Garante per la protezione
    dei dati personali


Ordinanza di ingiunzione nei confrontidi Azienda sanitaria regionale Molise

PROVVEDIMENTO DEL 13 DICEMBRE 2012

Registro dei provvedimenti
n. 410 del 13 dicembre 2012

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, alla presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia,segretario generale;

RILEVATOche il Comando Nucleo speciale privacy della Guardia di finanza, in attuazionedella richiesta di informazioni ex art. 157 del Codice in materia di protezionedei dati personali (n. 3271/53969 datata 15 febbraio 2010) e su specificadelega di questa Autorità (n. 3688/53969 del 18 febbraio 2010), ha svolto, neiconfronti del Presidio Ospedaliero Antonio Cardarelli – Azienda sanitariaregionale Molise (A.S.RE.M.), con sede in Campobasso, via Ugo Petrella n. 1,gli accertamenti di cui al verbale di operazioni compiute datato 27 e 28 aprile2010, dai quali à risultato che l'Azienda non aveva provveduto ad effettuare ledesignazioni ad incaricato del trattamento per ogni dipendente, nonché, per itrattamenti di dati personali svolti con strumenti elettronici, non erano stateadottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B)al Codice, le misure minime di sicurezza relative alla mancata designazionedegli incaricati del trattamento, all'adozione di password di accesso ai sistemiinformativi non aggiornate periodicamente e composte da un numero di caratteri(tre) non sufficiente a rendere sicuri i sistemi, all'assenza di strumentielettronici idonei a proteggere i dati da accessi esterni non autorizzati,omettendo, di conseguenza, di adottare le misure minime di sicurezza di cuiall'art. 33 del Codice;

VISTOil verbale n. 56/2010 datato 8 luglio 2010 con cui à stata contestataall'Azienda sanitaria la violazione amministrativa prevista dall'art. 162,comma 2-bis, in relazione all'art. 33 del Codice che non à definibile in misuraridotta ai sensi dell'art. 16 della legge n. 689/1981;

CONSIDERATOche l'Azienda non risulta essersi avvalsa delle facoltà previste dall'art. 18della legge n. 689/1981;

CONSIDERATOche il procedimento di cui all'art. 169, comma 2, del Codice si à concluso;

RILEVATOche la società ha effettuato un trattamento di dati (art. 4 comma 1, lett. a) eb) del Codice) omettendo di adottare le misure minime di sicurezza ai sensidell'art. 33 del Codice;

VISTOl'art. 162, comma 2-bis, del Codice che punisce la violazione delledisposizioni indicate nell'art. 33 del Codice con la sanzione amministrativadel pagamento di una somma da diecimila euro a centoventimila euro;

CONSIDERATOche, ai fini della determinazione dell'ammontare della sanzione pecuniaria,occorre tenere conto, ai sensi dell'art. 11 della legge 24 novembre 1981 n.689, dell'opera svolta dall'agente per eliminare o attenuare le conseguenzedella violazione, della gravità della violazione, della personalità e dellecondizioni economiche del contravventore;

CONSIDERATOche, nel caso in esame:

a) lagravità della violazione deve essere valutata tenendo conto dell'apprezzabileentità del potenziale pregiudizio o del pericolo poiché à stata posta in esserenell'ambito di un'Azienda sanitaria nella quale vengono trattati dati idonei arivelare lo stato di salute di numerosi pazienti;

b) aifini della valutazione dell'opera svolta dall'agente, l'Azienda sanitaria haproceduto con tempestività all'adempimento delle prescrizioni impartite dalGarante in ordine all'adozione delle misure minime di sicurezza;

c) circala personalità dell'autore della violazione, l'Azienda sanitaria non risultaavere precedenti specifici in termini di violazioni delle disposizioni delCodice;

d) inmerito alle condizioni economiche dell'agente, al fine di commisurare l'importodella sanzione alla reale capacità economica del trasgressore nel rispetto delprincipio di uguaglianza, non si rilevano elementi specifici idonei ad incideresulla quantificazione della sanzione;

RITENUTOdi dover determinare, ai sensi dell'art. 11 della L. n. 689/1981, l'ammontaredella sanzione pecuniaria nella misura di euro 15.000,00 (quindicimila);

VISTAla documentazione in atti;

VISTAla legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTEle osservazioni dell'Ufficio, formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000;

RELATOREla prof.ssa Licia Califano;

ORDINA

all'Aziendasanitaria regionale Molise – ASREM, con sede in Campobasso, via UgoPetrella n. 1, in persona del legale rappresentante pro-tempore, di pagare lasomma di euro 15.000,00 (quindicimila) a titolo di sanzione amministrativapecuniaria;

INGIUNGE

allamedesima Azienda di pagare la somma di euro 15.000,00 (quindicimila), secondole modalità indicate in allegato, entro 30 giorni dalla notificazione delpresente provvedimento, pena l'adozione dei conseguenti atti esecutivi a normadall'art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro iltermine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, inoriginale o in copia autentica, quietanza dell'avvenuto versamento.

Aisensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso ilpresente provvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trenta giornidalla data di comunicazione del provvedimento stesso, ovvero di sessanta giornise il ricorrente risiede all'estero.

Roma, 13 dicembre 2012

Il presidente
Soro

Il relatore
Califano

Il segretario generale
Busia