g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Asl Cirié (TO) - 14 settembre 2006 [1368938]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 1368938]

Ordinanza ingiunzione nei confronti di Asl Cirié (TO) - 14 settembre 2006

Registro delle deliberazioni
Del. n. 46 del 14 settembre 2006

 

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

ORDINANZA INGIUNZIONE

NELLA riunione odierna, alla presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Giuseppe Fortunato, componente e del dott. Giovanni Buttarelli, segretario generale;

ESAMINATO il rapporto del Comando nucleo speciale funzione pubblica e privacy della Guardia di finanza redatto ai sensi dell´art. 17 della legge 24 novembre 1981, n. 689, relativo al verbale di contestazione per violazione amministrativa redatto in data 27 ottobre 2004 nei confronti dell´Azienda sanitaria locale n. 6 di Ciriè, sita in Ciriè (TO) via Battitore n. 7, in persona del legale rappresentante pro-tempore, per violazione dell´articolo 37 del Codice in materia di protezione dei dati personali (d.lg.n. 196/2003 di seguito denominato Codice);

RILEVATO che il predetto Comando nucleo speciale, in attuazione della richiesta di informazioni  ex art. 157 del Codice (n. 24029 datata 16 giugno 2004) ed a fronte di specifica delega di questa Autorità (n. 26333 del 15 luglio 2004), ha svolto accertamenti di cui al verbale di operazioni compiute del 27 ottobre 2004 dai quali è risultato che:

a) l´azienda sanitaria tratta dati personali idonei a rivelare lo stato di salute e la vita sessuale soggetti a notificazione ai sensi dell´art. 37, comma 1, lett. b) del Codice, i quali vengono indicati in dettaglio nella tabella 1 della deliberazione del Direttore generale n. 1090/DG del 29 giugno 2004 (Approvazione del documento programmatico sulla sicurezza per il trattamento dei dati personali);

b) tra questi, in particolare, si evidenziano i seguenti trattamenti: anagrafe donatori di organi e cartelle neuorpsichiatria infantile, trattati mediante l´utilizzo di server su rete locale e geografica con possibilità di accesso anche di strutture esterne all´azienda sanitaria; considerato altresì, come dichiarato dalla parte, che era stata effettuata la notificazione ai sensi dell´art. 7 della legge n. 675/1996, ma non quella relativa all´obbligo di notificazione al Garante ai sensi dell´art. 37 del Codice;

PRESO ATTO che i predetti trattamenti non possono essere ricompresi fra quelli sottratti dall´obbligo di notificazione con deliberazione n. 1 del 31 marzo 2004 (in G.U. 6 aprile 2004, n. 81), attesa la sistematicità dei trattamenti medesimi effettuati con l´ausilio di strumenti elettronici accessibili per via telematica;

VISTO il verbale n. 23 del 27 ottobre 2004 con cui si è contestata alla predetta Azienda sanitaria la violazione prevista dal menzionato art. 37 (e sanzionata dall´art. 163) del Codice, informandola della facoltà di effettuare il pagamento in misura ridotta ai sensi dell´art. 16 della legge 689/1981;

RILEVATO dal predetto rapporto che non risulta essere stato effettuato il pagamento in misura ridotta;

VISTO lo scritto difensivo inviato ai sensi dell´art. 18 della legge n. 689/1981, con il quale l´azienda ha sia ribadito di non aver provveduto alla notificazione al Garante ai sensi dell´art. 37 del Codice, ma di aver invece effettuato la notifica all´Autorità ai sensi dell´art. 7 della legge 675/1996, sviluppando le seguenti deduzioni:

a) si rileverebbe un grave profilo di illegittimità costituzionale scaturente dal disposto degli artt. 158 e 166 del Codice, ritenuto in contrasto con i principi affermati dagli artt. 24 e 25 della Costituzione ed inerenti il diritto di difesa dell´interessato;

b) l´autore di una violazione amministrativa/trasgressore materiale non può essere individuato in una persona giuridica, ma solo in una persona fisica, per cui una persona giuridica può essere solo qualificata, ai sensi dell´art. 6 della legge n. 689/1981, quale obbligato in solido con l´autore della violazione. Pertanto, l´atto di contestazione andrebbe considerato nullo poiché avrebbe dovuto essere indirizzato in via principale al Direttore generale nella sua qualità di legale rappresentante dell´azienda sanitaria ed avrebbe dovuto indicare l´azienda quale obbligato in solido;

c) la responsabilità amministrativa addebitabile al titolare ed al legale rappresentante sarebbe comunque inesistente, in quanto quest´ultimo, con propria nota, ha inviato a tutti i responsabili del trattamento un´apposita richiesta scritta, volta a verificare se qualcuno tra di essi trattasse o meno le categorie di dati da notificare ai sensi dell´art. 37, comma 1, lett. a) e b) del Codice, allegando alla stessa la deliberazione del Garante del 31 marzo 2004. All´esito di detta verifica, nessun responsabile avrebbe comunicato di trattare dati personali ai sensi del suddetto articolo del Codice;

d) la deliberazione del Garante del 31 marzo 2004, non ha esplicitato in alcun modo l´obbligo della notificazione per le "strutture sanitarie", ponendo però dubbi interpretativi legati alla qualificazione di "esercenti le professioni sanitarie" di cui ai punti 1 e 2 della deliberazione stessa. Tali dubbi interpretativi sono stati risolti dall´azienda sanitaria sulla base del contenuto del comunicato stampa del 31 marzo 2004, che annunciava l´adozione, da parte del Garante, della suddetta deliberazione di esonero dall´obbligo di notifica, allorché in esso si legge "…ha ritenuto necessario individuare, a date condizioni, nuove semplificazioni che interessano, società, enti locali, operatori sanitari (in particolare, medici di medicina generale e pediatri), liberi professionisti, datori di lavoro e gestori di impianti di videosorveglianza". Pertanto, considerato che la struttura sanitaria ben può essere assimilata ad un ente locale, si è ritenuto che l´azienda fosse esclusa dall´obbligo di notificazione;

e) i trattamenti di dati indicati dal predetto Direttore generale nel verbale di operazioni compiute  sono da intendersi riferiti esclusivamente a dati sensibili in senso lato; la specifica tipologia di dati, nonché le modalità e le finalità dei trattamenti effettuati, non rientrano tra le categorie previste dall´art. 37, comma 1, lett. a) e b) del Codice;

f) le difficoltà interpretative ricollegabili al contenuto testuale della deliberazione del Garante datata 31 marzo 2004 ed al relativo comunicato stampa emesso in pari data, avrebbero indotto in errore l´azienda, realizzando i presupposti di applicabilità della disciplina dell´errore sul fatto prevista dall´art. 3, comma 2, delle legge n. 689/1981;

VISTA la richiesta di audizione, formulata nello scritto difensivo di cui sopra dall´Azienda sanitaria locale n. 6 di Ciriè ai sensi dell´art. 18 della legge 689/1981;

VISTA la convocazione per audizione ai sensi dell´ art. 18 della legge 689/1981 n. 36144/39140/30 del 6 dicembre 2004 inviata dal Garante a mezzo raccomandata a/r inviata in data 6 dicembre 2004 e notificata regolarmente;

CONSIDERATO il verbale di audizione delle parti datato 16 dicembre 2004 nel quale l´azienda sanitaria ha ribadito quanto ipotizzato nella memoria difensiva;

RILEVATO che l´attività svolta dall´azienda configura un trattamento di dati personali (art. 4 comma 1, lett. a) del Codice) per il quale doveva essere assolto l´obbligo di effettuare la notificazione del trattamento all´Autorità ai sensi e nei modi previsti dagli artt. 37 e 38 del Codice;

RITENUTO che le ulteriori argomentazioni addotte dall´azienda nelle memorie difensive non risultano idonee in relazione alla contestazione della violazione amministrativa per omessa notificazione con cui si è dato avvio al procedimento, in quanto:

a) il Codice, all´art. 4, comma 1, lett. f), definisce il "titolare del trattamento" come la persona fisica, la persona giuridica e qualsiasi altro ente, associazione ed organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza. Il medesimo Codice, all´art. 28, prevede che quando il trattamento è effettuato da una persona giuridica, da una pubblica amministrazione o da un qualsiasi altro ente, associazione od organismo, titolare del trattamento è l´entità nel suo complesso. La contestazione della violazione operata a cura del Nucleo speciale funzione pubblica e privacy della Guardia di finanza è stata effettuata ritualmente all´azienda quale titolare del trattamento, in persona del legale rappresentante pro-tempore. Il Codice (art. 166) prevede che, per ciò che concerne le sanzioni amministrative applicate dal Garante in base al medesimo Codice, le disposizioni della legge n. 689/1981 si osservino solo in quanto applicabili. Il generale principio di personalità nell´applicazione di sanzioni amministrative, che comporta la sanzionabilità di persone fisiche, è fissato solo con legge ordinaria (legge n. 689/1981 citata) e non è precluso al legislatore, in casi come quello di specie (vedi anche d.lg. n. 231/2001 sulla responsabilità degli enti per alcuni illeciti amministrativi), prevedere sanzioni amministrative anche a carico di persone giuridiche impersonificate in base ai rispettivi ordinamenti;

b) come sopra già esposto, ai sensi dell´art. 4, comma 1, lett. f) del Codice il "titolare del trattamento" è definito come "la persona fisica, la persona giuridica e qualsiasi altro ente, associazione ed organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza", mentre "responsabile del trattamento", ai sensi della lett. g) del medesimo articolo, è "la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali". Inoltre, ai sensi dell´art. 29, commi 4 e 5, del Codice, "i compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare" e il responsabile deve effettuare "il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle  disposizioni di cui al comma  2 e delle  proprie istruzioni". Tali articoli individuano univocamente il ruolo del titolare del trattamento, il quale è tenuto ad avere, tramite le proprie articolazioni, puntuale conoscenza dei trattamenti effettuati, essendo sua esclusiva prerogativa individuarli e impartire le necessarie istruzioni agli eventuali responsabili del trattamento. Nel caso di specie, la circostanza dedotta relativa all´invio una nota (prot. 1958/Leg. del 9 aprile 2004) a tutti i responsabili del trattamento, volta a verificare l´esistenza di trattamenti riconducibili alla disciplina dell´art. 37, comma 1, lett. a) e b) del Codice, non è di per sé sola scriminante ai fini della dedotta inesistenza della responsabilità amministrativa;

c) in base al nuovo istituto della notificazione dei trattamenti previsto dal Codice,  sono tenuti a notificare solo i titolari che effettuino una o più attività di trattamento tra quelle specificamente indicate dal Codice all´art. 37, comma 1 (la precedente normativa, invece, prevedeva per tutti i titolari l´obbligo di effettuare la notificazione, a meno che potessero avvalersi dei casi di esonero o di possibile utilizzazione di una notificazione semplificata). L´art. 37, comma 2, del Codice demanda al Garante il compito di individuare, nell´ambito dei trattamenti di cui al comma 1, quelli sottratti all´obbligo di notificazione. Il Garante con deliberazione n. 1 del 31 marzo 2004 (in G.U. 6 aprile 2004, n. 81), pur avendo previsto alcuni esoneri tra cui quello a favore di persone fisiche esercenti le professioni sanitarie, non ha sottratto dall´obbligo di notificazione i trattamenti effettuati da strutture sanitarie pubbliche o private (ospedali, case di cura e di riposo, aziende sanitarie, laboratori di analisi cliniche, associazioni sportive), come altresì specificato nelle precisazioni sulla notificazione in ambito sanitario del 24 aprile 2004, pubblicate sul sito web dell´Autorità (doc. web n. 996680). Dalla nuova disciplina normativa del Codice è derivato, quindi, un distinto obbligo di notificazione al Garante. Il titolare del trattamento che aveva già iniziato un trattamento anteriormente al 1° gennaio 2004, indipendentemente dalla circostanza che lo avesse notificato in passato, doveva procedere, se tenuto, ad una nuova notificazione entro il termine transitorio del 30 aprile 2004 (art. 181, comma 1, lett. c)), circostanza che non è stata affatto esclusa dal comunicato stampa del Garante citato dall´azienda;

d) come risulta dal verbale di operazioni compiute redatto in data 27 ottobre 2004, che richiama tra l´altro il contenuto della tabella 1 del documento programmatico sulla sicurezza (ovvero prenotazioni esami, visite e ricoveri, refertazione analisi di laboratorio, gestione pronto soccorso, vaccinazioni, anagrafe donatori di organi e cartelle sanitarie tossicodipendenti, trattati dalle sedi aziendali dislocate sul territorio collegate a mezzo di apposita rete informatica costituita da server su rete locale e/o geografica, con possibilità di accesso anche da strutture esterne all´azienda) quest´ultima, contrariamente a quanto asserito, effettua trattamenti riconducibili all´art. 37 comma 1 lett. b);

e) considerata la condotta chiaramente colposa dell´azienda, non risultano infine gli estremi per applicare la disciplina dell´ "errore sul fatto" prevista dall´art. 3, comma 2, della legge n. 689/1981;

VISTO l´art. 163 del Codice, che punisce la violazione di cui all´art. 37 del Codice con la sanzione amministrativa del pagamento di una somma da diecimila euro a sessantamila euro e con la sanzione amministrativa accessoria della pubblicazione dell´ordinanza-ingiunzione;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni ed integrazioni;

RITENUTO di dover determinare l´ammontare della sanzione pecuniaria, avuto riguardo ai parametri indicati nell´art. 11 della legge 24 novembre 1981 n. 689, valutati anche in relazione all´attività svolta e al genere di trattamento di dati personali, nella misura del minimo pari alla somma di diecimila/00 euro;

RITENUTO di dover applicare la sanzione accessoria della pubblicazione, avuto riguardo alla gravità della violazione valutata alla luce dei predetti parametri e circostanze, nella misura ritenuta congrua della sola pubblicazione per estratto, per una sola volta e su due sole testate giornalistiche, di cui una di maggiore tiratura a livello nazionale, identificata ne "La Stampa" e, l´altra, ne "Il giornale nuovo del Piemonte";

VISTA la documentazione in atti curata dal Dipartimento attività ispettive e sanzioni;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE il dott. Giuseppe Chiaravalloti;

ORDINA

all´Azienda sanitaria locale n. 6 di Ciriè, sita in Ciriè (TO) via Battitore n. 7, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 10.000,00 (diecimila) a titolo di sanzione amministrativa pecuniaria per la violazione dell´art. 163 del Codice, indicata  in motivazione;

DISPONE

la pubblicazione a cura dell´Ufficio della presente ordinanza-ingiunzione a titolo di sanzione amministrativa accessoria prevista dall´art. 163 del Codice, per estratto e per una sola volta, sulle testate giornalistiche  "La Stampa" e "Il giornale nuovo del Piemonte";

INGIUNGE

alla medesima azienda di pagare, fermo restando quanto dovuto per la sanzione accessoria, la somma di euro 10.000,00 (diecimila) tramite il bollettino postale che verrà fornito in allegato, intestato a "Tesoreria provinciale dello Stato di Torino" entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale o in copia autentica, quietanza dell´avvenuto versamento;

DÀ ATTO CHE

avverso il presente provvedimento, ai sensi dell´art. 152 del Codice, può essere proposta opposizione davanti al tribunale ordinario del luogo ove ha sede il titolare del trattamento entro il termine di trenta giorni dalla notificazione del presente provvedimento.

Roma, 14 settembre 2006

IL PRESIDENTE
Pizzetti

IL RELATORE
Chiaravalloti

IL SEGRETARIO GENERALE
Buttarelli