[doc. web n. 9946712]

Provvedimento del 28 settembre 2023

Registro dei provvedimenti
n. 425 del 28 settembre 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”);

VISTO il d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Il reclamo

Con nota del XX il sig. XX ha lamentato una violazione della disciplina in materia di protezione dei dati personali derivante dalla comunicazione, da parte del dott. Giuseppe Anzalone, di informazioni sul suo stato di salute, ad un soggetto terzo.

In particolare il sig. XX ha rappresentato che, dopo essersi sottoposto ad una visita pneumologica, in particolare ad un esame polisonnografico, ha ricevuto dal dott. Anzalone, all’esito della visita e dei predetti esami, una mail recante in allegato il relativo referto, composto da n. 4 pagine e contenente una serie di dati, di tracciati, nonché le conclusioni, le diagnosi e i commenti. In tale occasione il reclamante ha rilevato che “la stessa (mail) era stata inviata, in copia conoscenza, alla società Linde Care Point, avente sede in Firenze, via Ponte alle Mosse n. 60 (P.I. 01550070617) (…) senza alcun valido, espresso e specifico consenso fornito in tal senso da parte dell’interessato”.

A seguito della richiesta di informazioni dell’Ufficio (nota del XX, prot. n. XX), formulata ai sensi dell’art. 157 del Codice, il predetto medico ha fornito riscontro con nota del XX, dichiarando che:

- “in data XX il sig. XX è venuto all'Istituto medico Aesthetic Medical Care di Prato per effettuare una polisonnografia. Come da prassi, il paziente ha eseguito l'esame durante la notte, al proprio domicilio, e ha riportato lo strumento alle segretarie dell'istituto il giorno successivo”;

- “dato il livello di gravità della malattia del Sig. XX e l’urgenza di provvedere, quanto prima, al reperimento ed utilizzo da parte del paziente del ventilatore meccanico, avendo ritenuto che tale trattamento fosse essenziale ed indifferibile per la cura della sua salute, ho deciso di inoltrare il referto per conoscenza alla ditta Linde, unica società in Toscana che, a mia conoscenza, poteva in tempi brevi fornire i dati per la titolazione e il macchinario al paziente”;

- “i dati sensibili presenti sul referto inoltrato per conoscenza alla ditta Linde sono gli stessi necessari alla prescrizione della CPAP ad enti pubblici o soggetti privati, e sono stati anticipati per accelerare la fornitura dello strumento per il periodo di titolazione e reperimento del macchinario in quanto, a mio parere c'era l’urgenza di provvedere, quanto prima, al reperimento ed utilizzo da parte del paziente del ventilatore meccanico, avendo ritenuto che tale trattamento fosse essenziale ed indifferibile per la cura della sua salute”;

- “dato che il trattamento in parola era essenziale e da reperire rapidamente per la cura del paziente, ho ritenuto non fosse necessario acquisire alcun consenso al trattamento dei dati. Ad ogni buon conto, essendo il Sig. XX pervenutomi quale cliente della clinica Aesthetic Medical Care di Prato e su incarico della stessa (clinica con la quale ho un rapporto professionale), presso la cui sede si è svolta la visita, l'esame ed a cui il paziente ha corrisposto il costo delle prestazioni da me effettuate, preciso (…) che è la clinica che si occupa della raccolta dei dati personali e sensibili del paziente. A tal proposito il paziente in data XX ha firmato un consenso informato presso Aesthetic Medical Care, e non lo ha mai revocato (…). In tale documento si autorizza alla trasmissione dei dati per finalità di diagnosi, cura e riabilitazione”;

- “il paziente ha accettato per iscritto di acquistare il macchinario, evidentemente presso il contatto che gli era stato fornito per email poche ore prima. La trasmissione dei dati è avvenuta nell’esclusivo interesse della tutela della salute del paziente per favorire un rapido accesso alla terapia”.

Alla luce del riscontro fornito dal dott. Anzalone, l’Ufficio ha richiesto specifici elementi di informazione presso la Società Aesthetic Medical Care s.r.l.., in particolare, in ordine al rapporto intercorrente tra la società e il medico e al presupposto giuridico che avrebbe consentito la comunicazione dei dati sulla salute del sig. XX al soggetto “Linde Care Point”, specificando se tale operazione di trattamento sia stata oggetto di specifiche istruzioni o sia stata effettuata autonomamente dal medico (nota del XX, prot. n. XX).

La Società Aesthetic Medical Care s.r.l.. ha fornito riscontro, con nota del XX, dichiarando di avere designato il dott. Anzalone quale responsabile del trattamento, precisando che “la specifica operazione di trattamento da parte del Dott. Anzalone, nel caso di specie, è stata effettuata in maniera autonoma da quest’ultimo, senza comunicazione al titolare del trattamento, né preventiva e né successiva, a differenza di quanto previsto nella nomina di responsabile al trattamento dati”.

2. Valutazioni del Dipartimento sul trattamento effettuato e notifica della violazione di cui all’art. 166, comma 5 del Codice

In relazione ai fatti sopra descritti, l’Ufficio, con nota del XX (prot. n. XX) ha notificato al dott. Giuseppe Anzalone, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitandolo a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

In particolare, l’Ufficio, nel predetto atto, ha rappresentato che, sulla base degli elementi in atti, era risultato che il predetto medico aveva comunicato i dati del sig. XX alla società Linde Care Point, senza aver ricevuto specifiche istruzioni in tal senso dalla società Aesthetic Medical Care s.r.l.. Pertanto, per il trattamento dei dati in questione, avendo lo stesso assunto autonomamente delle determinazioni in ordine alle finalità e ai mezzi del trattamento, lo stesso medico poteva essere considerato quale autonomo titolare del trattamento (art. 4, par. 1, punto 7 del Regolamento) e, non potendosi ritenere che la comunicazione dei dati sulla salute potesse essere ricompresa tra i trattamenti necessari per la finalità di cura dell’interessato, era risultato che il dott. Anzalone aveva effettuato l’operazione di comunicazione a terzi di dati sulla salute del sig. XX, in assenza di un adeguato presupposto giuridico legittimante e, pertanto, in violazione dei principi di base del trattamento di cui agli artt. 5, par. 1, lett. a), c) e f) e 9 del Regolamento.

Con nota del XX, il dott. Anzalone ha fatto pervenire le proprie memorie difensive, nelle quali, in particolare, ha evidenziato che:

- l’”Autorità GPDP, alla luce dell'istruttoria compiuta ha ritenuto il Dott. Anzalone, nella vicenda relativa al trattamento dei dati del Sig. XX, quale titolare autonomo del trattamento ai sensi dell'art. 4, par. 1, punto 7 del Regolamento. Il Dott. Anzalone non ritiene condivisibile tale orientamento, contestando tale assunto, per i motivi che di seguito verranno esposti. Il Dott. Anzalone svolge l'incarico di collaboratore presso la clinica Aesthetic Medical Care srl con sede legale in Prato (PO)Via Udine, 56. Il Dott. Anzalone, per conto della Aesthetic Medical Care srl, svolge l’incarico di eseguire, sui pazienti della clinica, le prestazioni che di volta in volta, gli vengono affidate”;

- “i pazienti che (…) sono pazienti della clinica (e non del Dott. Anzalone!), hanno rapporto contrattuale con la clinica alla quale corrispondono il costo del servizio fruito. E’, inoltre, sempre la clinica che si occupa dell'accettazione del cliente e della parte relativa al consenso trattamento dati”;

- “la procedura sopra descritta è accaduta anche per il caso del Sig. XX, cliente della clinica Aesthetic Medical Care srl che è stato da quest’ultima affidato al Dott. Anzalone affinché effettuasse l'esame polisonnografico sul predetto soggetto. (…) il Sig. XX, per il caso che ci occupa, ha sottoscritto consenso al trattamento dati presso la clinica Aesthetic Medical Care srl (…) e, sempre alla stessa clinica è stato corrisposto il costo della prestazione medica materialmente eseguita dal Dott. Anzalone (…) l’esame polisonnografico, ovviamente, si è svolto nei locali della clinica Aesthetic Medical Care srl.”;

