g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Primo s.r.l. - 26 luglio 2018 [9054317]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9054317]

Ordinanza ingiunzione nei confronti di Primo s.r.l. - 26 luglio 2018

Registro dei provvedimenti
n. 446 del 26 luglio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale; 

VISTO l’art. 1, comma 2, della legge 24 novembre 1981, n. 689, ai sensi del quale le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e per i tempi in esse considerati;

RILEVATO che il Nucleo privacy della Guardia di finanza, in esecuzione della richiesta di informazioni n. 10768/114083 del 21 marzo 2017, formulata ai sensi dell’art. 157 del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito denominato “Codice”), ha svolto presso l’unità locale di Primo s.r.l. (di seguito “la società”), sita in Livorno, via Scali degli Olandesi n. 32, gli accertamenti di cui al verbale di operazioni compiute del 4 aprile 2017, al fine di acquisire ogni utile informazione e documentazione in relazione ai trattamenti di dati personali effettuati dalla Società in qualità di “centro odontoiatrico”;

VISTI gli atti relativi agli accertamenti eseguiti presso la sede della società e la nota inviata dalla stessa in data 19 aprile 2017, a scioglimento delle riserve formulate nel corso della visita ispettiva, dai quali è risultato, in sintesi, che:

- la società Primo s.r.l., in qualità di titolare del trattamento ai sensi degli artt. 4 e 28 del Codice, effettua un trattamento di dati personali riferiti ai propri pazienti mediante un applicativo denominato Oris, al quale possono accedere, oltre al rappresentante legale pro tempore, i medici e le assistenti di poltrona “ognuno in relazione alle autorizzazioni intrinseche alle credenziali di accesso personali con riferimento anche alle proprie mansioni”;

- a fronte dei trattamenti di dati personali effettuati dalla società con l’ausilio di strumenti elettronici, “non è stata ancora formalizzata la nomina ad incaricato del trattamento, ai sensi dell’art. 30 del Codice, dei dipendenti che operano presso la struttura, né è stata formalizzata la nomina a responsabili del trattamento, ai sensi dell’art. 29 del Codice, dei professionisti esterni”;

CONSIDERATO che la società, a fronte del trattamento di dati personali posto in essere con gli strumenti elettronici, non risulta aver adottato le misure di sicurezza relative alle designazioni degli incaricati del trattamento, come richiesto dall’art. 30 del Codice;

VISTO il verbale n. 33/2017 del 2 maggio 2017, che qui integralmente si richiama, con cui è stata contestata a Primo s.r.l., con sede legale in Torino, via Santa Teresa n. 23, P.I. 10353600017, in persona del legale rappresentante pro-tempore, la violazione amministrativa prevista dall’art. 162, comma 2-bis, in relazione all’art. 33 del Codice, per la quale non è prevista la definizione in via breve ai sensi dell’art. 16 della legge 24 novembre 1981 n. 689;

VISTI gli scritti difensivi, inviati in data 10 giugno 2017 ai sensi dell’art. 18 della legge n. 689/1981, con cui la società ha rilevato, preliminarmente, “l’inapplicabilità degli artt. 162 co. 2 bis e 33 del D.lgs. 196/2003 alla fattispecie di mancata designazione in forma scritta degli incaricati. Tale adempimento, infatti, non è una misura minima di sicurezza individuata dall’art. 33 del Codice, non è disciplinato al Capo II Titolo V del Codice, né è menzionato nel relativo Allegato B) al D.lgs. 196/2003”. Pertanto, la sanzione amministrativa comminata sarebbe nulla e il relativo procedimento sanzionatorio andrebbe archiviato. La parte, inoltre, ha osservato che dal verbale di operazioni compiute e dalla documentazione successivamente trasmessa agli ispettori, risulta chiaramente come, al di là della designazione scritta degli incaricati del trattamento e delle relative istruzioni, le misure minime di sicurezza siano state sostanzialmente osservate, con particolare riferimento alle regole di cui al Disciplinare tecnico di cui all’All. B) al Codice relative alle modalità di assegnazione e di custodia delle credenziali di autenticazione necessarie per accedere all’applicativo Oris. Pertanto, ha chiesto l’archiviazione del procedimento sanzionatorio e, in subordine, l’applicazione della sanzione nella misura del minimo edittale ulteriormente ridotta ai sensi dell’art. 164-bis, comma 1, del Codice;

RILEVATO che, a fronte della richiesta di audizione avanzata negli scritti difensivi ai sensi dell’art. 18 della legge n. 689/1981, la parte, a seguito di due convocazioni, non si è presentata agli incontri fissati;

RITENUTO che le argomentazioni addotte non sono idonee ad escludere la responsabilità della parte in relazione a quanto contestato. La designazione scritta degli incaricati del trattamento, diversamente da quanto ritenuto, rientra tra le misure minime di sicurezza ex art. 33 del Codice in quanto trattasi di un’attività (che il titolare del trattamento è tenuto ad effettuare nei confronti di quanti ordinariamente operano sui dati personali) volta a garantire il livello minimo di sicurezza nelle operazioni di trattamento. In particolare, il Codice prescrive che ai dati personali possono accedere solo le persone appositamente autorizzate e, perché ciò avvenga, è necessario che il titolare del trattamento effettui le designazioni che, a norma dell’art. 30 del Codice, devono avvenire per iscritto. Solo in tal modo, può essere garantito che quanti operano lo facciano seguendo precise istruzioni e in un ambito di trattamento ben definito. A tal proposito, si osserva che le istruzioni impartite agli incaricati, mediante le designazioni, sono volte a fornire indicazioni sul corretto trattamento dei dati personali, e contengono una precisa attribuzione dei compiti e delle operazioni da eseguire negli ambiti di trattamento consentiti, e delle responsabilità connesse. Per tale ragione, l’Autorità ha più volte sottolineato nei propri provvedimenti che la designazione degli incaricati del trattamento non è un mero adempimento formale, ma presupposto indispensabile per l’applicazione delle misure minime di sicurezza. Pertanto, la circostanza che le altre misure di sicurezza, tra cui quelle relative alle procedure di autenticazione e di autorizzazione informatica, siano state correttamente eseguite o che la designazione degli incaricati sia stata fatta “oralmente” (oltre a non essere supportata da alcun riscontro fattuale), non possono certamente considerarsi come misure di sicurezza correttamente eseguite. Deve, dunque, ritenersi fondato l’accertamento della violazione in capo alla società, con la precisazione che tale violazione non può essere ricompresa tra le ipotesi di minore gravità e, quindi, deve ritenersi esclusa l’applicazione dell’attenuante di cui all’art. 164-bis, comma 1, del Codice;

RILEVATO che Primo s.r.l. ha effettuato un trattamento di dati personali (art. 4 comma 1, lett. a) e b) del Codice), omettendo di adottare le misure minime di sicurezza ai sensi dell’art. 33 del Codice;

VISTO l’art. 162, comma 2-bis, del Codice che punisce la violazione delle disposizioni indicate nell’art. 33 del Codice con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge 24 novembre 1981 n. 689, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore e che pertanto l’ammontare della sanzione pecuniaria per la violazione dell’art. 33 del Codice deve essere quantificato nella misura minima di euro 10.000,00 (diecimila); 

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Licia Califano;

ORDINA

a Primo s.r.l., con sede legale in Torino, via Santa Teresa n. 23, P.I. 10353600017, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 10.000,00 (diecimila) a titolo di sanzione amministrativa pecuniaria per la violazione di cui all’art. 162, comma 2-bis, come indicato in motivazione;

INGIUNGE

alla medesima società di pagare la somma di euro 10.000,00 (diecimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689. 

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero. 

Roma, 26 luglio 2018 

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia

Scheda

Doc-Web
9054317
Data
26/07/18

Argomenti


Tipologie

Ordinanza ingiunzione o revoca

Vedi anche (10)