g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di I.S.P.R.O. - 20 ottobre 2022 [9828965]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9828965]

Ordinanza ingiunzione nei confronti di I.S.P.R.O. - 20 ottobre 2022

Registro dei provvedimenti
n. 344 del 6 ottobre 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito il “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante il “Codice in materia di protezione dei dati personali”, contenete disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito il “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. La segnalazione e l’attività istruttoria

a) Premessa

Con nota del  XX il sig. XX ha segnalato una presunta violazione della disciplina in materia di protezione dei dati personali per aver ricevuto un referto, relativo a esami diagnostici riguardanti un soggetto terzo, da parte dell’Azienda Ospedaliero-Universitaria Careggi di Firenze (di seguito “Azienda”).

In particolare, il segnalante ha rappresentato di aver ricevuto, presso il proprio indirizzo PEC, in data 30 aprile 2021 “l’email certificata avente per oggetto “Referto Anatomia Patologica XX” (…) (che) come allegato conteneva il referto dell’esame istologico di certa XX”.

b) L’attività istruttoria

A seguito della segnalazione, l’Ufficio, con nota del XX (prot. n. XX), ha chiesto all’Azienda, ai sensi dell’art. 157 del Codice, di fornire elementi utili alla valutazione dei profili rilevanti in materia di protezione dei dati personali.

Con nota del XX (prot. n. XX), l’Azienda ha fornito riscontro rappresentando, fra altro che:

- “(…) rispetto al trattamento di dati in questione, non svolge il ruolo di titolare del trattamento quanto invece di responsabile del trattamento rispetto al titolare ISPRO (Istituto per lo Studio, la Prevenzione e la Rete Oncologica), ente del Servizio Sanitario Regionale”;

- “Tra l’Azienda e ISPRO è attivo un accordo quadro (rinnovato in data 1° marzo 2021) a regolare vari servizi, ognuno normato da una specifica scheda esecutiva. Tra le attività che l’Azienda, attraverso il Dipartimento dei Servizi (presso il quale è istituita la SOD Istologia Patologica e Diagnostica Molecolare, che svolge attività laboratoristiche di Anatomia Patologica), esegue a favore di ISPRO, vi è quella relativa ad Esami istologici su biopsie mammarie, colorettali, cervicali, su polipi del colon retto e su lesioni cutanee, a cui è riconducibile l’esame refertato alla sig.ra XX. La scheda esecutiva di tale attività qualifica appunto l’Azienda, rispetto ad ISPRO, quale Responsabile del trattamento ai sensi dell’art. 28 del Regolamento Generale”;

- “(…) in conseguenza della difficoltà negli spostamenti correlata all'epidemia da SARS-COV2, la SOD Istologia Patologica e Diagnostica Molecolare effettua regolarmente la trasmissione dei referti via PEC (almeno di quelli per i quali non sia necessaria una particolare consulenza) agli utenti che ne facciano richiesta per iscritto al momento dell'accettazione, in media 100 al mese”;

- “Gli incaricati della segreteria della SOD Istologia Patologica e Diagnostica Molecolare scaricano il referto dal software di Anatomia patologica mediante lettura ottica del barcode presente sul modulo di accettazione, e lo salvano in pdf su una cartella spool; posizionandosi nella casella PEC, digitano dunque l'indirizzo PEC del destinatario presente sul modulo di autorizzazione sottoscritto dal paziente, ed allegano il corrispondente referto dalla cartella spool; prima dell'invio, verificano mediante anteprima che il referto sia quello corretto; annotano dunque sulla documentazione cartacea relativa alla pratica che la trasmissione del referto via PEC è stata effettuata”;

- “La formazione del personale della segreteria avviene per affiancamento al personale strutturato da più tempo”;

- “In merito alla specifica violazione contestata, è stato ricostruito quanto segue: venerdì 30 aprile l'operatore che quel giorno si è occupato della trasmissione dei referti via PEC ha caricato tutti i referti da inviare nella cartella spool. Il referto del sig. XX e della signora XX erano uno di seguito all'altro. Per mero errore materiale, è stato allegato il referto sbagliato”;

