g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Azienda sanitaria provinciale di Caltanissetta - 24 marzo 2022 [9763051]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9763051]

Ordinanza ingiunzione nei confronti di Azienda sanitaria provinciale di Caltanissetta - 24 marzo 2022

Registro dei provvedimenti
n. 98 del 24 marzo 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n.9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. I reclami.

Con reclamo del XX, un dipendente dell’Azienda sanitaria provinciale di Caltanissetta (di seguito “Azienda”), ha rappresentato di aver inviato alla stessa, in data XX, una nota contenente “formale diffida ad adempiere relativamente all’esecuzione di una determinazione INPS” in relazione ad un procedimento riguardante la propria posizione previdenziale.

Sebbene con la predetta nota l’interessato avesse espressamente richiesto che “ogni comunicazione inerente al procedimento amministrativo in questione [avrebbe dovuto] essere indirizzata esclusivamente all’indirizzo PEC personale ivi indicato”, in base a quanto rappresentato nel reclamo, l’Azienda avrebbe invece inviato una comunicazione (nota prot. n. XX del XX), in risposta alla nota del XX, anche all’indirizzo di posta elettronica certificata dell’unità organizzativa dell’Azienda (U.O.S. Ufficio Formazione), presso la quale l’interessato prestava servizio in qualità di dirigente. L’interessato ha altresì rappresentato di aver inviato istanza di accesso ai propri dati personali, contenuti in uno specifico documento detenuto dall’amministrazione (nota dell’INPS prot. n. XX del XX avente ad oggetto ‘Provvedimento di riscatto ai fini pensionistici […]), e di non aver ottenuto idoneo riscontro.

2. L’attività istruttoria.

Con nota del XX, prot. n. XX, l’Azienda, in risposta alla richiesta di informazioni formulata dall’Ufficio, ha dichiarato, in particolare, che:

la nota del XX, “indirizzata al Direttore f.f. dell’U.O.C. Gestione Risorse Umane, al Dirigente Responsabile dell’U.O.S. TEP, al Responsabile del Procedimento-Titolare di P.O. dell’U.O.S. TEP e, per conoscenza, al Direttore Generale, al Direttore Amministrativo e al Responsabile della Prevenzione della Corruzione e della Trasparenza di questa Azienda [che è stata inviata dal reclamante] tramite PEC, all’ufficio Protocollo Generale di questa Azienda, previa registrazione al protocollo generale di entrata, [veniva trasmessa] per e- mail a ciascuno dei destinatari in essa contemplati e anche alla Direzione Sanitaria”;

“diversamente da quanto lamentato dal reclamante, la nota prot. XX del XX [di riscontro alla nota del XX] non è mai stata inviata per PEC all’U.O.S. Ufficio Formazione di cui lo stesso reclamante è il dirigente responsabile. Tale nota, infatti, […] è stata inviata per PEC alla Direzione aziendale e all’U.O. Prevenzione della Corruzione e della Trasparenza, ovvero alle stesse articolazioni aziendali [già destinatari della nota del reclamante], nonché, per come richiesto dallo stesso [interessato], alla sua PEC personale”;

“per completezza di risposta alla relativa richiesta di codesta Autorità, si significa che, da notizie assunte presso il competente CED aziendale, alla PEC dell’Ufficio Formazione può accedere il solo “titolare” […], [Dirigente Medico Responsabile dell’U.O.S. Formazione] non risultando altri utenti associati”;

per quanto riguarda invece la visibilità della nota, una volta protocollata, “non tutti i dipendenti (anche quelli incardinati nella stessa U.O.) hanno libero accesso al protocollo informatico, ma solamente il personale preventivamente individuato e formalmente autorizzato da ciascun dirigente delle diverse UU.OO. aziendali”;

in particolare “la nota prot. XX risulta essere stata visionata da: U.O.S. Formazione: [dall’interessato], dalla dott.ssa —omissis- e dal dr. —omissis — [Dirigente psicologo e CPS infermiere], entrambi dipendenti incardinati presso la suddetta U.O. [oltre che dal] le dipendenti della scrivente U.O: […] nella loro qualità’ di utenti autorizzati alla protocollazione informatica degli atti formati o ricevuti dell’intestata U.O. che […] hanno materialmente eseguito in data XX la protocollazione”.

Con nota del XX prot. n.XX è stata inviata all’Azienda un’ulteriore richiesta d’informazioni al fine di acquisire elementi ritenuti indispensabili alla definizione del procedimento, con particolare riguardo alla messa in visibilità della predetta nota del XX tramite il protocollo informatico, anche ad altri dipendenti in servizio presso l’Ufficio Formazione (Dirigente psicologo e CPS infermiere), oltre che agli addetti alla protocollazione, come risulta dalla documentazione in atti (v. allegato 7 alla nota dell’Azienda del XX).

A tale richiesta di informazioni, reiterata con nota del XX, prot.n. XX, l’Azienda non ha mai fornito alcun riscontro all’Autorità.

Nel corso dell’istruttoria è altresì emerso che l’Azienda non aveva correttamente effettuato la comunicazione del nominativo e dei dati di contatto del nuovo Responsabile della Protezione dei Dati (di seguito “RPD”) sostituito con disposizione del Direttore Generale del XX, prot. XX (v. allegato n.8 alla nota dell’Azienda del XX).

Con nota del XX, l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato all’Azienda, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni degli artt. 5, 6, 12, 15 e 37, del Regolamento, dell’ art.157 del Codice e dell’art. 2-ter del Codice (nel testo anteriore alle modifica apportate dal d.l. 8 ottobre 2021, n. 139, convertito, con modificazioni, dalla l. 3 dicembre 2021, n. 205), invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, l. 24 novembre 1981, n. 689).

L’Azienda ha fatto pervenire le proprie memorie difensive con nota del XX, prot. n.XX, rappresentando, tra l’altro, che:

“il mancato riscontro alle […] note è da imputare a un increscioso disguido tutto interno a questa Azienda e ascrivibile al difetto di interlocuzione tra l’Ufficio protocollo generale di entrata e le strutture operative aziendali direttamente interessate alla questione che ci sta occupando, che, purtroppo, non ha consentito di formalizzare il dovuto riscontro alle richieste istruttorie in parola”;

relativamente alla consultazione di dati personali del reclamante mediante protocollo informatico da parte di soggetti non autorizzati “appare opportuno chiarire che la nota prot. XX […] dovendo essere necessariamente registrata al protocollo informatico ex DPCM 3 dicembre 2013 e D.P.R. 445/2000, il sistema informativo di protocollazione in uso all’Azienda ha trasmesso, in automatico, all’U.O.S. Formazione diretta [dall’interessato] che, in tale qualità dirigenziale, è il responsabile della protocollazione degli atti che pervengono all’U.O. che dirige, costituendone il Referente (al pari degli altri dirigenti di struttura dell’ASP di Caltanissetta”);

“il suddetto personale dell’U.O.S. Formazione, essendo stato autorizzato dal proprio dirigente ad operare sul protocollo informatico […] a seguito di apposito corso di formazione sulle misure tecniche e di riservatezza della corrispondenza dell’Azienda [...], ne deriva che detti dipendenti non possono che essere considerati soggetti autorizzati”;

“la nota XX, prot. n. XX […], inviata dal/U.O.C. Risorse Umane, non afferiva direttamente al trattamento di dati personali, tanto meno di particolare rilevanza. Segnatamente, dalla lettura della suddetta comunicazione emerge ictu oculi che essa verte sulle vicende relative all’interposizione procedimentale tra U.O.C. “Risorse Umane” e [l’interessato], rimanendo relegate sullo sfondo le informazioni relative allo status previdenziale dello stesso dipendente”;

per quanto attiene al mancato riscontro all’esercizio dei diritti del reclamante si rappresenta che “tutte le […] richieste di accesso ai dati personali avanzate [dall’interessato] sono state regolarmente riscontrate ai sensi di legge e secondo quanto dallo stesso espressamente richiesto con la propria nota PEC del XX, […] nella quale […], ê espressamente indicato [dall’interessato di rimanere] in attesa di essere convocato, in data e luogo specificato e con la garanzia di adeguata accessibilità, per prendere visione del documento, in originale [...] Nota inviata dall’INPS-Gestione ex Inpdap assunta al prot. XX del XX avente ad oggetto “Provvedimento di riscatto ai fini pensionistici […]”;

“alla luce di quanto precede, risulta di difficile comprensione la dichiarazione del reclamante […] con cui sostiene che questa Azienda “nega l’accesso al dato personale indicato”, stante che, per come sopra risultante, la sua richiesta di essere convocato per l’esercizio di accesso agli atti personali è stata accettata da questa Azienda con preciso invito a concordare con l’Ufficio detentore dell’atto richiesto le concrete modalità di accesso e prendere visione del documento che lo riguarda”;

per quanto riguarda la mancata comunicazione del nominativo e dei dati di contatto del Responsabile della Protezione dei Dati “è d'uopo segnalare che, con deliberazione aziendale XX, n.XX […] la dott.sa […], Direttore ff dell’U.O.C. “Gestione Risorse Umane”, ê stata nominata D.P.O. Ciò premesso, laddove l’Amministrazione sia stata carente, in punto di adempimenti successivi all’atto, si è trattato di manchevolezza esecutiva sicuramente patologica ex lege, ma certamente non preordinata ad ammantare carenze organizzative, stante il citato provvedimento di nomina, ad oggi peraltro superato dalla nomina di un nuovo D.P.O, in regola con la vigente normativa”.

3. Esito dell’attività istruttoria.

3.1. Il quadro normativo.

La disciplina di protezione dei dati personali prevede che i soggetti pubblici, anche qualora operino nello svolgimento dei propri compiti di datori di lavoro, possono trattare i dati personali dei lavoratori, se il trattamento è necessario, in generale, per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalle norme nazionali di settore, (artt. 6, par. 1, lett. c), 9, parr. 2, lett. b), e 4, e 88 del Regolamento) oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. e), del Regolamento).

La normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento). Al riguardo, si evidenzia che l’operazione di “comunicazione” di dati personali, da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento (art. 2-ter, commi 1, 3 e 4, lett. a), del Codice nel testo anteriore alle modifiche di cui al d.l. 8 ottobre 2021, n. 139).

Il titolare del trattamento è poi, in ogni caso, tenuto a rispettare i principi in materia di protezione dei dati nonché trattare i dati mediante il personale autorizzato e debitamente istruito in merito all’accesso ai dati (artt. 5 e 4, par. 10, artt. 29, 32, par. 4, del Regolamento).

Il Regolamento prevede che il RPD debba essere obbligatoriamente designato dal titolare del trattamento “quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico” e che i dati di contatto dello stesso siano comunicati all’Autorità di controllo (art. 37 la cui violazione è sanzionabile in via amministrativa ai sensi dell’art. 83, par. 4, lett. a) del Regolamento), mediante una procedura online (reperibile alla pagina https://servizi.gpdp.it/comunicazionerpd/s/, ove sono riportate anche le apposite istruzioni) resa disponibile dal Garante per la comunicazione, variazione e revoca del nominativo del RPD che rappresenta l’unico canale utilizzabile a questo specifico fine (v. Linee guida sui responsabili della protezione dei dati RPD adottate dal Gruppo Art. 29 il 13 dicembre 2016 ed emendate il 5 aprile 2017 WP243) rev. 01 e FAQ relative alla procedura telematica per la comunicazione dei dati del RPD https://www.gpdp.it/regolamentoue/rpd/faq-relative-alla-procedura-telematica-per-la-comunicazione-dei-dati).

Il mancato riscontro, entro il termine stabilito, a una richiesta di informazioni formulata ai sensi dell’art. 157 del Codice da parte dell’Autorità, nello svolgimento dei propri compiti e poteri istruttori, rende applicabile la sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5 del Regolamento (art. 166, comma 2 del Codice).

3.2. Mancato riscontro alla richiesta di informazioni del Garante.

Con riguardo al mancato riscontro da parte dell’Azienda alla richiesta di informazioni dell’Ufficio del Garante (inviata con nota del XX, prot. n. XX, e reiterata con nota del XX, prot. n. XX) si osserva quanto segue.

L’Autorità di controllo, nell’ambito dei compiti e poteri attribuiti dal Regolamento, assicura, tra l’altro, l’applicazione del Regolamento e tratta i reclami svolgendo le opportune indagini, anche sulla corretta applicazione della disciplina di protezione dei dati da parte dei titolari (art.57 par.1 lett. a), f) ed h) e 58 del Regolamento). A tale scopo l’Autorità ha il potere di ingiungere al titolare del trattamento di fornire ogni informazione di cui necessiti per l’esecuzione dei suoi compiti (art.58 par.1 lett. a) del Regolamento).

L’art. 157 del Codice inoltre prevede che, in relazione ai poteri di cui all’art. 57 del Regolamento e per l’espletamento dei propri compiti, il Garante può richiedere al titolare di fornire informazioni e di esibire documenti e che il mancato riscontro a tale richiesta, entro il termine indicato, rende applicabile la sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5 del Regolamento (v. art.art.166 comma 2 del Codice).

Anche nel quadro dei principi generali di buon andamento, efficienza, efficacia ed economicità dell’azione amministrativa (art. 97 Cost. cfr. anche art. 9 comma 1 e 10 comma 3 del regolamento interno n. 1/2019 del 4 aprile 2019, doc. web n. 9107633) il mancato riscontro da parte dell’Azienda sanitaria alla richiesta del Garante (ancorché -stando a quanto dichiarato- riconducibile ad un “disguido […] ascrivibile al difetto di interlocuzione tra l’ufficio protocollo generale […] e le strutture operative aziendali interessate”) ha inciso sulla completezza e celerità dell’attività istruttoria, comportando la violazione dell’art. 157 del Codice.

3.3. Trattamento dei dati personali del reclamante mediante il sistema di protocollo informatico.

Dall’esame della documentazione fornita e tenuto conto delle dichiarazioni rese dal titolare nel corso dell’istruttoria, ai sensi dell’art. 168 del Codice, è emerso che la nota prot. n.XX del XX, contenente dati del reclamante, anche relativi alla sua posizione previdenziale, è stata resa visibile, mediante protocollo informatico, non solo agli addetti alla protocollazione degli atti ma anche ad altri dipendenti dell’Azienda e assegnati alla U.O.S. Formazione, diretta dal reclamante.

Come tradizionalmente affermato dal Garante, i dati personali dei dipendenti, trattati per finalità di gestione del rapporto di lavoro, non possono, di regola, essere messi a conoscenza di soggetti diversi dall’interessato e devono, all’interno dell’amministrazione, essere trattati esclusivamente dai soggetti specificamente autorizzati (cfr. punti 2, 4, 5.1 e 5.3 delle Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico, del 14 giugno 2007, pubblicate in G.U. 13 luglio 2007, n. 161, e in www.garanteprivacy.it, doc. web n. 1417809).  Ciò comporta che non può lecitamente essere effettuata la messa a diposizione di dati personali di dipendenti in favore di altro personale che, in ragione delle mansioni svolte o delle funzioni organizzative ricoperte all’interno dell’amministrazione, non sia legittimato a trattare informazioni relative al rapporto di lavoro di propri colleghi, quali procedimenti disciplinari, dati sulla salute, causali di assenza, vicende retributive, assicurative e previdenziali (cfr. tra i tanti, provv. 27 maggio 2021, n. 214, doc. web n. 9689234 e provv. 16 settembre 2021, n. 322, doc. web n. 9711517).

Anche nell’ambito dei trattamenti di dati personali effettuati mediante i sistemi di gestione documentale è quindi necessario adottare misure tecniche e organizzative per assicurare l’accesso selettivo alla documentazione presente nel protocollo informatico, al fine di evitare la consultabilità di documenti da parte di personale non autorizzato, ricorrendo in particolare a procedure differenziate e/o riservate con riguardo alla protocollazione di documenti contenenti dati personali dei dipendenti e inerenti lo specifico rapporto di lavoro (sul punto v., da ultimo, provv. 11 febbraio 2021, n. 50 doc. web n. 9562866 e precedenti provvedimenti in esso richiamati relativi all’illecito trattamento dei dati personali dei dipendenti da parte di colleghi in ragione della scorretta configurazione del protocollo informatico).

Con riguardo al caso di specie non vi è invece alcuna evidenza delle misure tecniche e organizzative adottate per assicurare l’accesso selettivo alla documentazione presente nel protocollo informatico in uso presso l’Azienda, al fine di evitare la consultabilità di documenti da parte di personale non autorizzato. Al contrario, come risulta dalle dichiarazioni in atti, “la nota prot. XX […] dovendo essere necessariamente registrata al protocollo informatico ex DPCM 3 dicembre 2013 e D.P.R. 445/2000” è stata “trasmessa in automatico” dal sistema informativo di protocollazione in uso “all’U.O.S. Formazione” (cfr. nota del XX, in atti) - ossia all’unità organizzativa presso la quale il reclamante svolgeva servizio con funzioni dirigenziali - con visibilità anche al restante personale operante presso di essa.

Seppure l’Azienda abbia dichiarato che “il […] personale dell’U.O.S. Formazione, [fosse] autorizzato dal proprio dirigente ad operare sul protocollo informatico […] a seguito di apposito corso di formazione sulle misure tecniche e di riservatezza della corrispondenza dell’Azienda [...]” si deve osservare che tale profilo di autorizzazione possa ragionevolmente sussistere con riguardo ai trattamenti connessi allo svolgimento dei compiti assegnati alla specifica unità organizzativa di riferimento, non potendo ritenersi invece che il personale preposto all’ufficio formazione potesse avere titolo per trattare i dati personali relativi ad uno specifico procedimento che coinvolgeva “l’U.O.C. “Risorse Umane” e [l’interessato]”. Nè risultano elementi in atti che consentano di verificare se e in che misura i dipendenti dell’ufficio Formazione, tenuto conto delle loro funzioni e specifiche mansioni, fossero legittimati a trattare i dati personali - contenuti nella predetta nota -  riferiti al proprio collega dirigente e riguardanti vicende strettamente connesse al suo rapporto di lavoro con l’Azienda e alla sua posizione previdenziale presso l’Istituto nazionale di previdenza sociale-INPS.   Non può, da ultimo, essere ritenuto rilevante quanto sostenuto dall’Azienda circa il fatto che la nota prot. XX non contenesse dati personali dell’interessato “di particolare rilevanza […] rimanendo relegate sullo sfondo le informazioni relative allo status previdenziale dello stesso dipendente” stante la definizione di “dato personale” (“qualsiasi informazione riguardante una persona fisica identificata o identificabile”; art. 4, par. 1, n. 1 del Regolamento).

Alla luce delle considerazioni che precedono, la messa a diposizione - mediante la condivisione della nota in esame attraverso il sistema di protocollazione - dei dati personali dell’interessato, non solo in favore del personale operante presso le unità organizzative competenti a trattare i dati personali per finalità di gestione del rapporto di lavoro o tenuti alla protocollazione degli atti, ma anche in favore di taluni colleghi del reclamante appartenenti all’ufficio formazione da questi diretto, ha dato luogo ad una comunicazione di dati personali a soggetti terzi non specificatamente autorizzati, in assenza di un’idonea base giuridica, in violazione degli artt. 5, par. 1, lett. a) e f), 6, par. 1, lett. e) del Regolamento, nonché dell’art. 2-ter del Codice.

3.4. Il mancato riscontro all’esercizio dei diritti dell’interessato.

Con riguardo all’esercizio dei diritti da parte dell’interessato, ai sensi dell’art.15 del Regolamento, l’Azienda ha rappresentato di aver dato seguito alla richiesta del reclamante mediante convocazione “per l’esercizio di accesso agli atti personali […] con preciso invito a concordare con l’Ufficio detentore dell’atto richiesto le concrete modalità di accesso e prendere visione del documento che lo riguarda”.

Al riguardo, in via generale, è necessario chiarire che con riguardo all’accesso ai documenti amministrativi, la normativa di settore attribuisce il diritto di prendere visione e di estrarre copia di documenti amministrativi ai soggetti privati che abbiano un interesse diretto, concreto e attuale, corrispondente a una situazione giuridicamente tutelata e collegata al documento al quale è chiesto l’accesso (artt. 22 ss., l. 7 agosto 1990, n. 241; artt. 59 e 60 del Codice; artt. 6, 9, 10 e 86 del Regolamento). Diversamente gli artt. da 15 a 22 del Regolamento attribuiscono all’interessato il diritto di chiedere al titolare del trattamento l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguarda o di opporsi al loro trattamento, nonché il diritto alla portabilità dei dati. L’art. 12, par. 3, del Regolamento stabilisce, inoltre, che il titolare del trattamento deve dare riscontro alla richiesta dell’interessato senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste, fermo restando che l’interessato deve essere informato di tale eventuale proroga. Se non ottempera alla richiesta dell'interessato, il titolare del trattamento deve, in ogni caso, informare l'interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell'inottemperanza e della possibilità di proporre reclamo a un'autorità di controllo e di proporre ricorso giurisdizionale (cons. 59 e art. 12, par. 4, del Regolamento).

A tale riguardo, si fa presente che, ai sensi dell’art. 15, parr. 1 e 7, del Regolamento, “l'interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l'accesso ai dati personali […]”, dovendo “il titolare del trattamento forni[re] una copia dei dati personali oggetto di trattamento […]”.

Il diritto di accesso è attribuito all’interessato “per essere consapevole del trattamento e verificarne la liceità” (cons. n. 63 del Regolamento). In ogni caso in base alla costante giurisprudenza di legittimità, il diritto di accesso ai propri dati personali, anche nell’ambito del rapporto di lavoro, mira a “garantire, la tutela della dignità e riservatezza del soggetto interessato, la verifica ratione temporis dell’avvenuto inserimento, della permanenza ovvero della rimozione di dati, indipendentemente dalla circostanza che tali eventi fossero già stati portati per altra via a conoscenza dell’interessato” (v. Corte di Cass. 14.12.2018, n. 32533 e provv. del Garante del 25 marzo 2021 doc web n. 9583835).

Per tali ragioni, alla luce della documentazione in atti, l’Azienda, avendo erroneamente qualificato la predetta istanza come “accesso agli atti” (indicando all’istante le modalità per “prendere visione del documento”), non ha tuttavia provveduto a dare seguito alla richiesta di esercizio del diritto di accesso ai propri dati personali presentata dall’interessato, nei tempi e secondo modalità atte ad agevolare l’esercizio di tale diritto, in violazione degli artt.12 e 15 del Regolamento.

3.5. La mancata comunicazione del nominativo e dei dati di contatto del Responsabile della Protezione dei Dati

Nel corso dell’istruttoria è emerso che l’Azienda non ha comunicato i dati di contatto del RPD con le modalità all’uopo previste.

Come messo in evidenza dal Garante in numerose occasioni, anche attraverso documenti di indirizzo a carattere generale (cfr. provv. n. 186 del 29 aprile 2021, doc. web n. 9589104 in merito alla designazione, posizione e compiti del RPD in ambito pubblico) e altresì con specifiche note rivolte all’Azienda nel corso dell’istruttoria, l’art. 37 del Regolamento prevede l’obbligo, per ogni autorità pubblica o organismo pubblico che effettui trattamenti di dati personali, di designare un Responsabile della protezione dei dati e di comunicare all’Autorità di controllo il nominativo e i dati di contatto dello stesso.

Al fine di ottemperare a tale obbligo il Garante ha reso disponibile una specifica procedura online per la comunicazione, variazione e revoca del nominativo del RPD designato, che rappresenta l’unico canale utilizzabile a questo specifico fine (reperibile alla pagina https://servizi.gpdp.it/comunicazionerpd/s/ , ove sono riportate anche le apposite istruzioni; v. Linee guida sui responsabili della protezione dei dati (RPD) adottate dal Gruppo Art. 29 il 13 dicembre 2016 ed emendate il 5 aprile 2017 WP243 rev. 01 e FAQ relative alla procedura telematica per la comunicazione dei dati del RPD https://www.gpdp.it/regolamentoue/rpd/faqrelative-alla-procedura-telematica-per-la-comunicazione-dei-dati). Anche con riguardo alla variazione dei dati di contatto del RPD (ad esempio, per effetto della nomina di un differente soggetto per quell’incarico), tale comunicazione deve essere effettuata tempestivamente, sempre attraverso la procedura, in modo che l’Autorità, per l’esercizio dei propri compiti, sia sempre in possesso di informazioni aggiornate e, conseguentemente, si rivolga al “punto di contatto” esatto. Infatti, il mantenimento di dati di contatto non più attuali potrebbe comportare il coinvolgimento di un soggetto cessato dalle proprie funzioni di RPD, con conseguente comunicazione a terzi di informazioni che non ha più alcun titolo a conoscere (cfr. sul par. 7 del documento di indirizzo su designazione, posizione e compiti del RPD in ambito pubblico adottato con provv. n. 186 del 29 aprile 2021, cit.).

Il mancato aggiornamento dei dati di contatto del RPD, tanto sul sito web dell’ente quanto nella relativa comunicazione all’Autorità, costituisce pertanto una condotta sanzionabile al pari della mancata pubblicazione/comunicazione (cfr. art. 37 par.7, la cui violazione è sanzionabile in via amministrativa ai sensi dell’art. 83, par. 4, lett. a del Regolamento).

Per le ragioni sopra esposte l’Azienda ha posto in essere la violazione dell’art. 37 del Regolamento non rilevando a tale fine la comunicazione effettuata dall’Azienda con la nota del XX, n.XX.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Azienda sanitaria provinciale di Caltanissetta, in violazione degli artt. 5, 6, 12, 15 e 37, del Regolamento, dell’art. 2-ter nonché dell’art.157 del Codice (nel testo anteriore alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, convertito, con modificazioni, dalla l. 3 dicembre 2021, n. 205).

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo e dell’art. 166, comma 2, del Codice.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – la violazione delle disposizioni citate è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 4 e 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

In relazione ai predetti elementi, è stata considerato il danno per l’interessato derivante dalla conoscenza da parte di propri colleghi e collaboratori di informazioni relative al proprio rapporto di lavoro con l’amministrazione e alla propria posizione previdenziale. Ciò anche tenuto conto del fatto che, fin dal 2007, il Garante ha fornito ai datori di lavoro pubblici e privati indicazioni sul corretto trattamento dei dati nell’ambito della gestione del rapporto di lavoro (v. in particolare, par. 5 delle Linee guida del 14 giugno 2007, n. 161, doc. web n. 1417809).

Di contro, è stato considerato che la consultazione della nota contenente dati del reclamante, resa visibile tramite il protocollo informatico, è avvenuta da parte di soli due dipendenti in servizio presso l’U.O.S. Formazione, diretta dal reclamante; che il mancato riscontro all’istanza di esercizio dei diritti dell’interessato è avvenuta per effetto del mero errore nella qualificazione dell’istanza avendo l’Azienda considerato la stessa alla stregua di un’istanza di  accesso ai documenti amministrativi; che l’Azienda ha altresì erroneamente ritenuto di aver correttamente effettuato la comunicazione della variazione del nominativo e dei dati di contatto del RPD, in carica durante lo svolgimento dell’istruttoria, mediante una generica nota, senza avvalersi della specifica procedura messa a disposizione dal Garante.

Non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria, nella misura di euro 6.000 (seimila) per la violazione degli artt. 5, 6, 12, 15 e 37, del Regolamento, dell’art. 2-ter nonché dell’art.157 del Codice (nel testo anteriore alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, convertito, con modificazioni, dalla l. 3 dicembre 2021, n. 205) quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Tenuto conto del contesto lavorativo di riferimento si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito web del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e dall’art. 16 del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecita la condotta tenuta dall’Azienda sanitaria provinciale di Caltanissetta, descritta, nei termini di cui in motivazione, consistente nella violazione degli artt. 5, 6, 12, 15 e 37, del Regolamento, dell’art. 2-ter nonché dell’art.157 del Codice (nel testo anteriore alle modifiche apportate dal d.l. 8 ottobre 2021, n. 139, convertito, con modificazioni, dalla l. 3 dicembre 2021, n. 205);

ORDINA

alla Azienda sanitaria provinciale di Caltanissetta, in persona del legale rappresentante pro-tempore, con sede legale in Caltanissetta Via Cusmano 1, C.F. 01825570854 ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 5, del Regolamento e dell’art. 166, comma 2, del Codice, di pagare la somma di euro 6.000 (seimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione;

INGIUNGE

alla Azienda sanitaria provinciale di Caltanissetta di pagare la somma di euro 6.000 (seimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981. Al riguardo, si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro 30 giorni dalla data della notifica del presente provvedimento, ai sensi dell’art. 166, comma 8, del Codice (cfr. anche art. 10, comma 3, del d.lgs. n. 150 dell’1/9/2011);

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice;

l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 24 marzo 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei