei sistemi informativi ospedalieri infatti era ingente”;

“L’abbattimento di 55 milioni di deficit, l’aumento della produzione del 15%, il miglioramento degli outcomes clinici ha caratterizzato l’attività direzionale del Policlinico degli ultimi 6 anni”;

“Il servizio oggetto dell’istruttoria dell’Autorità nasce al fine di offrire una facilitazione nell’accesso alle prestazioni ospedaliere sul territorio da parte degli assistiti che versano in condizione di disagio fisico o sociale”;

“Con riferimento al servizio oggetto di istruttoria il Policlinico ha predisposto le necessarie funzionalità affinché lo stesso possa essere erogato attraverso un protocollo di comunicazione sicuro. Al riguardo, si sta ultimando una nuova informativa, al fine di offrire nuovamente il servizio in modo conforme alla disciplina sulla protezione dei dati personali. Ciò anche in considerazione del fatto che il servizio si rende ancor più indispensabile nel contesto emergenziale in atto”.

2. Esito dell’attività istruttoria.

Preso atto di quanto rappresentato dal Policlinico nella documentazione in atti e nelle memorie difensive, si osserva che:

si considerano “dati relativi alla salute”: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute (art. 4, par. 1, n. 15 del Regolamento);

il Considerando n. 35 del Regolamento precisa che i dati relativi alla salute “comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria”; “un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari”;

i dati personali devono essere “trattati in maniera da garantite un’adeguata sicurezza (…) compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)” (art. 5, par. 1, lett. f) del Regolamento). Sulla base del principio di integrità e riservatezza, l’art. 32 del Regolamento prevede che il titolare del trattamento, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, debba mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso, “la cifratura dei dati personali”;

in base al principio di “protezione dei dati fin dalla progettazione”, di cui all’art. 25, par. 1, del Regolamento, il titolare del trattamento, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso, deve mettere in atto misure tecniche e organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati;

i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»)” (art. 5, par. 1, lett. a) del Regolamento). In base al principio di trasparenza il titolare deve fornire all’interessato, nel momento in cui i dati personali sono ottenuti, le informazioni di cui all’art. 13 del Regolamento;

allo stato dell’arte, l’utilizzo di tecniche crittografiche è una delle misure più comunemente adottate per proteggere, in particolar modo, i dati personali degli utenti di un servizio online durante la loro trasmissione su rete Internet. Come indicato nella citata nota del 22 ottobre 2020, il protocollo di rete “http” (hypertext transfer protocol) non garantisce invece la riservatezza e l’integrità dei dati scambiati tra il browser dell’utente e il server che ospita il sito web, impedendo inoltre agli utenti di verificare l’autenticità del sito web visualizzato;

l’adozione del protocollo di rete “http” non può essere considerata una misura tecnica idonea a garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento, (ad esempio la “clonazione” del sito web per l’acquisizione dei dati trasmessi per fini illeciti) che implica la trasmissione di dati, anche relativi alla salute, su una rete pubblica di comunicazioni, anche se -come dichiarato in atti- a seguito di tale trasmissione, non si determini la costituzione di una specifica banca dati ( art. 5, par. 1, lett. f), e dell’art. 32 del Regolamento e considerando n. 83);

il Policlinico non ha messo in atto, fin dalla progettazione della partizione del sito web dedicato ai servizi offerti all’utenza, misure tecniche e organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati, tra cui il principio di “integrità e riservatezza”, provvedendo ad adottare un protocollo di rete sicuro, quale il protocollo “https” (hypertext transfer protocol over secure socket layer);

il Policlinico non ha reso agli interessati che hanno fornito i propri dati personali, anche sulla salute, attraverso il servizio denominato “richiesta visita di controllo”, gli elementi informativi richiesti dall’art. 13 del Regolamento, essendo presente nella pagina web di accesso al predetto servizio esclusivamente la seguente dicitura (non selezionabile) “Ho letto e compreso l’informativa ex art. 13 regolamento (UE)2016/679 fornitami ed acconsento all’utilizzo, da parte del PTV, dei miei dati personali ai fini della gestione della presente richiesta”. Non possono altresì ritenersi idonee le informazioni contenute nella sezione denominata "Privacy" presente sulla home page del sito web del Policlinico (modello: “Privacy -Condizioni Generali di Utilizzo e Consultazione Sito - Trattamento dei dati personali- Informazioni sul trattamento dei dati personali”) in quanto non fanno espresso riferimento al trattamento dei dati effettuato attraverso il servizio in esame. A conferma di ciò si rileva che nel predetto modello è espressamente riportato che “Ai sensi del Regolamento (UE) 2016/679 (di seguito "Regolamento"), questa pagina descrive le modalità di trattamento dei dati personali degli utenti che consultano il sito web della Fondazione PTV - Policlinico Tor Vergata (di seguito anche “Fondazione”) accessibili per via telematica al seguente indirizzo: http://www.ptvonline.it”.

3. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni si rileva l’illiceità del trattamento di dati personali effettuato dalla Fondazione Policlinico Tor Vergata di Roma, nei termini di cui in motivazione, in violazione degli artt. 5, par.1, lett. a) e f), 13, 25 e 32 del Regolamento.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che è il Policlinico ha previsto l’utilizzo di un protocollo di comunicazione sicuro per l’erogazione del predetto servizio denominato “richiesta visita di controllo” e che attualmente sono fornite agli interessati le informazioni di cui all’art. 13 del Regolamento prima del conferimento dei dati personali da parte degli stessi, non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

4. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par. 2, lett. a) e f), 13, 25 e 32 del Regolamento causata dalla condotta posta in essere dalla Fondazione Policlinico Tor Vergata di Roma è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 4 e 5.

Si consideri che il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 85, par. 2, del Regolamento in relazione ai quali si osserva che:

l’Autorità ha preso conoscenza dell’evento a seguito del reclamo presentato da un solo interessato (art. 83, par. 2, lett. h) del Regolamento);

il trattamento effettuato dal Policlinico riguarda dati idonei a rilevare informazioni sulla salute di un numero significativo di interessati (art. 83, par. 2, lett. a) e g) del Regolamento);

il Policlinico ha fin da subito dimostrato un elevato grado di cooperazione adoperandosi al fine di introdurre, anche nella concomitanza del contesto emergenziale- misure idonee a superare i rilievi manifestati dall’Ufficio con l’atto di avvio del procedimento sanzionatorio (art. 83, par. 2, lett. c), d) e f) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, tenendo anche conto della fase di prima applicazione delle disposizioni sanzionatorie ai sensi dell’art. 22, comma 13, del d. lgs. 10/08/2018, n. 101, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, nella misura di euro 15.000 (quindicimila) per la violazione degli artt. 5, par. 1, lett. a) e f), 13, 25 e 32 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dalla Fondazione Policlinico Tor Vergata di Roma, per la violazione degli art. 5, par. 1, lett. a) e f), 13, 25 e 32 del Regolamento nei termini di cui in motivazione.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, alla Fondazione Policlinico Tor Vergata di Roma – C.F./97503840585 - P. IVA 10110821005, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 15.000 (quindicimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento, secondo le modalità indicate in allegato, entro 30 giorni dalla notifica in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

al predetto Policlinico, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 15.000 (quindicimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 21 aprile 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei


Vedi anche (10)