- “In data XX il sig. XX ha inviato una mail all'indirizzo mail ordinario segreteriaap@aou-careggi.toscana.it in cui faceva presente di aver ricevuto il referto di un'altra persona (che ha allegato insieme alla documentazione relativa all'accettazione che lo riguardava). Nell'arco di 24 ore, la segreteria ha inviato una mail di scuse dalla casella PEC del Dipartimento dei Servizi alla casella PEC del sig. XX e il referto corretto”;

- “La signora XX aveva regolarmente ricevuto il proprio referto”;

- “quale azione di miglioramento (e pur consapevoli che ogni qualvolta è necessario un intervento umano l’errore è possibile), sono state date indicazioni agli operatori di caricare nella cartella spool un solo referto alla volta, effettuando un ulteriore controllo una volta allegato il relativo file”.

In relazione a quanto rappresentato dall’Azienda, questa Autorità, con nota del XX (prot. n. XX), ha richiesto a I.S.P.R.O, con sede in Firenze, Via Cosimo Il Vecchio 2 - 50139 C.F. 94158910482 - P. Iva 05872050488 (di seguito “Istituto), ai sensi dell’art. 157 del Codice, informazioni utili alla valutazione del caso, con particolare riferimento all’atto che disciplina i trattamenti affidati all’Azienda, quale Responsabile del trattamento, con i relativi obblighi e istruzioni, invitando, altresì, l’Istituto a comprovare quanto dichiarato con idonea documentazione, in osservanza del principio di responsabilizzazione di cui all’art. 5, par. 2, del Regolamento.

In data XX, l’Istituto ha fornito riscontro (nota prot. n. XX) alla citata richiesta di informazioni, rappresentando, fra altro, quanto segue:

- “In data 1/3/2021, I.S.P.R.O. ha sottoscritto con la A.O.U. Careggi una convenzione volta ad avviare una «collaborazione interaziendale»”;

- “Detta convenzione rimanda poi a specifiche «schede esecutive» destinate a riepilogare le «specifiche prestazioni richieste, dei reciproci impegni assunti, delle modalità di esecuzione, nonché dei relativi aspetti economici e delle coperture assicurative nonché delle qualifiche assunte dalle Aziende in tema di trattamento e protezione dei dati personali”;

- “Tra le varie prestazioni specialistiche oggetto di convenzione, vi era anche l’attività laboratoristica di Anatomia Patologica svolta dall’A.O.U. Careggi tramite la sua S.O.D. Istologia Patologica e Diagnostica Molecolare, nel cui ambito, in effetti, è avvenuta la violazione contestata”;

- “Il successivo articolo 11 della convenzione, al comma 2, prevede che «nell’ambito dei rapporti tra le Parti in relazione al trattamento dei dati personali e in base alla qualifica rispettivamente assunta - Azienda beneficiaria o Azienda erogante - indicata nelle schede esecutive di cui al precedente articolo 2, le Parti si qualificano rispettivamente e alternativamente come Titolare e Responsabile del trattamento dei dati»;

- “Nella situazione segnalata dal Sig. XX, A.O.U. Careggi ha operato quale responsabile, mentre I.S.P.R.O. era il titolare del trattamento, come si evince dalla scheda esecutiva allegata. In qualità di responsabile, A.O.U. Careggi si è obbligata a:

«adottare le necessarie e adeguate misure di sicurezza (eventualmente anche ulteriori rispetto a quelle nel seguito indicate) in modo tale da ridurre al minimo i rischi di distruzione accidentale o illegale, la perdita, la modifica, la divulgazione non autorizzata o l’accesso non consentito ai dati personali trasmessi, conservati o comunque trattati, o il trattamento non conforme alle finalità della raccolta» (Art. 9 contratto di nomina del responsabile)”;

«porre in essere, nell’ambito dei compiti contrattualmente affidati, tutti gli adempimenti prescritti dalla normativa di riferimento in materia di tutela dei dati personali al fine di ridurre al minimo î rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato e di trattamento non consentito o non conforme alla raccolta (Art. 11 contratto di nomina del responsabile)”;

- “Effettivamente, A.O.U. Careggi, nell’ambito dei propri processi aziendali, ha adottato misure tecniche volte ad evitare incidenti come quelli accaduti al Sig. XX, ma, in base a quanto emerso nell’immediatezza del sinistro, un mero errore materiale, ascrivibile ad un incaricato, ha dato luogo all’errato invio del referto. Di tale accadimento, nessuna responsabilità è ascrivibile a I.S.P.R.O., che ha provveduto a nominare A.O.U. Careggi quale responsabile, la quale dunque, al netto delle istruzioni contenute nel contratto di nomina a responsabile esterno, è tenuta ad adottare idonei accorgimenti volti ad evitare divulgazioni non autorizzate di dati in forza delle vigenti disposizioni di legge e regolamentari”.

Alla luce di quanto dichiarato in atti dall’Istituto, l’Ufficio, effettuate le relative valutazioni, con nota del XX (prot. n. XX) ha notificato all’Istituto medesimo, in relazione alla vicenda in questione, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del Regolamento.

In particolare, l’Autorità ha comunicato l’avvio del procedimento sanzionatorio rilevando:  l’assenza dei presupposti giuridici previsti dall’art. 9 del Regolamento nella comunicazione di dati relativi alla salute della paziente dell’I.S.P.R.O. e, pertanto, la violazione di tale disposizione, nonché l’inosservanza dei principi di “integrità e riservatezza”, in violazione dell’art. 5, par. 1, lett. f) del Regolamento medesimo, nel trattamento dei dati personali relativi alla vicenda in questione; l’assenza di indicazione di specifiche istruzioni volte a definire il rapporto tra l’Istituto, titolare del trattamento e l’Azienda, con riguardo, nello specifico, ai trattamenti demandati a quest’ultima quale responsabile del trattamento (art. 28, par. 3, del Regolamento); l’assenza della comunicazione dei dati di contatto del responsabile della protezione dei dati all’Autorità, in violazione dell’art. 37, par. 7, del Regolamento medesimo.

Con nota del XX, l’Istituto ha inviato all’Autorità una memoria difensiva, nella quale, oltre ad evidenziare quanto già dichiarato, ha precisato che:

- “essenziale a chiarire l’estraneità di questo Istituto rispetto alla violazione contestata, è questo: la convenzione citata non demanda a A.O.U. Careggi la trasmissione dei referti ai pazienti. A.O.U. Careggi, una volta effettuati gli esami che vengono richiesti tramite apposite schede esecutive, trasmette il referto a I.S.P.R.O., il quale, a sua volta, comunica i risultati al paziente. Parimenti, è utile precisare che il Sig. XX, ossia il soggetto che ha effettuato la segnalazione da cui è originato il presente procedimento, non ha mai intrattenuto rapporti con I.S.P.R.O. Al contrario, la Sig.ra XX è inserita nei protocolli di screening della cervice uterina che, come noto, sono svolti da I.S.P.R.O.”;

- “la comunicazione dei referti ai pazienti non è un trattamento demandato alla A.O.U. Careggi, la quale è tenuta ad inviare i referti ad I.S.P.R.O., e non direttamente al paziente.  Il che è puntualmente accaduto, tanto che il 5 maggio 2021 I.S.P.R.O. ha provveduto ad inviare il referto alla Sig.ra XX”;

- “Sulla scorta di quanto precede, si può meglio comprendere cosa è esattamente accaduto: (…) A.O.U. Careggi doveva inviare al Sig. XX, in cura presso la stessa A.O.U. Careggi e che non ha con I.S.P.R.O. alcun rapporto, un referto. (…) Al momento dell'invio, evidentemente per un mero errore materiale dell’incaricato, forse tratto in errore dalla parziale omonimia, il referto della Sig.ra XX è stato inviato al Sig. XX: insomma, A.O.U. Careggi stava inviando un referto a un proprio paziente per finalità sue proprie, totalmente estranee all’ambito della convenzione; in tale contesto ha erroneamente inviato un referto diverso”;

- “non si può affermare che vi sia stata una violazione di dati nell’ambito della convenzione nel cui ambito I.S.P.R.O. opera come titolare. Nel momento in cui è stato inviato il referto della Sig.ra XX al Sig. XX, A.O.U. Careggi non stava effettuando un’attività in forza della convenzione con I.S.P.R.O.. E ciò in quanto la trasmissione dei referti non è oggetto di convenzione; A.O.U. Careggi doveva inviare un referto al Sig. XX, suo paziente, ed ha commesso un errore”.

Unitamente alla citata memoria, l’Istituto, anche a fronte della mancata trasmissione della documentazione citata nel riscontro fornito in data XX e rilevata dall’Autorità nell’atto di avvio del procedimento sanzionatorio, ha prodotto, fra l’altro, copia della convenzione sopra menzionata (“Accordo quadro per regolamentazione reciproche prestazioni sanitarie”) e i relativi allegati, fra cui la “Scheda esecutiva” dell’attività “laboratoristica di Anatomia Patologica svolta dall’A.O.U. Careggi tramite la sua S.O.D. Istologia Patologica e Diagnostica Molecolare”, la “Deliberazione del Direttore generale” n. 175 del 25 giugno 2018 di nomina del Responsabile della protezione dei dati (RPD) dell’Istituto, copia della comunicazione effettuata il XX al Garante circa i dati del RPD, nonché l’atto recante  “Disposizioni applicabili all’Azienda individuata quale responsabile del trattamento dati ai sensi dell’art. 28 del Regolamento UE 2016/679 (art. 2 e art. 11 Accordo quadro)”.

2. Esito dell’attività istruttoria

Preso atto di quanto rappresentato nel corso del procedimento istruttorio dal titolare e dal responsabile del trattamento, si osserva quanto segue.

Il trattamento dei dati personali deve avvenire nel rispetto della normativa applicabile in materia di protezione dei dati personali e, in particolare, delle disposizioni del Regolamento e del Codice.

Con particolare riferimento alla questione prospettata, si evidenzia che i dati personali relativi alla salute meritano una maggiore protezione dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali (Cons. n. 51 del Regolamento).

La disciplina in materia di protezione dei dati personali stabilisce che i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (principio di “integrità e riservatezza”)” (art. 5, par. 1, lett. f) del Regolamento).

Tale ultima disposizione, prevede poi, che “il titolare del trattamento è competente per il rispetto del paragrafo 1”, in relazione ai principi applicabili al trattamento dei dati personali, tra cui anche quello di cui alla lett. f) “e in grado di comprovarlo” (“responsabilizzazione”)”. 

In tal senso, il Regolamento prevede una “responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto” (Considerando n. 74 del Regolamento in relazione all’art. 5 del regolamento medesimo, sopra citato).

Il “Responsabile del trattamento” è la persona fisica o giuridica, l'Autorità pubblica, il Servizio o altro Organismo che tratta dati personali per conto del titolare del trattamento (art. 4, par. 8, del Regolamento).

Per quanto attiene, specificamente, all’ambito sanitario, la disciplina in materia di protezione dei dati personali prevede, altresì, che le informazioni sullo stato di salute possono essere comunicate unicamente all’interessato e possono essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso previa delega scritta di quest’ultimo (art. 9 Regolamento, nonché art. 84 del Codice - nella versione precedente la riformulazione del medesimo Codice ad opera del legislatore con il d.lgs. 10 agosto 2018, n. 101 - in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101).

3. Conclusioni

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ si rappresenta che gli elementi forniti dal titolare medesimo, nelle memorie difensive, non consentono di superare integralmente i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

La circostanza, infatti, che la trasmissione a terzi del referto di XX, paziente di I.S.P.R.O. sia stata effettuata dall’A.O.U. Careggi, quale Responsabile del Trattamento, non esonera da responsabilità I.S.P.R.O., che avrebbe dovuto svolgere attività di vigilanza e controllo sull’attività svolta, per proprio conto, dall’A.O.U. Careggi (artt. 24 e 28 del Regolamento).

Ciò, in ragione del fatto che il titolare è il soggetto sul quale ricadono le decisioni circa le finalità e le modalità del trattamento dei dati personali degli interessati e che ha una “responsabilità generale” sui trattamenti posti in essere (artt. 4, par. 1, punto 7, art. 5, par. 2 del Regolamento - c.d. principio di “accountability” e art. 24 del Regolamento); lo stesso è, infatti, tenuto a “mettere in atto misure adeguate ed efficaci [e…] dimostrare la conformità delle attività di trattamento con il […] Regolamento, compresa l’efficacia delle misure” (Cons. n. 74), anche con riferimento alla predisposizione di misure tecniche e organizzative che soddisfino i requisiti del Regolamento sotto il profilo della sicurezza (artt. 24 e 32 del Regolamento). Tale obbligo, sussiste, altresì, quando talune operazioni di trattamento siano poste in essere da un responsabile che agisce per suo conto e quando utilizza servizi realizzati da terzi (cfr. le recenti decisioni del Garante relative anche al ruolo e alle connesse responsabilità del titolare e del responsabile del trattamento: provv. 2 dicembre 2021, n. 422 e 423, docc. web nn. 9734884, 9734934; provv. 17 settembre 2020, nn. 160 e 161, docc. web nn. 9461168 e 9461321, provv. 11 febbraio 2021, n. 49, docc. web n. 9562852, nonché provv. 17 dicembre 2020, nn. 280, 281 e 282, docc. web nn. 9524175, 9525315 e 9525337; cfr. anche già provv. 7 marzo 2019, n. 81, docc. web n. 9121890).

Per tali ragioni, si rileva l’illiceità del trattamento effettuato da I.S.P.R.O., in qualità di titolare del trattamento, in relazione alla accertata comunicazione di dati relativi alla salute di una sua paziente effettuata in assenza di una base giuridica, in violazione dell’art. 9, nonché dei principi di base di cui all’art. 5, par. 1, lett. f), del Regolamento.

La violazione delle predette disposizioni rende applicabile, ai sensi dell’art. 58, par. 2, lett. i), la sanzione amministrativa prevista dall’art. 83, par. 5, lett. a) del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice.

In tale quadro, tenendo conto che sono state implementate misure volte a minimizzare il rischio del verificarsi di accadimenti analoghi (cfr. nota del XX, prot. n. XX), non ricorrono i presupposti per l’adozione di provvedimenti, di tipo prescrittivo o inibitorio, di cui all’art. 58, par. 2, del Regolamento.

4. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par. 1, lett. f) e 9 del Regolamento relativamente alla vicenda oggetto del presente provvedimento, imputabile all’Istituto sulla base delle disposizioni sopra richiamate, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, lett. a) del Regolamento e 166, comma 2, del Codice.

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2, del Regolamento medesimo, in relazione ai quali si osserva che:

- la comunicazione dei dati relativi alla salute inviati a un soggetto terzo non autorizzato a riceverli ha riguardato un solo paziente (art. 83, par. 2, lett. a) e g) del Regolamento);

- rispetto alla vicenda non emerge alcun comportamento doloso (art. 83, par. 2, lett. b) del Regolamento);

- nei confronti dell’Istituto non è stato in precedenza adottato alcun provvedimento riguardante una violazione pertinente (art. 83, par. 2, lett. e) del Regolamento); 

- occorre tenere conto del fatto che si è trattato di un caso isolato avvenuto  nell’ambito dell’attività istituzionale dell’Istituto di cui si rileva la particolare rilevanza sociale rispetto alla continuità delle indagini oncologiche (art. 83, par. 2, lett. k) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, nella misura di euro 7.000,00 (settemila) per la violazione degli artt. 5, par. 1, lett. f) e 9 del Regolamento quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che in ragione della natura dei dati, debba applicarsi la sanzione accessoria della pubblicazione, sul sito web del Garante, del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dal titolare del trattamento I.S.P.R.O., con sede legale in Firenze, Via Cosimo Il Vecchio 2 – 50139, C.F. 94158910482 - P. Iva 05872050488, per la violazione degli artt. 5, par. 1, lett. f) e 9 del Regolamento nei termini di cui in motivazione;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, all’I.S.P.R.O., di pagare la somma di euro 7.000,00 (settemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento; si rappresenta che il trasgressore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al predetto titolare del trattamento, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 7.000,00 (settemila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 20 ottobre 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL VICE SEGRETARIO GENERALE
Filippi