[doc. web n. 9857587]

Ordinanza ingiunzione nei confronti di Azienda Sanitaria provinciale di Catania - 15 dicembre 2022

Registro dei provvedimenti
n. 425 del 15 dicembre 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Introduzione.

Con reclamo presentato all’Autorità, il sig. XX ha lamentato la pubblicazione nell’Albo Pretorio online dell’Azienda Sanitaria provinciale di Catania (di seguito, “Azienda Sanitaria”) della delibera n. XX del XX, con cui, a seguito di impugnazione da parte del reclamante di un provvedimento disciplinare, è stato conferito incarico a libero professionista per l’assistenza tecnica nel relativo giudizio.

In tale delibera erano contenute non solo indicazioni riguardanti vicende relative al rapporto di lavoro tra l’Azienda Sanitaria e il reclamante, ma anche informazioni relative al procedimento disciplinare nei confronti dell’interessato e a un procedimento penale a suo carico, compresa l’indicazione del numero di registro generale e dell’anno del procedimento.

2. L’attività istruttoria.

Con nota del XX (prot. n. XX) l’Azienda Sanitaria, in risposta a una richiesta di informazioni formulata dall’Ufficio, ha dichiarato, in particolare, che:

- si è “proceduto alla pubblicazione della deliberazione n. XX del XX per quindici giorni consecutivi e precisamente dal XX” tramite “sistema applicativo “Albo Pretorio online”;

- “non può non considerarsi […] il numero considerevole di atti (determine e delibere) che vengono quotidianamente pubblicati dall’Asp di Catania […]”, ovvero “XX” e “n. XX (al XX)”;

- “la pubblicazione integrale della delibera costituisc[e] un caso isolato”.

Con nota del XX (prot. n.XX), l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato al Titolare, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni degli artt. 5, par. 1, lett. a) e c),  6 e 10 del Regolamento nonché dell’art. 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139) e 2-octies del Codice, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).

Con nota del XX (prot. n.XX), l’Azienda Sanitaria ha presentato una memoria difensiva, dichiarando, in particolare, che:

- “in merito alla durata e alle modalità della pubblicazione, l’art. 5 del regolamento per la gestione dell’albo pretorio, adottato con deliberazione n. XX del XX, recita: “La pubblicazione di tutti gli atti/provvedimenti ha durata di quindici giorni consecutivi che hanno inizio (1°giorno) nel giorno della pubblicazione on line […] e si concludono (15° giorno) il giorno precedente alla rimozione del documento dall’Albo pretorio […] fatta salva una diversa durata prevista da legge o regolamento per uno specifico atto […]Trascorso tale periodo di pubblicazione sono rimossi dall’Albo per garantire il diritto all’oblio degli interessati... I documenti sono pubblicati all’Albo online in modo che sia impedita l’indiscriminata e incondizionata reperibilità dei dati personali in internet, nonché per evitare la “ decontestualizzazione” del dato estrapolandolo dal sito web e dal documento in cui è contenuto.”;

- “sul punto il funzionario dell’ufficio delibere, con la nota n. XX del XX, […], in riscontro alla richiesta avanzata da questa Direzione, sui fatti oggetto del reclamo, ha precisato che: “...alla scadenza del previsto termine di pubblicazione, tutti gli atti pubblicati transitano in maniera automatica dalla sezione “ Atti in pubblicazione” a quella “ Atti archiviati”, consentendo solamente la lettura degli elementi identificativi del provvedimento, ma non la consultazione dello stesso”;

- “in merito al carattere doloso o colposo della condotta, si ritiene di poter escludere che la pubblicazione dell’atto deliberativo che ha cagionato la violazione, sia stata posta in essere dolosamente. Si è trattato, infatti, di un caso isolato, a cui si ritiene non possa darsi il debito rilievo, anche dovuto alle contingenze pandemiche che hanno comportato che parte del personale, normalmente presente in Azienda, lavorasse in regime di smart working e parte fosse assente. Nella relazione del Direttore UOC Servizio legale, nota n. XX del XX, […] si riferisce che “nel caso di specie, a causa delle numerosissime proposte di atti deliberazioni e determinazioni, ogni giorno redatti, presumibilmente per mero disguido, sia stato trasmesso per la pubblicazione solo l’originale cartaceo in forma integrale e non quello recante la cifratura dei dati identificativi”;

- “nel momento in cui [l’Azienda Sanitaria…], è venuta a conoscenza della presunta violazione verificatasi con la pubblicazione dell’atto deliberativo contenente dati sensibili, già l’atto amministrativo non risultata più visionabile sul sito, giusta previsione dell’art. 5 del regolamento per la gestione dell’albo pretorio, su richiamata”;

- “la pubblicazione integrale della delibera in questione costituisce un caso isolato rispetto al numero complessivo degli atti deliberativi sottoposti a privacy, come detto, al XX, 545 su 3961 atti, con una incidenza pari al 14% circa; […] le contingenze pandemiche hanno comportato che parte del personale, normalmente presente in Azienda, lavorasse in regime di smart working e parte fosse assente; […] l’Azienda ha implementato ogni misura per la protezione dei dati”;

- “a seguito della trasmissione da parte [del Garante] del reclamo che si riscontra, l’Azienda ha, comunque, richiamato a tutti i Direttori di Struttura aziendali, il contenuto delle disposizioni di cui al Regolamento Generale per la Protezione dei Dati personali (UE) 2016/679 e del Regolamento Aziendale in materia di gestione dell’Albo pretorio on line”.

3. Esito dell’attività istruttoria.

3.1 Il quadro normativo.

La disciplina di protezione dei dati personali prevede che i soggetti pubblici, nell’ambito del contesto lavorativo, possono trattare i dati personali degli interessati, anche relativi a categorie particolari, se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalla legge o dal diritto dell’Unione o degli Stati membri (artt. 6, par. 1, lett. c), 9, par. 2, lett. b) e 4 e 88 del Regolamento). Il trattamento è, inoltre, lecito quando sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, parr. 1, lett. e), 2 e 3, e art. 9, par. 2, lett. g), del Regolamento; art. 2-ter del Codice, nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139).

La normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del […] regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento). Al riguardo, si evidenzia che l’operazione di “diffusione” di dati personali (come la pubblicazione su Internet), da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento (cfr. art. 2-ter, commi 1 e 3, del Codice, nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139).

Con specifico riguardo al trattamento dei dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza si evidenzia che lo stesso può avvenire soltanto sotto il controllo dell'autorità pubblica o se il trattamento è autorizzato dal diritto dell'Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati (art. 10 del Regolamento), ovvero solo qualora il trattamento sia autorizzato da una norma di legge o, nei casi previsti dalla legge, di regolamento (art. 2-octies, commi 1 e 5 del Codice).

Il titolare del trattamento è tenuto, in ogni caso, a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione dei dati”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c), del Regolamento).

3.2 La diffusione dei dati personali.

Come risulta dagli atti e dalle dichiarazioni rese dal titolare del trattamento, nonché dall’accertamento compiuto sulla base degli elementi acquisiti a seguito dell’attività istruttoria e dalle successive valutazioni di questo Dipartimento, l’Azienda Sanitaria ha pubblicato, sul sito web istituzionale, sezione albo pretorio, la determinazione n.XX del XX, contenente informazioni riguardanti il rapporto di lavoro tra l’Azienda Sanitaria e il reclamante, il procedimento disciplinare nei confronti dello stesso e indicazioni, compreso l’anno e il numero di registro generale, di un procedimento penale a carico del reclamante.

Sebbene, come sostenuto dall’Azienda Sanitaria, la determinazione in questione sia stata pubblicata nell’albo pretorio online per soli 15 giorni, l’Azienda non ha comprovato l’esistenza di una specifica norma di legge che obblighi l’ente a pubblicare l’integrale testo della determinazione di conferimento dell’incarico a un professionista per lo svolgimento della difesa in giudizio, non essendo sufficiente il richiamo fatto negli scritti difensivi al proprio regolamento per la gestione dell’albo pretorio, che non soddisfa, in ogni caso, i requisiti di una idonea base giuridica ai sensi dell’art. 2-ter, commi 1 e 3 del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139).

Al riguardo va ricordato che questa Autorità, in più occasioni, ha chiarito che anche la presenza di uno specifico regime di pubblicità, non può comportare alcun automatismo rispetto alla diffusione online dei dati e informazioni personali, né una deroga ai principi in materia di protezione dei dati personali (v. provv. del 25 febbraio 2021, n. 68, doc web 9567429). Ciò è d’altronde confermato anche dal sistema di protezione dei dati personali contenuto nel Regolamento, alla luce del quale è previsto che il titolare del trattamento deve mettere “in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento” e deve essere “in grado di dimostrare” – alla luce del principio di “responsabilizzazione” – di averlo fatto (artt. 5, par. 2; 24 e 25, par. 2, Regolamento). In numerose decisioni, infatti, il Garante ha ribadito che anche alle pubblicazioni nell’albo pretorio online si applicano tutti i limiti previsti dai principi della protezione dei dati con riguardo alla liceità e alla minimizzazione dei dati (cfr. parte II, par. 3.a. delle “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” del Garante del 15 maggio 2014 doc. web n. 3134436).

Nella determinazione oggetto della pubblicazione in esame non avrebbe dovuto essere, quindi, riportato alcun dato personale del reclamante, ricorrendo, se del caso, alla tecnica degli “omissis” o ad altre misure di anonimizzazione dei dati (cfr., sul punto, provv.ti del 15 settembre 2022, n.299, doc. web n. 9815665 e del 27 gennaio 2021, n. 34, doc. web n. 9549165 e provvedimenti in essi richiamati). 

La diffusione dei dati personali del reclamante, riguardanti anche informazioni relative a procedimenti penali, quali, in particolare, l’indicazione del numero di registro generale e dell’anno del procedimento, contenuti nella determinazione n. XX del XX, è, pertanto, avvenuta  - seppure l’Azienda Sanitaria nel corso dell’istruttoria abbia dichiarato che “presumibilmente per mero disguido, sia stato trasmesso per la pubblicazione solo l’originale cartaceo in forma integrale e non quello recante la cifratura dei dati identificativi” - in maniera non conforme ai principi di protezione dei dati e in assenza di un’idonea base giuridica, in violazione degli artt. 5, par. 1, lett. a) e c), e 6 e 10 del Regolamento, nonché dell’art.2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139) e 2-octies del Codice.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Azienda Sanitaria, per aver diffuso, mediante pubblicazione online della determinazione n. XX del XX, dati personali del reclamante, anche riferiti a un procedimento penale nei confronti dello stesso, in assenza di una idonea base giuridica, in violazione degli artt. 5, par. 1, lett. a) e c), 6 e 10 del Regolamento nonché dell’art.2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139) e 2-octies del Codice.

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti - atteso che la diffusione dei dati è cessata - non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

In relazione ai predetti elementi è stato considerata la particolare delicatezza dei dati personali illecitamente diffusi dall’Azienda Sanitaria, trattandosi di dati relativi a vicende connesse al rapporto di lavoro riferiti a un procedimento disciplinare e a indicazioni riguardanti anche un  procedimento penale nei confronti dello stesso (art. 10 del Regolamento),  nonostante le numerose indicazioni rese dal Garante a tutti i soggetti pubblici sin dal 2014 con le linee guida sopra richiamate (v. anche “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico"  del 14 giugno 2007, doc. web n. 1417809).

Di contro, si è tenuto favorevolmente in considerazione che la violazione ha coinvolto un solo interessato e la pubblicazione della determinazione in questione è avvenuta per  15 giorni e senza alcuna indicizzazione sui siti generalisti. Si è inoltre tenuto in considerazione che la violazione è avvenuta durante una fase particolarmente delicata (XX) in cui le Aziende Sanitarie erano impegnate a far fronte alle peculiari esigenze derivanti dallo stato di emergenza. Non risultano, inoltre, precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 5.000 (cinquemila) per la violazione degli artt. 5, par. 1, lett. a) e c), 6, 10 del Regolamento, nonché 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139) e 2-octies del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Tenuto conto della particolare delicatezza dei dati personali illecitamente diffusi dall’Azienda Sanitaria, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dal Titolare per violazione degli artt. 5, par. 1, lett. a) e c), 6 e 10 del Regolamento, nonché 2-ter del Codice (nel testo antecedente alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139) e 2-octies del Codice, nei termini di cui in motivazione;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, all’Azienda Sanitaria provinciale di Catania, in persona del legale rappresentante pro-tempore, con sede legale in Via Santa Maria La Grande, 5, 95124 Catania (CT) C.F. 04721260877, di pagare la somma di euro 5.000 (cinquemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Azienda Sanitaria, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 5.000 (cinquemila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice (v. art. 16 del Regolamento del Garante n. 1/2019);

l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento (v. art. 17 del Regolamento del Garante n. 1/2019).

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 15 dicembre 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei