g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Asl Avellino 1 - 13 settembre 2007 [1526703]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 1526703]

Ordinanza ingiunzione nei confronti di  Asl Avellino 1 - 13 settembre 2007

Registro delle deliberazioni
Del. n. 48  del 13 settembre 2007

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

ORDINANZA INGIUNZIONE

NELLA riunione odierna, alla presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Giovanni Buttarelli, segretario generale;

ESAMINATO il rapporto del Comando nucleo speciale funzione pubblica e privacy della Guardia di finanza predisposto ai sensi dell´art. 17 della legge 24 novembre 1981, n. 689, relativo al verbale di contestazione per violazione amministrativa redatto in data 11 maggio 2005 nei confronti dell´Azienda sanitaria locale Avellino 1, sita in Ariano Irpino (AV) via Cardito s.n.c., in persona del legale rappresentante pro-tempore, per violazione dell´articolo 37 del Codice in materia di protezione dei dati personali (di seguito denominato Codice);

 RILEVATO che il predetto Comando, in attuazione della richiesta di informazioni  ex art. 157 del Codice (n. 7738 datata 21 aprile 2005) e su specifica delega di questa Autorità (n. 7740 del 21 aprile 2005), ha svolto accertamenti di cui al verbale di operazioni compiute dell´11 maggio 2005 dai quali è risultato che l´Asl effettua, in qualità di titolare, trattamenti di dati personali previsti dall´art. 37, comma 1, lett. a) e b), del Codice (dati genetici e dati biometrici, nonché dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica e relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, trapianto di organi e tessuti e monitoraggio della spesa sanitaria, trattati su supporti elettronici e cartacei) da epoca anteriore al 1° gennaio 2004; considerato altresì, come dichiarato dalla Asl, che quest´ultima ha effettuato la notificazione al Garante nelle forme previste dagli artt. 37 e 38 del Codice in data 26 novembre 2004 e, quindi, oltre il termine previsto dall´art. 181, comma 1, lett. c) del Codice (30 aprile 2004);

VISTO il verbale n. 94 dell´11 maggio 2005 con cui si è contestata alla predetta azienda sanitaria la violazione prevista dall´art. 163 del Codice in relazione all´art. 37, informandola della facoltà di effettuare il pagamento in misura ridotta ai sensi dell´art. 16 della legge 689/1981;

RILEVATO dal predetto rapporto che non risulta essere stato effettuato il pagamento in misura ridotta;

VISTO lo scritto difensivo inviato ai sensi dell´art. 18 della legge n. 689/1981, con il quale l´azienda ha ribadito di aver provveduto alla notificazione al Garante ai sensi dell´art. 37 del Codice in data  26 novembre 2004, sviluppando le seguenti deduzioni:

a) la data di accertamento della violazione in argomento sarebbe quella in cui l´azienda ha provveduto alla notificazione al Garante (26 novembre 2004) e non quella in cui la Guardia di finanza ha redatto sia il verbale di operazioni compiute, sia il verbale di contestazione immediata (11 maggio 2005); di conseguenza il dies a quo di 90 giorni per la legittima notificazione, previsto dall´art. 14 della legge n. 689/1981, sarebbe decorso estinguendo l´obbligazione al pagamento;

b) la formulazione della contestazione amministrativa sarebbe generica in quanto non conterrebbe riferimenti concreti ai dati trattati dall´azienda rispetto ai quali risulterebbe violato l´obbligo di notificazione mancando, peraltro, riferimenti al provvedimento del Garante che ha disciplinato i casi di esclusione (deliberazione del Garante  n. 1 del 31 marzo 2004);

c) il fatto che la notificazione al Garante sia stata effettuata in data 26 novembre 2004 sostanzierebbe un caso di ravvedimento operoso successivo alla violazione;

d) le incertezze normative riconducibili a non sempre univoci comportamenti del legislatore, avrebbero indotto l´azienda ad intraprendere le attività volte all´adempimento degli obblighi nascenti dal Codice non tempestivamente e con notevoli incertezze anche alla luce delle novità della materia e degli obblighi connessi;

VISTA la richiesta di audizione, formulata nello scritto difensivo di cui sopra dall´Azienda sanitaria locale Avellino 1 ai sensi dell´art. 18 della legge n. 689/1981;

VISTA la convocazione per audizione ai sensi dell´art. 18 della legge 689/1981 n. 12439 del 24 giugno 2005 inviata dal Garante a mezzo fax in pari data;

CONSIDERATO il verbale di audizione delle parti, datato 5 luglio 2005, nel quale l´azienda sanitaria ha ribadito quanto ipotizzato nella memoria difensiva;

RILEVATO che l´attività svolta dall´azienda configura un trattamento di dati personali (art. 4 comma 1, lett. a) e b) del Codice) per il quale doveva essere assolto l´obbligo di effettuare la notificazione del trattamento all´Autorità ai sensi e nei modi previsti dagli artt. 37, comma 1, lett. a) e b) e 38 del Codice;

RITENUTO che le argomentazioni addotte dall´azienda, sia nelle memorie difensive, sia nel verbale di audizione, non risultano idonee in relazione alla contestazione della violazione amministrativa per omessa notificazione con cui si è dato avvio al procedimento, in quanto:

a) l´accertamento della violazione amministrativa, disciplinato dall´art. 13 della legge n. 689/1981, consiste nella documentata enunciazione di fatti integranti un illecito amministrativo, il che implica anche una necessaria valutazione e qualificazione di fatti. Dal mero invio telematico della notificazione, effettuato dall´azienda in data 26 novembre 2004, non era direttamente desumibile alcun illecito in assenza di elementi di fatto, acquisiti nel corso degli accertamenti effettuati dal Comando nucleo speciale della Guardia di finanza, riferiti alla natura dei trattamenti di dati effettuati e alla determinazione del tempo dal quale il trattamento dei dati era iniziato (prima dell´ 1 gennaio 2004) rispetto alla data della notificazione (26 novembre 2004). Il Garante non disponeva previamente di alcuna informazione comprovante la data di inizio del trattamento;

b) la lamentata genericità della violazione contestata è infondata in quanto, sia nel verbale di operazioni compiute dell´11 maggio 2005, sia in quello di contestazione di pari data, è la medesima azienda ad ammettere esplicitamente l´effettuazione di trattamenti che generano l´obbligo di notificazione. Ciò, è confermato dalla stessa notificazione effettuata, se pur tardivamente, nella quale sono state analiticamente indicate le categorie di dati e le finalità dei trattamenti effettuati. Infine, i casi di esclusione della notificazione di cui al provvedimento del Garante n. 1/2004  relativi alle lett. a) e b) dell´art. 37, come specificato anche nella risposta ai quesiti relativi a trattamenti in ambito sanitario da notificare al Garante (in www.garanteprivacy.it, doc. web n. 996680), non operano per i trattamenti effettuati da strutture sanitarie pubbliche o private (quali le aziende sanitarie) essendo disposti solo nei riguardi di persone fisiche;

c) il ravvedimento operoso, consistente nell´avere l´azienda provveduto alla notificazione autonomamente e prima dell´accertamento, seppure può formare oggetto di valutazione nell´ambito del procedimento ai sensi dell´art. 11 della legge n. 689/1981 che individua gli strumenti per la quantificazione della sanzione amministrativa in parola, non ha effetto sui presupposti costitutivi dell´illecito;

d) il Codice indica i trattamenti di dati da notificare e demanda al Garante il compito di individuare, tra essi, quelli sottratti all´obbligo di notificazione, purché insuscettibili di recare pregiudizio ai diritti e alle libertà dell´interessato in ragione delle modalità di trattamento o alla natura dei dati. In particolare l´art 37, comma 1, lett. a) prevede che debbano essere notificati i trattamenti di "dati genetici, biometrici..." e (lett. b)) i trattamenti di "dati idonei a rilevare lo stato di salute e la vita sessuale trattati" rispettivamente "a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria";

VISTO l´art. 163 del Codice, che punisce la violazione di cui all´art. 37 del Codice con la sanzione amministrativa del pagamento di una somma da diecimila euro a sessantamila euro e con la sanzione amministrativa accessoria della pubblicazione dell´ordinanza-ingiunzione;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni ed integrazioni;

RITENUTO di dover determinare l´ammontare della sanzione pecuniaria, avuto riguardo ai parametri indicati nell´art. 11 della legge 24 novembre 1981 n. 689, valutati anche in relazione all´attività svolta e al genere di trattamento di dati personali, nella misura del minimo pari alla somma di diecimila/00 euro;

RITENUTO di dover applicare la sanzione accessoria della pubblicazione, avuto riguardo alla gravità della violazione valutata alla luce dei predetti parametri e circostanze, nella misura ritenuta congrua della sola pubblicazione per estratto, per una sola volta e su una sola testata giornalistica, identificata ne "Il Mattino";

VISTA la documentazione in atti curata dal Dipartimento attività ispettive e sanzioni;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE il prof. Francesco Pizzetti;

ORDINA

all´Azienda sanitaria locale Avellino 1, sita in Ariano Irpino (AV) via Cardito s.n.c., in persona del legale rappresentante pro-tempore, di pagare la somma di euro 10.000,00 (diecimila) a titolo di sanzione amministrativa pecuniaria per la violazione dell´art. 163 del Codice, indicata  in motivazione;

DISPONE

la pubblicazione a cura dell´Ufficio della presente ordinanza-ingiunzione a titolo di sanzione amministrativa accessoria prevista dall´art. 163 del Codice, per estratto e per una sola volta, sulla testata giornalistica "Il Mattino";

INGIUNGE

alla medesima azienda di pagare, fermo restando quanto dovuto per la sanzione accessoria, la somma di euro 10.000,00 (diecimila) tramite il bollettino postale che verrà fornito in allegato, intestato a "Tesoreria provinciale dello Stato di Avellino" entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale o in copia autentica, quietanza dell´avvenuto versamento;

DÁ ATTO CHE

avverso il presente provvedimento, ai sensi dell´art. 152 del Codice, può essere proposta opposizione davanti al tribunale ordinario del luogo ove ha sede il titolare del trattamento entro il termine di trenta giorni dalla notificazione del presente provvedimento.

Roma, 13 settembre 2007

IL PRESIDENTE
Pizzetti

IL RELATORE
Pizzetti

IL SEGRETARIO GENERALE
Buttarelli