g-docweb-display Portlet

Ordinanza ingiunzione - 25 novembre 2021 [9733002]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9733002]

Ordinanza ingiunzione - 25 novembre 2021

Registro dei provvedimenti
n. 411 del 25 novembre 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il D.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Il reclamo e l’attività istruttoria

Con nota del XX, la Sig.ra XX ha presentato un reclamo, avente ad oggetto la comunicazione, in più occasioni (da XX a XX), da parte del dott. XX Naumann, di informazioni relative a trattamenti medici, comprendenti anche un ricovero presso la clinica XX, eseguiti a favore della sig.ra XX, al XX, al Responsabile delle risorse umane del XX, nonché alla XX, presso le quali la reclamante aveva prestato la propria attività professionale; ciò, allo scopo di sollecitare la stessa a definire le vicende relative a presunti mancati pagamenti di alcune prestazioni sanitarie fornite dallo stesso dott. XX Naumann.

Per effetto della predetta comunicazione, la XX, presso la quale la sig.ra XX aveva prestato la sua attività lavorativa fino al XX, ha trasmesso una mail alla reclamante, nella quale, nell’evidenziare che agli “XX” è richiesta una condotta che si addica al loro status e al loro rapporto con le XX, ha stimolato la stessa a trovare una soluzione, anche al fine di evitare i riflessi negativi che le predette vicende private avrebbero potuto comportare sull’immagine del XX e delle XX. Analogamente, la XX ha trasmesso una mail alla reclamante, richiamandola a risolvere la questione relativa all’asserita inadempienza.

A seguito della richiesta di informazioni di questo Ufficio (nota del XX, prot. n. XX), con la quale è stato chiesto, ai sensi dell’art. 157 del Codice, ogni elemento di informazione utile alla valutazione del caso, con particolare riferimento al presupposto giuridico che avrebbe consentito la predetta comunicazione di dati personali relativi alla sig.ra XX ai soggetti sopra indicati, il dott. XX Naumann ha fornito riscontro con nota del XX, nella quale è stato rappresentato che:

- “nel reclamo la sig.ra XX afferma che il sottoscritto avrebbe inviato il XX, il XX e nel XX le rispettive comunicazioni presso gli uffici in cui la paziente avrebbe svolto la propria attività lavorativa e che, così facendo, lo scrivente avrebbe posto i destinatari a conoscenza dello stato di salute dell’assistita”;

- “ebbene, tale affermazione non risponde al vero, dal momento che, dopo aver fruito delle prestazioni sanitarie, la sig.ra XX non soltanto non ha pagato la relativa fattura, ma si è resa irreperibile, per cui il sottoscritto ha dovuto cercarla presso i luoghi di lavoro per tentare di ottenere da lei il pagamento delle prestazioni professionali rimaste insolute. Il sottoscritto, in ragione della professione che esercita, è consapevole del fatto che è vietato diffondere dati sulla salute dei propri pazienti, ma il regolamento sulla protezione dei dati, all’art. 4, n. 15, ha chiarito che per dati relativi alla salute devono intendersi i dati che rivelano informazioni riguardanti lo stato di salute della persona”;

- “viceversa i contatti del sottoscritto presso gli uffici sono avvenuti mediante comunicazioni via e-mail, rispettivamente il XX, il XX e nel XX, a cui non sono state allegate né la fattura da saldare, né, tanto meno, la documentazione sanitaria riguardante le prestazioni mediche erogate, (…), per cui lo scrivente non ha diffuso dati idonei a rivelare lo stato di salute della sig.ra XX, con l’ulteriore conseguenza che la contestazione della reclamante, con cui costei lamenta la divulgazione di dati sensibili relativi alla propria sfera della salute, è priva di fondamento”.

2. Valutazioni del Dipartimento sul trattamento effettuato e notifica della violazione di cui all’art. 166, comma 5 del Codice

In relazione ai fatti descritti nel reclamo, l’Ufficio, con nota del XX (prot. n. XX), ha notificato al dott. XX Naumann, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitandolo a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

In particolare, l’Ufficio, nel predetto atto, richiamate le nozioni di dato personale e di dato relativo alla salute (art. 4, par. 1, nn. 1 e 15 del Regolamento e Cons. n. 35), nel rinviare, altresì, agli articoli da 10 a 12 del Codice di deontologia medica relativi, rispettivamente a “segreto professionale”, “riservatezza dei dati personali” e “trattamento dei dati sensibili”, ha evidenziato che:

- il trattamento dei dati personali è lecito solo se e nella misura in cui ricorre una delle condizioni previste dall’art. 6 del Regolamento;

- in ambito sanitario, le informazioni sullo stato di salute possono essere comunicate a terzi sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso, previa delega scritta di quest’ultimo (art. 9 Regolamento e art. 84 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101);

- il titolare del trattamento è, in ogni caso, tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di «liceità, correttezza e trasparenza», secondo il quale i dati devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” (art. 5, par. 1, lett. a) del Regolamento);

- in talune comunicazioni ai datori di lavoro, pregressi della sig.ra XX, con le quali si evidenziava il suo presunto inadempimento in ordine al pagamento di prestazioni sanitarie effettuate dal dott. XX Naumann in favore della stessa, si è fatto espresso riferimento anche ad un ricovero presso la clinica “XX” (“XX”, “XX”);

- tale notizia (relativa alla ricezione di una prestazione sanitaria), correlata per di più, all’indicazione della specializzazione del medico che ha eseguito le predette prestazioni (facilmente rinvenibile, anche nel sito della Clinica XX), rivela informazioni sullo stato di salute della sig.ra XX e, quindi, risulta annoverabile nella categoria dei dati relativi alla salute (art. 9 del Regolamento).

Nel medesimo atto è stato, quindi, accertato che il dott. Naumann ha effettuato, in tempi diversi, comunicazioni di informazioni relative alla sig.ra XX, a soggetti terzi, presso i quali la stessa aveva prestato la sua attività lavorativa e che tali dati hanno riguardato non solo vicende personali della sig.ra XX, relative ad un asserito inadempimento di una prestazione sanitaria, ma anche informazioni sulla salute della stessa. E’ stato, altresì, accertato che le predette comunicazioni sono avvenute in assenza di un idoneo presupposto giuridico, in violazione dei principi di base del trattamento di cui agli artt. 5, 6 e 9 del Regolamento.

Con nota del XX, il dott. Naumann ha fatto pervenire le proprie memorie difensive, nelle quali, in particolare, ha evidenziato che:

- “occorre evidenziare anzitutto che le comunicazioni inviate non contengono dati idonei a rivelare lo stato di salute della sig,ra XX, così come richiesto dall’art. 9 del decr. lgs. 196 del 2003. Nella contestazione si afferma che i predetti dati sarebbero desumibili da due elementi: il primo, costituito dall’esecuzione di una prestazione sanitaria; il secondo, dalla specializzazione posseduta dal Dott. Naumann. Senonché nelle comunicazioni del Dott. Naumann non è indicato il tipo di prestazione sanitaria che sarebbe stata eseguita alla sig,ra XX. Mentre la specializzazione del Dott. Naumann codesta Autorità la ricava (…), dal sito Internet della clinica di Roma, XX, che i destinatari delle missive, titolari di uffici esteri, non avevano motivo di conoscere né ragione alcuna di consultare, trattandosi di un particolare, quello della specializzazione, per loro assolutamente privo di interesse. Dunque, esaminando i soli dati contenuti nelle ripetute comunicazioni non si individuano informazioni sullo stato di salute della sig.ra XX che il dott. XX Naumann abbia fornito ad estranei, anche perché una generica prestazione sanitaria non presuppone l’esistenza di una malattia, potendo costituire un controllo routinario delle condizioni fisiche della paziente, nell’ambito della medicina preventiva”;

- “(…) nelle comunicazioni del Dott. XX Naumann non sono riportate informazioni sulla persona fisica raccolte nel corso della registrazione della sig.ra XX in previsione dell’erogazione di servizi sanitari; non vi è l’indicazione di numeri, simboli, elementi specifici a lei attribuiti che valgano ad individuarne in alcun modo le condizioni fisiche; non vi sono menzionati risultati di esami o controlli clinici o diagnostici e neppure sono indicate malattie, stati di invalidità, rischi di affezione, dati di anamnesi medica, trattamenti clinici e stati fisiologici o biomedici della paziente. Dal che consegue che proprio alla luce delle precisazioni contenute nel Regolamento e richiamate nella contestazione di codesta Autorità si perviene alla medesima conclusione che il dott. XX Naumann non ha diffuso informazioni idonee a rivelare lo stato di salute della sig.ra XX ad estranei, non potendo neppure il generico riferimento al ricovero costituire tale tipo di informazioni, in quanto non è stato specificato il trattamento clinico a cui la paziente sarebbe stata sottoposta, dato che, come evidenziato, è invece richiesto dall’art. 4, paragrafo 1, nn. 1 e 5 del Regolamento e Cons. n. 35 del Regolamento”;

- “peraltro, anche il termine diffusione non è corrispondente alla vicenda nella sua obiettività, ove si tenga conto che il dott. XX Naumann non ha inviato le contestate comunicazioni, indistintamente, al datore di lavoro della sig.ra XX, ma le ha indirizzate a persone identificate e a uffici istituzionalmente preposti ad intervenire in caso di comportamenti irregolari dei propri funzionari. La prima comunicazione, del XX, è indirizzata infatti al sig. (…) XX della XX mentre la seconda comunicazione, del XX, è indirizzata alla persona delegata dal destinatario della precedente missiva; entrambi, perciò, hanno fatto uso delle comunicazioni (…) nei limiti delle proprie competenze, in modo riservato e comunicandone a loro volta, il contenuto alla sola persona interessata, la sig.ra XX”;

- (…) non vi è stata affatto la volontà del medico di comunicare a terzi informazioni sullo stato di salute della paziente (…). Neppure vi è stata l’intenzione del dott. XX Naumann di porre i terzi, indistintamente, a conoscenza dell’assistenza da lui prestata alla sig.ra XX, visto che le comunicazioni del professionista, pervenute ai soli soggetti autorizzati a riceverle, hanno riguardato unicamente il fatto del mancato pagamento della parcella da parte della paziente e che la stessa medesima si fosse resa irreperibile. Condotta, questa, idonea a violare le norme deontologiche alle quali funzionari XX si devono adeguare, tant’è che vi è stato il richiamo della dipendente”; “il comportamento del Dott. XX Naumann può perciò ritenersi connotato da buona fede, poiché il medico ha fatto affidamento sul fatto che esistessero degli uffici preposti a vigilare sulla condotta dei dipendenti della XX e che fosse possibile lamentare un loro non corretto contegno, per sentirsi legittimato a segnalare l’accaduto, il mancato pagamento della parcella, all’XX”; “la supposta violazione ha avuto natura del tutto episodica, essendo stata limitata alle comunicazioni di mancato pagamento della parcella (…); 

- “non vi sono effetti permanenti derivanti dalla presunta violazione; ove vi fossero, il dott. XX Naumann è pronto ad attivarsi per la loro eliminazione con l’adozione delle misure che codesta Autorità riterrà idonee”.

3.  Esito dell’attività istruttoria

Preso atto di quanto rappresentato dal dott. XX Naumann nella documentazione in atti e nelle memorie difensive, si osserva che:

1. per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)” e per “dati relativi alla salute” “i dati riguardanti lo stato di salute dell'interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso. Questi comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria o della relativa prestazione di cui alla direttiva 2011/24/UE del Parlamento europeo e del Consiglio; un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari; le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici; e qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie, l'anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell'interessato, indipendentemente dalla fonte, quale, ad esempio, un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro” (art. 4, par. 1, nn. 1 e 15 del Regolamento e Cons. n. 35 del Regolamento);

2. il trattamento dei dati personali è lecito solo se e nella misura in cui ricorre una delle condizioni previste dall’art. 6 del Regolamento e, se si tratta di dati sulla salute, dall’art. 9 del Regolamento (cfr., altresì, art. 84 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101, in relazione alla comunicazione di dati sulla salute); l’art.  5, par. 1, lett. a) del Regolamento prevede il rispetto del principio di «liceità, correttezza e trasparenza», secondo il quale i dati devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato”.

4. Conclusioni

Alla luce delle valutazioni sopra esposte, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice (“Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”), si rileva che gli elementi forniti dal titolare del trattamento nelle memorie difensive sopra richiamate non sono idonei ad accogliere le richieste di archiviazione, non consentendo di superare i rilievi notificati dall’Ufficio con il citato atto di avvio del procedimento.

In particolare, nel sottolineare che l’Autorità, nell’atto di notifica di violazione del XX, non ha contestato l’operazione di diffusione, bensì quella di comunicazione di dati personali, si evidenzia che, alla luce delle definizioni sopra riportate, l’informazione relativa al ricovero subito dalla sig.ra XX presso la clinica XX è riconducibile alla nozione di dato sulla salute. Infatti, le informazioni riguardanti la circostanza che la sig.ra XX si sia sottoposta ad un ricovero e, in ogni caso, che fosse paziente del dott. Naumann costituiscono già di per sé dati personali relativi alla salute ai sensi dell’art. 4, par. 1, n. 15, del Regolamento, sebbene non indichino le motivazioni cliniche e/o la patologia della reclamante, che hanno determinato la necessità della prestazione medica ricevuta. In tal senso, l’Autorità, nel corso degli anni, è intervenuta sovente a chiarire che può evincersi lo stato di salute del paziente anche attraverso la correlazione tra la sua identità e l’indicazione della struttura o del reparto (nel caso di strutture ospedaliere) presso il quale tale paziente si è recato o è stato ricoverato (cfr. Relazione annuale 2014, pag. 64).

Ciò premesso, allo stato degli atti e della documentazione acquisita, non risulta dimostrata alcuna delle condizioni, tra quelle indicate nell’art. 9, par. 2, del Regolamento, che avrebbe potuto, superando il divieto generale di trattare i dati sulla salute, indicato nell’art. 9, par. 1 del Regolamento, rendere lecita la comunicazione di dati sulla salute della sig.ra XX a soggetti terzi.

Si evidenzia, inoltre, che, ferme restando le competenze dell’ufficio deputato a ricevere segnalazioni (XX) in ordine ad asserite cattive condotte relative a esecuzioni di obblighi contrattuali da parte del personale o di violazioni degli standard di condotta per gli “XX”, che non spetta al Garante valutare in questa sede, la questione in esame non è afferente alla disciplina in materia di segnalazione di condotte illecite nell’ambito di un rapporto di lavoro (c.d. whistleblowing) (cfr. sul punto l. 30 novembre 2017, n. 179 e art. 54-bis, d. lgs. 30 marzo 2001, n. 165, come modificato dall’art. 1, comma 2, della l. n. 179/2017; cfr., altresì, il parere del Garante sullo schema di “Linee guida in materia di tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza in ragione di un rapporto di lavoro, ai sensi dell’art. 54-bis del d.lgs. 165/2001” di ANAC, reso con provv. 4 dicembre 2019, doc. web n. 9215763).

Nel caso di specie, la condotta del dott. Naumann è risultata finalizzata, come dallo stesso dichiarato, a tentare di “ottenere da lei il pagamento delle prestazioni professionali rimaste insolute”, finalità che l’ordinamento giuridico consente di perseguire con specifici strumenti di tutela. Ciò ha determinato che il trattamento dei dati relativi agli obblighi contrattuali e sulla salute della sig.ra XX da parte del medico, sotteso allo scopo di conseguire l’adempimento del pagamento della prestazione professionale, non sia stato effettuato in modo lecito e corretto nei confronti dell’interessata né per finalità determinate, esplicite e legittime.

