Ordinanza ingiunzione nei confronti di Azienda Unità Sanitaria Locale di...
Ordinanza ingiunzione nei confronti di Azienda Unità Sanitaria Locale di Parma - 11 febbraio 2021 [9572244]
Condividi[doc. web n. 9572244]
Ordinanza ingiunzione nei confronti di Azienda Unità Sanitaria Locale di Parma - 11 febbraio 2021
Registro dei provvedimenti
n. 53 dell'11 febbraio 2021
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);
VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);
VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida del Garante in materia di trasparenza”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
Vista la documentazione in atti;
Viste le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;
Relatore il dott. Agostino Ghiglia;
PREMESSO
1. La violazione di dati personali
Con nota del XX, l’Azienda Unità Sanitaria Locale di Parma (di seguito “Azienda”), ha comunicato a questa Autorità una violazione di dati personali, ai sensi dell’art. 33 del Regolamento, rappresentando che:
- «la violazione è avvenuta attraverso la pubblicazione, sul sito istituzionale dell’ente www.ausl.pr.it, di due provvedimenti amministrativi (determinazioni dirigenziali) che hanno disposto la dispensa dal lavoro per inabilità di due dipendenti risultati non idonei permanentemente al servizio d’istituto, unitamente agli allegati atti istruttori contenenti, questi ultimi, i dati personali idonei a rilevare lo stato di salute degli interessati»;
- «da approfondita istruttoria, sia di ordine tecnico che amministrativo, è emerso che la divulgazione non autorizzata di dati personali contenuti negli allegati è stata accidentale, in quanto riconducibile esclusivamente ad una disattenzione nell’utilizzo della specifica funzione (riprendi proposta) che consente [attraverso il sistema XX di gestione documentale] di riprendere la bozza del provvedimento»;
- «l’operatore (responsabile del procedimento, ai sensi della legge 241/1990) ha predisposto il provvedimento da proporre al Dirigente per l’adozione, allegando correttamente gli atti istruttori “flaggando” la funzione “non visibili”; intervenuta la necessità di apportare modifiche al testo del provvedimento, il redattore ha ripreso la proposta dall’apposita funzione senza tuttavia accorgersi della perdita dell’impostazione precedentemente assegnate di (visibilità limitata) ripristinando, di fatto, le impostazioni di default»;
- «la documentazione dei due interessati convolti, è rimasta pubblicata sul sito dalle ore 16:32 del 27.06.2018 alle 11:04 del 28.6.2018 (interessato 1) e dalle ore 18:17 del 27.6.2018 alle 11:04 del 28.6.2018 (interessato 2)»;
- «dalle verifiche di tipo tecnico ed informatico, in questo arco temporale circoscritto, sono risultati i seguenti tentativi di consultazione:
• doc. id (…) (interessato 1): n. 57, di cui n. 12 dall’interno dell’Azienda e n. 45 dall’esterno; di questi, n. 28 andati a buon fine e n. 17 falliti per un down dell’albo (irraggiungibilità);
• doc. id (…) (interessato 2): n. 46, di cui n. 16 dall’interno dell’Azienda e n. 30 dall’esterno; di questi, 14 andati a buon fine e n. 16 falliti per il down dell’albo»;
- «la maggior parte degli accessi dall’esterno, sia per il doc. id (…) che per il doc. id (…), sembrano riconducibili verosimilmente all’interessato 1 (durante le conversazioni telefoniche intercorse, l’interessato 1 ha affermato di aver fatto diverse consultazioni col proprio dispositivo mobile per vedere se si trattava di un problema tecnico temporaneo»;
- «al fine di evitare il ripetersi di siffatta violazione, si ritiene di adottare la seguente misura:
• comunicazione a tutti i dipendenti utilizzatori del sistema informativo per la gestione documentale cd [XX] di porre in particolare attenzione alla funzione [riprendi], evidenziando come il ricorso a detto comando non faccia salve le impostazioni precedentemente dati agli allegati in termini di visibilità».
2. L’attività istruttoria
In relazione alla predetta comunicazione di violazione di dati personali, l’Ufficio con atto n. XX, del XX, con riferimento alle specifiche situazioni di illiceità in esso dichiarate, ha notificato all’Azienda, ai sensi dell’art. 166, comma 5 del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, paragrafo 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).
In particolare l’Ufficio, nel predetto atto, ha ritenuto che la violazione di dati personali notificata al Garante ai sensi dell’art. 33 del Regolamento, abbia rilevato la sussistenza di elementi idonei a configurare da parte dell’Azienda le violazioni di cui agli artt. 5, par. 1 lett. a) e c), 9, par. 2 del Regolamento e 2-septies, comma 8, del Codice, rappresentando che sulla base degli elementi acquisiti e della documentazione in atti, risulta accertato che codesta Azienda ha pubblicato sul sito web istituzionale, www.ausl.pr.it, due provvedimenti amministrativi (determinazioni dirigenziali) che hanno disposto la dispensa al lavoro per inabilità di due dipendenti unitamente agli allegati istruttori contenenti dati personali idonei a rilevare lo stato di salute degli interessati .
Con nota del XX (prot. n. XX), l’Azienda ha inviato al Garante i propri scritti difensivi in relazione alla violazione notificata, ribadendo nella sostanza quanto già rappresentato in sede di notifica della violazione di dati personali.
Nello specifico, il Direttore Generale dell’Azienda, dopo aver riassunto sinteticamente i termini della vicenda, ha rappresentato in particolare, che:
a) «E’ attraverso l’uso dell’applicativo “XX” (determinazioni), del sistema informativo di gestione documentale “XX” che si è concretizzata la violazione dei dati: si è verificato infatti che in pubblicazione andassero anche i documenti istruttori allegati alle determine»;
b) «l’Applicativo XX è in uso presso l’Azienda dal XX e sono configurati in modo tale da consentire agli utenti utilizzatori di predisporre il testo dei provvedimenti con possibilità di allegare documenti istruttori a corredo e di ricorrere alla funzione “XX” che sta per “visibilità limitata” qualora in detti documenti vi siano dati o informazioni che per legge non possono essere oggetto di diffusione. Il procedimento prevede poi che il dirigente competente a firmare l’atto possa apportare direttamente modifiche o demandarle all’utente [che ha redatto il documento]. In quest’ultimo caso viene utilizzata da quest’ultimo la funzionalità “Riprendi” che consente di riprendere il testo precedentemente predisposto. A questo punto, l’applicativo lancia immediatamente un pop-up contenente il seguente messaggio “La determina corrente verrà annullata e sarà creata una copia come proposta. Vuoi continuare?” Tale funzione, essendo eccezionale ed occasionale, ha una particolarità: dando la conferma con “OK”, la copia automaticamente generata perde le impostazioni in origine assegnate al documento, nel caso di specie agli allegati, resettando così dette impostazioni a quelle standard. Ciò è quanto avvenuto nel caso che ci occupa: ricevuto in restituzione il documento per la revisione, il responsabile del procedimento, dopo aver apportato le modifiche richieste, non ha provveduto a “biffare” nuovamente la casella relativa alla “visibilità limitata” degli allegati; non di meno, il dirigente»;
