g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Ordinanza ingiunzione o revoca
  4. Ordinanza ingiunzione nei confronti di Azienda sanitaria provinciale di Enna

Ordinanza ingiunzione nei confronti di Azienda sanitaria provinciale di Enna

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 2260717]

Ordinanza ingiunzione nei confronti di Azienda sanitaria provinciale di Enna - 6 settembre 2012

Registro dei provvedimenti
n. 238 del 6 settembre 2012

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

ESAMINATO il rapporto del Nucleo speciale privacy della Guardia di finanza predisposto ai sensi dell´art. 17 della legge 24 novembre 1981, n. 689, relativo al verbale di contestazione n. 8 redatto in data 1° febbraio 2010 nei confronti dell´Azienda sanitaria provinciale di Enna (A.S.P. di Enna), con sede in Enna, via A. Diaz n. 7/9, in persona del legale rappresentante pro-tempore, per violazione degli artt. 37, comma 1, lett. a) e 38, comma 4 del Codice in materia di protezione dei dati personali (di seguito denominato Codice);

RILEVATO che il Nucleo speciale privacy della Guardia di finanza, in esecuzione della richiesta di informazioni ai sensi dell´art. 157 del Codice nr. 20001/53969 del 16 settembre 2009 formulata da questa Autorità, ha svolto un´attività di controllo formalizzata nel verbale di operazioni compiute redatto in data 10 e 11 novembre 2009 e integrata con la documentazione inviata dall´A.S.P. di Enna con nota n. 10434 del 18 novembre 2009, a fronte della quale è stato accertato che l´Azienda sanitaria provinciale di Enna, succeduta a seguito della riorganizzazione delle aziende sanitarie e ospedaliere della Regione Sicilia, in data 1° settembre 2009, per fusione delle cessate A.U.S.L. n. 4 di Enna e Azienda ospedaliera Umberto I, non ha ottemperato agli obblighi di notificazione al Garante previsti dagli artt. 37, comma 1 lett. a) e 38, comma 4 del Codice effettuando tardivamente la prima notificazione, in data 1° giugno 2005 (rilievo n. 1) e omettendo di effettuare tempestivamente la notificazione della mutata denominazione del titolare del trattamento (Azienda sanitaria provinciale di Enna) avvenuta in data 1° settembre 2009 (rilievo n. 2);

RILEVATO, altresì, che a fronte della medesima attività di controllo è stato anche accertato che l´A.S.P. di Enna non ha posto in essere alcune delle misure minime di sicurezza di cui all´art. 33 del Codice non prevedendo, per il sistema di autenticazione informatica, l´obbligo di modifica della password con scadenza almeno trimestrale e non redigendo un Documento programmatico sulla sicurezza (DPS) completo e aggiornato;

VISTI il verbale nr. 8 datato 1° febbraio 2010 (che qui si intende integralmente richiamato) con il quale sono state contestate alla predetta Azienda due distinte violazioni amministrative previste entrambe dall´art. 163 in relazione agli artt. 37, comma 1 lett. a), 38, comma 4 e il verbale nr. 9 anch´esso del 1° febbraio 2010 per la violazione di cui 162, comma 2-bis in relazione all´art. 33 del Codice, informandola, per la sola violazione sanzionata dall´art. 163 definibile in via breve, della facoltà di effettuare il pagamento in misura ridotta ai sensi dell´art. 16 della legge n. 689/1981;

RILEVATO dal predetto rapporto che non risulta essere stato effettuato il pagamento in misura ridotta;

VISTI gli scritti difensivi, datati 3 marzo 2010, inviati ai sensi dell´art. 18 della legge n. 689/1981 nei quali, relativamente alle contestazioni di cui al verbale n. 8, l´Azienda Unità Sanitaria Locale n. 4 di Enna ha evidenziato che "(…) ha avuto notificato in data 31/05/2005 verbale di contestazione n. 115/2005, relativamente alla mancata notificazione al Garante, (…) per lo stesso periodo 1° gennaio 2004 e 31 maggio 2005", trattasi, quindi, "(…) di mera duplicazione di una precedente contestazione per la quale si è già provveduto al pagamento della sanzione". Riguardo il secondo rilievo della medesima contestazione n. 8, l´Azienda sanitaria provinciale di Enna ha rappresentato che "(…) è subentrata (per fusione) alle cessate Azienda sanitaria locale n.4 di Enna e Azienda ospedaliera Umberto I  a far data dal 1° settembre 2009 ex art. 33 l.r. n. 14/09". "(…) la mancata comunicazione dei nuovi dati identificati(vi) costituisce errore scusabile sol se si pensi che le soppresse aziende avevano effettuato la notificazione prevista (…) l´integrazione o la modifica dei dati corrisponde ad un obbligo di trasparenza e collaborazione con il Garante ma non può essere inteso in senso rigorosamente formalistico come peraltro enunciato dal Provvedimento dell´8.4.2009 di codesta Autorità. Con riferimento alla distinta contestazione n. 9, ha rilevato come, "(…) la nuova Azienda (ha) una struttura molto complessa (e) nonostante la predetta difficoltà, unita a quella derivante dal dover una normativa obiettivamente complessa ed in continua evoluzione, (l´) omesso (…) aggiornamento del Documento Programmatico sulla Sicurezza (…), rappresenta (…) una violazione meramente formale, stante peraltro la corretta e puntuale osservanza della normativa in discorso, e che il pagamento della sanzione amministrativa inciderebbe sul bilancio che comunque produce servizi di pubblica utilità", ragione utile, quest´ultima, per chiedere l´applicazione dell´art. 164-bis, comma 1 del Codice che disciplina i casi di minore gravità;

RITENUTO che le argomentazioni addotte risultano idonee solo parzialmente in relazione a quanto contestato. Con riferimento alle specifiche argomentazioni afferenti il rilievo n. 2 della contestazione n. 8, si rileva come, per effetto delle citate norme di riorganizzazione delle Aziende ospedaliere della Regione Sicilia, dal 1° settembre 2009 è stato istituito il nuovo soggetto giuridico della A.S.P. di Enna. Tale soggetto giuridico, per effetto della previsione dell´art. 38, comma 4 del Codice, deve provvedere a una nuova notificazione al mutamento di taluno degli elementi da indicare nella notificazione medesima ovvero, nel caso di specie, la nuova ragione sociale. Concetto, questo, esplicitamente ribadito nel citato provvedimento del Garante datato 8 aprile 2009 (in www.garanteprivacy.it, doc. web n. 1609999) ed erroneamente interpretato dalla A.S.P., senza che per tale errore possano ravvisarsi i presupposti applicativi della disciplina di cui all´art. 3 della legge n. 689/1981.  Riguardo le argomentazioni relative alla violazione dell´art. 33 del Codice per inosservanza delle misure minime di sicurezza, si osserva come quanto dedotto non consenta di ravvisare gli elementi necessari all´applicazione della disciplina dell´errore scusabile di cui all´art. 3 della legge n. 689/1981 poiché l´Azienda ritiene erroneamente di aver assolto a tutti gli obblighi previsti dall´art. 33 e disciplinati dall´allegato B al Codice, fornendo solo alcuni elementi di riscontro alla citata normativa disciplinante il settore. La redazione di un Documento Programmatico sulla sicurezza completo e aggiornato rappresentava, all´epoca dei fatti contestati,  un obbligo esplicito cui adempiere puntualmente. Peraltro, si osserva che la condotta illecita contestata inerisce anche la mancata previsione, per il sistema di autenticazione informatica, dell´obbligo di modifica della password con scadenza almeno trimestrale, sulla quale, oltre a dare atto di aver provveduto a sanare tale inadempimento, nulla è stato eccepito;

RILEVATO, invece, che il distinto rilievo 1 della contestazione n. 8 deve essere archiviato in quanto, così come osservato, la medesima condotta omissiva afferente lo stesso arco temporale (1° gennaio 2004 e 31 maggio 2005) è già stata sanzionata con apposito verbale di contestazione n. 115 del 31 maggio 2005 e il relativo procedimento amministrativo sanzionatorio si è concluso con il pagamento di cui all´ordinanza ingiunzione n. 46 del 13 settembre 2007;

CONSIDERATO, quindi, che sulla base degli atti e degli elementi forniti nel corso del procedimento non sussistono elementi per applicare la sanzione prevista dall´art. 163 con riferimento al rilievo 1 della contestazione n. 8;

RILEVATO, invece, che l´Azienda ha effettuato un trattamento di dati personali, senza ottemperare all´obbligo di notificazione al Garante ai sensi dell´art. 38, comma 4 del Codice e senza adottare le misure minime di sicurezza di cui all´art. 33;

VISTO l´art. 162, comma 2-bis, del Codice che punisce la violazione delle disposizioni indicate nell´art. 33 del Codice con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

VISTO l´art. 163 del Codice che punisce la violazione delle disposizioni di cui all´art. 38 con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro;

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge 24 novembre 1981 n. 689, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a) in ordine all´aspetto della gravità, entrambe le violazioni non risultano connotate da elementi specifici in relazione alle modalità concrete della condotta e all´intensità dell´elemento psicologico, mentre, sotto il profilo dell´entità del pregiudizio o del pericolo arrecato, deve essere valutata in termini di aumento delle due sanzioni la circostanza che la violazione in esame sia stata posta in essere nell´ambito di una importante azienda ospedaliera, nella quale vengono trattati dati idonei a rivelare lo stato di salute di numerosi pazienti;

b) ai fini della valutazione dell´opera svolta dall´agente, si evidenzia come, relativamente alla sanzione di cui all´art. 162, comma 2-bis, debba essere favorevolmente valutato il fatto che sono state adempiute le prescrizioni impartite nell´ambito del procedimento di cui all´art. 169, comma 2 del Codice, mentre riguardo la sanzione prevista dall´art. 163, si rileva come l´azienda, in data 19 febbraio 2010, abbia provveduto a effettuare la notificazione al Garante;

c) circa la personalità dell´autore della violazione, si deve tenere in considerazione il precedente procedimento amministrativo sanzionatorio avviato con la contestazione per omessa notificazione al Garante n. 115 del 31 maggio 2005 e concluso con l´ordinanza ingiunzione n. 46 del 13 settembre 2007 poiché, a fronte di quanto disciplinato nel provvedimento del Garante datato 8 aprile 2009, le vicende evolutive che hanno portato alla riorganizzazione delle aziende ospedaliere in argomento configurano una continuità nei rapporti tra i soggetti giuridici coinvolti;

d)  trattandosi di Azienda sanitaria, le condizioni economiche dell´agente, al fine di commisurare l´importo della sanzione alla reale capacità economica del trasgressore nel rispetto del principio di uguaglianza, non sostanziano elementi specifici idonei ad incidere sulla quantificazione della sanzione;

RITENUTO di dover determinare, ai sensi dell´art. 11 della legge n. 689/1981, l´ammontare della sanzione pecuniaria per la violazione dell´art. 162, comma 2-bis del Codice, nella misura di euro 18.000,00 (diciottomila) e l´ammontare della sanzione pecuniaria per la violazione dell´art. 163 del Codice nella misura di euro 40.000,00 (quarantamila);

RILEVATO, altresì, che, nel caso di specie, limitatamente all´omissione relativa all´omessa notificazione, ricorrono i presupposti applicativi dell´art. 164-bis, comma 1, del Codice, riguardando l´omissione solo uno degli elementi da notificare (mutamento della ragione sociale) con la conseguente riduzione dell´importo della relativa sanzione a euro 16.000,00 (sedicimila);

CONSIDERATO, pertanto, che l´importo complessivo delle sole due sanzioni applicate con la presente ordinanza ingiunzione è pari a euro 34.000,00 (trentaquattromila) (18.000,00 + 16.000,00);

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la dott.ssa Augusta Iannini;

DISPONE

l´archiviazione del procedimento sanzionatorio amministrativo con riferimento alla contestazione relativa alla violazione di cui all´art. 37, comma 1, sanzionata dall´art. 163 del Codice per non aver provveduto, nel periodo dal 1° gennaio 2004 e 31 maggio 2005, alla notificazione al Garante;

ORDINA

all´ Azienda sanitaria provinciale di Enna (A.S.P. di Enna), con sede in Enna, via A. Diaz n. 7/9, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 34.000,00 (trentaquattromila) a titolo di sanzione amministrativa pecuniaria per la violazione prevista dall´art. 162, comma 2-bis e per l´ulteriore violazione prevista dall´art. 163 del Codice;

INGIUNGE

alla medesima azienda di pagare la somma di euro 34.000,00 (trentaquattromila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale o in copia autentica, quietanza dell´avvenuto versamento.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 6 settembre 2012

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia

Scheda

Doc-Web
2260717
Data
06/09/12

Argomenti

Aziende sanitarie

Tipologie

Ordinanza ingiunzione o revoca

Vedi anche (10)