Peraltro, la predetta comunicazione effettuata dal dott. Naumann ha avuto come destinatari soggetti terzi, che non rivestivano più la qualifica di datori di lavoro della sig.ra XX. Infatti, la stessa, al momento in cui aveva ricevuto le prestazioni sanitarie da parte del dott. Naumann e nell’intervallo di tempo in cui erano state poste in essere le descritte comunicazioni da parte del medesimo medico, non era più dipendente dell’XX.

Inoltre, nel prendere atto, altresì, che il dott. Naumann non ha inteso specificare alla luce di quale condizione, tra quelle indicate nell’art. 6 del Regolamento, sarebbe stato lecito il trattamento di dati riguardanti il presunto inadempimento di un’obbligazione da parte della reclamante, si fa presente che, in relazione alla buona fede invocata dal medico in ordine alla supposta esistenza di uffici preposti a vigilare sulla condotta dei dipendenti della XX, che avrebbe legittimato il medico a segnalare l’accaduto, tale motivazione non può accogliersi. Infatti, alla luce di una consolidata giurisprudenza (Cass. Civ. sez. I del 21 febbraio 1995 n. 1873; Cass. Civ. sez II del 13 marzo 2006, n. 5426, Cass. n. 13610/2007, Cass. n. 16320/2010, Cass. n. 19759/2015), perché possa applicarsi l’art. 3 della legge n. 689/1981, è necessario che la buona fede o l’errore, affinché siano scusabili, si fondino su un elemento positivo, estraneo all’agente e idoneo a determinare in lui la convinzione della liceità del suo comportamento. Tale elemento positivo deve risultare non ovviabile dall’interessato con l’uso dell’ordinaria diligenza. Il dott. Naumann, in qualità di titolare del trattamento e in relazione all’esercizio della propria attività di medico era tenuto, diligentemente, a conoscere e a osservare anche le norme applicabili al trattamento dei dati personali dei propri pazienti, nonché la relativa interpretazione.

Da tutto quanto sopra esposto, deriva che il dott. Naumann ha effettuato una comunicazione di dati personali, concernenti il mancato pagamento di prestazioni professionali e relativi alla salute della sig,ra XX, a soggetti terzi, presso i quali la stessa aveva prestato la sua attività lavorativa, pur essendo cessato il suo rapporto di lavoro, in assenza di un idoneo presupposto giuridico e in violazione dei principi di liceità, correttezza e trasparenza.  Per tali ragioni si rileva l’illiceità dei trattamenti di dati personali effettuati, nel corso delle differenti comunicazioni, dal dott. Naumann, nei termini di cui in motivazione, per la violazione degli artt. 5, 6 e 9 del Regolamento.

In tale quadro, considerato, in ogni caso, che la condotta ha esaurito i suoi effetti, non ricorrono allo stato i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i) e 83 del Regolamento; art. 166, comma 7, del Codice). 

La violazione degli artt. 5, 6 e 9 del Regolamento causata dalle condotte poste in essere dal dott. Naumann è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, lett. a) del Regolamento.

Si consideri che il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2, del Regolamento in relazione ai quali si osserva che i trattamenti effettuati dal dott. Naumann, oggetto del presente provvedimento, riguardano dati relativi al mancato pagamento di una prestazione professionale nonché informazioni sulla salute di una sola interessata, che ha presentato il reclamo (art. 83, par. 2, lett. a), g) e h) del Regolamento) e che la violazione ha carattere doloso ed è suscettibile di causare un danno immateriale, potendo comportare un  pregiudizio alla reputazione dell’interessata (art. 83, par. 2, lett. a) e b) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, nella misura di euro 30.000,00 (trentamila) per la violazione degli artt. 5, 6 e 9 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dal dott. XX Naumann, per la violazione degli artt. 5, 6 e 9 del Regolamento.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, al dott. XX Naumann, nato a XX, il XX, residente a XX, in XX, C.F. XX, di pagare la somma di euro 30.000,00 (trentamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento, secondo le modalità indicate in allegato, entro 30 giorni dalla notifica in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

Al predetto dott. XX Naumann, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 30.000,00 (trentamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 25 novembre 2021

IL VICEPRESIDENTE
Cerrina Feroni

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei