[doc. web n. 1525598]

Ordinanza ingiunzione nei confronti di Asl Lanciano-Vasto - 13 settembre 2007

Registro delle deliberazioni
Del. n. 44  del 13 settembre 2007

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

ORDINANZA INGIUNZIONE

NELLA riunione odierna, alla presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Giovanni Buttarelli, segretario generale;

ESAMINATO il rapporto del Comando nucleo speciale funzione pubblica e privacy della Guardia di finanza predisposto ai sensi dell´art. 17 della legge 24 novembre 1981, n. 689, relativo al verbale di contestazione per violazione amministrativa redatto in data 4 maggio 2005 nei confronti dell´Azienda sanitaria locale di Lanciano/Vasto, sita in Lanciano (CH) via Silvio Spaventa n.37, in persona del legale rappresentante pro-tempore, per violazione dell´articolo 37 del Codice in materia di protezione dei dati personali (di seguito denominato Codice);

RILEVATO che il predetto Comando, in attuazione della richiesta di informazioni  ex art. 157 del Codice (n. 7738 datata 21 aprile 2005) e su specifica delega di questa Autorità (n. 7740 del 21 aprile 2005), ha svolto accertamenti di cui al verbale di operazioni compiute del 4 maggio 2005 dai quali è risultato che l´Asl effettua, in qualità di titolare, trattamenti di dati personali previsti dall´art. 37, comma 1, lett. a) e b), del Codice (dati genetici e dati biometrici, nonché dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica e relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, trapianto di organi e tessuti e monitoraggio della spesa sanitaria, trattati su supporti elettronici e cartacei) da epoca anteriore al 1° gennaio 2004; considerato altresì, come dichiarato dalla Asl, che quest´ultima ha effettuato la notificazione al Garante nelle forme previste dagli artt. 37 e 38 del Codice in data 30 giugno 2005 e, quindi, oltre il termine previsto dall´art. 181, comma 1, lett. c) del Codice (30 aprile 2004);

VISTO il verbale n. 84 del 4 maggio 2005 con cui si è contestata alla predetta azienda sanitaria la violazione prevista dall´art. 163 del Codice in relazione all´art. 37, informandola della facoltà di effettuare il pagamento in misura ridotta ai sensi dell´art. 16 della legge n. 689/1981;

RILEVATO dal predetto rapporto che non risulta essere stato effettuato il pagamento in misura ridotta;

VISTO lo scritto difensivo inviato ai sensi dell´art. 18 della legge n. 689/1981, con il quale l´azienda ha ribadito di non aver provveduto alla notificazione al Garante ai sensi dell´art. 37 del Codice, sviluppando le seguenti deduzioni:

a) la contestata violazione risulterebbe infondata rispetto alla prestazione di servizi per via telematica relativi a banche di dati e alla fornitura di beni (in quanto la banca dati non sarebbe collegata in una rete e non sarebbe utilizzata per la prestazione per via telematica del servizio, come indicato in una risposta a quesiti data dall´Autorità il 26 aprile 2004). Inoltre, l´azienda risulterebbe esonerata dalla notificazione in virtù di quanto previsto dalla deliberazione del Garante n. 1 del 31 marzo 2004 (lett. A), punto 2 lett. b)) in relazione ai trattamenti effettuati rispetto al fine di indagine epidemiologica, rilevazione di malattie infettive e diffusive, in quanto svolti da esercenti le professioni sanitarie e mediante banche di dati non accessibili a terzi per via telematica e limitatamente alle operazioni indispensabili per la tutela della salute o dell´incolumità fisica dell´interessato o di un terzo. Rispetto ai trattamenti effettuati per il fine di monitoraggio della spesa pubblica, l´azienda risulterebbe esonerata espressamente dalla lett. b) della deliberazione sopra citata;

b) assenza dell´elemento psicologico di cui all´art. 3 della legge n. 689/1981, nei termini dell´errore scusabile integrante il requisito della buona fede, in considerazione della complessità, analiticità e ambiguità della disciplina. Ciò, anche alla luce del complesso di attività poste in essere, tra cui la nota interna n. 359, datata 9 gennaio 2004, con la quale si richiamava l´attenzione della dirigenza sugli adempimenti connessi alla vigente normativa in materia di privacy;

RILEVATO che l´attività svolta dall´azienda configura un trattamento di dati personali (art. 4 comma 1, lett. a) e b) del Codice) per il quale doveva essere assolto l´obbligo di effettuare la notificazione del trattamento all´Autorità ai sensi e nei modi previsti dagli artt. 37, comma 1, lett. a) e b) e 38 del Codice;

