[doc. web n. 10168519]

Provvedimento del 10 luglio 2025

Registro dei provvedimenti
n. 450 del 10 luglio 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, segretario generale reggente;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il reclamo presentato dal Sig. XX in data 29/01/2024, ai sensi dell’art. 77 del Regolamento con cui è stata lamentata una violazione della disciplina in materia di protezione dei dati personali da parte di Centro Medico Italiano s.r.l.;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Il reclamo nei confronti della Società.

Con il reclamo presentato in data 29/01/2024, il Sig. XX ha rappresentato a questa Autorità di aver presentato un’istanza di esercizio dei diritti nei confronti di Centro Medico Italiano s.r.l. (di seguito “la società”), formulata ai sensi dell’art. 15 del Regolamento UE 679/2016, e di non aver ricevuto idoneo riscontro.

In particolare, è stato rappresentato che, con la nota del 01/12/2023 si era rivolto ad Hotel Corporation Europe, alla XX ed alla società, chiedendo:

“l’accesso ai dati relativi alla salute e a tutto quanto raccolto e contenuto nella cartella clinica dello stesso e conservato sia su carta che in formato digitale con messa a disposizione di una copia degli stessi per l’interessato”;

“l’accesso alle informazioni circa il trattamento dei detti dati, con particolare riferimento alle modalità con cui i dati vengono trattati, al luogo in cui vengono conservati e ai soggetti autorizzati ad accedervi, anche in qualità di responsabili ex art. 28 GDPR”;

Successivamente, sulla base di quanto documentato, la XX “comunicava di aver trasmesso tutta la documentazione alla cessazione del suo incarico, inviandone un estratto”, mentre l’Hotel Corporation of Europe, tramite il suo legale, “comunicava di non essere in possesso di alcuna informazione o documento relativo alla salute del lavoratore essendo il medico autonomo titolare del trattamento”.

Non risultava, invece, pervenuto alcun riscontro da parte della Società.

2. L’avvio dell’attività istruttoria

Con nota del 12/03/2024, questa Autorità ha invitato la Società a fornire osservazioni in ordine ai fatti oggetto di reclamo, nonché ad aderire all’istanza di esercizio dei diritti avanzata dal reclamante.

In data 25/03/2024, la Società ha riscontrato l’invito del Garante, osservando, tra l’altro che:

- “In data 4 settembre lo stesso Sig. XX scriveva al CMI per chiedere copia di tutta la sua documentazione sanitaria, spiegando a grandi linee la sua situazione sanitaria. Non avendolo ancora visitato, abbiamo provveduto a fare copia solo del pregresso, cioè della documentazione sanitaria, consegnatoci in busta chiusa dall’Hotel Hilton, ritirata dal Sig. XX in data 8 Settembre. Come chiaramente espresso nel cartaceo allegato, lo stesso XX ha poi scritto facendo notare che tale copia era incompleta e che la sua assunzione risaliva al 2008”;

- “Per tale ragione, il C.M.I. si è subito attivato su due fronti: per prima cosa, richiedendo al Hotel Hilton tutti i giudizi di Idoneità archiviati e trasmettendoli al diretto interessato, poi programmando la visita periodica; tale visita, compatibilmente con i periodi di malattia e riposo del Dipendente (durante i quali non può essere convocato a visita), è stata effettuata in data 27 Settembre 2023 ed è stato emesso il nuovo Giudizio di Idoneità con limitazione e Prescrizione”;

- “Poiché la cartella sanitaria consegnata al nostro Centro Medico era effettivamente incompleta, ma non essendo il C.M.I. responsabile della sua conservazione fino a Febbraio 2023, abbiamo richiesto nuovamente in più occasioni al Hotel Hilton (dove negli ultimi mesi erano cambiati i referenti HR) di cercare tale documentazione, verosimilmente conservata in una cassettiera chiusa a chiave o, in alternativa, presso lo Studio dei Medici Competenti precedenti, come da normativa vigente”;

- “In data 28 Settembre 2023 è stata consegnata tutta la documentazione sanitaria dal 2008 al CMI, debitamente imbustata e sigillata dai Medici precedenti”;

- “Tale cartella sanitaria è attualmente in custodia al C.M.I. ed è stata trasmessa in copia e interamente al Sig. XX, tramite e-mail, il 9 Ottobre 2023”;

- “In conclusione, si conferma che il C.M.I., nell’ambito del Servizio di Medicina del Lavoro, che svolge per circa mille aziende in tutta Italia, tra le quali anche l’Hotel Hilton di Milano, ha consegnato al Sig. XX, Dipendente di tale Hotel, tutta la documentazione sanitaria di sua spettanza, come previsto dalla legge specifica in materia, prodigandosi nel recuperare tutto il materiale antecedente il nostro incarico, quando vi era un altro Medico Competente operativo al Hotel Hilton”;

- “Alleghiamo le mail collegate agli scambi intercorsi col Sig. XX”.

A tale comunicazione non è stato tuttavia allegato alcun documento, ma anzi, nel corpo del testo del messaggio di PEC con il quale la nota è stata trasmessa, è stato precisato che: “abbiamo del tutto adempiuto agli obblighi concernenti la Medicina del Lavoro per quanto riguarda il Sig. XX e [..] abbiamo anche un notevole numero di E-mail intercorse con il Sig. XX, che però non possiamo allegare perché contengono elementi medici riguardanti la salute del Sig. XX, che sono collegati strettamente alla Privacy dello stesso”.

Pertanto, in data 07/06/2024, questa è stata formulata una richiesta di informazioni, ai sensi dell’art. 157 del d.lgs. n. 196/2003, Codice in materia di protezione dei dati personali (di seguito anche solo “Codice), ricordando che “nell'ambito dei poteri di cui all'articolo 58 del Regolamento, e per l'espletamento dei propri compiti, il Garante può richiedere al titolare, al responsabile, al rappresentante del titolare o del responsabile, all'interessato o anche a terzi di fornire informazioni e di esibire documenti anche con riferimento al contenuto di banche di dati” e invitando a fornire “ogni elemento di informazione utile alla valutazione del caso e, in particolare, il riscontro fornito alla richiesta di accesso ai dati formulata dal Sig. XX”, avendo cura di comprovare quanto dichiarato mediante idonea documentazione.

Tale richiesta è stata riscontrata dalla Società, con la comunicazione via pec dell’11/06/2024, nei seguenti termini: “a seguito della PEC ricevuta, confermiamo quanto descritto […], ribadendo nuovamente di avere consegnato al Sig. XX tutta la documentazione sanitaria che lo riguardava in nostro possesso. In base all'attuale, giustamente severa, legge sulla Privacy in campo sanitario per inoltrare tutta la documentazione sanitaria riguardante il Sig. XX (incluse e-mail intercorse, cartelle cliniche e risultati degli accertamenti sanitari) abbiamo necessità di una PEC del Sig. XX che ci autorizzi ad inviare tutta codesta documentazione alla persona che indicherà, con la relativa e-mail e con anche l'indicazione dell'eventuale materiale sanitario personale del quale non autorizza la trasmissione”.

Successivamente, la Società inviava una ulteriore comunicazione con cui precisava che:

- “La Dottoressa XX è Medico Competente dell'Hotel Hilton di Milano da 1 anno e 3 mesi.

- Abbiamo comunque recuperato tutto il materiale sanitario riguardante il Sig. XX, sia presso l'Hotel Hilton, che presso il precedente Medico Competente, XX.

- Abbiamo quindi consegnato al Sig. XX tutto il materiale sanitario che lo riguardava, in nostro possesso.

- A completamento delle informazioni inviate alleghiamo le e-mail scambiate con il Sig. XX, depurate delle parti contenenti dati sanitari sensibili”.

Ancora, il 19/06/2024, il sig. XX veniva invitato a recarsi, a partire dal 24 giugno u.s., presso la sede del Centro Medico di Milano, via Desenzano, 14, per poter ritirare la busta “contenente la documentazione mancante richiesta”.

A tale invito, il sig. XX replicava il giorno stesso chiedendo di ricevere la documentazione in via telematica presso la propria casella di posta elettronica o di pec, inviando in copia conoscenza anche a questa Autorità.

Lo stesso sig. XX è tornato a rivolgersi all’Autorità il giorno 27/06/2024, confermando di aver ricevuto, in data 26/06/2024, solo parte della documentazione richiesta, mancante di “tutte le mie certificazioni e documentazioni ed altre che dovrebbero essere assolutamente allegate a tali Cartelle Sanitarie dall'anno della mia assunzione 2008”.

Rileva al riguardo anche che l’Autorità non ha potuto verificare quanto rappresentato, dal momento che non è mai stata messa a conoscenza della documentazione trasmessa al Sig. XX, nonostante le richieste in tal senso.

In data 29/07/2024, il reclamante ha inviato una nuova comunicazione all’Autorità, informando di non aver ricevuto, da parte della Società, l’ulteriore documentazione richiesta.

3. La prima notifica di violazione ex art. 166, comma 5 del Codice.

Dopo aver svolto la necessaria attività istruttoria, il Garante ha proceduto alla notifica di violazione ex art. 166, comma 5 del d.lgs. 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito anche solo il Codice) con riferimento all’omesso riscontro alla richiesta di accesso ex art. 15 del Regolamento formulata dal Sig. XX (nota prot. n. 114233 del 01/10/2024), in quanto, in base agli elementi acquisiti nel corso dell’attività istruttoria, è stato accertato che la società ha omesso di dare riscontro alla richiesta di accesso ai dati personali, formulata dal reclamante in data 01/12/2023, ai sensi dell’art. 15 del Regolamento, nei termini previsti dall’art. 12, par. 3, del Regolamento medesimo.

In particolare, sebbene la Società abbia dichiarato, nel corso dell’istruttoria, di aver fornito all’istante tutta la documentazione sanitaria in suo possesso, si rileva come la stessa abbia ripetutamente rifiutato di fornire all’Autorità la documentazione necessaria a verificare l’avvenuto adempimento, adducendo inesistenti ragioni di protezione dei dati personali e, in particolare, sostenendo che per fornire documentazione medica concernente il Sig. XX necessitava di un’esplicita autorizzazione dello stesso.

Come fatto presente dal Dipartimento nel corso dell’istruttoria, tale contegno urta con il disposto dell’art. 58 del Regolamento e dell’art. 157 del Codice, i quali conferiscono al Garante il potere di ingiungere al titolare di fornire ogni informazione di cui necessiti per l’esecuzione dei suoi compiti, nonché di esibire documenti.

Per quanto sopra, l’Ufficio ha provveduto a notificare alla Società, con nota del 26/07/2024, l’atto di avvio del procedimento, ai sensi dell’art. 166, comma 5, del Codice in relazione alla violazione degli artt. 12, par. 3, e 15 del Regolamento.

In data 26/08/2024 la Società ha inviato i propri scritti difensivi, ai sensi dell’art. 18 della legge n. 689/1981, con cui ha argomentato, tra l’altro, che: “comunichiamo di avere consegnato tutti i documenti sanitari, in nostro possesso, del Sig. XX, inoltrati con e-mail il 26/06/2024 alle ore 12.37, allo stesso XX. Pensiamo che dovreste chiedere conferma in tal senso al Sig. XX, che ci legge in copia, per non continuare con una richiesta che è già stata esaudita”.

4. Gli ulteriori elementi pervenuti al Garante e la conseguente attività istruttoria

A seguito dell’attività sopra riferita, l’Autorità ha appreso una serie di nuove circostanze, a seguito della produzione di nuovi elementi da parte del reclamante stesso.

Infatti, in data 25/09/2024 il Sig. XX ha rappresentato a questo Ufficio che una sua e-mail, indirizzata esclusivamente alla Dott.ssa XX del Centro Medico Italiano s.r.l., è stata indebitamente comunicata, dalla Sig.ra XX, segretaria della Dott.ssa XX, alla Sig.ra XX, afferente alla Hotel Corporation of Europe, datore di lavoro dello stesso reclamante, in data 20/12/2023.

Il 14/10/2024, il reclamante ha inviato una nuova missiva, dai cui allegati risulta che in data 07/10/2024 il Dott. XX, presidente del Centro Medico Italiano s.r.l., ha riscontrato una comunicazione contenente dati e informazioni personali relativi al reclamante stesso inserendo in copia conoscenza altri soggetti.

Con nota prot. n. 141676 del 02/12/2024, questa Autorità ha invitato quindi la Società a fornire informazioni in ordine ai fatti oggetto di reclamo ai sensi dell’art. 157 del Codice.

In data 17/12/2024, la Società ha fornito riscontro alla richiesta di informazioni del Garante, osservando, tra l’altro che:

- “In data 19.12.2023, il Sig. XX inviava una mail alla Dott.ssa XX del Centro Medico Italiano (CMI) - in qualità di Medico Competente - chiedendo di sollecitare il Datore di Lavoro all'acquisto delle scarpe antinfortunistica con plantare personalizzato a lui prescritte. Oltre a ciò, egli esponeva alla Dott.ssa XX vicende strettamente attinenti al rapporto di lavoro intercorrente con la società Hotel Corporation of Europe (HCE)”;

- “Con successiva mail del 20.12.2023, la Dott.ssa XX provvedeva a sollecitare il Datore di Lavoro inoltrando la comunicazione ricevuta dal Sig. XX alla Sig.ra XX. Tale primo scambio si rendeva necessario al fine di garantire il rispetto delle normative di sicurezza nonché le esigenze sanitarie del lavoratore, rientrando nei compiti del Datore di Lavoro. ai sensi dell'art. 18 del D. Lgs. n. 81/2008. provvedere alla messa a disposizione dei dispositivi di protezione individuale”;

- “Come rilevato dallo stesso reclamante nella mail del 20.12.2023, peraltro, i dati comunicati erano già nel legittimo dominio del Datore di Lavoro riguardando, si ribadisce, questioni strettamente relative al rapporto di lavoro quali il ricevimento di lettere disciplinari da parte del Sig. XX e le asserite difficoltà di comunicazione con I'RSPP e le HR”;

- “Successivamente, in data 07.10.2024, il Dott. XX, in qualità di Presidente del CMI, dava riscontro a una comunicazione inviata dal reclamante inserendo in copia alcuni referenti della Ecoconsult S.r.l., società precedentemente nominata da HCE per lo svolgimento dell'incarico di sorveglianza sanitaria e, di nuovo, la Sig.ra XX”;

-  “Tale secondo scambio aveva ad oggetto l'organizzazione logistica della visita medica del Sig. XX con il Dott. XX, Medico Competente incaricato in sostituzione della Dott.ssa XX, nonché la conferma dell'avvenuta trasmissione, in data 26.06.2024, del fascicolo sanitario appartenente al medesimo lavoratore e in possesso del CMI”;

- “Lo stesso Sig. XX, nella mail riscontrata dal Dott. XX, dava conto di aver informato il datore di lavoro della visita medica organizzata, lamentando di essere in attesa di risposta da parte di quest'ultimo "in riferimento all'art. 41, comma 4, D. Lgs. n. 81/2008 e l'interpello sicurezza n. 18/2014 (...) in quanto tale giornata (il giorno della visita) deve essere considerata lavorativa e a carico dell'azienda”;

- “Le comunicazioni in oggetto sono avvenute per finalità di medicina del lavoro e di valutazione della capacità lavorativa del dipendente ai sensi dell'art. 9 par. 2, lett. h) del Regolamento (UE) 2016/679, nell'ambito dell'attività di sorveglianza sanitaria ex art. 41 D. Lgs. 81/2008 svolta da СМІ рег НСЕ”;

- “Conformemente agli artt. 25 e 39 del D. Lgs. 81/2008 e al Codice Etico ICOH, il Medico competente deve collaborare con il Datore di Lavoro, potendo legittimamente comunicargli i dati personali e sanitari dei dipendenti. Ciò può avvenire nei limiti necessari per adempiere agli obblighi legge e nel rispetto dei principi di minimizzazione e segretezza professionale (GPDP, Provv. n. 46/2019). In caso di mancata attuazione delle misure di prevenzione necessarie, egli è altresì tenuto a sollecitarne l'adozione, evidenziando i rischi per la sicurezza e la salute dei lavoratori Codice Etico ICOH, p. 18, par. 5)”;

- “Proprio in adempimento di tale dovere di "follow up", la Dott.ssa XX ha sollecitato il Datore di Lavoro ad adempiere urgentemente alla propria prescrizione medica. Allo stesso modo, il Dott. XX ha richiamato l'attenzione del medesimo sulla richiesta di riscontro del lavoratore, onde consentire lo svolgimento della visita medica richiesta, così come previsto dall'art. 41 del D. Lgs. n. 81/2008”;

- “In entrambe le occasioni, peraltro, non vi è stata comunicazione di dati personali e sanitari del dipendente che non fossero già, per le ragioni sopra esposte, nel legittimo dominio del Datore di Lavoro. Il Centro Medico Italiano adotta, infatti, rigorose procedure interne per garantire il rispetto del principio di riservatezza dei dati personali in conformità con il GDPR e il Codice Etico ICOH e assicura una adeguata formazione dei professionisti impiegati. Conseguentemente, le comunicazioni che si rendono necessarie con il Datore di Lavoro avvengono sempre esclusivamente nei limiti previsti dalla normativa vigente”.

- “[…] si ribadisce la piena legittimità della condotta del CMI, in quanto le comunicazioni in oggetto erano necessarie per garantire l'attuazione degli obblighi li legge. Inoltre, i dati sanitari trattati sono stati limitati a quanto strettamente indispensabile, evitando ogni comunicazione eccedente o non pertinente”.

5. La seconda notifica ex art. 166, comma 5 del Codice.

Alla luce di quanto riferito al par. precedente, preso atto che a seguito della produzione di nuovi elementi da parte del reclamante stesso, sono emersi ulteriori profili di violazione della disciplina in materia di protezione dei dati personali, si è reso necessario integrare la notifica di violazione di cui al paragrafo precedente.

In base agli elementi acquisiti nel corso dell’attività istruttoria nonché delle successive valutazioni svolte da questo Dipartimento, in particolare, è risultato che la Società ha comunicato i dati dell’interessato al datore di lavoro in assenza di una valida base giuridica e in contrasto con il principio di minimizzazione di cui all’art. 5 del Regolamento.

Infatti, è emerso che, con le comunicazioni del 20/12/2023 e del 07/10/2024, la Società ha inoltrato integralmente, alla Hotel Corporation of Europe, la corrispondenza intercorsa tra questa e l’interessato.

Tali comunicazioni contenevano dati ed informazioni personali eccedenti o che, comunque, stando a quanto è emerso dalle evidenze istruttorie, non era necessario comunicare al datore di lavoro dell’interessato in virtù del principio di minimizzazione di cui all’art. 5, par. 1, lett. c), del Regolamento, nonché del principio di limitazioni della finalità di cui all’art. 5, par. 1, lett. b), stante il fatto che si trattava di una comunicazione rivolta esclusivamente a tale centro medico.

Proprio in virtù di ciò, si è preso atto anche di una violazione del principio di riservatezza, sancito anch’esso dall’art. 5, par. 1, lett. f) del Regolamento.

Per giunta, si deve tener presente che le comunicazioni dell’interessato contenenti non soltanto dati comuni, ma anche dati relativi alla sua salute, sono state inoltrate dalla Società al datore di lavoro, in assenza dei necessari presupposti giuridici.

Infatti, posto che l’art. 9 sancisce in via generale il divieto di trattare dati relativi alla salute, le uniche deroghe consentite a tali trattamenti sono quelle previste al comma 2 della citata disposizione. Per quanto di interesse in questa sede, si ritiene che non possa trovare applicazione la deroga prevista dall’art. 9, comma 2, lett. b), che esclude il divieto di trattare dati cd. particolari nei casi in cui “il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro (…)”.

Per tali ragioni, è stato accertato che la condotta tenuta dalla Società risulta in contrasto con i principi di minimizzazione, di limitazione delle finalità e di riservatezza (art. 5, par. 1, lett. b), c) e f) del Regolamento), nonché, altresì, effettuata in assenza di idonei presupposti di liceità di cui agli artt. 6, par. 1 e 9, par. 2, del Regolamento.

Alla luce di quanto sopra, l’Ufficio ha provveduto a notificare alla Società, con nota del 3/03/2025, l’atto di avvio del procedimento, ai sensi dell’art. 166, comma 5, del Codice in relazione alla violazione degli artt. art. 5, par. 1, lett. b), c) e f), 6, par. 1 e 9, par. 2, del Regolamento.

In data 20/03/2025, la società ha inviato i propri scritti difensivi, ai sensi dell’art. 18 della legge n. 689/1981, con cui ha argomentato, tra l’altro, che:

- “per quanto riguarda la mail del 20/12/2023 la Dr.ssa XX, ai tempi Medico Competente dell’Hotel Hilton, si è attivata attraverso la Segreteria per sollecitare la direzione del Personale dell’Hotel Hilton ad acquistare le specifiche scarpe antiinfortunistiche per il Sig. XX, essendo la discussione in corso sul tema tra il Sig. XX e l’Hotel Hilton da molti mesi, per aiutarlo a portare a buon fine la sua richiesta. Tutte le mail allegate vertevano su questo tema senza rifermenti sanitari specifici del Sig. XX;

- Naturalmente le mail inviate dalla Segreteria del Centro Medico Italiano per conto del Medico Competente sono collegate agli obblighi di PRIVACY previsti nei Centri Medici così come negli Ospedali;

- dopo aver esposto alcuni comportamenti del reclamante del tutto non conferenti rispetto alle richieste dell’Autorità, la Società conclude, infine, “riteniamo che il Centro Medico Italiano abbia sempre fatto il suo dovere, nell’ambito in particolare della medicina del lavoro, sia con I Medici Competenti che con la Segreteria, rispettando totalmente quanto previsto nel DLgs. 81/08 con il Sig. XX, così come riconosciuto dagli enti istituzionali sopracitati ovvero ATS, medici competenti ed ordine dei medici”.

6. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, risulta che la Società, in qualità di titolare del trattamento, ha effettuato alcune operazioni di trattamento, riferite al reclamante, che risultano non conformi alla disciplina in materia di protezione dei dati personali.

In proposito si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”.

Nel merito, è emerso che la Società ha omesso di dare riscontro alla richiesta di accesso ai dati personali, formulata dal reclamante ai sensi dell’art. 15 del Regolamento, e che, ha comunicato i dati dell’interessato al datore di lavoro in assenza di una valida base giuridica (violazione degli artt. 6, par. 1 e 9, par. 2, del Regolamento), nonché in contrasto con i principi di minimizzazione, di limitazione delle finalità e di riservatezza (art. 5, par. 1, lett. b), c) e f) del Regolamento).

Come già osservato, benché nei propri scritti difensivi la Società ha dichiarato di aver fornito accesso ai dati personali, ha poi rifiutato di fornire all’Autorità la documentazione necessaria a verificare l’avvenuto adempimento, adducendo inesistenti ragioni di protezione dei dati personali. Con riguardo alla comunicazione di dati personali del reclamante al datore di lavoro, inoltre, la Società non ha negato la condotta, paventando al riguardo che essa sarebbe stata giustificata in forza di obblighi di “follow up” del medico, nonché di non meglio individuati obblighi di legge.

Sulla base delle suesposte ragioni, la Società ha pertanto violato i principi di minimizzazione, di limitazione delle finalità e di riservatezza (art. 5, par. 1, lett. b), c) e f) del Regolamento), nonché gli artt. 6, par. 1, 9, par. 2, 12, par. 3, e 15 del Regolamento.

7. Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ai sensi dell’art. 58, par. 2, del Regolamento.

Per i suesposti motivi, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento nel corso dell’istruttoria non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Il trattamento posto in essere dalla Società, con riferimento al mancato riscontro all’istanza di accesso presentata dal reclamante nonché alla comunicazione di dati dell’interessato al datore di lavoro in assenza di una valida base giuridica, risulta infatti illecito, nei termini su esposti, in relazione agli artt. 5, par. 1, lett. b), c) e f), 6, par. 1, 9, par. 2, 12, par. 3, e 15 del Regolamento.

Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2, del Regolamento si dispone l’applicazione di una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i) Regolamento).

8. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

All’esito del procedimento, risulta pertanto che Centro Medico Italiano S.r.l. ha violato gli artt. 5, par. 1, lett. b), c) e f), 6, par. 1, 9, par. 2, 12, par. 3, e 15 del Regolamento. Per la violazione delle predette disposizioni è prevista l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83 del Regolamento.

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. legge 24 novembre 1981 n. 689).

La violazione, accertata nei termini di cui in motivazione, non può essere considerata "minore", tenuto conto della natura, della gravità e della durata della violazione stessa, del grado di responsabilità e della maniera in cui l'autorità di controllo ha preso conoscenza della violazione (cons. 148 del Regolamento).

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente Regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Con riferimento agli elementi elencati dall’art. 83, par. 2, del Regolamento ai fini della applicazione della sanzione amministrativa pecuniaria e la relativa quantificazione, tenuto conto che la sanzione deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nel caso di specie, sono state considerate le seguenti circostanze:

- la violazione ha coinvolto un numero esiguo di interessati (uno);

- non sussistono precedenti violazioni pertinenti accertate dalla competente Autorità a carico di Centro Medico Italiano S.r.l.;

- la scarsa cooperazione fornita, durante tutto il corso dell’istruttoria, da parte della Società, con specifico riguardo all’obbligo di riscontrare la richiesta di informazioni formulata dalla Autorità, ai sensi dell’art. 157 del Codice;

- in relazione alla natura, gravità e durata della violazione, la natura della violazione che ha riguardato l’esercizio dei diritti dell’interessato, nonché la comunicazione di dati dell’interessato, anche appartenenti a categorie particolari, in assenza di un idoneo presupposto di liceità;

- la Società non risulta aver aderito a codici di condotta di cui all’ art. 40 del RGPD o a meccanismi di certificazione di cui all’art. 42 del RGPD.

Si ritiene inoltre che assumano rilevanza, nel caso di specie, tenuto conto dei richiamati principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), in primo luogo le condizioni economiche del contravventore così come rilevate dal bilancio dell’anno 2023. Da ultimo si tiene conto dell’entità delle sanzioni irrogate in casi analoghi.

In ragione di quanto disposto dall’art. 154-bis, comma 3 del Codice, si procede alla pubblicazione del presente provvedimento sul sito internet dell’Autorità (cfr. anche art. 37 del regolamento del Garante n. 1/2019).

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti di Centro Medico Italiano S.r.l., la sanzione amministrativa del pagamento di una somma pari ad euro 30.000,00 (trentamila).

In considerazione che la tipologia delle violazioni accertate hanno comportato anche la comunicazione di informazioni relative non soltanto a dati personali comuni, ma anche relativi alla salute, si ritiene, altresì, che ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, debba applicarsi la sanzione accessoria della pubblicazione del presente provvedimento sul sito web del Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

rileva l’illiceità del trattamento effettuato da C.M.I. Centro Medico Italiano S.r.l. con sede legale in Milano, Via Desenzano, 14, P.I. 05280040964, ai sensi dell’art. 143 del Codice, per la violazione degli artt. 5, par. 1, lett. b), c) e f), 6, par. 1, 9, par. 2, 12, par. 3, e 15 del Regolamento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, a Centro Medico Italiano S.r.l., di pagare la somma di euro 30.000,00 (trentamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento;

INGIUNGE

quindi alla medesima Società di pagare la predetta somma di euro 30.000,00 (trentamila) secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981.

Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato - di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1.9.2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice);

DISPONE

- ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019 la pubblicazione del presente provvedimento sul sito web del Garante;

- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità.

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 10 luglio 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE REGGENTE
Filippi