Diritti interna

Doveri interna

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Azienda Unità Sanitaria Locale Toscana Centro - 6 febbraio 2020 [9299150]

[doc. web n. 9299150]

Ordinanza ingiunzione nei confronti di Azienda Unità Sanitaria Locale Toscana Centro - 6 febbraio 2020

Registro dei provvedimenti
n. 26 del 6 febbraio 2020

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore la prof.ssa Licia Califano;

PREMESSO

1. La violazione dei dati personali

È stato segnalato all’Autorità che presso gli ambulatori della Società Servizi Socio Sanitari Badia a Ripoli Impresa Sociale S.r.l. (alias Misericordia Badia a Ripoli, di seguito Società di servizi) era stato collocato un frigorifero deputato alla custodia dei campioni biologici e della connessa documentazione dei pazienti che avevano aderito alla campagna di prevenzione precoce dei tumori intestini. Il segnalante lamentava le modalità con le quali i pazienti erano chiamati a depositare il campione biologico e la modulistica dagli stessi compilata, all’interno del suddetto frigorifero, lamentando l’assenza di personale addetto alla custodia dei predetti reperti e dei documenti.

2. L’attività istruttoria

In relazione a quanto segnalato, l’Ufficio ha provveduto a richiedere informazioni ai soggetti coinvolti nella predetta campagna di prevenzione e, in particolare, all’Istituto per lo Studio, la Prevenzione e la Rete Oncologica (ISPRO), alla richiamata Società di servizi e all’Azienda USL Toscana centro (di seguito Azienda) (note del 19.11.2018, prot. n. 33653 e del 15.01.2019, prot. n. 1488) in ordine al trattamento di dati personali effettuato nell’ambito della citata campagna di prevenzione precoce dei tumori intestini.

In risposta alla richiesta di informazioni dell’Ufficio, l’Azienda, l’ISPRO e la Società di servizi hanno fornito elementi di riscontro (nota dell’Azienda del 25/02/2019, prot. n. 23303; note dell’Ispro del 14.12.2018, prot. n.3074 e del 25/02/2019, prot. n. 522 e nota della Società di servizi del 14.12.2018, prot. n. 9) e hanno inviato documentazione relativa all’applicazione della disciplina sul trattamento dei dati effettuato nell’ambito della suddetta campagna di prevenzione (invito dell’Ispro alla campagna di prevenzione contenente la scheda anagrafica dell’assistito e l’”Informativa privacy e richiesta del consenso per il trattamento dei dati (Regolamento (UE) 2016/679”; atto di designazione dell’Azienda USL Toscana Centro a responsabile del trattamento dell’ISPRO del 24 settembre 2018; Deliberazione del Direttore generale dell’Azienda USL n. 10 di Firenze n. 56 del 3.2.2005, recante “Approvazione del nuovo testo di convenzione con il CSPO, periodo 2004/2006, per lo svolgimento dell’attività di screening oncologico, di epidemiologia e di consulenza diagnostica”; Deliberazione del Direttore generale della dell’ISPRO n. 175 del 25.6.2018, recante “Individuazione Responsabile dei dati personali (RPD) ai sensi del Regolamento europeo 2016/679 ed approvazione contratto).

Nello specifico, il Direttore generale dell’Azienda USL Toscana Centro, dott. XX, con la citata nota del 25/02/2019, ha rappresentato che:

-  «l’Azienda Usl Toscana Centro è titolare del trattamento ai sensi dell’art. 4 n. 7 del RGPD e, in applicazione delle normative citate, persegue nel caso specifico, la finalità di svolgere lo screening per la prevenzione precoce dei tumori intestini avvalendosi (…) dell’Ispro»;

- «l’Ispro (…) è individuato quale responsabile del trattamento (…)(la relativa nomina) è stata disposta dall’Azienda Asl 10 di Firenze, oggi Ausl Toscana Centro, nella convezione di cui alla delibera n. 56 del 3.2.2005»;

- «la Misericordia di Badia a Ripoli, nei rapporti diretti con l’Azienda Usl Toscana Centro è stata da quest’ultima nominata quale responsabile del trattamento ai sensi dell’art. 28 del RGPD»;

- «con riferimento ai rapporti tra l’Azienda USL Toscana Centro e l’Ispro, in considerazione del ruolo fondamentale che quest’ultimo è chiamato normativamente a svolgere, (…) è in corso di definizione una nuova Convenzione all’interno della quale verranno dettagliati (…) anche i ruoli e le responsabilità connesse alla protezione delle persone fisiche con riguardo al trattamento dei dati personali. Nel caso di specie, infatti, l’Azienda USL Toscana Centro, delega la gestione del progetto all’Ispro e autorizzerebbe la nomina della Misericodia di Badia a Ripoli quale “sub-responsabile” del trattamento nel rispetto degli obblighi di cui all’art. 28 del RGPD»;

- «il nuovo assetto organizzativo dell’Azienda USL Toscana Centro, definito con riferimento al trattamento dei dati personali dalla Delibera del Direttore Generale n. 179/2019, porterà i Referenti aziendali (ex responsabili interni del trattamento) ad esercitare attività e funzioni di controllo nei confronti dei soggetti esterni formalmente nominati quali Responsabili».

Il Responsabile della protezione dei dati personali dell’Ispro, dott. XX, con la nota del 25/02/2019, ha dichiarato che:

- «nell’ambito del trattamento in esame, Ispro assume esclusivamente il ruolo di Responsabile ai sensi dell’art.28 del GDPR (…) che è dunque chiamato a svolgere un trattamento in nome e per conto dell’Azienda USL Toscana Centro»;

- «Ipsro non è a conoscenza (…) dell’attività di custodia e conservazione dei campioni biologici consegnati dagli aderenti, trattandosi di aspetti di cui si occupa l’Azienda USL TC».

Al riguardo, il Direttore sanitario della Società di servizi, dott. XX, con la nota del 14.12.2018, ha affermato che:

- «l’impegno di questa struttura si riferisce alla sola custodia del campione (…) dell’utente il quale deposita autonomamente in busta chiusa anonima la propria documentazione»;

- il frigorifero ove è custodito il campione «si trova in continuità del bancone accettazione ad un metro circa dall’ultimo operatore addetto che è presente per tutto l’orario di apertura. Durante l’orario di chiusura viene attivato un sistema di allarme antiintrusione». «Per tutto l’arco delle 24 ore è attivo un servizio di videosorveglianza (…) puntato (…) sui banconi accettazione rientrando quindi nel controllo anche il suddetto frigorifero»;

- «in circa sei anni di attività non si è verificato alcun problema e (…) che anche nel caso segnalato non risulta essersi verificata alcuna violazione della privacy intesa come diffusione di dati dell'utente a persone o enti terzi».

In relazione alle risultanze della predetta attività istruttoria, l’Ufficio, con atto n. 8762 del 12 marzo 2019, ha notificato all’Azienda USL Toscana Centro, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, paragrafo 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

In particolare l’Ufficio, nel predetto atto ha rappresentato che

- il modello di “Informativa privacy e richiesta del consenso per il trattamento dei dati (Regolamento (UE) 2016/679)”, allegato alla lettera di invito spedita dall’ISPRO, risulta privo di alcuni degli elementi informativi richiesti dagli artt. 13 e 14 del Regolamento, quali: il periodo di conservazione dei dati personali, il diritto di proporre reclamo all’autorità di controllo e i dati di contatto del titolare del trattamento e del responsabile della protezione dei dati. Il suddetto modello di informativa, non fornisce, inoltre, in modo chiaro, informazioni adeguate in merito al trattamento effettuato “per attività di studio di ricerca medico scientifica”, con specifico riferimento al soggetto titolare delle suddette attività e alle caratteristiche del trattamento;

- con riferimento alle designazioni a responsabile del trattamento, ai sensi dell’art. 28 del Regolamento, l’atto giuridico con cui devono essere effettuate deve prevedere, tra l’altro, le istruzioni documentate del titolare del trattamento, le assicurazioni in merito all’impegno di riservatezza delle persone autorizzate al trattamento dei dati personali e all’adozione delle misure di sicurezza del trattamento, nonché le indicazioni in merito alla cancellazione o restituzione di tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento. La designazione effettuata dall’Azienda Usl Toscana Centro all’Ispro a Responsabile esterno del trattamento (atto del 24.9.2018) e la Deliberazione del Direttore generale dell’Azienda USL n. 10 di Firenze n. 56 del 3.2.2005 recante “Approvazione del nuovo testo di convenzione con il CSPO, periodo 2004/2006, per lo svolgimento dell’attività di screening oncologico, di epidemiologia e di consulenza diagnostica” risultano invece del tutto prive dei predetti elementi espressamente richiesti dall’art. 28 del Regolamento.

Nel richiamato atto del 12 marzo 2019, l’Ufficio ha quindi ritenuto che l’Azienda abbia effettuato un trattamento di dati personali degli interessati che hanno aderito alla campagna di prevenzione precoce dei tumori intestini, anche attraverso le attività effettuate, per proprio conto, dall’ISPRO e dalla Società di servizi, in violazione al diritto degli interessati di ricevere -al momento della raccolta dei dati- tutte le informazioni di cui all’art. 13 del Regolamento e degli obblighi del titolare in ordine alla corretta designazione del responsabile del trattamento di cui all’art. 28 del Regolamento.

Con nota del 10 aprile 2019 (prot. n. 43515), l’Azienda ha chiesto di essere sentita dall’Autorità e ha fatto pervenire le proprie memorie difensive, in cui, in particolare, è stato rappresentato che:

a) “la legge regionale Toscana del 14 dicembre 2017 n. 74 (Disciplina dell'Istituto per lo studio, la prevenzione e la rete oncologica (ISPRO) e, in particolare, dall'art. 3, a mente del quale: "l. La finalità dell'ISPRO, nell'ambito del servizio sanitario regionale, consiste nel promuovere, misurare e studiare azioni di prevenzione primaria, secondaria e terziaria dei tumori e di organizzare e coordinare, in sinergia con le aziende e gli enti del servizio sanitario regionale, i percorsi di diagnosi, cura e riabilitazione, nonché i programmi di ricerca in ambito oncologico”;

b) l’Azienda ha attribuito la gestione del percorso di screening per la prevenzione precoce dei tumori intestini all’ISPRO, prestando la “propria collaborazione per il ritiro dei campioni presso i punti di raccolta individuati”;

c)  “l' Azienda USL Toscana Centro, a seguito della sua costituzione mediante accorpamento delle precedenti Aziende territoriali, ha progressivamente avviato un percorso di adeguamento volto alla centralizzazione delle gestioni; ha provveduto a nominare quale Responsabile del trattamento il medesimo Istituto per le aree ricomprese nel circondario afferente alle ex Aziende di Pistoia (USL3), Prato (USL4) ed Empoli (USLII) per le attività svolte, in tale contesto, dall'ISPRO (cfr. delibera n. 1862 del 20.12.2018 come aggiornata con Delibera n. 522/2019) per "la processazione e refertazione dei campioni dello screening citologico da inviare al Laboratorio Unico Regionale per la Prevenzione Oncologica di ISPRO"”;

d) “stante la complessità dei rapporti e la necessità di un progressivo allineamento delle convenzioni, così come già evidenziato in atti, è allo studio dell'Azienda e dell'ISPRO una nuova convenzione avente ad oggetto il percorso di screening con la chiara assunzione in capo a quest'ultimo di ogni attività inerente allo stesso”;