RITENUTO che le argomentazioni addotte dall´azienda nelle memorie difensive non risultano idonee in relazione alla contestazione della violazione amministrativa per omessa notificazione con cui si è dato avvio al procedimento, in quanto:

a)  i casi di esclusione della notificazione di cui al provvedimento del Garante n. 1/2004 relativi alla lett. b) del comma 1 dell´art. 37, come specificato anche nella risposta ai quesiti relativi a trattamenti in ambito sanitario da notificare al Garante (in www.garanteprivacy.it, doc. web n. 996680), non operano per i trattamenti effettuati da strutture sanitarie pubbliche o private (quali le aziende sanitarie) essendo stati chiaramente disposti solo ed esclusivamente nei riguardi di singole persone fisiche esercenti le professioni sanitarie;

b) il Codice indica i trattamenti di dati da notificare e demanda al Garante il compito di individuare, tra essi, quelli sottratti all´obbligo di notificazione, purché insuscettibili di recare pregiudizio ai diritti e alle libertà dell´interessato in ragione delle modalità di trattamento o alla natura dei dati. In particolare l´art 37, comma 1, lett. b) prevede che i trattamenti di "dati idonei a rilevare lo stato di salute e la vita sessuale trattati", rispettivamente, "a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria". Il titolare del trattamento è tenuto ad avere, tramite le proprie articolazioni, puntuale conoscenza dei trattamenti effettuati, essendo sua esclusiva prerogativa individuarli e impartire le necessarie istruzioni agli eventuali responsabili del trattamento. Nel caso di specie, la circostanza dedotta relativa all´invio di una nota (prot. 359 del 9 gennaio 2004) a tutti i dirigenti dell´azienda, volta a richiamare l´attenzione sugli adempimenti relativi alla normativa in materia di privacy, non è di per sé sola scriminante ai fini della dedotta inesistenza della responsabilità amministrativa. Quanto sopra non consente, quindi, di applicare, al caso di specie, la disciplina dell´ "errore sul fatto" prevista dall´art. 3, comma 2, della legge n. 689/1981;

c) l´Asl era in ogni caso tenuta alla notificazione effettuando comunque (come risulta sia dal verbale di operazioni compiute, sia dalla stessa memoria difensiva) anche altre attività di trattamento dati soggette a notificazione (e non esonerate nel caso di specie);

VISTO l´art. 163 del Codice, che punisce la violazione di cui all´art. 37 del Codice con la sanzione amministrativa del pagamento di una somma da diecimila euro a sessantamila euro e con la sanzione amministrativa accessoria della pubblicazione dell´ordinanza-ingiunzione;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni ed integrazioni;

RITENUTO di dover determinare l´ammontare della sanzione pecuniaria, avuto riguardo ai parametri indicati nell´art. 11 della legge 24 novembre 1981 n. 689, valutati anche in relazione all´attività svolta e al genere di trattamento di dati personali, nella misura del minimo pari alla somma di diecimila/00 euro;

RITENUTO di dover applicare la sanzione accessoria della pubblicazione, avuto riguardo alla gravità della violazione valutata alla luce dei predetti parametri e circostanze, nella misura ritenuta congrua della sola pubblicazione per estratto, per una sola volta e su una sola testata giornalistica, identificata ne "Il Centro";

VISTA la documentazione in atti curata dal Dipartimento attività ispettive e sanzioni;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE il dott. Giuseppe Fortunato;

ORDINA

all´Azienda sanitaria locale di Lanciano/Vasto, sita in Lanciano (CH) via Silvio Spaventa n.37, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 10.000,00 (diecimila) a titolo di sanzione amministrativa pecuniaria per la violazione dell´art. 163 del Codice, indicata  in motivazione;

DISPONE

la pubblicazione a cura dell´Ufficio della presente ordinanza-ingiunzione a titolo di sanzione amministrativa accessoria prevista dall´art. 163 del Codice, per estratto e per una sola volta, sulla testata giornalistica  "Il Centro";

INGIUNGE

alla medesima azienda di pagare, fermo restando quanto dovuto per la sanzione accessoria, la somma di euro 10.000,00 (diecimila) tramite il bollettino postale che verrà fornito in allegato, intestato a "Tesoreria provinciale dello Stato di Chieti" entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale o in copia autentica, quietanza dell´avvenuto versamento;

DÁ ATTO CHE

avverso il presente provvedimento, ai sensi dell´art. 152 del Codice, può essere proposta opposizione davanti al tribunale ordinario del luogo ove ha sede il titolare del trattamento entro il termine di trenta giorni dalla notificazione del presente provvedimento.

Roma, 13 settembre 2007

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
Buttarelli