- “quanto riferito dalla clinica non corrisponde a verità in quanto l'indicazione di procedere con la comunicazione dei dati è indicazione e prassi consolidata della clinica e concordata. in ogni caso, con la Aesthetic Medical Care srl. Il Dott. Anzalone tiene, comunque, a precisare che (…) viene mensilmente fatto un resoconto tra la clinica e il professionista collaboratore circa i casi trattati per conto della clinica e, in tale occasione, è stata trattata anche la posizione del Sig. XX, ivi incluso l’invio del referto della polisonnografia alla ditta Linde, come da prassi consolidata della Aesthetic Medical Care srl”;

- “alla luce delle considerazioni sin qui espresse non si vede come il Dott. Anzalone possa essere considerato titolare autonomo di trattamento dei dati e, inoltre, data l'autorizzazione al trattamento dei dati concessa dal Sig. XX alla Aesthetic Medical Care srl nessuna violazione della normativa privacy si è verificata nel caso di specie”;

- “dall'esame polisonnografico effettuato sul paziente è emersa, fin da subito, la gravità delle risultanze cliniche della patologia del Sig. XX”;

- “le persone con OSAS (acronimo inglese per Obstructive Sleep Apnoea Syndrome, sindrome delle apnee ostruttive nel sonno) hanno una qualità del sonno scadente con conseguente eccessiva sonnolenza diurna che, associata alla difficoltà di mantenere la concentrazione, espone i soggetti al rischio di incidenti stradali (frequenza fino a 5 volte superiore) ed infortuni lavorativi (rischio di infortunio lavorativo doppio rispetto agli individui non affetti). (..) L'OSAS può essere pericolosa per la vita: a lungo andare i principali organi vitali (cuore, polmoni e cervello) vengono coinvolti”;

- “venendo al caso del Sig. XX il suo tracciato polisonnografico, infatti, aveva evidenziato un quadro di OSAS molto grave (…). Dato il livello di gravità della malattia del Sig. XX e l’urgenza di provvedere, quanto prima, al reperimento ed utilizzo da parte del paziente del ventilatore meccanico, il Dott. Anzalone, nell’esclusivo interesse della salute del paziente, avendo ritenuto, in scienza e coscienza, che il trattamento fosse essenziale ed indifferibile per la cura della sua salute, ha inoltrato il referto per conoscenza alla ditta Linde, unica società in Toscana che poteva in tempi brevi fornire i dati per la titolazione e il macchinario al paziente, considerando, inoltre, i seguenti fattori:

• necessità di procedere al più presto alla titolazione, cioè al periodo di prova del ventilatore per individuare la pressione necessaria a curare il paziente e abituarlo alla macchina. La titolazione, in corso di pandemia covid, non viene più effettuata presso le strutture pubbliche o private, che non avrebbero modo di sanificare efficacemente i ventilatori usati per la prova, ma quasi esclusivamente dalle ditte fornitrice;

• periodo di festività e ponti in successione (Pasquetta-25 aprile-1 maggio), con prevedibile rallentata attività della ditta fornitrice del dispositivo;

• nota riduzione dell'importazione delle CPAP usualmente prescritte (Resmed Airview Ellipse, che consentono il telemonitoraggio del paziente), di produzione estera, dovuta alla carenza di materie prime per l'elettronica indotta dalle conseguenze della crisi ucraina;

• concomitante carenza di CPAP sul mercato per il richiamo di numerosi modelli di CPAP di produzione Philips (fra le più usate) (…)”;

-“nel caso che ci occupa non vi è dubbio alcuno che la condotta del Dott. Anzalone (nel comunicare i dati del referto dell’esame polisonnografico effettuato sul Sig. XX alla società Linde) sia stata determinata, esclusivamente. da finalità connessa alla salute del paziente Sig. XX affinché reperisse, nel più breve tempo possibile, il respiratore essenziale per la sua salute”;

- “sul punto, si produce parere pro-veritate della Prof.ssa (…), specialista in malattie dell’apparato respiratorio e Professore associato all'Università di (…) la quale riferisce come <ll medico deve quindi, effettuala diagnosi di OSAS e della sua gravità, come per altre malattie, illustrare al paziente i diversi percorsi che portano alla terapia con cPAP. Il medico deve anche adoperarsi, in caso di urgenza per documentata gravità della sindrome, affinché il paziente stesso possa accedere tempestivamente, nelle modalità prescelte, a corretta terapia ventilatoria con cPAP.>> (…)”;

