Provvedimento del 13 aprile 2023 [9909566]
Provvedimento del 13 aprile 2023 [9909566]
Condividi[doc. web n. 9909566]
Provvedimento del 13 aprile 2023
Registro dei provvedimenti
n. 179 del 13 aprile 2023
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il Cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante il “Codice in materia di protezione dei dati personali, contenente disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTO il d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”;
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;
Relatore la prof.ssa Ginevra Cerrina Feroni;
PREMESSO
1. Il reclamo e l’attività istruttoria
Con reclamo presentato a questa Autorità, il sig. XX, per il tramite del proprio legale, ha lamentato di aver avanzato all’Istituto Dermatologico San Gallicano IRCCS – IFO, sito in Roma, Via Elio Chianesi, 53 - P.IVA: 01033011006 (di seguito l’“Istituto”), istanza di accesso ai dati personali, ai sensi dell’art. 15 del Regolamento, senza aver ricevuto idoneo riscontro nei termini previsti dall’art. 12 del Regolamento. In particolare, tale istanza è stata inviata in data XX e sollecitata in data XX e in data XX.
Il reclamante ha rappresentato di aver chiesto conferma che fosse in corso un trattamento di dati personali che lo riguardano, la tipologia dei dati trattati, nonché il periodo di conservazione degli stessi. Ciò con riguardo ai dati: “relativi alla visita dermatologica del XX con diagnosi di Lichen (che risulta nell’elenco delle prestazioni effettuate) trattati in occasione del Referto, Relazione medica e/o cartella clinica; relativi alla visita dermatologica del XX(che risulta dall’elenco delle prestazioni effettuate) trattati in occasione del Referto, Relazione medica e/o cartella clinica; relativi alla visita dermatologica del XX (che risulta dall’elenco delle prestazioni effettuate) trattati in occasione del Referto o Relazione medica e/o cartella clinica”.
Nel caso di conferma del trattamento, da parte del titolare, l’interessato “chiedeva di ottenere l'accesso ai summenzionati dati, una copia degli stessi, la consegna del materiale biologico e tutte le informazioni previste alle lettere da a) a h) dell’art. 15, paragrafo 1, del Regolamento (UK) 2016/679”.
Nello specifico, l’interessato ha fatto presente di aver ricevuto, due comunicazioni a seguito del sollecito inviato il XX. La prima, a firma della dott.ssa XX e la seconda a firma del Direttore medico di Presidio, dott. XX, in data XX.
In merito a tali riscontri, il reclamante ha lamentato la tardività e l’inidoneità a soddisfare le richieste avanzate ai sensi dell’art. 15 del Regolamento sostenendo che “la dott.ssa XX sostanzialmente dichiarava che erano state emesse delle ricette che tuttavia non sono state mai trasmesse, nonché prospettando il presunto smarrimento dei “(…) dati relativi alle visite ambulatoriali (…)”.
Con nota del XX (prot. n. XX), questa Autorità ha richiesto a codesto Istituto informazioni - ai sensi dell’art. 157 del d.lgs. 30 giugno 2003, n. 196 recante il “Codice dell’Autorità in materia di protezione dei dati personali” (d’ora in avanti il “Codice”) – ricevendo, in merito, riscontro con nota del XX.
In particolare, in relazione alle specifiche richieste dell’Autorità finalizzate alla verifica della effettiva sussistenza dei profili di violazione lamentati dal reclamante, il titolare ha dichiarato, fra altro, che:
- “(…) in merito ai motivi del ritardo nel riscontro all’interessato sull’istanza di accesso ex art. 15 GDPR, (…) il sig. XX ha inoltrato agli IFO numerose e ripetute istanze di accesso ai documenti alle quali è stato dato pronto e corretto riscontro. Il sig. XX è stato paziente degli IFO in 3 diverse occasioni e precisamente in data XX, XX, XX. Le suddette e ripetute istanze di accesso (…) (sono state presentate nelle seguenti date): “XX (…), XX(…), XX0 (…), XX (…), XX (…); (in data) “(…) XX” (l’interessato ha avanzato) “(…) ulteriore ed ennesima istanza avente il medesimo oggetto, ma introdotta ai sensi e per gli effetti dell’art. 15 GDPR (…). Ciò che rileva nel caso specifico, pur non prescindendo dagli aspetti particolari legati al bene giuridico tutelato dal GDPR (e, quindi, alla tutela dell’interessato in relazione all’utilizzo dei dati personali), l’istanza presentata dall’interessato (…) aveva ad oggetto la medesima domanda. Per detta ragione, gli IFO ritenevano di non dare seguito alle richieste seriali per il medesimo oggetto ripetuta per ben 6 volte, in forza dell’art. 12, par. 5 GDPR il quale prevede che “se le richieste dell’interessato sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, il Titolare del trattamento può: […] b) rifiutare di soddisfare la richiesta”. Infatti, non si può misconoscere come la richiesta ex art. 15 GDPR sia semplicemente una reiterazione delle precedenti istanze al fine di ricevere documentazione sanitaria, peraltro, già consegnata, e ulteriore documentazione inesistente presso gli IFO. Peraltro, sulle medesime istanze (stante la serialità delle stesse) gli IFO avevano già dato ampio riscontro oltre alla consegna di tutta la documentazione, anche quella non richiesta da parte del sig. XX; vedi ad esempio quella del XX che “nel più ampio spirito di collaborazione” rimettono in allegato “la richiesta di cartella clinica XX del XX effettuata dal medesimo per un presunto ricovero effettuato nel XX, per la quale è stato emesso rimborso al medesimo perché non era stato effettuato alcun ricovero di D.H. presso IFO (…). Dunque, gli IFO in totale buona fede e in pieno spirito collaborativo nei riguardi di un loro paziente ritenevano di aver sinceramente soddisfatto tutte e qualsiasi richieste avanzate da parte dell’interessato”;
- quanto alla (…) “sussistenza delle ricette (…) il reclamante nel proprio atto di doglianza lamenta la presunta mancata trasmissione delle ricette emesse dagli IFO. Ebbene, occorre precisare in primo luogo che tutta la documentazione sanitaria inerente alle prestazioni svolte nei confronti (…) (dell’interessato) è stata trasmessa al medesimo. In secondo luogo, la dott.ssa XX nella relazione che veniva trasmessa in data XX all’interessato, chiariva che nessuna diagnosi di Lichen era stata annotata nelle ricette emesse, neppure come quesito diagnostico. Pertanto, non veritiera è la circostanza dedotta dalla parte avversa quando asserisce di non aver ricevuto alcuna ricetta. Infatti, come si può evincere tanto dall’allegazione probatoria del reclamante, quanto dalla allegazione degli scriventi Istituti (all. 9) in data XX veniva riscontrata l’istanza di accesso documentale attraverso l’invio del documento in cui vengono riassunti tutti gli accessi effettuati (…) (dall’interessato) presso gli IFO, denominate nell’ambito dei reparti ambulatoriali “ricette”. Tanto è vero che da detti documenti si possono comprendere tutte le prestazioni che sono state eseguite, che di seguito si riportano a mero titolo esemplificativo: prelievo microbiologico su secrezione; visita dermatovenereologica; gonorrhoeae coltura”;
- quanto al “(…) presunto smarrimento dei dati relativi alle visite ambulatoriali (…) nessuno smarrimento vi è stato relativamente alla refertazione sanitaria (…) (dell’interessato). Occorre premettere che le prestazioni effettuate nei confronti del paziente sono tutte riconducibili ad attività di screening in base ad un protocollo di prevenzione per le infezioni sessualmente trasmissibili, nato prima come progetto di ricerca epidemiologica (Progetto CO.RO.H) e successivamente diventato un percorso accessibile da chiunque si rivolga agli ambulatori MST degli IFO. Tale premessa è necessaria per far comprendere come tali prestazioni non confluiscano in attività tipiche di day hospital, bensì in prestazioni ambulatoriali vere e proprie. Ciò comporta che, a differenza del primo caso in cui vi è la creazione di una cartella clinica di day hospital, nel secondo caso vi è la sola conservazione della refertazione ambulatoriale di cui alle prestazioni sanitarie. Pertanto, avendo (…) (l’interessato) effettuato delle sole visite ambulatoriali, non è mai stata aperta una cartella clinica. Ne discende, dunque, che la richiesta della copia della cartella clinica di day hospital effettuata (…) (dall’interessato) in data XX non poteva che essere rigettata dagli IFO, in quanto trattasi di documento inesistente. Quanto, invece, alla presunta diagnosi di Lichen Sclerosus sospetta, in realtà essa non è mai stata considerata da parte degli operatori sanitari degli IFO, in quanto il reclamante ha eseguito semplicemente un percorso ambulatorie rientrante nella denominazione “Progetto CO.RO.H”, che prevede unicamente l’esecuzione di indagini sierologiche e microbiologiche, quelle di fatto eseguite sul paziente (…) per sospetta patologia sessualmente trasmissibile e non infiammatoria (come invece è quella del Lichen Sclerosus). La richiamata biopsia di cui parla il reclamante non è mai stata effettuata, in quanto non afferente al tipico percorso di screening, tanto è vero che non risulta il pagamento del ticket con conseguente tracciamento della relativa documentazione amministrativa, mai allegata dall’interessato, in quanto non esistente. Infatti, neppure nell’elenco delle prestazioni eseguite nei confronti del reclamante (ricette), risulta effettuata alcuna biopsia necessaria per l’esecuzione dell’esame istologico (cfr. all. 9). Al fine di togliere qualsiasi forma di dubbio sul percorso effettuato dal paziente all’interno degli Istituti si chiarisce, peraltro, che l’ambulatorio di Lichen Sclerosus dell’ISG ha ottenuto il riconoscimento soltanto nel XX (all. 10 e all. 10-bis) e, pertanto, molto dopo rispetto alle visite ambulatoriali eseguite (…) (dall’interessato). Alla luce di quanto sopra esposto, appare evidente che nessun dato è stato smarrito, in quanto: 1. gli unici referti elaborati dagli IFO sono quelli già trasmessi con i diversi riscontri alle istanze di accesso documentale presentate (…) (dall’interessato); 2. nessuna cartella clinica di day hospital è stata mai creata e alimentata, in quanto il paziente non è mai stato ricoverato in regime di day hospital all’interno dei locali degli IFO; 3. nessuna diagnosi, neppure sospetta, di Lichen Sclerosus è mai stata considerata per la patologia medesima; 4. pertanto, nessun prelievo bioptico né alcun esame istologico è stato effettuato sul paziente”;
-“(…) Quanto alla consegna dei risultati delle prestazioni ambulatoriali effettuate (…), la legge 135/90 all’articolo 5, comma 4, prevede espressamente che “la comunicazione di risultati di accertamenti diagnostici diretti o indiretti per infezione da HIV può essere data esclusivamente alla persona cui tali esami sono riferiti”. Tanto è vero che nelle rispettive 3 visite ambulatoriali, la suddetta documentazione era stata consegnata nelle mani del sig. XX. Prova ne è che lo stesso era stato riconosciuto negativo ai vari esami, ragione per cui non venivano emesse refertazioni ed impegnative per alcun trattamento farmacologico”;
-“ (…) Per quanto riguarda i tempi di conservazione della documentazione sanitaria afferente al caso di specie, non può farsi riferimento alla disciplina di cui alla circolare n. 61 del 19 dicembre 1986, in quanto questa è afferente alle sole cartelle cliniche, non presenti nel caso del paziente (…) (interessato). Tanto è vero che la “cartella ambulatoriale” (tipica denominazione data nel reparto ambulatoriale) non ha un periodo di conservazione illimitato, ma soggiace ad un termine quinquennale, come da “prontuario di selezione degli archivi delle Aziende Sanitarie e delle Aziende Ospedaliere”.
In ultimo, il titolare del trattamento, ha illustrato le modalità di conservazione della documentazione medica da parte degli IFO, nonché indicato le misure di sicurezza tecniche e organizzative, compresa la formazione del personale dipendente, allegando documentazione relativa (fra altro: descrizione architetture e flussi; policy password; policy chiavi; DPIA software Dedalus S.p.A.; nomina ex art. 28 GDPR; framework dei rischi della Dedalus S.p.A.; piano formativo annuale).
Sulla base delle dichiarazioni rese e della documentazione prodotta dal titolare, l’Ufficio, con nota del XX (prot. n. XX), indirizzata al reclamante, ha ritenuto di chiudere il procedimento istruttorio in ordine ai presunti profili di violazione degli obblighi di sicurezza dei dati di cui agli artt. 5, lett. f) e 32 e, di conseguenza, degli artt. 33 e 34 del Regolamento, concernenti il presunto smarrimento della documentazione sanitaria riguardante l’interessato, lamentato da quest’ultimo nel reclamo presentato. Ciò, riservandosi di effettuare, con autonoma istruttoria, le definitive valutazioni sulla condotta del titolare relativa all’inidoneità del tardivo riscontro - nei termini di cui all’art. 12 del Regolamento – fornito in relazione all’istanza di accesso ai dati avanzata dall’interessato ai sensi dell’art. 15 del Regolamento medesimo.
In relazione a quanto sopra, con nota del XX (prot. n. XX), questa Autorità ha invitato l’Istituto ad aderire alle richieste del reclamante ai sensi dell’art. 15 del Regolamento n. 1/2019 del Garante per la protezione dei dati personali (doc. web n. 9107633).
Con nota datata XX (prot. XX), inviata in data XX, il titolare ha risposto alla richiesta di accesso ai dati, avanzata dal reclamante ai sensi dell’art. 15 del Regolamento, rendendone, al contempo, edotto il Garante.
Nella sopra citata risposta il titolare del trattamento ha esplicitato le finalità del trattamento, le categorie di dati trattate in relazione alle prestazioni effettuate e alle relazioni mediche rilasciate, i destinatari di eventuali comunicazioni di dati, i tempi di conservazione - dichiarando che “si precisa che le prestazioni effettuate (…) (dall’interessato) sono conservate all’interno di una “cartella ambulatoriale” per un periodo di conservazione quinquennale, come da “prontuario di selezione degli archivi delle Aziende Sanitarie e delle Aziende Ospedaliere” adottato dagli IFO, non soggiacendo alla stessa previsione di conservazione illimitata prevista per “cartella clinica – nonché fornito informazioni in relazione alle previsioni di cui alle lett. e), f), g) e h) dell’art. 15 del Regolamento e ribadito alcuni aspetti già evidenziati nel riscontro alla richiesta di informazioni di cui all’art. 157 del Codice del XX.
Con nota del XX, il reclamante, per il tramite del proprio legale, non ritenendosi soddisfatto per il riscontro ricevuto dall’Istituto, ha presentato all’Autorità le proprie osservazioni.
2. Valutazioni del Dipartimento sul trattamento effettuato e notifica della violazione di cui all’art. 166, comma 5, del Codice
Sulla base degli atti e delle dichiarazioni rese, l’Ufficio, con nota del XX (prot. n. XX), ha notificato all’Istituto Dermatologico San Gallicano IRCCS - IFO, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento. In particolare l’Ufficio, nel predetto atto, ha valutato quanto segue.
Con l’istituto dell’accesso ai dati personali, previsto dall’art. 15 del Regolamento, l’interessato ha diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano, nonché l’accesso ai dati personali e alle informazioni di cui ai paragrafi 1 (lettere da a) ad h)) e 2 del medesimo articolo 15: tale accesso ai dati si sostanzia nel ricevere “copia dei dati personali oggetto di trattamento” (art. 15, par. 3, del Regolamento) e non, necessariamente, copia dei documenti nei quali tali dati sono riportati. l’Autorità ha spesso, nel corso degli anni, ribadito la netta differenza tra il diritto di accesso ai dati personali e il diritto di accesso alla documentazione esercitato ai sensi della legge n. 241/1990 e della normativa di settore (legge n. 24/2017, art. 4; diritto di “accesso bancario” di cui all’art. 119 del d.lgs. n. 385/1993, ecc.), evidenziando la diversa ratio tra i due istituti giuridici (cfr.: “Relazione 2019” del Garante – par. 14.2, pag. 150). Infatti, il diritto di accesso sancito dall’art. 15 del Regolamento, mira a rendere consapevole l’interessato dei trattamenti dei dati che lo riguardano effettuati dal titolare del trattamento, nonché a rendere agevole la verifica della liceità degli stessi e, in considerazione di ciò, non può essere utilizzato in sostituzione di differenti strumenti e istituti riconosciuti da altre normative di settore eventualmente applicabili in concreto. Nello stesso senso si è espresso l’EDPB (European Data Protection Board) con le Linee-guida “Guidelines 01/2022 on data subject rights – Right of access”: “(…) il GDPR contiene espressamente l'obbligo di fornire all'interessato una copia dei dati personali oggetto di trattamento. Ciò, tuttavia, non significa che l'interessato abbia sempre il diritto di ottenere una copia dei documenti contenenti i dati personali, ma una copia inalterata dei dati personali oggetto di trattamento in tali documenti (…) purché la compilazione consenta all'interessato di conoscere e verificare la liceità del trattamento” (par. 150) e, ancora “(…) è importante ricordare che esiste una distinzione tra il diritto di ottenere l'accesso ai sensi dell'articolo 15 del GDPR e il diritto di ricevere una copia degli atti amministrativi disciplinati dal diritto nazionale, essendo quest'ultimo un diritto a ricevere sempre una copia del documento effettivo.(…)”(par. 152-Traduzione non ufficiale). L’Istituto, nel riscontro fornito al reclamante a seguito dell’invito ad aderire dell’Autorità, ha esplicitato le finalità del trattamento, le categorie di dati trattate in relazione alle prestazioni effettuate e alle relazioni mediche rilasciate, i destinatari di eventuali comunicazioni di dati, fornito informazioni in relazione alle previsioni di cui alle lett. e), f), g) e h) dell’art. 15 del Regolamento (cfr. la nota datata XX (prot. n. XX) del titolare del trattamento); in particolare, circa i tempi di conservazione, ha dichiarato che “si precisa che le prestazioni effettuate (…) (dall’interessato) sono conservate all’interno di una “cartella ambulatoriale” per un periodo di conservazione quinquennale, come da “prontuario di selezione degli archivi delle Aziende Sanitarie e delle Aziende Ospedaliere” adottato dagli IFO.
In relazione a quanto sopra, l’Autorità ha, pertanto, rilevato che l’Istituto San Gallicano, titolare del trattamento, per quel che concerne i profili di rilevanza in materia di protezione dei dati personali, in relazione all’istanza di accesso ai dati avanzata dall’interessato, ai sensi dell’art. 15 del Regolamento, in data XX (sollecitata in data XX e XX), non ha fornito idoneo riscontro nei termini previsti dall’art. 12, paragrafo 3, del Regolamento, né ha informato l’interessato dei motivi atti a giustificare tale inottemperanza e della possibilità di proporre reclamo a un'Autorità di controllo e di proporre ricorso giurisdizionale (art. 12, paragrafo 4, del Regolamento). Il titolare, in relazione alle informazioni di cui all’articolo 15 del Regolamento, ha fornito riscontro a seguito dell’invito ad aderire dell’Autorità, in data XX. Ciò, in violazione dell’art. 12, paragrafi 3 e 4, del Regolamento, in relazione all’art. 15 del Regolamento medesimo.
L’Ufficio, in relazione a quanto sopra, ha invitato il titolare del trattamento a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).
Con nota del XX (prot. n. XX), l’Istituto ha prodotto una memoria difensiva, nella quale, ha evidenziato, fra altro, che:
- “(…) la domanda ex art. 15 GDPR era parte marginale e residuale rispetto alla evidente volontà (…) (dell’interessato) di richiedere l’accesso documentale in tema di procedimenti amministrativi. Per detta ragione, gli IFO riscontrarono in modo coerente alla effettiva evidenza della richiesta di accesso ai dati personali (…) (dell’interessato) svolta in data XX. Infatti, pur non prescindendo dagli aspetti particolari legati al bene giuridico tutelato dal GDPR (e, quindi, alla tutela dell'interessato in relazione all'utilizzo dei dati personali), è che l'istanza presentata dall'interessato (…) aveva ad oggetto la medesima domanda. Per detta ragione, gli IFO ritenevano di non dare seguito alle richieste seriali per il medesimo oggetto ripetute per ben 6 volte, in forza dell'art. 12, par. 5 GDPR il quale prevede che “se le richieste dell'interessato sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, il Titolare del trattamento può: [...] b) rifiutare di soddisfare la richiesta”. (…) Appare, dunque, evidente come gli IFO vista la quantità delle richieste hanno ritenuto di aver assolto al proprio adempimento inviando l’intera documentazione sanitaria in copia al richiedente in cui erano evidenti anche i dati sanitari dell'interessato di cui disponeva il medesimo Ente”;
- “(…) in ordine alla gravità e alla durata della violazione, va rilevato che si è trattato di un unico interessato e che lo stesso non ha mai lamentato (…) conseguenze di danno eventuale a causa della omessa tempestività di accesso, invero, l'interessato ha già svolto il proprio accesso e ha già ricevuto l’intera documentazione sanitaria”;
- “l'Ente ha sempre riscontrato offrendo ogni documento in suo possesso al richiedente e anche quando la richiesta è transitata dalla I. 241/90 al GDPR art. 15, gli IFO hanno sempre agito sapendo di offrire tutte le indicazioni necessarie e le documentazioni richieste dall’istante ivi inclusi i dati personali e sanitari presenti nella richiamata documentazione”;
- “(…) In merito ad eventuali altri fattori attenuanti applicabili alle circostanze del caso non vi ritiene che siano rilevabili circostanze di fatto da portare all'attenzione del Garante se non quella di aver inteso attuare una maggiore analisi sulle istanze di accesso ai dati e ai documenti che dovessero entrare nel protocollo dell'Ente, facendo partecipare anche l’Ufficio privacy, con il Referente interno, affinché possa essere individuata l'eventuale natura dell'istanza anche ai sensi dell'art. 15 GDPR”.
3. Esito dell’attività istruttoria
Preso atto di quanto rappresentato dall’Istituto nella documentazione in atti e nelle memorie difensive, si osserva quanto segue.
Il Regolamento, agli artt. 12 e ss. disponendo in materia di “diritti dell’interessato”, prevede il diritto di quest’ultimo di ottenere dal titolare del trattamento le informazioni richieste ai sensi degli artt. da 15 a 22 del Regolamento medesimo, senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta. Tale temine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero di richieste. Il titolare del trattamento informa l’interessato di tale proroga e dei motivi del ritardo, entro un mese dal ricevimento della richiesta (art. 12, paragrafo 3, del Regolamento).
Con l’istanza di accesso ai dati personali, l’interessato ha, in particolare, diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano, nonché l’accesso ai dati personali e alle informazioni di cui ai paragrafi 1 (lettere da a) ad h)) e 2 dell’art. 15 del Regolamento.
Se non ottempera alla richiesta dell’interessato, il titolare del trattamento informa quest’ultimo senza ritardo, al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale (art. 12, paragrafo 4, del Regolamento). In pari senso, il Considerando 59 del Regolamento medesimo, prevede che “il titolare del trattamento dovrebbe essere tenuto a rispondere alle richieste dell’interessato (…) e a motivare la sua eventuale intenzione di non accogliere tali richieste”.
4. Conclusioni
Alla luce delle valutazioni sopra esposte, tenuto conto delle dichiarazioni rese nel corso dell’istruttoria e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice (“Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”), si rileva che gli elementi forniti dal titolare del trattamento nelle memorie difensive sopra richiamate non sono idonei ad accogliere la richiesta di archiviazione, non consentendo di superare i rilievi notificati dall’Ufficio con il citato atto di avvio del procedimento.
In particolare, il titolare del trattamento, nell’argomentare i motivi del contestato mancato riscontro all’istanza di accesso ai dati avanzata dall’interessato in data XX e sollecitata in data XX e con nota del XX (inviata, il XX), ha evidenziato che “(…) l'istanza presentata dall'interessato (…) aveva ad oggetto la medesima domanda (di accesso alla documentazione). Per detta ragione, gli IFO ritenevano di non dare seguito alle richieste seriali per il medesimo oggetto ripetute per ben 6 volte, in forza dell'art. 12, par. 5 GDPR il quale prevede che “se le richieste dell'interessato sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, il Titolare del trattamento può: [...] b) rifiutare di soddisfare la richiesta”. (…) Appare, dunque, evidente come gli IFO vista la quantità delle richieste hanno ritenuto di aver assolto al proprio adempimento inviando l’intera documentazione sanitaria in copia al richiedente in cui erano evidenti anche i dati sanitari dell'interessato di cui disponeva il medesimo Ente”;
Tale argomentazione, non può, tuttavia, escludere che la condotta del titolare abbia determinato la contestata violazione. Infatti, l’invocata ipotesi prevista dall’art. 12, paragrafo 5, del Regolamento non può ritenersi applicabile considerato che l’avvenuta reiterazione delle istanze da parte dell’interessato, ovvero le “(…) richieste seriali per il medesimo oggetto ripetute per ben 6 volte”, afferiscono al differente istituto giuridico dell’accesso alla documentazione amministrativa in quanto presentate, dall’interessato, ai sensi della legge 241 del 1990, laddove l’istanza del XX e i due solleciti, venivano dall’interessato avanzate ai sensi dell’art. 15 del Regolamento, per la prima volta.
Pertanto, alla luce di quanto sopra, risulta che l’Istituto, quale titolare del trattamento, in relazione all’istanza di accesso ai dati avanzata dall’interessato, ai sensi dell’art. 15 del Regolamento, in data XX e sollecitata in data XX e XX - per gli aspetti di rilevanza in ordine all’osservanza della normativa in materia di protezione dei dati personali - non ha fornito idoneo riscontro nei termini previsti dall’art. 12, paragrafo 3, del Regolamento, né ha informato l’interessato dei motivi atti a giustificare tale inottemperanza e della possibilità di proporre reclamo a un'Autorità di controllo e di proporre ricorso giurisdizionale (art. 12, paragrafo 4, del Regolamento), fornendo riscontro, in relazione alle informazioni di cui all’articolo 15 del Regolamento solo a seguito dell’invito ad aderire dell’Autorità, in data XX. Ciò in violazione dell’art. 12, paragrafi 3 e 4, del Regolamento, in relazione all’art. 15 del Regolamento medesimo.
Tutto quanto sopra premesso, tenuto conto che:
- si è trattato di un caso isolato e, sulla base delle dichiarazioni rese dal titolare, l’”interessato (…) non ha mai lamentato (…) conseguenze di danno eventuale a causa della omessa tempestività di accesso (…)” e (art. 83, par. 2, lett. a) del Regolamento);
- non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento (art. 83, par. 2, lett. e) del Regolamento);
- il titolare ha dimostrato di cooperare con l’Autorità (art. 83, par. 2, lett. e) e f) del Regolamento);
- “(…) l'istanza presentata dall'interessato (…) aveva ad oggetto la medesima domanda (delle precedenti istanze di accesso alla documentazione). Per detta ragione, gli IFO ritenevano di non dare seguito alle richieste seriali per il medesimo oggetto ripetute per ben 6 volte (…). Gli IFO vista la quantità delle richieste hanno ritenuto di aver assolto al proprio adempimento inviando l’intera documentazione sanitaria in copia al richiedente in cui erano evidenti anche i dati sanitari dell'interessato di cui disponeva il medesimo Ente” (art. 83, par. 2, lett. k) del Regolamento);
le circostanze del caso concreto inducono a qualificare tale caso come “violazione minore”, ai sensi del cons. 148 del Regolamento e delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017, WP 253 e fatte proprie dal Comitato europeo per la protezione dei dati con l’”Endorsement 1/2018” del 25 maggio 2018.
Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), del Regolamento, per avere violato l’art. 12, paragrafi 3 e 4, del Regolamento, in relazione all’art. 15 del Regolamento medesimo. Considerato che la condotta ha esaurito i suoi effetti non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
TUTTO CIÒ PREMESSO IL GARANTE
a) dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dall’Istituto Dermatologico San Gallicano IRCCS – IFO;
b) ai sensi dell’art. 58, par. 2, lett. b), del Regolamento, ammonisce l’Istituto Dermatologico San Gallicano IRCCS – IFO, quale titolare del trattamento in questione, per aver violato l’art. 12 del Regolamento, in relazione all’art. 15 del Regolamento medesimo nei termini di cui in motivazione;
c) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 13 aprile 2023
IL PRESIDENTE
Stanzione
IL RELATORE
Cerrina Feroni
IL SEGRETARIO GENERALE
Mattei
