Provvedimento del 31 agosto 2023 [9938463]
Provvedimento del 31 agosto 2023 [9938463]
Condividi[doc. web n. 9938463]
Provvedimento del 31 agosto 2023
Registro dei provvedimenti
n. 389 del 31 agosto 2023
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante il “Codice in materia di protezione dei dati personali, contenente disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTO il d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”;
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;
Relatore la prof.ssa Ginevra Cerrina Feroni;
PREMESSO
1. Il reclamo e l’attività istruttoria
Con reclamo avanzato all’Autorità, il sig. XX lamentava una presunta violazione della disciplina in materia di protezione dei dati personali da parte dell’impresa individuale “Mednow Medical Center di Giugni Marco” – C.F. XX, residente in XX, XX - quale titolare del trattamento. In particolare il reclamante lamentava di aver esercitato i diritti di cui agli artt. da 15 a 22 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, il “Regolamento”), in data XX e XX, e di non aver ricevuto riscontro.
In particolare, il reclamante ha rappresentato di aver richiesto l’accesso ai propri dati personali, la rettifica e la cancellazione (artt. 15, 16 e 17 del Regolamento) di alcuni dati inesatti - in quanto il referto di un prelievo effettuato da parte della citata struttura sanitaria “riportava dati identificativi errati dell’interessato (data di nascita e codice fiscale)” - nonché la limitazione degli stessi (art. 18 del Regolamento).
Successivamente a tale reclamo, l’Ufficio rivolgeva all’impresa individuale sopra citata, l’invito ad aderire alle richieste del reclamante e con nota del XX, tale titolare forniva riscontro in merito al quale, tuttavia, il reclamante medesimo, con nota del XX, formulava osservazioni al titolare e all’Autorità. In tale circostanza il reclamante evidenziava, altresì che il referto riguardante l’esito del tampone molecolare, effettuato presso il titolare del trattamento, era stato inizialmente inviato a un indirizzo email non corrispondente a quello rilasciato dal reclamante al momento della prenotazione dell’esame clinico.
Con nota del XX (prot. n. XX), l’Ufficio, tenuto conto di tali osservazioni, ha richiesto informazioni all’impresa summenzionata, ai sensi dell’art. 157 del d.lgs. 30 giugno 2003, n. 196, recante il “Codice in materia di protezione dei dati personali” (di seguito “Codice”).
Con nota del XX, il titolare del trattamento, nel fornire gli elementi richiesti, dichiarava, fra altro, che:
- “L'impresa individuale Mednow Medical Center di Giugni Marco, C.F. XX, è stata cancellata dal Registro delle Imprese in data 05/04/2022 (…);
- il Sig. XX, in data XX, prenotava un tampone molecolare da eseguirsi presso la propria abitazione, compilando il modulo che si allega (…);
- l'elaborazione del tampone avveniva ad opera di un centro accreditato dalla Regione Lombardia (XX), (…), il quale, all'atto della sottoscrizione degli accordi con Mednow Medical Center di Giugni Marco, si dichiarava responsabile del trattamento e si impegnava a trattare correttamente i dati sensibili per conto di quest'ultima (…);
- in merito al lamentato invio dell'esito del tampone ad indirizzo diverso, ad oggi, non è dato sapere se l'invio a quest'unico differente indirizzo abbia comportato concretamente l'accesso ai dati personali ivi contenuti da parte di terzi soggetti;
- In ogni caso, come evidenziato dal Sig. XX, il Responsabile del trattamento sopra indicato ha errato nella trascrizione del C.F. e nella data di nascita, indicando XX anziché XX: conseguentemente, quel referto (lo stesso inviato in allegato alla mail errata) è pacifico che non fosse riconducibile al Sig. XX, proprio a causa della presenza di dati anagrafici inesatti;
- (…) per quanto è noto, non ci sono state conseguenze pregiudizievoli ai diritti e alla libertà dell'interessato, Sig. XX, in quanto non risulta che il contenuto della predetta mail sia stato comunicato o diffuso a terzi e, anche laddove letto, non poteva essere ricondotto all'interessato in questione;
- sempre per quanto è noto, inoltre, lo stesso Sig. XX non ha lamentato nei confronti del sottoscritto ulteriori doglianze relative ad eventuali conseguenze della vertenza in oggetto;
- in merito, invece, alla errata indicazione di alcuni dati sul tampone, si rileva come tale errore sia imputabile a XX e che ha mal compilato il referto del tampone indicando l'anno di nascita e C.F. errato, leggendoli dal documento prodotto (…). Non appena preso atto di tale errore, Mednow Medical Center richiedeva prontamente — a mezzo comunicazione telefonica - la correzione dell'errore (…);
- si precisa, inoltre, che nell'immediatezza delle doglianze del Sig. XX, per il tramite di proprio difensore, Mednow Medical Center offriva la corresponsione di una somma a titolo transattivo (…), che però non aveva seguito;
- a seguito della cancellazione della impresa individuale dal Registro delle imprese, il Titolare non ha più posto in essere alcuna attività e dunque trattamento di dati personali”.
A fronte di quanto dichiarato, l’Ufficio, con nota del XX, ha richiesto informazioni, ai sensi dell’art. 157 del Codice, a XX, responsabile del trattamento, il quale, in riscontro, dichiarava, fra altro, e documentava quanto segue:
- “sulla circostanza che il referto del reclamante contenesse dati inesatti “nella trascrizione del codice fiscale e nella data di nascita, indicando XX, anziché XX”, alcuna responsabilità è imputabile alla scrivente, la quale si limitava a recepire, ai fini della refertazione, i dati forniti dalla Mednow Medical Center di Marco Giugni (…). Pertanto, un eventuale errore di trascrizione di dati, sarebbe da ricercare ab origine, al momento dell’accettazione del paziente da parte della Mednow Medical Center di Marco Giugni”;
- “Non ci risulta pervenuta alcuna istanza di correzione di dati da parte della Mednow Medical Center di Marco Giugni”;
- “diamo atto che il rapporto contrattuale instaurato all’epoca dei fatti con la Mednow Medical Center di Marco Giugni, risulta ormai cessato”.
2. Valutazioni del Dipartimento sul trattamento effettuato e notifica della violazione di cui all’art. 166, comma 5, del Codice
Sulla base della documentazione prodotta e delle dichiarazioni rese, l’Ufficio, con nota del XX (prot. n. XX), tenuto conto della cancellazione dell’impresa individuale “Mednow Medical Center di Giugni Marco”, ha notificato a quest’ultimo, in qualità di titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento. In particolare, all’Ufficio è risultato che Marco Giugni, titolare della impresa individuale “Mednow Medical center di Giugni Marco” e titolare del trattamento:
- non ha risposto alle istanze di esercizio dei diritti dell’interessato avanzate in data XX e XX e fornito riscontro – ritenuto, comunque, inidoneo dall’interessato medesimo - solo a seguito dell’invito ad aderire dell’Ufficio, in data XX; ciò, in violazione dell’art. 12, in relazione agli artt. 15, 16, 17 e 18 del Regolamento;
- ha trattato alcuni dati del reclamante (data di nascita e codice fiscale), presenti nel referto dell’esame effettuato da quest’ultimo, nell’inosservanza del principio di esattezza, in violazione dell’artt. 5, paragrafo 1, lett. d) del Regolamento;
- ha inviato il referto riguardante l’esito dell’esame clinico effettuato dall’interessato all’indirizzo email di un terzo non autorizzato, in violazione dell’art. 9 del Regolamento, nonché degli obblighi in materia di sicurezza di cui all’art. 5, paragrafo 1, lett. f) e all’art. 32, del Regolamento medesimo.
Ciò, all’esito delle seguenti valutazioni.
Anzitutto, al momento dell’invio delle istanze di esercizio dei diritti ai sensi degli artt. da 15 a 22 del Regolamento, avanzate dall’interessato, l’impresa individuale sopra citata era ancora in attività, in quanto la cancellazione dal registro delle imprese è avvenuta in data XX. Le istanze, come rappresentato dal reclamante, sono state inviate in data XX e XX. In relazione a tali istanze, risulta che il titolare del trattamento non ha fornito riscontro. In particolare, l’interessato ha richiesto l’accesso ai propri dati personali, la rettifica e la cancellazione (artt. 15, 16 e 17 del Regolamento) di alcuni dati inesatti - in quanto il referto del sopra menzionato prelievo al quale si era sottoposto il reclamante “riportava dati identificativi errati dell’interessato (data di nascita e codice fiscale)” - nonché la limitazione degli stessi (art. 18 del Regolamento). Solo a seguito dell’invito ad aderire dell’Autorità, è stato fornito, in data XX, un riscontro, ritenuto, tuttavia, inidoneo dal reclamante medesimo.