-  “non vi è dubbio alcuno che il Dott. Anzalone non avesse necessità del previo consenso al trattamento dei dati da parte del Sig. XX in quanto l’invio del referto della polisonnografia alla ditta Linde rappresenta un chiaro ed evidente trattamento dispensato dal consenso ex art. 9, par.2, lett. h) e par. 3 del Regolamento trattandosi di trattamento essenziale alle cure del paziente”;

- “si evidenzia (…) come il Sig. XX abbia prestato il proprio consenso alla comunicazione del referto polisonnografico alla ditta Linde per l’acquisto del necessario ventilatore. II Dott. Anzalone, infatti, all'esito dell'esame polisonnografico effettuato sul Sig. XX attenzionava lo stesso sulla gravità delle risultanze dell’esame, informandolo dell'impellente necessità di accedere a trattamento ventilatorio a pressione positiva durante il sonno con Auto- CPAP. In tale sede il Dott. Anzalone informava il paziente che la strada più celere per ottenere il necessario macchinario alla sua salute era quello di rivolgersi alla ditta Linde, ricevendo il consenso dell'interessato in tale senso”;

- “a conferma e riprova di quanto testé precisato si produce scambio e-mail tra il Dott. Anzalone e il Sig. XX del XX (…) con il quale il Dott. Anzalone inviava il referto al Sig. (XX) e, per conoscenza, alla ditta Linde, alla quale lo stesso poteva rivolgersi per i necessari passaggi volti all'acquisto del macchinario nel più breve tempo possibile”;

- il sig. XX, con comunicazione e-mail del XX, in espresso riscontro alla comunicazione del Dott. Anzalone sopra citata, non solo non muoveva alcuna contestazione al proprio medico ma, al contrario, chiaramente confermava di condividerne l’operato: <<Provvederò (quanto) prima ad acquistare il macchinario>> (…);

- “l’e-mail del Sig. XX del XX è una chiara espressione del consenso al trattamento dei dati!”.

Nel corso dell’audizione che si è tenuta il XX, l’avv. XX, in qualità di legale difensore del dott. Anzalone, ha dichiarato che:

- “il consenso al trattamento dei dati era stato rilasciato dal paziente nei confronti della Aesthetic Medical Care s.r.l. la quale era perfettamente edotta, in quanto dalla stessa espressamente indicate, delle modalità operative dei propri professionisti in ordine al trattamento dei dati dei pazienti che gli venivano affidati, sia come indicazioni generali che riferite al caso specifico fornite dalla stessa clinica”;

- “è stato allegato un parere pro veritate della Prof.ssa XX, che ha confermato l’importanza di accedere, quanto prima, alla terapia ventilatoria CPAP nei casi simili a quello di cui si sta discutendo; con ciò, quindi, confermando la mancata necessità del consenso al trattamento dei dati ex art. 9, par. 2, lett.  h) e par. 3 del Regolamento”.

Nel corso della medesima audizione il dott. Anzalone ha inteso evidenziare che:

- “i professionisti sanitari prestano la propria attività professionale presso la clinica Aesthetic Medical Care e i pazienti hanno un rapporto soltanto con la clinica cui versano i loro corrispettivi”;

- “in considerazione della gravità della situazione riscontrata nel paziente e delle concomitanti festività pasquali e successive (25 aprile e 1° maggio), nonché della difficoltà di reperire tali apparecchi a causa della riduzione dell’attività di trasporto dovuta alla crisi ucraina, alla precedente crisi pandemica e al ritiro di taluni apparecchi dal commercio, si è ritenuto di dover anticipare la comunicazione alla ditta Linde medicale dei dati del paziente, al fine di consentire alla predetta ditta di effettuare la titolazione quanto prima”;

- “la titolazione è il necessario periodo di prova del ventilatore e della maschera ad esso connessa teso a stabilire la tolleranza da parte del paziente e, soprattutto, ad individuare la pressione necessaria a trattare la malattia nel singolo paziente; senza tale dato non è possibile procedere alla prescrizione dell’apparecchio, anche qualora il paziente decidesse di rivolgersi al Servizio sanitario pubblico per la sua acquisizione (che, peraltro, richiede tempi molto lunghi, incompatibili con la necessità di una cura immediata, considerate le gravi condizioni del paziente). Ciò, in quanto, dallo scoppio della pandemia Covid, questa procedura di titolazione non è più effettuata né presso gli enti sanitari pubblici né presso i professionisti privati, per la difficoltà di igienizzare adeguatamente gli apparecchi usati”.

3. Esito dell’attività istruttoria

Preso atto di quanto rappresentato dal dott. Anzalone nella documentazione in atti, nelle memorie difensive e nell’audizione, si osserva quanto segue:

1. “il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri” (art. 29 del Regolamento);

2. “il titolare del trattamento” è “la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” (art. 4, par. 1, punto 7, del Regolamento);

3. “determinare le finalità e i mezzi equivale a decidere, rispettivamente, il «perché» e il «come» del trattamento: data un’operazione di trattamento specifica, il titolare del trattamento è il soggetto che ha determinato il perché del trattamento (ovverosia «a quale fine» o «per che cosa» viene svolto) e come tale obiettivo è raggiunto (ovverosia quali mezzi sono impiegati per conseguirlo)” (punto n, 35 delle Linee guida 07/2020 dell’EDPB sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR, adottate il 7 luglio 2021; cfr, anche punto n. 88, nel quale si evidenzia che “nella misura in cui il dipendente tratti dati personali per le proprie finalità, diverse da quelle del datore di lavoro, sarà considerato titolare del trattamento, risponderà di tutte le conseguenze e si assumerà tutte le responsabilità che ne derivano in termini di trattamento dei dati personali”);

4. “tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al (…) regolamento” (art. 24, par. 1, e art. 5, par. 2, del Regolamento in relazione al principio di “responsabilizzazione”);

5. le informazioni oggetto della descritta comunicazione a terzi riguardano dati relativi alla salute, laddove per “dati relativi alla salute” si intendono “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, nn. 1 e 15 del Regolamento). I predetti dati meritano una maggiore protezione dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali (Cons. n. 51);

6. la disciplina in materia di protezione dei dati personali prevede che tali informazioni possano essere comunicate unicamente all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso previa delega scritta di quest’ultimo (art. 9 Regolamento e art. 84 del Codice - nella versione precedente la riformulazione del medesimo Codice a opera del legislatore con il d.lgs. 10 agosto 2018, n. 101 - in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101);

7. non è più necessario richiedere il consenso dell’interessato (art. 9, par. 2, lett. h) e par. 3 del Regolamento) soltanto per i trattamenti “necessari” al perseguimento di specifiche finalità di cura, effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale). Tali trattamenti, sono quelli ““essenziali” per il raggiungimento di una o più finalità determinate ed esplicitamente connesse alla cura della salute (cfr. considerando 53 del Regolamento) (…)”, come chiarito dal Garante nel provvedimento n. 55 del 7 marzo 2019 (consultabile sul sito istituzionale www.gpdp.it, doc. web n. 9091942). In tale provvedimento il Garante ha, altresì, espressamente evidenziato che “gli eventuali trattamenti attinenti, solo in senso lato, alla cura, ma non strettamente necessari, richiedono, quindi, anche se effettuati da professionisti della sanità, una distinta base giuridica da individuarsi, eventualmente, nel consenso dell’interessato o in un altro presupposto di liceità” (art. 9, par. 2, lett. a) del Regolamento);

8. per «consenso dell'interessato» si intende “(…) qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento (art. 4, n. 11, del Regolamento). “Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali” (art. 7 e considerando 42 del Regolamento). Tale consenso, nel caso di trattamento di particolari categorie di dati deve essere “esplicito” (art. 9 par. 2, lett. a) e considerando 51 del Regolamento);

9. il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di «liceità, correttezza e trasparenza», «minimizzazione dei dati» nonché «integrità e riservatezza», secondo i quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato”; “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”; “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. a), c) e f) del Regolamento);

10. la condotta del dott. Anzalone, attraverso la trasmissione, via mail, dei referti contenenti l’esito dell’esame polisonnografico effettuato dal sig. XX, alla società Linde, ha dato luogo a una comunicazione di dati relativi alla salute del predetto reclamante.

4. Valutazioni del Garante e conclusioni

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dott. Anzalone e dalla società Aesthetic Medical Care s.r.l. nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ si rappresenta che gli elementi forniti dal dott. Anzalone nelle memorie difensive e nel corso dell’audizione non consentono di superare i rilievi notificati dall’Ufficio con il citato atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Infatti, dalla documentazione in atti, non risulta, in alcun modo, documentato che l’iniziativa riguardante la comunicazione dei sulla salute al soggetto fornitore del macchinario con il quale effettuare la terapia ventilatoria CPAP, sia stata posta in essere a seguito di specifica istruzione della società Aesthetic Medical Care s.r.l.; al contrario, risulta che la decisione in tal senso, sia stata assunta autonomamente dal medico, il quale ha ritenuto di dover anticipare la comunicazione alla ditta Linde dei dati del paziente, al fine di consentire alla medesima di effettuare la “titolazione” quanto prima. Si ritiene, pertanto, che, per il trattamento dei dati in questione, il dott. Anzalone è da considerare titolare autonomo del trattamento, avendo determinato le finalità e i mezzi del trattamento.

Non può accogliersi, poi, l’argomentazione in ordine alla circostanza che il trattamento in oggetto fosse volto al perseguimento di una “finalità di cura”, considerato che l’operazione di comunicazione sopra descritta non può ritenersi “essenziale” per il raggiungimento di una finalità determinata ed esplicitamente connessa alla cura della salute; ciò, in quanto, il paziente aveva già ricevuto l’indicazione della società alla quale, invece, lui stesso avrebbe potuto rivolgersi, ove lo avesse voluto.

Dallo scambio di mail acquisito agli atti, emerge, infatti, che il dott. Anzalone aveva rappresentato al paziente che il “SSN fornisce il ventilatore necessario alla terapia solo come presidio per invalidi, e bisogna essere in possesso di Invalidità Civile pari o superiore al 34%, in caso contrario deve procedere all’acquisto dello strumento a sue spese. Per quanto riguarda l'avvezzamento e la titolazione dello strumento, passaggi necessari per la prescrizione, e l’acquisizione di preventivi per il macchinario” il sig. XX veniva, pertanto, invitato a rivolgersi alla “Linde Care Point - Via del Ponte alle Mosse”. Il paziente, acquisite le predette informazioni, aveva manifestato di voler provvedere “quanto prima ad acquistare il macchinario”, con ciò dimostrando l’intenzione di procedere autonomamente. Pertanto, l’anticipazione alla ditta Linde delle informazioni relative al sig. XX, seppur asseritamente volta ad agevolare l’acquisizione del macchinario e la relativa attività di “titolazione”, non può considerarsi imprescindibile per la cura, considerato che il paziente era già nelle condizioni di agire autonomamente procurandosi il macchinario.

Peraltro, l’assunto secondo il quale lo stesso reclamante, in espresso riscontro alla comunicazione del Dott. Anzalone, non avrebbe mosso alcuna contestazione al proprio medico ma, al contrario, chiaramente avrebbe confermato di condividerne l’operato (“Provvederò (quanto) prima ad acquistare il macchinario”) con la conseguenza che attraverso la mail del sig. XX sarebbe stato, quindi, acquisito il  consenso dell’interessato (“l'e-mail del Sig. XX del XX è una chiara espressione del consenso al trattamento dei dati!”), non appare condivisibile.

Infatti, per essere valido, il consenso, oltre a essere “libero”, “specifico”, “informato” e “inequivocabile” (art. 4, n. 11 del Regolamento), nell’ipotesi di trattamento di categorie particolari di dati, di cui all’art. 9 del Regolamento medesimo, deve essere anche “esplicito”. In ogni caso, per i trattamenti basati sul consenso, il titolare del trattamento di dati personali deve essere in grado di dimostrare che l’interessato ha acconsentito al trattamento medesimo (art. 7 e considerando 42 del Regolamento). Al riguardo, l’acquisizione del presunto (dal medico) “consenso implicito” del sig. XX, invece, non solo non è stata dimostrata in alcun modo, ma è stata, altresì, contraddetta dal fatto che il paziente è, proprio in ordine a ciò, l’odierno reclamante, il quale lamenta che il dott. Anzalone “non acquisiva il consenso specifico del paziente all'invio del referto a soggetti diversi dal medesimo, in particolar modo verso società commerciali”. Tale conclusione è, altresì, avvalorata dall’evidenza che l’iniziativa di mettersi in contatto con la predetta ditta era stata rimessa al paziente, il quale era libero o meno, di contattarla, avendo il dott. Anzalone medesimo fornito al paziente i riferimenti della ditta a cui rivolgersi.

Inoltre, la sottoscrizione del modulo di consenso al trattamento dei dati, che il dott. Anzalone ha trasmesso in allegato, è stata sottoposta dalla società Aesthetic Medical Care e riguarda il rapporto tra la stessa e il sig. XX e non con lo specialista; in ogni caso, il consenso fornito non risulta essere stato prestato in relazione alla operazione di comunicazione dei dati personali in esame.

Inoltre, nel rispetto del principio di minimizzazione dei dati, ai fini dell’attività di “titolazione”, la società avrebbe avuto bisogno di acquisire elementi relativi alla sola patologia dell’eventuale destinatario del macchinario, ma non anche del suo intero referto, comprensivo dei dati identificativi.

Per le ragioni sopra illustrate, si rileva l’illiceità del trattamento di dati personali effettuato dal dott. Anzalone per aver comunicato i dati sulla salute relativi al sig. XX a un soggetto terzo, in violazione dei principi di base del trattamento di cui all’art. 5, par. 1, lett. a), c) e f) del Regolamento e in assenza dei presupposti giuridici previsti dall’art. 9 del Regolamento, considerato che non è stata dimostrata l’acquisizione del consenso dell’interessato al trattamento dei propri dati personali per la predetta operazione. Si confermano, pertanto, le valutazioni preliminari dell’Ufficio relative all’accertata violazione dei principi di base del trattamento di cui agli artt. 5, par. 1, lett. a), c) e f) e 9 del Regolamento,

In tale quadro, tenendo in considerazione che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par. 1, lett. a), c) e f) e 9 del Regolamento, causata dalla condotta posta in essere dal dott. Anzalone, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par.5, lett. a) del Regolamento.

Si consideri che il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 85, par. 2, del Regolamento in relazione ai quali si osserva che:

- la comunicazione effettuata dal dott. Anzalone, titolare del trattamento come persona fisica, ha coinvolto un solo destinatario e ha riguardato dati idonei a rilevare informazioni sulla salute di un solo paziente (art. 83, par. 2, lett. a) e g) del Regolamento);

- il dott. Anzalone ha mostrato un comportamento collaborativo con l’Autorità nel corso della istruttoria e del presente procedimento (art. 83, par. 2, lett. f) del Regolamento);

- non sono pervenuti ulteriori segnalazioni o reclami rispetto alla condotta oggetto del presente procedimento (art. 83, par. 2, lett. h) del Regolamento);

- nei confronti del medesimo medico non sono stati in precedenza adottati provvedimenti riguardanti violazioni pertinenti (art. 83, par. 2, lett. e) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a) del Regolamento, nella misura di euro 5.000,00 (cinquemila) per la violazione degli artt. 5, par. 1, lett. a), c) e f) e 9 del Regolamento quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dal dott. Giuseppe Anzalone nato a XX, (C.F. XX) residente in XX, domiciliato presso lo studio degli Avv.ti XX e XX, con studio in XX, per la violazione degli art. 5, par. 1, lett. a), c) e f) e 9 del Regolamento nei termini di cui in motivazione;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, al dott. Giuseppe Anzalone,  di pagare la somma di euro 5.000,00 (cinquemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento, secondo le modalità indicate in allegato, entro 30 giorni dalla notifica in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

al predetto medico, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 5.000,00 (cinquemila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 28 settembre 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei