Garante per la protezione
    dei dati personali


Ordinanza di ingiunzione nei confrontidi Policlinico Sassarese s.p.a.

PROVVEDIMENTO DEL 20 SETTEMBRE 2012

Registro dei provvedimenti
n. 251 del 20 settembre 2012

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, alla presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia,segretario generale;

ESAMINATOil rapporto del Nucleo speciale privacy della Guardia di finanza predisposto aisensi dell'art. 17 della legge 24 novembre 1981, n. 689, relativo al verbale dicontestazione per cinque distinte violazioni amministrative redatto in data 24febbraio 2010 nei confronti del Policlinico Sassarese s.p.a. (d'ora in poiPoliclinico), con sede in Sassari, viale Italia n. 11, in persona del legalerappresentante pro-tempore, per violazione degli artt. 13 (in relazione a duedistinti trattamenti di dati), 23, 37 e 154, comma 1, lett. c),  delCodice in materia di protezione dei dati personali (di seguito denominatoCodice);

RILEVATOche il Nucleo speciale privacy della Guardia di finanza, in esecuzione dellarichiesta di informazioni ai sensi dell'art. 157 del Codice n. 200001/U del 16settembre 2009 formulata da questa Autorità, ha svolto gli accertamenti di cuial verbale di operazioni compiute datato 23 e 24 febbraio 2010, dal quale èrisultato che il Policlinico: a) ha effettuato un trattamento di dati personalimediante l'utilizzo di due impianti di videosorveglianza, rendendo, perl'impianto composto da quattro telecamere poste al piano terra della società,un'informativa semplificata inidonea e omettendo di rendere l'informativacircostanziata, in violazione di quanto previsto dall'art. 13 del Codice e dalprovvedimento del Garante sulla videosorveglianza del 29 aprile 2004 in vigoreall'epoca dei fatti; b) ha trattato dati sensibili per prestazioniambulatoriali senza rendere l'informativa di cui all'art. 13 del Codice e senzaacquisire il necessario consenso ai sensi dell'art. 23, comma 4 del Codice; c)ha effettuato trattamenti di dati personali di cui all'art. 37, comma 1, lett.a) e b), del Codice senza aver provveduto tempestivamente (ma solo in data 31 dicembre2005) alla notificazione al Garante; d) ha omesso di adottare, in violazionedell'art. 154, comma 1, lett. c), del Codice, le prescrizioni di cui alprovvedimento del Garante datato 1 marzo 2007, recante "Linee guida delGarante per posta elettronica e internet";

VISTOil verbale n. 18/2010 del 24 febbraio 2010 (che qui si intende integralmenterichiamato) con cui sono state contestate al Policlinico le violazioniamministrative previste dagli artt. 161 (applicato due volte per i due distintitrattamenti afferenti la videosorveglianza e i dati sensibili per prestazioniambulatoriali), 162, commi 2-bis e 2-ter nonché dall'art. 163 del Codice, inrelazione agli artt. 13, 23, 37 e 154, comma 1, lett. c), informandolo dellafacoltà di effettuare il pagamento in misura ridotta ai sensi dell'art. 16della legge n. 689/1981;

RILEVATOdal predetto rapporto che non risulta essere stato effettuato il pagamento inmisura ridotta;

VISTOlo scritto difensivo datato 23 marzo 2010, inviato ai sensi dell'art. 18 dellalegge n. 689/1981 nel quale il Policlinico, riguardo ai due rilievi afferentil'informativa di cui all'art. 13 del Codice e il consenso di cui all'art. 23del Codice, relativi al trattamento dei dati sensibili per prestazioniambulatoriali, ha evidenziato che all'atto della prenotazione della visitaambulatoriale "() i dati che vengono richiesti sono quelli relativiall'identificazione del soggetto richiedente ed alla sua residenza" e che"() in tale circostanza viene in ogni caso fornita l'informativa oralesul trattamento dei dati", mentre "successivamente, al momento dellavisita ambulatoriale e dell'eventuale ricovero, viene formalizzatal'informativa scritta con richiesta di consenso al trattamento dei datipersonali". Diversamente, circa la violazione di cui all'art. 13 delCodice relativa al trattamento dei dati personali effettuato mediantel'impianto di videosorveglianza, il Policlinico ha precisato che "()accanto a ciascuna telecamera funzionante vi è un apposito cartello che riportala dovuta informativa" che, in base a quanto accertato dai verbalizzanti"() non sarebbe circostanziata". Al riguardo, il Policlinico haevidenziato che lo stesso "() con nota del 25.07.2005 ha provveduto arichiedere chiarimenti () al Garante () ed ha operato attenendosi alleindicazioni dell'Autorità ()". Relativamente alla violazione di cuiall'art. 37, comma 1, lett. a) e b), del Codice, il Policlinico, negando diaver omesso o effettuato in maniera incompleta la notificazione al Garante, haribadito di aver adempiuto all'obbligo in argomento in data 31 dicembre 2005.Con riferimento alla violazione di cui all'art. 154, comma 1, lett. c), delCodice, il medesimo ha osservato che "() per la manutenzionedell'hardware del sistema informatico si avvale dell'opera di () Solariss.p.a. (che) (..) è stata nominata responsabile del trattamento ()",descrivendo, poi, gli accorgimenti adottati a salvaguardia del sistemainformatico della società;

TENUTOCONTO che con la nota n. 10368/U del 18 maggio 2011 ritualmente notificata,l'Ufficio del Garante ha convocato il Policlinico per essere sentito ai sensidell'art. 18 della legge n. 689/1981, ma che nessun rappresentante si èpresentato alla stessa senza, peraltro, inviare alcuna comunicazione;

RITENUTOche le argomentazioni addotte non risultano idonee ad escludere laresponsabilità del Policlinico in relazione a quanto contestato per lemotivazioni di seguito riportate distintamente per ciascun rilievo. Riguardo aidue rilievi afferenti all'informativa di cui all'art. 13 del Codice e ilconsenso di cui all'art. 23 del Codice relativi al trattamento dei datisensibili resi nell'ambito di prestazioni ambulatoriali, si osserva come leviolazioni contestate siano state puntualmente accertate ai sensi dell'art. 14della legge n. 689/1981, atteso che, a fronte della domanda inequivocaformulata dal verbalizzanti nel verbale di operazioni compiute, il direttoresanitario del Policlinico ha risposto, in maniera altrettanto inequivoca, come"agli interessati che si presentano presso l'accettazione per i serviziambulatoriali l'informativa, per scelta societaria, non viene fornita" inconsiderazione delle motivazioni illustrate nel medesimo verbale. Nel merito èstato altresì specificato, che "per lo stesso motivo l'informativa nonviene resa e il consenso non viene raccolto nemmeno quando lo stessointeressato si presenta per effettuare la visita ambulatoriale precedentementeprenotata". Sul punto, inoltre, si rileva come quanto riportato negliscritti difensivi circa la formalizzazione scritta dell'informativa conrichiesta di consenso, non è stato supportato da alcun elemento di fatto.Nell'ambito del procedimento non è stato, peraltro, nemmeno rappresentato se econ quali modalità il Policlinico abbia eventualmente adottato le misure disemplificazione in tema di informativa e consenso previste per i trattamenti didati personali in ambito sanitario nella parte II, titolo V, del Codice inmateria di protezione dei dati personali. Relativamente alla violazionedell'art. 13 del Codice inerente all'impianto di videosorveglianza installatoal piano terra della struttura ove ha sede il Policlinico, si evidenzia come,diversamente da quanto sostenuto, la Guardia di finanza abbia accertato, aisensi del già citato art. 14 della legge n. 689/1981, l'inidoneità delleinformative semplificate affisse in prossimità delle telecamere sotto unduplice profilo: nei casi in cui erano presenti al piano terra, le predetteinformative non risultavano immediatamente visibili agli interessati essendo dipiccole dimensioni e affisse in alto vicino alle telecamere; le stesserisultavano comunque prive dell'indicazione del titolare del trattamento, cosìcome previsto al punto 3.1 del provvedimento del Garante sullavideosorveglianza datato 29 aprile 2004, in vigore all'epoca dei fatti (erappresentato nel modello di informativa semplificata allegato al provvedimentostesso).  Si osserva altresì che il Garante, fornendo riscontro allacitata richiesta del Policlinico menzionata nelle memorie difensive, avevaindicato chiaramente, con la nota n. 12633/42866 dell'8 giugno 2005, quantonecessario al fine di effettuare il trattamento di dati in questioneottemperando a tutti gli obblighi previsti, ivi compresa "lapredisposizione dell'informativa da rendere agli interessati eventualmenteutilizzando il modello semplificato messo a disposizione dal Garante inallegato al citato provvedimento".  Con riferimento alla violazionedell'art. 37, comma 1, lett. a) e b), risulta inconferente quanto asserito negliscritti difensivi atteso che, preso atto di quanto ribadito dal Policlinico inmerito alla data di avvenuta notificazione al Garante, la violazione di chetrattasi si configura anche quando la notificazione all'Autorità vieneeffettuata tardivamente, ovvero successivamente all'inizio dei trattamentiprevisti dall'art. 37, comma 1, lett. a) e b). Risulta inconferente anchequanto asserito circa la contestata violazione di cui all'art. 154, comma 1,lett. c), del Codice, atteso che le prescrizioni impartite dal Garante con ilprovvedimento datato 1 marzo 2007, recante "Linee guida del Garante perposta elettronica e internet" non riguardano alcuno degli elementimenzionati nello scritto difensivo;

RILEVATO,quindi, che il Policlinico ha effettuato un trattamento di dati personalimediante l'utilizzo di un impianto di videosorveglianza senza rendereun'informativa semplificata idonea, in violazione di quanto previsto dall'art.13 del Codice e dal provvedimento del Garante sulla videosorveglianza del 29aprile 2004 in vigore all'epoca dei fatti: ha trattato dati sensibili inrelazione a prestazioni ambulatoriali senza rendere l'informativa di cuiall'art. 13 del Codice e senza acquisire il necessario consenso ai sensidell'art. 23, comma 4, del Codice; ha effettuato trattamenti di dati personalidi cui all'art. 37, comma 1, lett. a) e b), del Codice senza aver provvedutotempestivamente alla notificazione al Garante;

RILEVATO,invece, che sulla base degli atti e di quanto rappresentato nel corso delprocedimento non sussistono elementi per applicare la sanzione previstadall'art. 162 comma 2-ter in quanto il punto 2) del dispositivo delprovvedimento del Garante datato 1 marzo 2007, recante "Linee guida delGarante per posta elettronica e internet", indica l'adozione e lapubblicazione di un disciplinare interno (linee guida di cui al punto 3.2 delprovvedimento citato) tra le misure meramente opportune, per cui la loromancata adozione non determina un'inosservanza del provvedimento in parolasanzionabile ai sensi dell'art. 162, comma 2-ter, del Codice;

VISTOl'art. 161 del Codice che punisce la violazione delle disposizioni di cuiall'art. 13 con la sanzione amministrativa del pagamento di una somma daseimila euro a trentaseimila euro per ciascuna delle due violazioni accertate;

VISTOl'art. 162, comma 2-bis, del Codice che punisce la violazione delledisposizioni indicate nell'art. 167 del Codice, tra le quali quella di cuiall'art. 23 del medesimo Codice, con la sanzione amministrativa del pagamentodi una somma da diecimila euro a centoventimila euro;

VISTOl'art. 163 del Codice, nella formulazione antecedente alla modifica apportatacon d.l. n. 207 del 30 dicembre 2008 (essendosi l'omissione protratta fino alladata del 31 dicembre 2005), convertito con legge 27 febbraio 2009, n. 14, chepunisce la violazione delle disposizioni di cui agli art. 37 e 38 con lasanzione amministrativa del pagamento di una somma da diecimila euro asessantamila euro;

RITENUTOche, nel caso in cui l'infrazione non abbia caratterizzazioni specifiche chepossano portare a valutazioni di maggiore o minor rigore, nella determinazionedella sanzione può ritenersi corretta l'individuazione di un importo pari alterzo del massimo o, se più favorevole, al doppio del minimo, in linea conquanto previsto dall'art. 16 della l. n. 689/1981, ferma restando lavalutazione degli ulteriori elementi previsti dall'art. 11 della medesima legge(Cass. civ., sez. I, 4 novembre 1998, n. 11054);

CONSIDERATOche, ai fini della determinazione dell'ammontare della sanzione pecuniaria,occorre tenere conto, ai sensi dell'art. 11 della legge 24 novembre 1981 n.689, della gravità della violazione, dell'opera svolta dall'agente pereliminare o attenuare le conseguenze della stessa, della personalità e dellecondizioni economiche del contravventore;

CONSIDERATOche, nel caso in esame:

a) inordine all'aspetto della gravità, relativamente alle contestazione di cui agliartt. 161 e 162, comma 2-bis afferenti al trattamento dei dati sensibili residai pazienti del Policlinico per le prestazioni ambulatoriali, gli elementidell'entità del pregiudizio o del pericolo, dell'intensità dell'elementopsicologico e delle modalità concrete della condotta devono essere valutati intermini di aumento della sanzione poiché per il trattamento in questionenessuna informativa e nessun consenso risultano documentati in atti nonostantela natura dei dati trattati; i medesimi elementi, con riferimento allecontestazioni di cui agli artt. 161 e 163 relative rispettivamente all'impiantodi videosorveglianza e all'omessa notificazione al Garante, devono esserevalutate in senso favorevole alla parte, nel primo caso in ragione dellasemplice inidoneità dell'informativa, mentre, nel secondo, a fronte del fattoche il trasgressore, anche se tardivamente, ha provveduto a notificareall'Autorità prima dell'attività di controllo effettuata dalla Guardia difinanza;

b)  aifini della valutazione dell'opera svolta dall'agente, relativamente a entrambele contestazioni di cui all'art. 161 e a quella di cui all'art. 162, comma2-bis, si rileva come il Policlinico non abbia fornito alcun elemento diriscontro documentale circa l'avvenuto adempimento degli obblighi oggetto dicontestazione, mentre, riguardo alla violazione di cui all'art. 163, si rinviaa quanto già esposto alla lett. a);

c) circala personalità dell'autore della violazione, deve essere positivamenteconsiderata la circostanza che il Policlinico non risulta avere precedentispecifici in termini di violazioni alle disposizioni del Codice;

d) in meritoalle condizioni economiche dell'agente, al fine di commisurare l'importo dellasanzione alla reale capacità economica del trasgressore nel rispetto delprincipio di uguaglianza, si rileva che il Policlinico, per l'anno 2010,risulta aver conseguito un cospicuo valore della produzione;

RITENUTOdi dover determinare, ai sensi dell'art. 11 della legge n. 689/1981,l'ammontare della sanzione per la violazione dell'art. 161, in relazione altrattamento dei dati sensibili per prestazioni ambulatoriali, nella misura dieuro 18.000,00 (diciottomila); per la violazione dell'art. 161, in relazione altrattamento dei dati per mezzo di un impianto di videosorveglianza, nellamisura di euro 6.000,00 (seimila); per la violazione dell'art. 162,comma 2-bis,nella misura di euro 30.000,00 (trentamila) e per la violazione dell'art. 163,nella misura di euro 10.000,00 (diecimila), per un importo complessivo pari aeuro 64.000,00 (sessantaquattromila);

VISTAla documentazione in atti;

VISTAla legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTEle osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazionedel 28 giugno 2000;

RELATOREla prof.ssa Licia Califano;

DISPONE

l'archiviazionedel procedimento sanzionatorio amministrativo con riferimento allacontestazione relativa alla violazione di cui all'art. 154, comma 1, lett. c),del Codice;

ORDINA

alPoliclinico Sassarese s.p.a., con sede in Sassari, viale Italia n. 11, inpersona del legale rappresentante pro-tempore, di pagare la somma di euro64.000,00 (sessantaquattromila) a titolo di sanzione amministrativa pecuniariaper le due violazioni previste dall'art. 161 e per quelle previste dagli artt.162, comma 2-bis e 163 del Codice;

INGIUNGE

allamedesima società di pagare la somma di euro 64.000,00 (sessantaquattromila),secondo le modalità indicate in allegato, entro 30 giorni dalla notificazionedel presente provvedimento, pena l'adozione dei conseguenti atti esecutivi anorma dall'art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che,entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questaAutorità, in originale o in copia autentica, quietanza dell'avvenutoversamento.

Aisensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso ilpresente provvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 20 settembre 2012

Il presidente
Soro

Il relatore
Califano

Il segretario generale
Busia