Quanto al profilo della contestata inesattezza dei dati, è risultato che la comunicazione, da parte del titolare, al laboratorio di analisi cliniche XX, responsabile del trattamento - il quale effettuava le analisi e la refertazione dei prelievi biologici per la “Mednow Medical Center di Giugni Marco” - di dati anagrafici non esatti dell’interessato (data di nascita e codice fiscale), ha determinato, da parte di tale laboratorio di analisi cliniche, l’elaborazione del referto (relativo all’esame effettuato dall’interessato) riportante tali dati inesatti.
In ordine, infine, al primo invio via email - da parte del titolare del trattamento - del referto (riportante gli inesatti dati sopracitati) ad altro indirizzo non corrispondente a quello dell’interessato, lamentato dal reclamante, risulta, dagli atti, essere stato confermato più volte dal titolare medesimo.
L’Ufficio, oltre a contestare quanto sopra, ha, altresì, invitato il titolare del trattamento a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).
Con nota del XX (prot. n. XX), il titolare del trattamento, Marco Giugni, ha prodotto una memoria difensiva, nella quale, ha evidenziato, fra altro, che:
“All’epoca dei fatti oggetto d’esame la situazione epidemiologica era caratterizzata da elevati livelli di incidenza con un tasso di mortalità in lenta ma continua crescita. A titolo esemplificativo e non esaustivo basti ricordare che il bollettino covid del 17.12.2021 registrava in Lombardia: 5.590 positivi e 26 vittime, con un tasso di positività del +3,8%; 146.245 tamponi effettuati e solo a Milano e provincia venivano censiti 2.075 nuovi casi (doc. 2)”;
“Con il Decreto Legislativo n. 221 del 24.12.2021 veniva prorogato lo stato di emergenza nazionale e veniva stabilita l’adozione di ulteriori misure per il contenimento della diffusione dell'epidemia da Covid. Questa in estrema sintesi il quadro pandemico all’epoca dei fatti. Si è ritenuto di dover ricordare a codesto Dipartimento quale fosse la situazione emergenziale all’epoca dei fatti ritenendo che l’episodio, oggetto del presente procedimento, non possa essere adeguatamente valutato se non contestualizzato all’interno di un periodo che, speriamo tutti, rimanga unico per la sua peculiarità”;
“(…) si ritiene che la valutazione di un unico e non ripetuto errore materiale di trascrizione, causato da una condotta umana in assoluta buona fede vada contestualizzato e anche ricondotto e valutato alla luce della significativa mole di lavoro che proprio nel mese di dicembre XX ha caratterizzato l’attività dell’allora impresa individuale di cui il sottoscritto era titolare. In quel periodo e in quello immediatamente successivo del mese di Gennaio XX la MedNow era letteralmente subissata di richieste ed era sottoposta ad un volume di lavoro molto intenso pet tentare di soddisfare al meglio l’elevatissima richiesta proveniente dalla collettività. Come ampiamente confermato anche dal bollettino Covid riferito al mese di gennaio XX, che si produce quale doc. 3). In un contesto del genere si collocano le mancate risposte alle istanze del reclamante avanzate in data XX e XX;
“Per stessa ammissione del reclamante, signor XX, l'errore circa il codice fiscale e la data di nascita è stato commesso da XX nella sua qualità di responsabile del trattamento. Il XX, deputato alla refertazione del tampone molecolare, ha errato nel riportare - data di nascita e codice fiscale- dal modulo compilato dal reclamante al referto (cfr doc. 2). Con ciò di fatto rendendo quel referto non riconducibile al reclamante stesso (…)”;
“Il referto del reclamante è stato inviato ad indirizzo mail di un terzo non autorizzato. Detta circostanza è purtroppo incontrovertibile. Ciò che rimane controvertibile è il fatto che da quell’errore, dovuto ad una condotta umana e priva di dolo, sia stato prodotto un danno in capo al reclamante. Non può non essere considerato il fatto che non sia stata prodotta la prova che quel referto spedito all’indirizzo mail di un terzo non autorizzato sia stato effettivamente comunicato o diffuso a terzi non autorizzati. E ancora. Non può non essere considerato il fatto che anche nelle denegata e non creduta ipotesi in cui quel referto fosse stato comunicato e diffuso a terzi non autorizzati comunque non avrebbe potuto essere ricondotto al reclamante a causa dei dati anagrafici erroneamente riportati”;
“L’impresa individuale di cui il sottoscritto era titolare al tempo dell’episodio di cui si discute è stata cancellata dal registro delle imprese in data 5.04.2022. Circostanza che esclude in toto una eventuale quanto malaugurata reiterazione della condotta, ancorché la stessa sia stata casuale. Circostanza che renderebbe l'applicazione di una eventuale sanzione particolarmente punitiva oltre che, come già ribadito, ultronea dato che il referto — pet i motivi di cui sopra - non è riferibile al reclamante”.
“In relazione alle misure effettuate pet attenuare gli effetti della violazione per l'interessato si precisa che, allo stato, non si è avuta né notizia né prova che effettivamente l’interessato abbia subito effetti/conseguenze/danni dalla violazione in oggetto”.
3. Esito dell’attività istruttoria
Preso atto di quanto rappresentato dal titolare del trattamento nella documentazione in atti e nelle memorie difensive, si osserva quanto segue.
3.1 Dati oggetto di trattamento
Per dato personale si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)” e per “dati relativi alla salute”, si intendono “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, paragrafo 1, n. 1 e 15 del Regolamento). Questi ultimi dati meritano una maggiore protezione dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali (Considerando n. 51). I dati trattati nella vicenda in questione, afferendo a prestazioni sanitarie nei confronti del reclamante, si configurano, pertanto, quali dati relativi alla salute.
3.2 Rispetto dei principi applicabili al trattamento e, in particolare, del principio di esattezza (art. 5, paragrafo 1, lett. a) e d) del Regolamento)
Il titolare, sulla base di quando dispone il Regolamento, è chiamato a trattare tali dati in modo lecito, corretto e trasparente nei confronti dell’interessato (principio di “liceità, correttezza e trasparenza”); i dati devono essere “esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono stati trattati (“esattezza”)” (art. 5, par. 1, lett. a e d) del Regolamento). In ordine a ciò, il titolare, ha prospettato che il laboratorio di analisi cliniche XX, responsabile del trattamento “ha errato nel riportare - data di nascita e codice fiscale- dal modulo compilato dal reclamante al referto”; in realtà dagli atti prodotti nel corso del presente procedimento dal responsabile del trattamento (cfr. email - datata XX - allegata al riscontro fornito dal responsabile del trattamento alla richiesta di informazioni formulata dal Garante ai sensi dell’art. 157 del Codice), risulta che l’impresa individuale, ha comunicato a tale responsabile i dati anagrafici dell’interessato non esatti (nello specifico: data di nascita e codice fiscale: XX - XX, anziché XX - XX, così determinando, da parte di tale laboratorio di analisi cliniche, l’elaborazione del referto relativo all’interessato riportante tali inesattezze anagrafiche.
3.3 Invio del referto all’indirizzo email di un terzo in assenza di base giuridica e nel mancato rispetto degli obblighi di sicurezza relativi al trattamento (artt. 5, lett. f), 32 e 9 del Regolamento)
Con riferimento all’invio, da parte del titolare del trattamento, del “(…) referto del reclamante (…) ad indirizzo mail di un terzo non autorizzato”, il Regolamento prevede che il titolare è tenuto a rispettare i principi in materia di protezione dei dati fra i quali quello di «integrità e riservatezza», secondo il quale i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. f) del Regolamento); inoltre, il titolare medesimo deve mettere in atto “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”, tenendo conto, tra l’altro, “della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (art. 32 del Regolamento).
Il titolare, nei riscontri e nella memoria summenzionati forniti all’Autorità, ha asserito di aver inviato il “(…) referto del reclamante (…) ad indirizzo mail di un terzo non autorizzato”: seppur l’accadimento occorso sia stato determinato da un errore umano nel trascrivere l’indirizzo email dell’interessato, ciò configura, comunque, una criticità riconducibile ad una negligenza, concretizzatasi, in tale circostanza, nella inosservanza degli obblighi di sicurezza imposti dal Regolamento, nonché, come di seguito esposto, in una comunicazione di dati relativi alla salute in assenza di una base giuridica (in ordine alla negligenza, cfr. “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del Regolamento (UE) n. 2016/679” adottate il 3 ottobre 2017, par. III, lett. b) e “ Linee guida 04/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR - Versione adottata il 24 maggio 2023”, cap. IV, punto 4.2.2).
Considerato, poi, il contenuto della email in questione, si osserva che la disciplina in materia di protezione dei dati personali prevede - in ambito sanitario – che le informazioni sullo stato di salute possano essere comunicate unicamente all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o previa delega scritta dell’interessato (art. 9 Regolamento e art. 84 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101). Alla luce di ciò, la descritta condotta consistente nell’invio della email alla quale era allegato il referto riferito al reclamante, all’indirizzo di un destinatario non autorizzato, concretizza una illecita comunicazione di dati relativi alla salute. Peraltro, non è stata prodotta prova dal titolare del trattamento che l’invio di tale email abbia raggiunto un indirizzo non attivo e l’argomento addotto dal titolare, per il quale “Non può non essere considerato il fatto che anche nelle denegata e non creduta ipotesi in cui quel referto fosse stato comunicato e diffuso a terzi non autorizzati comunque non avrebbe potuto essere ricondotto al reclamante a causa dei dati anagrafici erroneamente riportati”, non può essere accolto a discarico dell’imputazione della responsabilità della illecita comunicazione in questione in quanto, sebbene il codice fiscale e la data di nascita contenuti nel referto fossero stati erroneamente trascritti, in tale referto erano, comunque, presenti altri dati correttamente riferiti al reclamante, tali da renderlo identificabile (nome e cognome, numero di telefono, ecc.) (art. 4, paragrafo 1, n. 1 del Regolamento).
3.4 Mancato riscontro all’istanza di esercizio dei diritti (art. 12 in relazione agli art. 15, 16, 17 e 18 del Regolamento).
In tema di informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato, l’art. 12, par. 3, del Regolamento stabilisce che il titolare del trattamento debba dare riscontro alla richiesta dell’interessato, avanzata ai sensi degli artt. da 15 a 22 del Regolamento, senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste, fermo restando che l’interessato deve essere informato di tale proroga e dei motivi del ritardo entro un mese dal ricevimento della richiesta.
Se non ottempera alla richiesta dell'interessato, il titolare del trattamento deve, in ogni caso, informare l'interessato senza ritardo e, al più tardi, entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’Autorità di controllo e di proporre ricorso giurisdizionale (cons. 59 e art. 12, par. 4, del Regolamento).
In relazione alle richieste di esercizio dei diritti di cui agli artt. da 15 a 22 del Regolamento avanzate dall’interessato in data XX e XX, è accertato che il titolare non ha fornito riscontro, se non a seguito dell’invito ad aderire dell’Autorità. Tale riscontro, fornito in data XX, è stato ritenuto, tuttavia, inidoneo dal reclamante.
In relazione a quanto sopra, si considera, tuttavia, quanto evidenziato dal titolare del trattamento nella memoria difensiva, con riguardo all’emergenza epidemiologica degli ultimi due anni, per cui la condotta del titolare deve valutarsi “(…) alla luce della significativa mole di lavoro che proprio nel mese di dicembre XX ha caratterizzato l’attività dell’allora impresa individuale di cui il sottoscritto era titolare. In quel periodo e in quello immediatamente successivo del mese di Gennaio XX la MedNow era letteralmente subissata di richieste ed era sottoposta ad un volume di lavoro molto intenso pet tentare di soddisfare al meglio l’elevatissima richiesta proveniente dalla collettività. Come ampiamente confermato anche dal bollettino Covid riferito al mese di gennaio XX (…)”.
4. Conclusioni
Alla luce delle valutazioni sopra esposte, tenuto conto delle dichiarazioni rese e della documentazione prodotta nel corso dell’istruttoria e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice (“Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”), gli elementi forniti dal titolare del trattamento nelle memorie difensive sopra richiamate non sono idonei ad accogliere la richiesta di archiviazione, non consentendo di superare i rilievi notificati dall’Ufficio con il citato atto di avvio del procedimento.
Pertanto, in relazione alla vicenda in questione lamentata dal reclamante, si confermano le valutazioni preliminari dell’Ufficio e si rileva l’illiceità dei trattamenti di dati personali effettuati da Marco Giugni, già titolare della impresa individuale “Mednow Medical Center di Marco Giugni”, in quanto è accertato che il titolare del trattamento:
a) ha trattato alcuni dati del reclamante (data di nascita e codice fiscale) nell’inosservanza del principio di esattezza, in violazione dell’artt. 5, paragrafo 1, lett. d) del Regolamento;
b) ha inviato il referto riguardante l’esito dell’esame clinico effettuato dall’interessato all’indirizzo email di un terzo non autorizzato, in violazione dell’art. 9 del Regolamento, nonché degli obblighi in materia di sicurezza di cui all’art. 5, paragrafo 1, lett. f) e all’art. 32, del Regolamento medesimo.
c) non ha risposto alle istanze di esercizio dei diritti dell’interessato avanzate in data XX e XX; in data XX, a seguito dell’invito ad aderire dell’Autorità, ha fornito un riscontro, ritenuto, comunque, inidoneo dall’interessato medesimo; ciò, in violazione dell’art. 12, in relazione agli artt. 15, 16, 17 e 18 del Regolamento.
Nel quadro sopra delineato, considerato che la condotta del titolare ha esaurito i suoi effetti in quanto quest’ultimo ha cessato la propria attività imprenditoriale, al cui esercizio sono riconducibili le violazioni sopra descritte, cancellando l’impresa individuale dal registro delle imprese in data XX e, altresì, che lo stato di emergenza - in relazione al quale assumeva rilevanza la richiesta del reclamante di rettifica del referto del tampone per la rilevazione del Covid-19 - disposto dal Consiglio dei Ministri dal 31 gennaio 2020 è cessato - con D.M. n. 24 del 24 marzo 2022 - in data 31 marzo 2022, non ricorrono allo stato i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.
5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i) e 83 del Regolamento; art. 166, comma 7, del Codice).
La violazione degli artt. 5, par. 1, lett. d) e f), 9, 12 in relazione agli artt. 15,16,17 e 18, nonché dell’art. 32 del Regolamento è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 4, lett. a) e par. 5, lett. a) e b) del Regolamento (art. 166, comma 1 e 2, del Codice).
Si consideri che il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).
La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2, del Regolamento in relazione ai quali si osserva che:
- si è trattato di episodi isolati (le illiceità di cui ai punti a), b) e c) del soprascritto paragrafo 4) e, sulla base delle dichiarazioni del titolare “lo stesso (…) (reclamante) non ha lamentato nei confronti del sottoscritto ulteriori doglianze relative ad eventuali conseguenze della vertenza in oggetto” (art. 83, par. 2, lett. a) del Regolamento);
- con riferimento alle illiceità di cui ai punti a) e b) del soprascritto paragrafo 4, si è trattato di “(…) errore materiale di trascrizione, causato da una condotta umana in assoluta buona fede” (art. 83, par. 2, lett. b) del Regolamento);
- il titolare ha dimostrato di cooperare con l’Autorità (art. 83, par. 2, lett. f) del Regolamento);
- non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento (art. 83, par. 2, lett. e) del Regolamento);
- la condotta del titolare, in riferimento alle illiceità di cui ai punti a), b) e c), risale al periodo di maggiore diffusione della pandemia da Covid-19, per cui appare parzialmente scusabile l’errore in cui è incorso il titolare del trattamento in considerazione della particolare difficoltà operativa in cui si è trovato ad agire. La condotta deve, infatti valutarsi “(…) alla luce della significativa mole di lavoro che proprio nel mese di dicembre XX ha caratterizzato l’attività dell’allora impresa individuale di cui il sottoscritto era titolare. In quel periodo e in quello immediatamente successivo del mese di Gennaio XX la MedNow era letteralmente subissata di richieste ed era sottoposta ad un volume di lavoro molto intenso pet tentare di soddisfare al meglio l’elevatissima richiesta proveniente dalla collettività. Come ampiamente confermato anche dal bollettino Covid riferito al mese di gennaio XX (…)” (art. 83, par. 2, lett. k) del Regolamento);
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5 del Regolamento, nella misura di euro 10.000,00 (diecimila) per la violazione degli artt. 5, par. 1, lett. d) e f), 9, 12 in relazione agli artt. 15,16,17 e 18, nonché dell’art. 32 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.
Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della natura dei dati oggetto della condotta illecita.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
TUTTO CIÒ PREMESSO IL GARANTE
dichiara l’illiceità del trattamento di dati personali effettuato da Marco GIUGNI – C.F. XX, residente in XX, XX, già titolare dell’impresa individuale “Mednow Medical Center di Marco Giugni”, cancellata dal registro delle imprese in data 5 aprile 2022, per la violazione degli artt. 5, par. 1, lett. d) e f), 9, 12 in relazione agli artt. 15,16,17 e 18, nonché dell’art. 32 del Regolamento;
ORDINA
ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, Marco Giugni residente in XX, XX – C.F. XX, di pagare la somma di euro 10.000,00 (diecimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.
INGIUNGE
Al predetto titolare del trattamento, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 10.000,00 (diecimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.
DISPONE
ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 31 agosto 2023
IL PRESIDENTE
Stanzione
IL RELATORE
Cerrina Feroni
IL SEGRETARIO GENERALE
Mattei