c) «Il trattamento ha avuto ad oggetto dati personali relativi alla salute. Esso si è reso necessario per la specifica finalità di cui all’art. 88, par. 1, del Regolamento, sulla base di quanto previsto dall’art. 9, par. 2, lett. b) dello stesso e dall’art. 2-sexies, comma 2, lett. dd) del Codice, ovvero per assolvere ad obblighi in materia di diritto del lavoro e della sicurezza e protezione sociale, in particolare per la gestione ed estinzione del rapporto di lavoro secondo quanto previsto dalla legge e dal CCNL Comparto Sanità in materia di accertamento dello stato di inabilità per motivi di salute. Sono stati coinvolti dalla violazione n. 2 interessati nella loro qualità di dipendenti»;
d) «L’evento non può considerarsi certamente sistematico ma isolato, tenuto conto che nel periodo 02/11/2017 – 27/06/2018 (cioè dalla data di entrata in funzione degli applicativi “XX” e “XX” alla data in cui si è verificata la violazione) sono stati adottati complessivamente n. 14 provvedimenti, tra delibere e determine, che hanno visto l’allegazione di documenti in “visibilità limitata”; di questi, n. 2 provvedimenti sono stati interessati dall’errore umano, tra l’altro da parte dello stesso operatore. Nel periodo 28/06/2018 – 05/04/2019 (cioè dal giorno successivo a quello della violazione al giorno dell’ultima rilevazione), invece, sono state adottati n. 4 provvedimenti della stessa tipologia e caratteristiche, senza registrare alcun errore. Pertanto, l’errore ha interessato 2 provvedimenti su 18 totali»;
e) «Tenuto conto delle circostanze del caso la condotta dell’utente e ancor di più della Azienda non ha avuto il carattere dell’intenzionalità nella causazione della violazione. Si è trattato, infatti, di una condotta colposa in conseguenza di una mera disattenzione nell’omettere la ri-selezione del flag nella casella relativa alla visibilità limitata»;
f) «L’Azienda ha fatto quanto in suo potere per ridurre nel minor tempo possibile le conseguenze ed attenuare gli effetti della violazione al fine di impedire che la stessa potesse proseguire o estendersi ad un livello o fase che avrebbe determinato ripercussioni ben più gravi. Ha infatti prontamente limitato l’impatto della violazione sui diritti e le libertà degli interessati ritenendo appropriata l’adozione della misura della rimozione degli allegati andati erroneamente in pubblicazione. L’azione della misura è stata tempestiva tant’è che la rimozione è avvenuta dopo 9 minuti dalla conoscenza dei fatti da parte del Referente Aziendale Privacy»;
g) «L’Azienda ha ritenuto necessario chiedere allo sviluppatore [del sistema XX] di far comparire un messaggio di testo che avvisi l’utente, ogniqualvolta ricorra alle funzioni “Riprendi” e “Copia”, che le impostazioni precedentemente assegnate al documento andranno perse. Questa misura di sicurezza tecnica sarà strutturale e non occasionale e sarà operativa a partire dal 30 del mese corrente»;
h) «nell’immediatezza dell’incidente di sicurezza, l’Azienda ha comunque nuovamente raccomandato a tutti gli utenti utilizzatori di “XX” di prestare attenzione alle conseguenze della funzione “Riprendi”. Lo ha fatto con una finestra a comparsa automatica (pop-up) contenente il seguente messaggio di testo: “ATTENZIONE In fase di redazione di un documento, le funzioni “riprendi” e “copia” da Strumenti non fanno salvare le impostazioni precedentemente assegnate. In particolare, se la scelta iniziale era quella di limitare la visibilità di un allegato, è necessario ri-flaggare la casella “XX” prima di inviare il documento alla firma»;
i) «Durante il periodo in cui i documenti sono rimasti in pubblicazione si sono registrati complessivamente n. 104 accessi alle due determine; di questi, n. 28 sono stati accessi interni all’Azienda da parte dei soggetti coinvolti nella fase di pubblicazione degli atti ed in quella di accertamento e verifica della violazione verificatasi; n. 27 falliti a causa di una temporanea irraggiungibilità della pagina web che ospita l’albo on line».
In data XX, si è inoltre, svolta presso il Garante l’audizione richiesta dall’Azienda, ai sensi dell’art. 166, comma 6, del Codice in occasione della quale è stato ulteriormente rappresentato che
- «rispetto alla moltitudine di documenti aventi le caratteristiche di non pubblicabilità degli allegati della determina, solo in questo caso si è verificato l’errore oggetto della notificazione. Ciò, si è determinato anche a causa del fatto che il responsabile del procedimento è assegnato alla sede di Fidenza, mentre il direttore dell’Area economica delle risorse umane, firmatario della determina, ha sede a Parma, ciò ha impedito una interlocuzione diretta tra i due soggetti»;
- «a seguito dell’accaduto, l’Azienda ha introdotto una modifica strutturale alla procedura di pubblicazione delle determine, che prevede l’evidenziazione, tramite un alert informativo automatico (pop up), di un messaggio informativo che rappresenta all’operatore che, a seguito della modifica del contenuto della determina, le caratteristiche relative alla non pubblicabilità del documento verrebbero perse. Attraverso questo sistema, già operativo da fine aprile, l’operatore è richiamato alla valutazione se mantenere o meno la non pubblicabilità degli allegati del documento»;
- L’Azienda ha, infine, evidenziato che «a seguito dell’accaduto, ha implementato [ulteriori] attività di formazione del personale coinvolto nella pubblicazione delle determine» e, considerata l’eccezionalità dell’evento, ha chiesto a questa Autorità «di procedere all’archiviazione del procedimento amministrativo ed, in alternativa, all’esercizio dei poteri correttivi del Garante».
4. Esito dell’istruttoria
La disciplina in materia di protezione dei dati personali prevede che i soggetti pubblici, quando operano in qualità di datori di lavoro, possono trattare i dati personali degli interessati (art. 4, n. 1, del Regolamento), anche relativi a categorie particolari di dati, se è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” e, di regola, per la gestione del rapporto di lavoro (artt. 6, par. 1, lett. c), 9, par. 2, lett. b) e par. 4 e 88 del Regolamento) nonché “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” o per “motivi di interesse pubblico rilevante” (artt. 6, par. 1, lett. e) e par. 2 e 3; 9, par. 2, lett. g) del Regolamento; 2-ter e 2-sexies del Codice).
La disciplina nazionale ha introdotto, inoltre, disposizioni più specifiche per adeguare l’applicazione delle norme del Regolamento, determinando, con maggiore precisione, requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto (art. 6, par. 2, del Regolamento) e, in tale ambito, ha previsto che le operazioni di trattamento, e tra queste la “diffusione” di dati personali, sono ammesse solo quando previste da una norma di legge o, nei casi previsti dalla legge, di regolamento (art. 2-ter, commi 1 e 3, del Codice).
In tale quadro, con riguardo alle categorie particolari di dati personali, inclusi quelli relativi alla salute (in merito ai quali è previsto un generale divieto di trattamento, ad eccezione dei casi indicati all’art. 9, par. 2 del Regolamento e, comunque un regime di maggiore garanzia rispetto alle altre tipologie di dati, in particolare, per effetto dell’art. 9, par. 4, nonché dell’art. 2-septies del Codice, il trattamento è consentito, per assolvere specifici obblighi “in materia di diritto del lavoro […] nella misura in cui sia autorizzato dal diritto […] in presenza di garanzie appropriate” (art. 9, par. 2, lett. b), del Regolamento).
In ogni caso, è vietata la diffusione di dati relativi alla salute (art. 2-septies, comma 8, del Codice, cfr. anche art. 9, paragrafi. 1, 2, 4, del Regolamento), ossia di “dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, paragrafo 1, n. 15; considerando n. 35 del Regolamento). Tale disposizione, infatti, già contenuta nel quadro normativo previgente (art. 22, comma 8 del Codice, anteriore alle modifiche di cui al d.lgs. n. 101/2018), trova ulteriore fondamento nel quadro normativo delineato dal Regolamento che ha consentito agli stati membri di mantenere o introdurre “ulteriori condizioni, comprese limitazioni” proprio con riguardo al trattamento dei dati relativi alla salute, analogamente a quelli genetici e biometrici (cfr. art. 9, par. 4 del Regolamento). Nell’adeguamento dell’ordinamento nazionale alle disposizioni del Regolamento, l’art. 2-septies del Codice ha confermato il generale divieto alla diffusione dei dati relativi alla salute (comma 8).
Peraltro, il Garante fin dal 2014 nelle Linee Guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati (doc web 3134436), ha fornito a tutti i soggetti pubblici specifiche indicazioni sulle modalità per contemperare gli obblighi di trasparenza e pubblicità dell’azione amministrativa con il diritto alla protezione dei dati personali degli interessati, ribadendo, il divieto di diffusione di dati idonei a rivelare lo stato di salute.
Anche in presenza di una specifica disposizione normativa che legittimi la diffusione o la comunicazione dei dati personali, il titolare del trattamento è tenuto a rispettare i principi di “liceità, correttezza e trasparenza”, “limitazione delle finalità”, “minimizzazione” nonché “integrità e riservatezza” dei dati e “responsabilizzazione” (art. 5 del Regolamento).
Tanto premesso, con riguardo al caso di specie, l’Azienda ha confermato, sia nelle memorie difensive che nella successiva audizione, l’avvenuta diffusione dei dati personali sulla salute di n. 2 dipendenti sul proprio sito istituzionale www.ausl.pr.it, accertata dal Garante con la nota prot. n. 8712 del 12/3/2019, nonché la violazione delle disposizioni con essa notificate, seppur causate «da una condotta colposa in conseguenza di una mera disattenzione nell’omettere la ri-selezione del flag nella casella relativa alla visibilità limitata». L’Azienda ha, inoltre, sottolineato che «a seguito dell’accaduto, ha introdotto una modifica tecnologica, strutturale alla procedura di pubblicazione delle determine, che prevede l’evidenziazione, tramite un alert informativo automatico (pop up), di un messaggio informativo che rappresenta all’operatore che, a seguito della modifica del contenuto della determina, le caratteristiche relative alla non pubblicabilità del documento verrebbero perse. Attraverso questo sistema, già operativo da fine aprile, l’operatore è richiamato alla valutazione se mantenere o meno la non pubblicabilità degli allegati del documento»; e di aver implementato ulteriori attività di formazione del personale coinvolto nella pubblicazione delle determine dirigenziali.
5. Conclusioni
Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice˗ gli elementi forniti dal titolare del trattamento nella memoria difensiva, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Si confermano pertanto le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Azienda, in quanto il trattamento dei dati personali dei dipendenti dell’Azienda, è avvenuto in violazione degli artt. 5, par. 1 lett. a) e c), 9, par. 2 del Regolamento e 2-septies, comma 8, del Codice che prevede lo specifico divieto di diffusione dei dati sulla salute (v. già l’art. 22, comma 8 del Codice previgente).
La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par 5 del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 5, del Regolamento medesimo come richiamato anche dall’art. 166, comma 2, del Codice.
Per tutto quanto sopra rappresentato, a prescindere dalla notificazione della violazione di dati personali effettuata dal titolare del trattamento in osservanza dell’obbligo di cui all’art. 33 del Regolamento, i profili di illiceità del trattamento rilevati nel caso di specie, sebbene frutto di un occasionale malfunzionamento del sistema informatico sopra citato esigono comunque l'intervento sanzionatorio di questa Autorità nei termini odierni al fine di salvaguardare i diritti e le libertà fondamentali degli interessati.
La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5 del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 5, del Regolamento medesimo come richiamato anche dall’art. 166, comma 2, del Codice.
In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti e che sono state fornite idonee assicurazioni da parte del titolare del trattamento, che al riguardo ha implementato specifiche misure tecniche per evitare il ripetersi della condotta contestata, non ricorrono i presupposti per l’adozione di provvedimenti, di tipo prescrittivo o inibitorio, di cui all’art. 58, par. 2 del Regolamento.
5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i; 83 Regolamento; art. 166, comma 7, del Codice)
Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i), 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).
La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.
In relazione ai predetti elementi, è stato considerato che:
1) la rilevata condotta, tenuta in violazione della disciplina in materia di protezione dei dati personali, ha determinato la diffusione di dati sulla salute, di n. 2 dipendenti dell’Azienda, sottoposti a specifica protezione in quanto, per loro natura, sono particolarmente sensibili tenuto conto che il trattamento di tali dati, in determinati contesti, può determinare rischi significativi per i diritti e le libertà fondamentali delle persone fisiche (Cons. n. 51);
2) l’Autorità è venuta a conoscenza della violazione tramite la notifica della violazione di dati personali effettuata dalla Azienda, in data 29 giugno 2018 e non sono pervenuti segnalazioni o reclami rispetto alla condotta oggetto del presente procedimento; non risultano, altresì, precedenti violazioni pertinenti commesse dal titolare del trattamento né sono stati precedentemente disposti provvedimenti di cui all’art. 58 del Regolamento;
3) il titolare del trattamento non ha tenuto in debita considerazione le indicazioni che, da tempo, il Garante, ha fornito a tutti i soggetti pubblici (v. ad esempio, Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati sopra citate) e in numerosi provvedimenti aventi a oggetto fattispecie analoghe (v. in particolare, provv. 13 febbraio 2020, n. 35, doc. web n. 9285411 e provv. del 28 maggio 2020, n. 92, doc. web 9434609);
4) la condotta «non ha avuto il carattere dell’intenzionalità nella causazione della violazione. Si è trattato, infatti, di una condotta colposa in conseguenza di una mera disattenzione nell’omettere la ri-selezione del flag nella casella relativa alla visibilità limitata»;
5) il titolare del trattamento, non appena venuto a conoscenza della violazione, ha:
implementato misure correttive volte alla eliminazione delle cause che hanno generato la condotta contestata, in particolare, provvedendo nell’immediatezza dell’incidente a raccomandare «a tutti gli utenti utilizzatori di “XX” di prestare attenzione alle conseguenze della funzione “Riprendi». A seguire, introducendo «una modifica strutturale alla procedura di pubblicazione delle determine, che prevede l’evidenziazione, tramite un alert informativo automatico (pop up), di un messaggio informativo che rappresenta all’operatore che, a seguito della modifica del contenuto della determina, le caratteristiche relative alla non pubblicabilità del documento verrebbero perse»;
dichiarato che tale implementazione tecnica è operativa da fine aprile 2019;
collaborato con l’Autorità nel corso della istruttoria e del presente procedimento.
In ragione dei suddetti elementi, valutati nel loro complesso, ai sensi dell’art. 83, par. 2 del Regolamento, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, tenendo anche conto della fase di prima applicazione delle disposizioni sanzionatorie ai sensi dell’art. 22, comma 13 del d. lgs. 10 agosto 2018, n. 101, nella misura di euro 10.000,00 (diecimila) per la violazione dell’artt. 5, par. 1 lett. a) e c) e 9 del Regolamento e 2-septies, comma 8 del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del medesimo Regolamento, effettiva, proporzionata e dissuasiva.
Tenuto conto della particolare delicatezza dei dati diffusi, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.
Si ritiene, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante
TUTTO CIÒ PREMESSO IL GARANTE
rilevata l’illiceità del trattamento effettuato dalla Azienda Sanitaria Locale di Parma, nei termini indicati in motivazione, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice
ORDINA
alla Azienda Unità Sanitaria Locale di Parma, in persona del legale rappresentante pro-tempore, con sede legale in Strada del Quartiere n. 2/A, 43125 Parma, Codice Fiscale e Partita IVA: 01874230343, di pagare la somma di euro 10.000,00 (diecimila) a titolo di sanzione amministrativa pecuniaria per le violazioni di cui in motivazione.
Al riguardo, si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento di un importo pari alla metà della sanzione irrogata, entro 30 giorni dalla data della notifica del presente provvedimento, ai sensi dell’art. 166, comma 8, del Codice (cfr. anche art. 10, comma 3, del d. lgs n. 150 dell’1/9/2011);
INGIUNGE
alla medesima Azienda di pagare la somma di euro 10.000,00 (diecimila), in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;
DISPONE
la pubblicazione del presente provvedimento sul sito Internet del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019 e si ritiene, altresì, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 11 febbraio 2021
IL PRESIDENTE
Stanzione
IL RELATORE
Ghiglia
IL SEGRETARIO GENERALE
Mattei