e)  –“in relazione agli elementi richiesti di cui all'art. 13 del Regolamento UE 2016/679 (…) l'indicazione del Titolare del trattamento (AUSL Toscana Centro per il percorso di screening) consente agli interessati di reperire agevolmente e senza limitazione alcuna le informazioni riguardanti i dati di contatto del medesimo, del Responsabile della protezione dei dati, il periodo di conservazione dei dati nonché il diritto di reclamo all'Autorità di controllo accedendo all'informativa generale pubblicata sul sito istituzionale”;

f) “di aver provveduto all'adozione di un testo contenente le informazioni di cui all'art. 13 del Regolamento UE 2016/679 aggiornato rispetto ai contenuti evidenziati nel provvedimento in oggetto adoperandosi, come sarà meglio specificato, all'invio del medesimo al Responsabile del trattamento per la consegna agli interessati” e di aver, altresì, ”provveduto alla predisposizione di un nuovo e aggiornato atto di nomina quale Responsabile del trattamento nei confronti dell'ISPRO”.
In data 20 gennaio 2020 si è svolta l’audizione della Azienda USL Toscana Centro in cui, l’Avv. XX, delegato a rappresentare l’Azienda, ha ribadito “la volontà aziendale di rivedere l’atto di convenzione attualmente in vigore con l’Ispro, al fine di meglio delineare i compiti dell’Istituto anche con riferimento al profilo della protezione dei dati personali. Tale attività di revisione ha già portato alla redazione di una nuova bozza di convenzione, che, non appena ultimata, verrà inviata all’Ufficio per la parte di competenza” (verbale di audizione delle parti, prot. n. 2191 del 20.1.2020). In occasione dell’audizione, il rappresentante dell’Azienda ha anche prodotto l’atto di designazione a responsabile dell’ISPRO datato 18.6.2019, di cui fa parte integrante il nuovo modello di informazioni da rendere agli interessati redatto alla luce dell’art. 13 del Regolamento e la delibera aziendale n. 179/2019 relativa all’organizzazione aziendale del sistema di gestione dei dati, con il quale è stato specificato che il rapporto con i soggetti esterni deve essere gestito dal responsabile di struttura semplice o complessa, al fine di mantenere una posizione di vigilanza più efficace.

Durante l’audizione il rappresentante dell’Azienda ha, inoltre, precisato che “l’interessato al trattamento dei dati oggetto del presente procedimento, allo stato, non ha presentato nei confronti dell’Azienda alcuna pretesa risarcitoria o altri atti relativi al predetto trattamento”.

3. Esito dell’attività istruttoria

Preso atto di quanto rappresentato dall’Azienda, dall’ISPRO e della Società di servizi nella documentazione in atti e nelle memorie difensive dell’Azienda, si osserva che:

1. il Regolamento, nello stabilire un generale divieto al trattamento delle categorie particolari di dati personali, prevede una deroga nel caso in cui il trattamento sia necessario per finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria (art. 9, par. 2, lett. h) e par. 3 del Regolamento) e sia effettuato da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza. Il trattamento dei dati personali effettuato nell’ambito della campagna di prevenzione precoce dei tumori intestini in esame può essere ricondotto alla fattispecie indicata nell’art. 9, par. 2, lett. h) Regolamento. Pertanto, il trattamento di dati relativi alla salute, necessario per perseguire la suddetta finalità di prevenzione, può essere effettuato, nei limiti indicati nella predetta disposizione, dopo aver fornito all’interessato le informazioni previste dagli artt. 13 e 14 del Regolamento, senza necessità di acquisire il consenso dell’interessato;

2. non vi sono risultanze istruttorie in merito all’inadeguatezza delle modalità con le quali la Società di servizi abbaia custodito i campioni biologici e la connessa documentazione relativa alla predetta campagna di prevenzione;

3. il modello di “Informativa privacy e richiesta del consenso per il trattamento dei dati (Regolamento (UE) 2016/679)”, allegato alla lettera di invito spedita dall’ISPRO, risulta, tuttavia, privo di alcuni degli elementi informativi espressamente richiesti dai predetti artt. 13 e 14 del Regolamento, quali: il periodo di conservazione dei dati personali, il diritto di proporre reclamo all’autorità di controllo, i dati di contatto del titolare del trattamento e del responsabile della protezione dei dati e non fornisce, in modo chiaro, informazioni in merito al trattamento effettuato “per attività di studio di ricerca medico scientifica”, con specifico riferimento al soggetto titolare delle suddette attività e alle caratteristiche del trattamento. La circostanza che le informazioni relative ai dati di contatto del titolare e del Responsabile della protezione dei dati, al periodo di conservazione dei dati nonché al diritto di reclamo all'Autorità di controllo siano presenti nell'”informativa generale pubblicata sul sito istituzionale” aziendale non consente di superare i rilievi formulati dall’Ufficio in quanto, nel predetto modello, non vi era alcun riferimento alla c.d. “Informativa generale” e non era indicato il sito istituzionale dell’Azienda. In ogni caso, è preciso dovere del titolare del trattamento fornire un’informativa completa, chiara ed esaustiva in rapporto allo specifico trattamento che non richieda all’interessato di effettuare ricerche o di recuperare altrove le informazioni rilevanti in ordine allo specifico trattamento che si intende effettuare (cfr. provvedimento del 7.3.2019 -Chiarimenti sull'applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario, doc. web n. 9091942). Il modello di “Informazioni sul trattamento dei dati personali- attività screening oncologico”, prodotto dall’Azienda nel corso dell’audizione del 20.1.2020, ha superato le criticità sollevate dall’Ufficio con la predetta nota del 12.3.2019, ha eliminato del tutto il riferimento alle finalità di ricerca scientifica da parte dell’Azienda e ha riportato gli elementi informativi di cui era privo il modello di “Informativa privacy e richiesta del consenso per il trattamento dei dati (Regolamento (UE) 2016/679)”, allegato alla lettera di invito spedita dall’ISPRO e utilizzato all’epoca dei fatti oggetto della segnalazione;

4. la designazione a responsabile del trattamento effettuata dall’Azienda USL Toscana Centro all’ISPRO quale “Responsabile esterno del trattamento” (atto del 24.9.2018) e la Deliberazione del Direttore generale dell’Azienda USL n. 10 di Firenze n. 56 del 3.2.2005 recante “Approvazione del nuovo testo di convenzione con il CSPO, periodo 2004/2006, per lo svolgimento dell’attività di screening oncologico, di epidemiologia e di consulenza diagnostica” risultavano prive dei seguenti elementi espressamente richiesti dall’art. 28 del Regolamento: istruzioni documentate del titolare del trattamento, assicurazioni in merito all’impegno di riservatezza delle persone autorizzate al trattamento dei dati personali e adozione delle misure di sicurezza del trattamento, nonché le indicazioni in merito alla cancellazione o restituzione di tutti i dati personali al termine della prestazione dei servizi relativi al trattamento. L’”atto di nomina a responsabile del trattamento dati ai sensi dell’art.28 del regolamento UE 2016/679” datato 18.6.2019 e prodotto dall’Azienda nel corso dell’audizione del 20.1.2020, ha superato le criticità sollevate dall’Ufficio con la predetta nota del 12.3.2019, riportando i richiamati elementi mancanti.

4. Conclusioni

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare e dai responsabili del trattamento nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni si rileva l’illiceità del trattamento di dati personali effettuato dall’Azienda Unità Sanitaria Locale Toscana Centro, nei termini di cui in motivazione, in violazione dell’art. 13 e 28 del Regolamento.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, atteso che l’Azienda ha dichiarato di aver adottato un nuovo modello “Informazioni sul trattamento dei dati personali- attività screening oncologico” e di aver provveduto ad adottare il 18.6.2019 un nuovo “atto di nomina a responsabile del trattamento dati ai sensi dell’art.28 del regolamento UE 2016/679” (verbale di audizione delle parti, prot. n. 2191 del 20.1.2020), non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

Allo stesso modo, la propositività con la quale l’Azienda ha provveduto a modificare i citati documenti, nonché a rivedere l’atto di convenzione con ISPRO, evidenzia la massima e solerte collaborazione dimostrata dalla medesima nei rapporti con l’Autorità, al fine di conformare il trattamento alla disciplina in materia di protezione dei dati personali (cfr. il citato verbale di audizione delle parti, prot. n. 2191 del 20/01/2020).

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice)

La violazione degli artt. 13 e 28 del Regolamento, causata dalla condotta posta in essere dall’Azienda Unità Sanitaria Locale Toscana Centro, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi, rispettivamente, dell’art. 83, par.5, lett. b) e par. 4, lett. a) del Regolamento.

Pertanto si ritiene applicabile l'art. 83, par. 3, del Regolamento medesimo, in base al quale, se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave (di cui all’art. 83, par. 5, del Regolamento) assorbendo così le altre violazioni meno gravi (v. art. 83, par. 4, del Regolamento). Pertanto, le suindicate violazioni avendo ad oggetto, tra gli altri, l’inidonea informativa di cui all’art. 13 del Regolamento, sono da ricondursi, ai sensi dell’art. 83, par. 3 dello stesso Regolamento, nell’alveo della sanzione prevista per la predetta violazione con conseguenziale applicazione della sanzione prevista all’art. 83, par. 5, lett. b), del Regolamento.

Si consideri che il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 85, par. 2, del Regolamento in relazione ai quali si osserva che:

- l’Azienda ha fin da subito dimostrato un elevato grado di cooperazione, provvedendo a modificare il modello “Informazioni sul trattamento dei dati personali- attività screening oncologico” e ad adottare un nuovo “Atto di nomina a responsabile del trattamento dati ai sensi dell’art.28 del regolamento UE 2016/679” (verbale di audizione delle parti, prot. n. 2191 del 20.1.2020), nonché a rivedere l’atto di convenzione in vigore con l’ISPRO, attualmente in fase di ridefinizione (art. 83, par. 2, lett. c), d) e f) del Regolamento);

- l’Autorità ha ricevuto una sola segnalazione in merito al trattamento dei dati effettuato attraverso la campagna di prevenzione precoce dei tumori intestini, in merito alla quale non sono peraltro state riscontrate in atti particolari criticità (art. 83, par. 2, lett. a) e h) del Regolamento);

- il trattamento dei dati effettuato attraverso la campagna di prevenzione precoce dei tumori intestini riguarda campioni biologici e documentazione clinica idonei a rilevare informazioni sulla salute degli interessati e, potenzialmente, la presenza di patologie oncologiche (art. 4, par. 1, n. 15 del Regolamento e art. 83, par. 2, lett. a) e g) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, tenendo anche conto della fase di prima applicazione delle disposizioni sanzionatorie ai sensi dell’art. 22, comma 13, del d. lgs. 10/08/2018, n. 101, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 4, lett. a) e par. 5, lett. b) del Regolamento, nella misura di euro 10.000 (diecimila) per la violazione degli artt. 13 e 28 del Regolamento quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della potenziale numerosità dei soggetti interessati e della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dall’Azienda Unità Sanitaria Locale Toscana Centro, per la violazione degli artt. 13 e 28 del Regolamento nei termini di cui in motivazione.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, all’Azienda Unità Sanitaria Locale Toscana Centro, con sede legale in Firenze (FI), Piazza S. Maria Nuova, 1 - C.F./P. IVA 06593810481, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 10.000 (diecimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento, secondo le modalità indicate in allegato, entro 30 giorni dalla notifica in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla predetta Azienda, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 10.000 (diecimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 6 febbraio 2020

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia