Garante per la protezione
    dei dati personali


Ordinanza di ingiunzione nei confrontidi ASL di Salerno

PROVVEDIMENTO DEL 20 GIUGNO 2013

Registro dei provvedimenti
 n. 305 del 20 giugno 2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, alla presenza del dott. Antonello Soro, presidente, delladott.a Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti edel dott. Giuseppe Busia, segretario generale;

RILEVATOche il Nucleo speciale privacy della Guardia di finanza, in esecuzione dellarichiesta di informazioni ai sensi dell'art. 157 del Codice in materia diprotezione dei dati personali – d.lg. 30 giugno 2003, n. 196 (di seguitodenominato Codice) nr. 529U dell'11 gennaio 2011 formulata da questa Autorità,ha svolto, presso il Presidio Ospedaliero Santa Maria della Speranza diBattipaglia,  gli accertamenti di cui al verbale di operazioni compiutedatato 1  e 2 marzo 2011, dal quale è risultato che la ASL di SalernoC.F.: 04701800650, con sede in Salerno, via Nizza n. 146, in persona del legalerappresentante pro-tempore, ha omesso di adottare le misure minime di sicurezzapreviste dall'art. 33 del Codice in quanto:

- non haprovveduto alla designazione dei responsabili/incaricati del trattamento dei datipersonali, anche con riferimento alle società esterne addette alla gestione emanutenzione degli strumenti elettronici, con conseguente mancanza diistruzioni per tutti i soggetti che effettuano operazioni di trattamento;

- conriferimento ai trattamenti di dati effettuati con l'ausilio di strumentielettronici, presso il servizio CUP/Incasso ticket e presso il laboratorio dianalisi del presidio ospedaliero, è stato rilevato l'utilizzo di passwordscomuni e mai aggiornate per l'accesso agli strumenti elettronici e l'assenza diprocedure e istruzioni al riguardo;

- lepasswords utilizzate dai due addetti del laboratorio analisi per laregistrazione dei pazienti e dei relativi esami, mediante il programmaelettronico denominato "Diamante", hanno un'estensione di quattro esette caratteri e non sono aggiornate da circa tre anni.

Risultaaltresì accertato che la di Salerno ha omesso di effettuare la notificazione alGarante ai sensi dell'art. 37, comma 1 lett. b) e 38 del Codice;

VISTOil verbale nr. 23/2010 del 15 aprile 2011 (che qui si intende integralmenterichiamato) con cui sono state contestate alla ASL di Salerno le violazioniamministrative previste dagli artt. 162, comma 2-bis e 163 del Codice, inrelazione agli artt. 33 e 37, informandola della facoltà, per la solaviolazione dell'art. 37 del Codice, di effettuare il pagamento in misuraridotta ai sensi dell'art. 16 della legge n. 689/1981;

CONSIDERATOche le prescrizioni impartite dall'Ufficio del Garante ai sensi dell'art. 169,comma 2, del Codice con il provvedimento datato 23 febbraio 2012 al prof.Francesco De Simone sono state prontamente adempiute;

ESAMINATOil rapporto del Nucleo speciale privacy della Guardia di finanza predisposto aisensi dell'art. 17 della legge 24 novembre 1981, n. 689, relativo al solorilievo per violazione dell'art. 37 del Codice, dal quale non risulta esserestato effettuato il pagamento in misura ridotta;

VISTOil verbale di audizione delle parti redatti ai sensi dell'art. 18 della leggen. 689/1981 nel quale la Asl di Salerno, riguardo la violazione dell'art. 33del Codice, ha evidenziato come  "() l'attività ispettiva è coincisacon una fase di profonda ristrutturazione della ASL di Salerno a seguito di bentre preesistenti strutture ", osservando, altresì, come "() ledichiarazioni del responsabile del laboratorio di analisi del presidioospedaliero () dott. Gelosimo Cafaro () smentiscono quanto dichiarato nelverbale di operazioni compiute e confermino come invece la Asl, per quantoriguarda il citato laboratorio di analisi,  fosse già in linea con lanormativa in materia". Relativamente alla violazione di cui all'art. 37,invece, ha sottolineato come "() la Asl abbia provveduto a notificareregolarmente i propri trattamenti". Per entrambe i rilievi ha richiestol'applicazione di quanto previsto dall'art. 164-bis, comma 1 del Codice;

RITENUTOche le argomentazioni addotte non risultano idonee in relazione a quantocontestato per le motivazioni di seguito riportate distintamente per ciascunrilievo. Riguardo la violazione di cui all'art. 33 del Codice si rileva come laevidenziata "() fase di profonda ristrutturazione della ASL di Salerno ()"non integri i requisiti applicativi della buona fede di cui all'art. 3 dellalegge n. 689/1981. Sul punto, si ricorda che la giurisprudenza di rito, in temadi illeciti amministrativi, ha precisato che l'esimente della buona fede,intesa come errore sulla liceità del fatto, assume rilievo solo in presenza dielementi positivi, idonei ad ingenerare nell'autore della violazione ilconvincimento della liceità del suo operato, purché tale errore sia incolpevoleed inevitabile, in quanto determinato da un elemento positivo, idoneo adindurlo in errore ed estraneo alla sua condotta e non ovviabile con l'ordinariadiligenza e prudenza (Cass. 2007, n. 5894; Cass. 2006, n. 11012; Cass. 1999, n.1151). Inoltre, partendo dal presupposto che le dichiarazioni del responsabiledel laboratorio di analisi del presidio ospedaliero dott. Gelosimo Cafaro,formalizzate nella nota datata 24 aprile 2012, attengono esclusivamente a unaparte delle condotte poste a presupposto dell'illecito in argomento, si rilevacome tali dichiarazioni non siano sorrette da alcun elemento di prova, mentre,nel verbale di operazioni compiute del 2 marzo 2011, attraverso i riscontrianalitici effettuati dai militari operanti nei confronti degli addetti alpredetto laboratorio, le medesime specifiche condotte che hanno sostanziatol'illecito contestato risultano puntualmente accertate ai sensi dell'art. 13della legge n. 689/1981.  Riguardo la violazione di cui all'art. 37 delCodice si rileva come, per effetto delle citate norme di riorganizzazione delleAziende sanitarie locali di Salerno nn.rr. 1, 2 e 3, dal 20 marzo 2009 è statoistituito il nuovo soggetto giuridico della A.S.L. di Salerno. Tale soggettogiuridico, per effetto della previsione dell'art. 38, comma 4 del Codice, eratenuto a una nuova notificazione essendo mutato uno degli elementi da indicarenella notificazione medesima ovvero, nel caso di specie, la nuova ragionesociale. Tale indicazione risulta  chiaramente indicata nel provvedimentodel Garante datato 8 aprile 2009recante "Prescrizioni in materia di operazioni di fusione e scissione frasocietà", e ribadita nell'Ordinanza ingiunzione del Garante n. 238 del 6 settembre 2012;

RILEVATOche risulta essere avvenuto presso la ASL di Salerno un trattamento di dati(art. 4 comma 1, lett. a) e b) del Codice) omettendo di adottare le misureminime di sicurezza ai sensi dell'art. 33 del Codice  e senza effettuarela notificazione al Garante ai sensi dell'art. 37, comma 1 lett.b) del Codice;

VISTOl'art. 162, comma 2-bis, del Codice che punisce la violazione delladisposizione di cui all'art. 33 del medesimo Codice con la sanzioneamministrativa del pagamento di una somma da diecimila euro a centoventimilaeuro;"

VISTOl'art. 163 del Codice che punisce la violazione delle disposizioni di cui agliart. 37 e 38 con la sanzione amministrativa del pagamento di una somma daventimila euro a centoventimila euro;

RITENUTOche, con esclusivo riferimento alla violazione dell'art. 37 del Codice, ricorrano le condizioni per applicare l'art. 164-bis, comma 1, del Codice cheprevede che se taluna delle violazioni di cui agli art. 161, 162, 163 e 164 èdi minore gravità, i limiti minimi e massimi stabiliti negli stessi articolisono applicati in misura pari a due quinti, atteso che l'omissione in argomentoinerisce solo uno degli elementi da notificare (mutamento della ragionesociale);

CONSIDERATOche, ai fini della determinazione dell'ammontare della sanzione pecuniaria,occorre tenere conto, ai sensi dell'art. 11 della legge 24 novembre 1981 n.689, dell'opera svolta dall'agente per eliminare o attenuare le conseguenzedella violazione, della gravità della violazione, della personalità e dellecondizioni economiche del contravventore e che pertanto l'importo dellasanzione pecuniaria per la violazione dell'art. 162, comma 2-bis del Codice,deve essere determinato nella misura di euro 10.000,00 (diecimila) el'ammontare della sanzione pecuniaria per la violazione dell'art. 163 delCodice nella misura di euro 8.000,00 (ottomila) , per un importo complessivopari a euro 18.000,00 (diciottomila);

VISTAla documentazione in atti;

VISTAla legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTEle osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazionedel 28 giugno 2000;

RELATOREla prof.ssa Licia Califano;

ORDINA

allaASL di Salerno C.F.: 04701800650, con sede in Salerno, via Nizza n. 146, inpersona del legale rappresentante pro-tempore, di pagare la somma di euro18.000,00 (diciottomila) a titolo di sanzione amministrativa pecuniaria per ledue violazioni previste dagli artt. 162, comma 2-bis e 163 del Codice;

INGIUNGE

allamedesima azienda di pagare la somma di euro 18.000,00 (diciottomila), secondole modalità indicate in allegato, entro 30 giorni dalla notificazione delpresente provvedimento, pena l'adozione dei conseguenti atti esecutivi a normadall'art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro iltermine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, inoriginale o in copia autentica, quietanza dell'avvenuto versamento.

Aisensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso ilpresente provvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trenta giornidalla data di comunicazione del provvedimento stesso, ovvero di sessanta giornise il ricorrente risiede all'estero.

Roma, 20 giugno 2013

Il presidente
Soro

Il relatore
Califano

Il segretario generale
Busia