[doc. web n. 1526689]

Ordinanza ingiunzione nei confronti di Asl Enna 4 - 13 settembre 2007

Registro delle deliberazioni
Del. n. 46  del 13 settembre 2007

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

ORDINANZA INGIUNZIONE

NELLA riunione odierna, alla presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Giovanni Buttarelli, segretario generale;

ESAMINATO il rapporto del Comando nucleo speciale funzione pubblica e privacy della Guardia di finanza predisposto ai sensi dell´art. 17 della legge 24 novembre 1981, n. 689, relativo al verbale di contestazione per violazione amministrativa redatto in data 31 maggio 2005 nei confronti dell´Azienda unità sanitaria locale n. 4 Enna, sita in Enna via Armando Diaz n. 49, in persona del legale rappresentante pro-tempore, per violazione dell´articolo 37 del Codice in materia di protezione dei dati personali (di seguito denominato Codice);

 RILEVATO che il predetto Comando, in attuazione della richiesta di informazioni  ex art. 157 del Codice (n. 7738 datata 21 aprile 2005) e su specifica delega di questa Autorità (n. 7740 del 21 aprile 2005), ha svolto accertamenti di cui al verbale di operazioni compiute del 31 maggio 2005 dai quali è risultato che l´Asl effettua, in qualità di titolare, trattamenti di dati personali previsti dall´art. 37, comma 1, lett. a) e b), del Codice (dati genetici e dati biometrici, nonché dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica e relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, trapianto di organi e tessuti e monitoraggio della spesa sanitaria, trattati su supporti elettronici e cartacei) da epoca anteriore al 1° gennaio 2004; considerato altresì, come dichiarato dalla Asl, che quest´ultima ha effettuato la notificazione al Garante nelle forme previste dagli artt. 37 e 38 del Codice in data 1° giugno 2005 e, quindi, oltre il termine previsto dall´art. 181, comma 1, lett. c) del Codice (30 aprile 2004);

VISTO il verbale n. 115 del 31 maggio 2005 con cui si è contestata alla predetta azienda sanitaria la violazione prevista dall´art. 163 del Codice in relazione all´art. 37, informandola della facoltà di effettuare il pagamento in misura ridotta ai sensi dell´art. 16 della legge 689/1981;

RILEVATO dal predetto rapporto che non risulta essere stato effettuato il pagamento in misura ridotta;

VISTO lo scritto difensivo inviato ai sensi dell´art. 18 della legge n. 689/1981, con il quale l´azienda ha ammesso di non aver effettuato, alla data del controllo, la notificazione al Garante ai sensi dell´art. 37 del Codice, sviluppando le seguenti deduzioni:

a) la strutturazione molto complessa dell´azienda sanitaria avrebbe reso "disagevole il censimento e la verifica di tutti i tipi di dati e relativi trattamenti da tutelare e proteggere";

b) la complessità della normativa sulla tutela dei dati personali e la sua continua evoluzione non avrebbero permesso l´adempimento degli obblighi previsti dal Codice;

c) l´omissione della notificazione al Garante, ai sensi dell´art. 37, comma 1, del Codice, rappresenterebbe una mera violazione formale;

RILEVATO che l´attività svolta dall´azienda configura un trattamento di dati personali (art. 4 comma 1, lett. a) e b) del Codice) per il quale doveva essere assolto l´obbligo di effettuare la notificazione del trattamento all´Autorità ai sensi e nei modi previsti dagli artt. 37, comma 1, lett. a) e b) e 38 del Codice;

RITENUTO che le argomentazioni addotte dall´azienda nelle memorie difensive non risultano idonee in relazione alla contestazione della violazione amministrativa per omessa notificazione con cui si è dato avvio al procedimento, in quanto:

a) ai sensi dell´art. 4, comma 1, lett. f) del Codice il "titolare del trattamento" è definito come "la persona fisica, la persona giuridica e qualsiasi altro ente, associazione ed organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza". Il titolare del trattamento è, pertanto, tenuto ad avere, tramite le proprie articolazioni, puntuale conoscenza dei trattamenti effettuati, essendo sua esclusiva prerogativa individuarli e impartire le necessarie istruzioni agli eventuali responsabili del trattamento. Nel caso di specie, la lamentata strutturazione molto complessa dell´azienda sanitaria, non è, di per sé sola, scriminante ai fini della sussistenza della responsabilità amministrativa e non può, quindi, invocarsi la "forza maggiore" quale causa di mancato perfezionamento dell´elemento soggettivo della violazione amministrativa;

b) il Codice indica i trattamenti di dati da notificare e demanda al Garante il compito di individuare, tra essi, quelli sottratti all´obbligo di notificazione, purché insuscettibili di recare pregiudizio ai diritti e alle libertà dell´interessato in ragione delle modalità di trattamento o alla natura dei dati. In particolare l´art 37, comma 1, lett. a) prevede che debbano essere notificati i trattamenti di "dati genetici, biometrici..." e (lett. b)) i trattamenti di "dati idonei a rilevare lo stato di salute e la vita sessuale trattati", rispettivamente, "a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria";

c) la ratio dell´istituto della notificazione, che non è un mero adempimento formale privo di rilievo, risiede nel garantire la verifica e il controllo del trattamento dei dati per il tramite della comunicazione al Garante, nonché, come previsto dal considerando n. 48 della direttiva 95/46/Ce, "dare pubblicità alle finalità del trattamento e alle sue principali caratteristiche" (per tale scopo, le notificazioni sono consultabili da chiunque attraverso il registro dei trattamenti pubblicato sul sito web del Garante);

VISTO l´art. 163 del Codice, che punisce la violazione di cui all´art. 37 del Codice con la sanzione amministrativa del pagamento di una somma da diecimila euro a sessantamila euro e con la sanzione amministrativa accessoria della pubblicazione dell´ordinanza-ingiunzione;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni ed integrazioni;

RITENUTO di dover determinare l´ammontare della sanzione pecuniaria, avuto riguardo ai parametri indicati nell´art. 11 della legge 24 novembre 1981 n. 689, valutati anche in relazione all´attività svolta e al genere di trattamento di dati personali, nella misura del minimo pari alla somma di diecimila/00 euro;

RITENUTO di dover applicare la sanzione accessoria della pubblicazione, avuto riguardo alla gravità della violazione valutata alla luce dei predetti parametri e circostanze, nella misura ritenuta congrua della sola pubblicazione per estratto, per una sola volta e su una sola testata giornalistica, identificata ne "La Sicilia";

VISTA la documentazione in atti curata dal Dipartimento attività ispettive e sanzioni;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE il dott. Giuseppe Fortunato;

ORDINA

all´Azienda unità sanitaria locale n. 4 Enna, sita in Enna via Armando Diaz n.49, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 10.000,00 (diecimila) a titolo di sanzione amministrativa pecuniaria per la violazione dell´art. 163 del Codice, indicata  in motivazione;

DISPONE

la pubblicazione a cura dell´Ufficio della presente ordinanza-ingiunzione a titolo di sanzione amministrativa accessoria prevista dall´art. 163 del Codice, per estratto e per una sola volta, sulla testata giornalistica "La Sicilia";

INGIUNGE

alla medesima azienda di pagare, fermo restando quanto dovuto per la sanzione accessoria, la somma di euro 10.000,00 (diecimila) tramite il bollettino postale che verrà fornito in allegato, intestato a "Tesoreria provinciale dello Stato di Enna" entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale o in copia autentica, quietanza dell´avvenuto versamento;

DÁ ATTO CHE

avverso il presente provvedimento, ai sensi dell´art. 152 del Codice, può essere proposta opposizione davanti al tribunale ordinario del luogo ove ha sede il titolare del trattamento entro il termine di trenta giorni dalla notificazione del presente provvedimento.

Roma, 13 settembre 2007.

IL PRESIDENTE
Pizzetti
IL RELATORE
Fortunato
IL SEGRETARIO GENERALE
Buttarelli