[doc. web n. 3192822]

Ordinanza di ingiunzione nei confronti di Casa di cura Scarnati srl - 27 marzo 2014

Registro dei provvedimenti
n. 156 del 27 marzo 2014

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

RILEVATO che il Nucleo speciale privacy della Guardia di finanza, in esecuzione della richiesta di informazioni n. 3026/78073 del 7 febbraio 2012, formulata ai sensi dell´art. 157 del d.lgs. 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito "Codice"), ha svolto gli accertamenti presso la Casa di cura Scarnati srl, con sede in Cosenza, Via Zara n. 4, P.I. 01018540789, formalizzati nel verbale di operazioni compiute dell´8 marzo 2012, dai quali è emerso che la Casa di cura Scarnati srl ha effettuato le designazioni degli incaricati del trattamento solo nei confronti di cinque dipendenti, mentre "i rimanenti dipendenti e collaboratori che, a vario titolo, effettuano trattamento dei dati personali non sono stati nominati per iscritto, ma agli stessi sono state impartite le istruzioni (…) in forma orale", in violazione di quanto previsto dall´art. 30 del Codice;

VISTO il verbale n. 16 del 19 marzo 2012 con cui è stata contestata alla Casa di cura Scarnati srl la violazione amministrativa prevista dall´art. 162, comma 2-bis, in relazione all´art. 33 del Codice, per la quale non è prevista la definizione in via breve ai sensi dell´art. 16 della legge 24 novembre 1981 n. 689;

CONSIDERATO che, successivamente all´ispezione e a seguito di specifiche prescrizioni impartite dall´Ufficio con il provvedimento del 25 maggio 2012, la società ha provveduto ad adottare gli atti in precedenza omessi;

VISTI gli scritti difensivi inviati ai sensi dell´art. 18 della legge 24 novembre 1981 n. 689, con cui la parte ha dichiarato che le designazioni degli incaricati del trattamento erano state effettuate nei confronti di cinque dipendenti che effettuano un trattamento di dati personali con l´ausilio di strumenti elettronici, come è stato verificato anche nel corso delle operazioni, mentre "per i rimanenti dipendenti - la clinica ne ha complessivamente 36 - che a vario titolo effettuano il trattamento dei dati personali non vi è stata una specifica nomina per iscritto e sono state ad essi fornite istruzioni sulle modalità del trattamento in relazione alle singole mansioni, in forma orale", ovvero affidando a questi ultimi "se e ove in qualche modo coinvolti nel trattamento dei dati personali, l´incarico attraverso la preposizione del singolo al servizio amministrativo o tecnico ove avviene il trattamento in modo tale da far sì che la designazione del singolo dipendente al servizio comportasse in modo diretto ed automatico, senza la necessità dell´atto nominativo, il conferimento dell´incarico al trattamento (…)";

LETTO il verbale di audizione, svoltasi in data 13 gennaio 2014, ai sensi dell´art. 18 della legge 24 novembre 1981 n. 689, con cui la parte, oltre a produrre una cospicua documentazione attestante le procedure poste in essere per conformare il trattamento dei dati personali alle disposizioni del Codice (tra cui la predisposizione di corsi di formazione e di aggiornamento in materia di privacy), ha precisato che i trattamenti presso la clinica sono effettuati senza l´ausilio di strumenti elettronici e, quindi, di aver impartito le istruzioni agli incaricati oralmente, in virtù di quanto stabilito nel provvedimento recante le semplificazioni in materia di misure di sicurezza, adottato dal Garante il 27 novembre 2008;

RITENUTO che le argomentazioni addotte non sono idonee ad escludere la responsabilità della parte in relazione a quanto contestato, in quanto la mancata designazione degli incaricati del trattamento, di cui all´art. 30 del Codice, comporta la disapplicazione di tutte le misure di sicurezza previste dal Disciplinare tecnico di cui all´allegato B) al Codice. In particolare, si rileva che il dettato normativo espressamente prevede che le istruzioni devono essere impartite per iscritto, a prescindere dagli strumenti (elettronici o meno) con cui il trattamento è effettuato. Pertanto, non è assolutamente conferente l´argomentazione della parte che, invece, vuole distinguere le modalità con cui istruire i propri incaricati sulla base dello strumento utilizzato. Rispetto, invece, alla circostanza che la designazione del dipendente quale incaricato avvenga automaticamente in virtù dell´assegnazione ad un determinato servizio, pur volendo riconoscere la legittimità di questa procedura, sulla base di quanto stabilito dall´art. 30, comma 2, del Codice, si fa presente tuttavia che non è stata prodotta alcuna documentazione al riguardo, con particolare riferimento all´ambito di trattamento posto in essere da ciascuna unità e, dunque, da ciascun dipendente ad essa assegnato. Si osserva, inoltre, che il richiamato provvedimento in materia di semplificazioni delle misure di sicurezza, adottato dal Garante il 27 novembre 2008, non può essere riferito al trattamento effettuato dalla clinica, in quanto le disposizioni ivi indicate si applicano a quei "soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti o collaboratori (…)". In ultimo, con riguardo alla documentazione pervenuta, si rappresenta che le misure predisposte per adeguarsi alle disposizioni del Codice sono intervenute solo successivamente al rilievo oggetto di contestazione e, pertanto, possono essere valutate solo ai fini della quantificazione della sanzione;

RILEVATO, pertanto, che la Casa di cura Scarnati srl ha effettuato un trattamento di dati personali (art. 4 comma 1, lett. a) e b) del Codice) omettendo di adottare le misure minime di sicurezza ai sensi dell´art. 33 del Codice;

VISTO l´art. 162, comma 2-bis, del Codice che punisce la violazione delle disposizioni indicate nell´art. 33 del Codice con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge 24 novembre 1981 n. 689, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

RITENUTO di dover determinare, ai sensi dell´art. 11 della legge 24 novembre 1981 n. 689, l´ammontare della sanzione pecuniaria per la violazione di cui all´art. 162, comma 2-bis, del Codice nella misura di euro 10.000,00 (diecimila);

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Licia Califano;

ORDINA

alla Casa di cura Scarnati srl, con sede in Cosenza, Via Zara n. 4, P.I. 01018540789, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 10.000,00 (diecimila) a titolo di sanzione amministrativa pecuniaria;

INGIUNGE

al medesimo soggetto di pagare la somma di euro 10.000,00 (diecimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale o in copia autentica, quietanza dell´avvenuto versamento.

Ai sensi degli artt. 152 del Codice e 10 del d. lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 27 marzo 2014

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia