Garante per la protezione
    dei dati personali


Ordinanza di ingiunzione nei confrontidi Azienda sanitaria provinciale di Vibo Valentia

PROVVEDIMENTO DEL 11 OTTOBRE 2012

Registro dei provvedimenti
n. 283 dell'11 ottobre 2012

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, alla presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia,segretario generale;

ESAMINATOil rapporto del Nucleo speciale privacy della Guardia di finanza predisposto aisensi dell'art. 17 della legge 24 novembre 1981, n. 689, relativo al verbale dicontestazione di violazione amministrativa redatto in data 10 maggio 2010 neiconfronti dell'Azienda sanitaria provinciale di Vibo Valentia (di seguito"Azienda sanitaria"), con sede in Vibo Valentia, via Dante Alighieripal. ex INAM, in persona del legale rappresentante pro-tempore, per violazionedell'art.154, comma 1, lett. c), del Codice in materia di protezione dei datipersonali (di seguito denominato Codice);

RILEVATOche il Nucleo speciale privacy della Guardia di finanza, in esecuzione dellarichiesta di informazioni ai sensi dell'art. 157 del Codice nn. rr. 3271/53969del 15 febbraio 2010 formulata da questa Autorità, ha effettuato l'attività dicontrollo di cui al verbale di operazioni compiute datato 14 aprile 2010,attraverso la quale, anche a seguito della successiva nota dell'Ufficio datata20 aprile 2010, à stato accertato che l'Azienda sanitaria: 1) ha omesso diadottare le misure minime di sicurezza in violazione di quanto previstodall'art. 33 del Codice, non avendo aggiornato il Documento programmatico sullasicurezza (DPS) alla data del 31 marzo 2010; 2) ha omesso di adottare, inviolazione dell'art. 154, comma 1, lett. c), del Codice, le prescrizioni di cuial provvedimento del Garante datato 1 marzo 2007, recante "Linee guidadel Garante per posta elettronica e internet";

VISTIi verbali nn.rr. 37 e 38, datati 10 maggio 2010, con cui sono state contestateall'Azienda sanitaria, rispettivamente, la violazione amministrativa previstadall'art. 162, comma 2-ter, in relazione all'art. 154, comma 1, lett. c), delCodice, informandola della facoltà di effettuare il pagamento in misura ridottaai sensi dell'art. 16 della legge n. 689/1981 e la violazione amministrativaprevista dall'art. 162, comma 2-bis, in relazione all'art. 33 del Codice, nondefinibile in misura ridotta ai sensi dell'art. 16 della legge n. 689/1981;

RILEVATOdal predetto rapporto che, per la violazione di cui all'art. 162, comma 2 ter,non risulta essere stato effettuato il pagamento in misura ridotta;

VISTOlo scritto difensivo datato 1 luglio 2010, inviato ai sensi dell'art. 18 dellalegge n. 689/1981, relativo al solo verbale di contestazione di cui all'art.162, comma 2-ter;

RITENUTOche, a prescindere dalle argomentazioni dedotte nel procedimento, sulla basedegli atti e di quanto rappresentato nel corso del procedimento, non sussistonoelementi per applicare la sanzione prevista dall'art. 162 comma 2-ter in quantoil punto 2) del dispositivo del provvedimento del Garante datato 1 marzo 2007,recante "Linee guida del Garante per posta elettronica e internet",indica l'adozione e la pubblicazione di un disciplinare interno (linee guida dicui al punto 3.2 del provvedimento citato) tra le misure meramente opportune,per cui la loro mancata adozione non determina un'inosservanza di taleprovvedimento sanzionabile ai sensi dell'art. 162, comma 2-ter, del Codice;

CONSIDERATOche l'Azienda sanitaria ha provveduto ad ottemperare tempestivamente alleprescrizioni impartite dal Garante e ad effettuare il pagamento del quarto delmassimo della sanzione prevista per la violazione amministrativa, inapplicazione di quanto disciplinato dall'art. 169, comma 2, del Codice,estinguendo il reato;

RILEVATO,pertanto, che l'Azienda sanitaria ha effettuato un trattamento di datipersonali (art. 4 comma 1, lett. a) e b) del Codice) omettendo di adottare lemisure minime di sicurezza ai sensi dell'art. 33 del Codice;

VISTOl'art. 162, comma 2-bis, del Codice che punisce, in ogni caso, la violazionedelle disposizioni indicate nell'art. 167 del Codice, tra le quali quella dicui all'art. 33 del medesimo Codice, con la sanzione amministrativa delpagamento di una somma da diecimila euro a centoventimila euro;

RITENUTOche, nel caso in cui l'infrazione non abbia caratterizzazioni specifiche chepossano portare a valutazioni di maggiore o minor rigore, nella determinazionedella sanzione può ritenersi corretta l'individuazione di un importo pari alterzo del massimo o, se più favorevole, al doppio del minimo, in linea conquanto previsto dall'art. 16 della L. n. 689/1981, ferma restando lavalutazione degli ulteriori elementi previsti dall'art. 11 della medesima legge(Cass. civ., sez. I, 4 novembre 1998, n. 11054);

CONSIDERATOche, ai fini della determinazione dell'ammontare della sanzione pecuniaria,occorre tenere conto, ai sensi dell'art. 11 della legge 24 novembre 1981 n.689, della gravità della violazione, dell'opera svolta dall'agente pereliminare o attenuare le conseguenze della stessa, della personalità e dellecondizioni economiche del contravventore;

CONSIDERATOche, nel caso in esame:

a) inordine all'aspetto della gravità, gli elementi dell'intensità dell'elementopsicologico e delle modalità concrete della condotta non sono connotati daelementi specifici, mentre riguardo all'entità del pregiudizio o del pericolosi osserva come l'illecito contestato inerisca l'inosservanza di misure minimedi sicurezza da parte di un soggetto che, data l'attività svolta, tratta datiinerenti lo stato di salute degli interessati;

b) aifini della valutazione dell'opera svolta dall'agente, si rileva come l'Aziendasanitaria ha provveduto ad ottemperare tempestivamente alle prescrizioniimpartite dal Garante e ad effettuare il pagamento del quarto del massimo dellasanzione prevista per la violazione amministrativa, in applicazione di quantodisciplinato dall'art. 169, comma 2, del Codice;

c) circala personalità dell'autore della violazione, deve essere positivamenteconsiderata la circostanza che l'Azienda sanitaria non risulta avere precedentispecifici in termini di violazioni delle disposizioni del Codice;

d)trattandosi di un soggetto pubblico, le condizioni economiche dell'agente, alfine di commisurare l'importo della sanzione alla reale capacità economica deltrasgressore nel rispetto del principio di uguaglianza, non sostanzianoelementi specifici idonei ad incidere sulla quantificazione della sanzione;

RITENUTOdi dover determinare, ai sensi dell'art. 11 della legge n. 689/1981,l'ammontare della sanzione per la violazione dell'art. 162,comma 2-bis, nellamisura di euro 15.000,00 (quindicimila);

VISTAla documentazione in atti;

VISTAla legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTEle osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazionedel 28 giugno 2000;

RELATOREla dott.ssa Giovanna Bianchi Clerici;

DISPONE

l'archiviazionedel procedimento sanzionatorio amministrativo con riferimento allacontestazione relativa alla violazione di cui all'art. 154, comma 1, lett. c),del Codice;

ORDINA

all'Aziendasanitaria provinciale di Vibo Valentia, con sede in Vibo Valentia, via DanteAlighieri pal. ex INAM, in persona del legale rappresentante pro-tempore, dipagare la somma di euro 15.000,00 (quindicimila) a titolo di sanzioneamministrativa pecuniaria per la violazione previste dall'art. 162, comma 2-bisdel Codice;

INGIUNGE

allamedesima Azienda di pagare la somma di euro 15.000,00 (quindicimila), secondole modalità indicate in allegato, entro 30 giorni dalla notificazione delpresente provvedimento, pena l'adozione dei conseguenti atti esecutivi a normadall'art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro iltermine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, inoriginale o in copia autentica, quietanza dell'avvenuto versamento.

Aisensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso ilpresente provvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 11 ottobre 2012

Il presidente
Soro

Il relatore
Bianchi Clerici

Il segretario generale
Busia