g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Azienda Ospedaliera Bianchi Melacrino Morelli - 26 gennaio 2023 [9863050]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9863050]

Ordinanza ingiunzione nei confronti di Azienda Ospedaliera Bianchi Melacrino Morelli - 26 gennaio 2023

Registro dei provvedimenti
n. 25 del 26 gennaio 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. La segnalazione e l’attività istruttoria

Con nota del XX il sig. XX ha lamentato di aver ricevuto, da parte dell’Azienda Ospedaliera Bianchi Melacrino Morelli (di seguito “Azienda”), un referto relativo a soggetto terzo, paziente dell’Azienda medesima.

A seguito della richiesta di informazioni di questa Autorità (nota del XX, prot. n. XX, formulata ai sensi dell’art. 157 del Codice) con la quale si chiedeva ogni elemento di informazione utile alla valutazione del caso, l’Azienda ha fornito riscontro, con nota del XX.

In particolare, il Direttore sanitario aziendale f.f. rappresentante legale p.t., ha dichiarato che:

- “da quanto emerso nel corso delle verifiche interne, questa procedura, benché non autorizzata, è stata attivata su iniziativa del Centro Unico Prelievi al fine di ridurre gli accessi allo sportello ritiri e offrire un servizio all’Utenza. Il tutto (…), senza alcuna conoscenza da parte di questa Direzione”;

- “più specificatamente, sebbene con nota prot n. XX del XX (…) la U.O.C. Direzione Medica di Presidio avesse dato precise indicazioni sulle modalità di consegna dei referti, si rappresenta che: era in atto una procedura di consegna referti, su richiesta dell’interessato, mediante l’invio elettronico da parte dell’operatore addetto alla consegna dei referti; il sistema di invio dei referti on-line non prevedeva le misure previste dalle linee guida vigenti, né le misure di sicurezza previste da questa Azienda”;

- “dalla categoria dei dati personali interessati all’episodio (dati di salute, nello specifico esami di laboratorio di routine), tuttavia, si può ragionevolmente ipotizzare che non siano sorte particolari conseguenze nei confronti dell'interessato”;

- “la violazione si può ragionevolmente imputare alla: mancata partecipazione alle attività formative da parte del personale del Centro Unico Prelievi; mancata vigilanza sull’operato degli operatori addetti al servizio di consegna referti”;

- “la violazione, pertanto, sembra poter essere imputabile ad un difetto di vigilanza, probabilmente correlato alla cronica carenza di personale dirigenziale, ulteriormente aggravata durante il periodo della pandemia da Covid-19”;

- “la Direzione, di concerto con il RPD ha intrapreso le seguenti azioni: sospensione immediata dell’invio dei referti con modalità on line, con nota prot. n. XX del XX (…); comunicazione all’interessato della violazione, con nota prot. XX del XX (…); comunicazione al soggetto terzo non autorizzato con richiesta di distruzione della documentazione dell’interessato, (..) di non utilizzare i dati, e comunque non divulgare a terzi la documentazione sanitaria ricevuta per errore, nota prot. n. XX del XX (…); avvio di un ciclo di attività formativa straordinaria per informare tutti direttori di UU.OO dell’accaduto, ribadire il divieto di invio di documentazione sanitaria per mezzo di posta elettronica ed evidenziare la necessità di dare piena applicazione delle misure di sicurezza aziendali — si vedano la nota di convocazione del XX (…) e il registro delle presenze (…); indizione di un avviso pubblico per il conferimento dell'incarico dirigenziale di Direttore della U.0.C. Direzione Medica di Presidio, con delibera aziendale n. XX del XX (…)”;

- “anche al fine di prevenire simili violazioni, inoltre, questa Azienda aveva già precedentemente attivato specifiche misure, quali: formazione annuale (8 ore) accreditata ECM, obbligatoria per tutti i Direttori/Responsabili UU.00.; formazione periodica (bimestrale) per tutti i referenti privacy; approvazione di misure di sicurezza aziendali; archiviazione sicura; scambi sicuri di dati e informazioni con altre organizzazioni o pazienti (…); approvazione della “Procedura aziendale per la corretta gestione delle violazioni dei dati personali” (…); definizione di obiettivi aziendali che tengono conto dello stato di applicazione del GDPR, con la previsione di specifici audit con tutte le UU.OO. di area sanitaria (…); acquisto di software dedicato alla consegna di referti in modalità on line, nello specifico l’acquisto dell’aggiornamento del servizio di posta elettronica in uso Zimbra, alle disposizioni previste dal D.P.C.M. del 8 agosto 2013, cosi come evidenziato dal RPD (nota prot. XX del XX). Piattaforma di posta elettronica acquisita insieme al “Portale del Cittadino” anche per la consegna dei referti in occasione del rinnovo di contratto con il fornitore (TIM) di prossima installazione (determina n. XX del XX) (…); implementazione del “Portale del Cittadino” anche per la consegna dei referti”.

2. Valutazioni del Dipartimento sul trattamento effettuato e notifica della violazione di cui all’art. 166, comma 5, del Codice

n relazione ai fatti descritti nell’istanza, l’Ufficio, con nota del XX (prot. n. XX), ha notificato alla Azienda, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitandola a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24 novembre 1981).

In particolare, con il predetto atto è stato notificato all’Azienda il rilievo in relazione al trattamento di dati relativi alla salute effettuato in assenza di un idoneo presupposto giuridico, in violazione dei principi di base del trattamento di cui agli artt. 5 e 9 del Regolamento e degli obblighi in materia di sicurezza di cui all’art. 32 del Regolamento medesimo, nonché dell’art. 75 del Codice, che fa salve le specifiche disposizioni di settore contenute nel d.P.C.M. 8 agosto 2013.

Con nota dell’XX l’Azienda fatto pervenire le proprie memorie difensive, nelle quali, in particolare, ha evidenziato che:

- “si conferma che il Grande Ospedale Metropolitano “Bianchi - Melacrino — Morelli” (G.O.M.) aveva formalizzato precise indicazioni sulle procedure da seguire per la consegna, esclusivamente brevi manu dei referti, affinché venissero garantiti i requisiti di sicurezza imposti dalle normative poste a tutela della riservatezza”;

- “solo dalle verifiche interne svolte successivamente alla segnalazione del singolo caso oggetto del presente procedimento, è emerso che gli operatori di sportello, durante il massimo periodo di emergenza pandemica, al fine di preservare sé stessi, la continuità della erogazione dei servizi essenziali e la salubrità dei luoghi deputati all'erogazione di servizi sanitari ricorrevano all’invio a mezzo di posta elettronica dei referti, non in maniera sistematica, ma soltanto su espressa richiesta dei diretti interessati, peraltro in numero estremamente limitato rispetto agli accessi giornalieri;”

- “tale prassi, ancorché contraria alle precise e formali indicazioni aziendali ex post potrebbe ritenersi comprensibile se rapportata al particolare momento critico correlato alla gestione della pandemia da Covid-19. Nel momento storico in cui è avvenuto il caso in esame, infatti, era prioritario limitare il numero di accessi degli utenti presso i locali dell'Ospedale, sia per contenere il rischio di esposizione del personale sanitario a fonti esterne di contagio, sia per contenere la mobilità dell’Utenza e la diffusione del virus. La direzione aziendale ha infatti appreso che allorquando un paziente sottoposto ad esami clinici richiedeva l’invio del referto sul proprio indirizzo di posta elettronica per evitare di doversi recare nuovamente in Ospedale, gli operatori aderivano autonomamente alla richiesta, così da ridurre la già elevata presenza quotidiana dei pazienti e dei loro accompagnatori”;

- “tale valutazione, effettuata motu proprio dai singoli operatori, è apparsa non priva di buon senso considerato anche il particolare ruolo di questa Azienda Ospedaliera nell’ambito della rete ospedaliera regionale: centro HUB e sede di Dipartimento Emergenza urgenza ed Accettazione — D.E.A. di Il Livello con un bacino di utenza di circa 550.000 abitanti distribuiti in n. 97 Comuni. Le prestazioni erogate nel 2019 (ultimo anno di ordinaria attività prima dell'emergenza da Covid-19) hanno rilevato n. 72.634 accessi di Pronto Soccorso, n. 19.860 ricoveri in regime ordinario, n. 6.280 ricoveri in regime diurno, e n. 723.103 prestazioni ambulatoriali. Durante la pandemia, inoltre, il G.O.M. è stato l’unico Ospedale Covid a dover garantire i ricoveri ordinari per acuti dell’intera provincia di Reggio Calabria, con il medesimo bacino di utenza sopra descritto”;

- “gli operatori di sportello, che nel periodo di massima emergenza pandemica hanno talvolta contravvenuto alle rigide e formali procedure aziendali poste a tutela della riservatezza, commettendo, purtroppo, nel caso di specie, un singolo errore di invio, si può dire, senza pericolo di smentita, che abbiano agito perseguendo l’interesse pubblico più urgente ed importante, ovvero quello connesso al contenimento della pandemia ed alla continuità dell’erogazione dei fondamentali ed insostituibili servizi sanitari presso l'ospedale di riferimento per tutta la provincia di Reggio Calabria”;

- “con riferimento alle iniziative intraprese e documentate nella prima comunicazione del XX, si comunica che con la deliberazione n. XX del XX (…) è stata conclusa la procedura di selezione per il conferimento dell’incarico di sostituzione del Direttore della U.0.C. Direzione Medica di Presidio. E’ stato, inoltre, acquisito il parere favorevole del Responsabile Protezione Dati sull’implementazione della funzionalità di ritiro on-line dei referti di laboratorio attraverso il "Portale del Cittadino" (…), ad oggi in fase di collaudo”.

3. Esito dell’attività istruttoria

Preso atto di quanto rappresentato dall’Azienda nella documentazione in atti e nelle memorie difensive, si osserva che:

1. che per “dati relativi alla salute”, ricompresi tra le categorie “particolari” di informazioni personali, si intendono i “dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, n. 15 del Regolamento; considerando n. 35); tali dati meritano una maggiore protezione dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali (considerando n. 51);

2. il “titolare del trattamento” è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” (art. 4, par. 1, punto 7, del Regolamento);

3. il titolare del trattamento può prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni - connessi al trattamento di dati personali - siano attribuiti a persone fisiche, espressamente designate, operanti sotto la propria autorità. Il titolare è tenuto ad istruire adeguatamente tali persone che operano sotto la propria autorità diretta e che abbiano accesso ai dati personali, nonché a individuare le modalità più opportune per autorizzarle al trattamento dei dati personali (art. 2-quaterdecies del Codice; cfr. anche art. 4, par. 1, punto 10 e art. 29 del Regolamento);

4. la disciplina in materia di protezione dei dati personali stabilisce che i medesimi dati devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (principio di “integrità e riservatezza”)” (art. 5, par. 1, lett. f), del Regolamento);

5. il titolare del trattamento è tenuto a mettere in atto “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”, tenendo conto, tra l’altro, “della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (art. 32 del Regolamento);

6. per “comunicazione”, si intende “il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dell'Unione europea, dal responsabile o dal suo rappresentante nel territorio dell'Unione europea, dalle persone autorizzate, ai sensi dell'articolo 2-quaterdecies, al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile, in qualunque forma, anche mediante la loro messa a disposizione, consultazione o mediante interconnessione” (art. 2-ter, comma 4, lett. a), del Codice);

7. la disciplina in materia di protezione dei dati personali prevede che le informazioni sullo stato di salute possano essere comunicate unicamente all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso previa delega scritta di quest’ultimo (art. 9 Regolamento, nonché art. 84 del Codice - nella versione precedente la riformulazione del medesimo Codice ad opera del legislatore con il d.lgs. 10 agosto 2018, n. 101 - in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101);

8. l’attività di refertazione online è disciplinata dal d.P.C.M. 8 agosto 2013 recante “Disposizioni sulle modalità di consegna da parte delle Aziende sanitarie dei referti medici tramite web, posta elettronica certificata e altre modalità digitali, nonché specifici requisiti di sicurezza da adottare nell’ambito di tali modalità digitali di consegna” (cfr., altresì, il provvedimento del 19 novembre 2009 del Garante, pubblicato in G.U. n. 288 dell´11 dicembre 2009, consultabile su www.gpdp.it, doc. web n. 1679033, recante “Linee guida in tema di referti on-line”, che continua ad applicarsi anche dopo l’entrata in vigore del Regolamento, in quanto ritenuto anch’esso compatibile con il medesimo Regolamento e con le disposizioni del decreto n. 101/2018; cfr. art. 22, comma 4, del citato d.lgs. n. 101/2018); in particolare l’Allegato A, punto 1.2. lett. b) al citato decreto prevede, nell’ambito della consegna tramite posta elettronica, che il referto digitale o la sua copia informatica devono essere protetti con tecniche di cifratura e accessibili tramite una password per l’apertura del file   consegnata separatamente all’interessato;

9. in relazione a tale precedente punto, l’art. 75 del Codice, nel riassumere le condizioni del trattamento dei dati personali in ambito sanitario, fa riferimento alla necessità del rispetto delle specifiche disposizioni di settore.

4. Conclusioni

Alla luce delle valutazioni sopra esposte, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice (“Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”), si rileva che gli elementi forniti dal titolare del trattamento nelle memorie difensive sopra richiamate non sono idonei ad accogliere le richieste di archiviazione, non consentendo di superare i rilievi notificati dall’Ufficio con il citato atto di avvio del procedimento.

In particolare, la circostanza che l’Azienda non fosse a conoscenza della prassi (ancorché contraria alle precise e formali indicazioni della stessa) adottata dagli  operatori di sportello, concernente l’invio dei referti a mezzo di posta elettronica, su espressa richiesta dei diretti interessati, senza tener conto delle misure indicate nel citato Allegato A del d.P.C.M. 8 agosto 2013, non esonera da responsabilità la medesima Azienda, che avrebbe dovuto svolgere attività di vigilanza, controllo o revisione in merito alla sicurezza del trattamento dei dati dei pazienti da parte dei soggetti che operano sotto la propria responsabilità diretta. Ciò, in ragione del fatto che il titolare è il soggetto sul quale ricadono le decisioni circa le finalità e le modalità del trattamento dei dati personali degli interessati e che ha una “responsabilità generale” sui trattamenti posti in essere (art. 4, par. 1, punto 7; art. 5, par. 2 - c.d. principio di “accountability” e art. 24 del Regolamento); lo stesso è, infatti, tenuto a “mettere in atto misure adeguate ed efficaci [e…] dimostrare la conformità delle attività di trattamento con il […] Regolamento, compresa l’efficacia delle misure” (considerando n. 74), anche con riferimento alla predisposizione di misure tecniche e organizzative che soddisfino i requisiti del Regolamento sotto il profilo della sicurezza (artt. 24 e 32 del Regolamento).

Per tali ragioni si rileva l’illiceità dei trattamenti di dati personali effettuati dalla Azienda, nei termini di cui in motivazione, per la violazione dei principi di base del trattamento di cui agli artt. 5, § 1, lett. a) ed f) e 9 del Regolamento e degli obblighi in materia di sicurezza di cui all’art. 32 del Regolamento medesimo, nonché dell’art. 75 del Codice, che fa salve le specifiche disposizioni di settore tra le quali quelle contenute nel d.P.C.M. 8 agosto 2013.

In tale quadro, considerato che l’Azienda ha fornito idonee assicurazioni dichiarando: di aver sospeso immediatamente “l’invio dei referti con modalità on line”; di aver inviato richiesta “al soggetto terzo non autorizzato (…) di distruzione della documentazione dell'interessato, di non utilizzare i dati, e comunque (…) non divulgare a terzi la documentazione sanitaria ricevuta per errore (…); di aver avviato un “ciclo di attività formativa straordinaria per informare tutti direttori di UU.OO dell'accaduto”; di aver ribadito “il divieto di invio di documentazione sanitaria per mezzo di posta elettronica ed (…) (evidenziato) la necessità di dare piena applicazione delle misure di sicurezza aziendali (…)”,  non ricorrono allo stato i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i) e 83 del Regolamento; art. 166, comma 7, del Codice). 

La violazione degli artt. 5, 9 e 32 del Regolamento e dell’art. 75 del Codice, causata dalla condotta della Azienda, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 4, lett. a) e par. 5, lett. a) del Regolamento (art. 166, comma 2, del Codice).

Si consideri che il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2, del Regolamento in relazione ai quali si osserva che:

l’Autorità ha preso conoscenza dell’evento a seguito di segnalazione da parte di un terzo (art. 83, par. 2, lett.  h) del Regolamento);

il trattamento dei dati effettuato dalla Azienda ha riguardato dati idonei a rilevare informazioni sulla salute dell’interessata, paziente di tale Azienda e, in relazione all’utilizzo della modalità online di trasmissione dei referti - non conforme alla normativa di settore - degli altri utenti che hanno richiesto tale servizio (art. 83, par. 2, lett.  a) e g) del Regolamento);

il titolare ha dimostrato un grado elevato di cooperazione con l’Autorità e nei confronti della Azienda medesima non è stato in precedenza adottato alcun provvedimento per violazioni pertinenti (art. 83, par. 2, lett. e) e f) del Regolamento);

l’Azienda, oltre ad aver effettuato corsi di formazione per il personale, aveva fornito indicazioni in ordine alla consegna dei referti, da effettuare attraverso la modalità di consegna brevi manu e la necessità di utilizzare la modalità di refertazione online era stata posta in essere dagli operatori dello sportello nel contesto emergenziale da pandemia da Covid-19, al fine di consentire agli interessati di accedere ai propri referti, evitando l’accesso in sede; tale contesto ha, altresì, ulteriormente inciso in ordine alla carenza di personale dirigenziale per la relativa attività di vigilanza (art. 83, par. 2, lett. k) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 4 e 5 del Regolamento, nella misura di euro 7.000,00 (settemila) per la violazione degli artt. 5, 9 e 32 del Regolamento e dell’art. 75 del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dalla Azienda Ospedaliera Bianchi Melacrino Morelli per la violazione degli artt. artt. 5, 9 e 32 del Regolamento e dell’art. 75 del Codice.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, alla Azienda Ospedaliera Bianchi Melacrino Morelli C.F./P.Iva 01367190806, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 7.000,00 (settemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla predetta Azienda, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 7.000,00 (settemila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 26 gennaio 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei