Il San Raffaele di Milano usa il cc al posto del ccn: sanzione di 70.000,00 Euro

Rispondi
Giancarlo Favero
Messaggi: 226
Iscritto il: dom gen 24, 2021 6:45 am

Il San Raffaele di Milano usa il cc al posto del ccn: sanzione di 70.000,00 Euro

Messaggio da Giancarlo Favero »

E' costata molto cara all' Ospedale San Raffaele di Milano l'aver utilizzato il campo cc (copia per conoscenza), al posto del campo ccn (copia per conosceza nascosta), nell'invio di due newsletter: ciò ha comportato una violazione dei dati di una certa gravità, che il Garante per le protezione dei dati personali ha punito con la sanzione amministrativa pecuniaria di 70.000,00 Euro, che non sono proprio due bruscolini.

Di seguito trovate il testo integrale del provvedimento, consultabile anche al seguente link:

https://www.garanteprivacy.it/web/guest ... eb/9779057

Grazie e buona lettura,

Giancarlo Favero

Ordinanza ingiunzione nei confronti di Società Ospedale San Raffaele s.r.l. - 28 aprile 2022

Registro dei provvedimenti
n. 164 del 22 aprile 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante il “Codice in materia di protezione dei dati personali”, contenente disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito il “Codice”);

VISTO il d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Le violazioni dei dati personali

La Società Ospedale San Raffaele s.r.l. (di seguito “Ospedale”) ha notificato all’Autorità due violazioni di dati personali, ai sensi dell’art. 33 del Regolamento, in data XX e XX, aventi ad oggetto, rispettivamente:

a) l’inserimento degli indirizzi email dei destinatari di una newsletter indirizzata ai pazienti dell’Unità Operativa di neurologia, nel campo denominato “copia conoscenza” (C.C.) in luogo del campo “copia conoscenza nascosta” (C.C.N.).

In relazione a tale evento, l’Ospedale ha comunicato che:

“dei 499 indirizzi email 321 sono nominativi riferiti ai pazienti, 46 nominativi riferiti a familiari/caregiver e 132 non nominativi”;

come misura adottata per garantire la sicurezza dei dati, è stata fornita l’indicazione di inviare comunicazioni relative a mailing list, inserendo gli indirizzi dei destinatari in “copia nascosta” (CCN). In tal senso sono state adottate altre iniziative: “corso di formazione ulteriore e specifico per meglio sensibilizzare il soggetto responsabile della violazione sebbene la stessa sia avvenuta per atto accidentale ascrivibile ad errore umano/errore materiale”; ”valutazione da parte della direzione del personale (di) eventuali sanzioni disciplinari nei confronti del soggetto e/o del superiore gerarchico”; “email di scuse ai soggetti interessati”; “ulteriore attività formativa (…) per tipologia di soggetti autorizzati”; “azione di revisione/miglioramento di policy e procedure”.

b) l’inserimento degli indirizzi email dei destinatari di una newsletter indirizzata ai pazienti dell’Unità Chirurgia Trapianti e Metabolico-Bariatrica, nel campo nel campo denominato “copia conoscenza” (C.C.) in luogo del campo “copia conoscenza nascosta” (C.C.N.).

Con riferimento a tale vicenda, l’Ospedale ha dichiarato che:

- “dei 90 indirizzi email 75 sono nominativi riferiti a pazienti e/o familiari/caregiver e 15 non direttamente identificativi. L’informazione contenuta all'interno della newsletter era di natura meramente organizzativa (apertura nuovo padiglione), la riconducibilità indiretta ad informazioni idonee a rivelare un possibile stato di salute dell'interessato risulta possibile esclusivamente dalla qualifica professionale del mittente”;

- “a seguito di una mail di scuse successiva all’accaduto molti pazienti hanno espresso solidarietà all'operatrice responsabile ringraziandola per il lavoro svolto e l'attenzione nei loro confronti”;

- “verranno poste in essere nuove e più efficaci misure tecnico-organizzative attraverso il seguente progetto interno: - Costituzione di un gruppo di lavoro multidisciplinare (Direzione Sanitaria, Direzione Internal Audit, Privacy Executive aziendali, Direzione Sistemi Informativi) con la supervisione del DPO; verrà effettuata una mappatura analitica di tutte le unità operative aziendali che hanno necessità di effettuare attività di comunicazione massiva sui pazienti (comunicazione a +1 paziente) con individuazione dei rispettivi owner di processo; ai soggetti individuati verrà effettuata una ulteriore formazione verticale, specifica, circa il corretto utilizzo degli strumenti aziendali necessari per l’esecuzione dell’attività; verrà predisposta una documentazione di agevole e rapida consultazione (leaflet, infografiche o libretti) ad integrazione delle procedure aziendali già in essere e distribuita agli owner di processo; sono in corso interlocuzioni con il fornitore dell’applicativo aziendale di mailing (Microsoft) per valutare la possibilità tecnica di introduzione di forme di controllo/gestione delle comunicazioni massive; verrà valutata la fattibilità circa l’istituzione di un servizio interno dedicato alle “comunicazioni massive”, dotato di strumenti professionali di invio (mailer) e personale con competenze specifiche”.

In entrambi i casi l’Ospedale ha rappresentato di essere venuto a conoscenza delle violazioni a seguito di segnalazione di un soggetto interessato coinvolto nella comunicazione.

2. L’attività istruttoria

L’Ufficio, in ordine alle fattispecie sopra descritte, sulla base di quanto rappresentato dal titolare del trattamento nei rispettivi atti di notifica di violazione, nonché delle successive valutazioni, ha notificato all’Ospedale, ai sensi dell’art. 166, comma 5, del Codice, l’avvio di due procedimenti per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981). In particolare, rispettivamente, con gli atti n. XX del XX e n. XX del XX, è stato rilevato che l’Ospedale abbia effettuato due comunicazioni di dati personali e sulla salute, rispettivamente, di 498 e di 90 pazienti, ad altrettanti pazienti, in assenza di un idoneo presupposto giuridico e, quindi, in violazione dei principi di base del trattamento di cui agli artt. 5, 6 e 9 del Regolamento e dell’art. 2-ter del Codice.

Successivamente ai predetti atti di notifica di violazioni, l’Ospedale ha fatto pervenire le proprie memorie difensive, ai sensi dell’art. 166, comma 6, del Codice. In particolare:

a) con riferimento alla prima vicenda sopra descritta (cfr. punto 1, lett. a)), con nota del XX, l’Ospedale, in aggiunta a quanto già rappresentato in sede di notificazione della violazione di dati personali ai sensi dell’art. 33 del Regolamento, ha dichiarato che:

- “la creazione della newsletter interessata dalla violazione si inserisce nell’ambito delle iniziative che gli operatori sanitari di OSR hanno adottato nell’insorgere dell'emergenza pandemica da Covid-19 quale strumento per rispondere alle esigenze di pazienti e caregiver di ricevere informazioni e chiarimenti sulle attività dell'Unità presso cui i pazienti sono in cura e poter dunque, in parte, contrastare l’improvvisa mancanza di contatto diretto con la struttura ospedaliera e i propri curanti. Tale iniziativa non è nata dunque a seguito di un progetto ideato e strutturato dagli uffici istituzionali di OSR dedicati alle attività di comunicazione, presso i quali sono in uso processi e sistemi automatizzati per l'invio massivo di email, anche tramite fornitori esterni, ma come risposta concreta e immediata del personale sanitario al bisogno del paziente di mantenere una prossimità tangibile con la propria struttura di cura”;

- “tale attività veniva affidata a un soggetto, debitamente formato in tema di utilizzo delle risorse informatiche e di protezione dei dati personali, competente nella gestione dell'incarico ricevuto. OSR infatti, oltre ad aver adottato un codice etico che espressamente contempla la tutela (tra gli altri) di interessi relativi alla protezione dei dati personali, ha provveduto a informare tutto il proprio personale in merito ai principi di protezione e riservatezza dei dati personali e all’utilizzo corretto delle risorse informatiche, sia tramite obblighi di riservatezza di natura contrattuale sia tramite precise istruzioni che vengono fornite a ciascun collaboratore sul corretto trattamento di dati personali nell’ambito delle proprie funzioni, nonché tramite istruzioni specifiche e dettagliate in tema di uso delle risorse informatiche che espressamente descrivono la necessità di utilizzare solo il campo CCN per l’invio di email massive”;

- “il caso di specie si è configurato quale atto accidentale ascrivibile ad errore umano. Sul piano della negligenza, alla luce delle particolari circostanze in cui il fatto è occorso (si tratta di un caso isolato e dunque dell’eccezione che conferma la regola), evidenziamo che OSR ha posto in essere misure di sicurezza idonee a prevenire rischi per i diritti e le libertà degli interessati e, in ragione dell’eccezionalità dell’errore, difficilmente potrebbe sostenersi che OSR avrebbe in concreto potuto porre in essere una condotta alternativa in tal senso”;

- “per quel che concerne la gravità della violazione contestata, (…) nel caso di specie, non sussist(e) la probabilità di un rischio concreto ed effettivo per i diritti e le libertà delle persone fisiche interessate, inteso quale probabilità del verificarsi di danni reputazionali, perdite finanziarie, discriminazioni o altri pregiudizi significativi per gli interessati, dal momento che l’ambito di comunicazione dei dati in violazione è circoscritto ad altri pazienti o caregiver e ristretto al solo indirizzo email che, in diversi casi, non si riferisce al paziente ma al suo caregiver e, in diversi altri, consiste di un indirizzo non nominativo e pertanto non direttamente riconducibile a una persona fisica immediatamente identificabile”.

- “dei 499 indirizzi email comunicati in chiaro, 321 sono indirizzi nominativi riferiti ai pazienti, 46 nominativi riferiti a caregiver e 132 sono indirizzi non nominativi, pertanto 178 indirizzi non sono indirizzi email di pazienti in cura presso la medesima unità operativa, essendo di persone terze (caregiver) o non riconducibili direttamente a persone fisiche identificabili né come pazienti né come caregiver”;

- “a seguito dell’incidente occorso il soggetto responsabile dell'errore ha frequentato un corso di formazione ulteriore e specifico in tema di protezione dei dati personali e ha ricevuto dalla Direzione del Personale una lettera di richiamo agli obblighi contrattuali inerenti al rispetto delle norme di riservatezza e di protezione dei dati. E’ stata inviata email di scuse inviata ai soggetti interessati dalla violazione da parte del Direttore della Unità in oggetto, a seguito della quale non sono pervenute ulteriori notifiche o contestazioni da parte degli stessi interessati sull’incidente occorso”;

- è stata predisposta “l'erogazione di nuova e ulteriore attività formativa generale e verticale rivolta a tutta la popolazione aziendale, suddivisa per tipologia di soggetti autorizzati al trattamento e che tutte le policy e le procedure inerenti all'uso degli strumenti informatici e la protezione dei dati personali sono oggetto di un esteso progetto di revisione e aggiornamento”;

b) In relazione alla seconda vicenda sopra rappresentata (cfr. punto 1, lett. b)), con nota del XX, l’Ospedale -oltre a ribadire quanto già spiegato con nota del XX, in ordine alle ragioni e alle modalità con cui si è realizzata l’iniziativa volta alla realizzazione della newsletter interessata dalla violazione- ha evidenziato, fra altro, che:

- si ritiene (…), nel caso di specie, non sussista la probabilità di un rischio concreto ed effettivo per i diritti e le libertà delle persone fisiche interessate, inteso quale probabilità del verificarsi di danni reputazionali, perdite finanziarie, discriminazioni o altri pregiudizi significativi per gli interessati, dal momento che: i dati oggetto della comunicazione (indirizzi email) sono dati personali non appartenenti a categorie particolari, non potendosi ritenere che la generica provenienza della comunicazione in oggetto dall'Unità “Chirurgia Trapianti e Metabolico-Bariatrica” sia in grado — nel caso concreto, e non solo potenzialmente - di rivelare informazioni relative allo stato di salute dei destinatari, non essendo di per sé idonea a rivelare in modo concreto e attuale una specifica patologia o una precisa prestazione sanitaria da cui si possa risalire - anche indirettamente – a uno specifico stato di salute. Pertanto, sul punto, si contesta l’interpretazione della normativa in materia di protezione di dati personali effettuata da codesta Autorità (…) laddove si conclude che “Pertanto, le informazioni oggetto della notifica riguardano anche dati personali relativi alla salute” poiché la genericità delle prestazioni e delle patologie afferenti all'Unità “Chirurgia Trapianti e Metabolico-Bariatrica” non permette l’individuazione diretta di “dati relativi alla salute” intesi quali i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresala prestazione di assistenza sanitaria, che rivelano - e non che potrebbero rivelare - informazioni relative allo stato di salute (cfr. art. 4, paragrafo 1, n. 15 del Regolamento); l'ambito di comunicazione dei dati oggetto della comunicazione è circoscritto in maniera indistinta ad altri pazienti o loro caregiver e ristretto al solo indirizzo email che, in diversi casi, non si riferisce al paziente ma al caregiver e, in diversi altri, consiste di un indirizzo non nominativo e pertanto non direttamente riconducibile a una persona fisica immediatamente identificabile”;

- “dei 90 indirizzi email comunicati in chiaro, 75 sono indirizzi nominativi riferiti ai pazienti e/o loro caregiver, e 15 sono indirizzi non nominativi non riconducibili direttamente né ai pazienti né ai loro caregiver”;

- “pertanto non è in alcun modo possibile per i destinatari della newsletter in oggetto effettuare una concreta - e non meramente potenziale o casuale — distinzione tra quali indirizzi email appartengano ai pazienti (gli unici interessati ai quali si possano eventualmente riferire i “dati relativi alla salute”) e quali ai caregiver (ai quali, in ogni caso, si riferirebbero solamente dati personali non appartenenti a categorie particolari — gli indirizzi email - e non anche dati relativi alla salute)”;

- “a seguito dell’incidente occorso, il soggetto responsabile dell'errore è stato sensibilizzato in materia di protezione dei dati personali e sul rispetto delle procedure aziendali poste a tutela dei dati personali e frequenterà un corso di formazione ulteriore e specifico sul tema in oggetto. E’ stata inviata email di scuse ai soggetti interessati dalla violazione da parte del Direttore della Unità in oggetto, a seguito della quale non sono pervenute ulteriori notifiche o contestazioni da parte degli stessi interessati sull’incidente occorso, ma anzi sono giunte attestazioni di solidarietà e stima nei confronti dell’operatore artefice dell'errore materiale”;

- “è stata effettuata una mappatura analitica di tutte le unità operative aziendali che hanno necessità di effettuare attività di comunicazione massiva sui pazienti (comunicazione a +1 paziente) con individuazione dei rispettivi owner di processo e a tali soggetti verrà effettuata una ulteriore formazione verticale, specifica, circa il corretto utilizzo degli strumenti aziendali necessari per l'esecuzione dell'attività”;

- “a seguito di interlocuzioni con il fornitore dell'applicativo aziendale di mailing (Microsoft), è stata approvata ed è ad oggi in fase di implementazione presso le direzioni interessate alle attività di comunicazione massiva uno specifico strumento di Microsoft (“Power Automate for desktop”) per la gestione delle comunicazioni massive; il personale afferente alle suddette direzioni sarà coinvolto in attività di formazione specifica per l’utilizzo dello strumento, comprendente una parte generale di formazione in materia di protezione dei dati personali e violazione di dati personali ed una parte specifica e tecnica sull'utilizzo del nuovo strumento di Microsoft, con dimostrazioni pratiche delle specifiche funzionalità”;

- “verranno infine poste in essere le seguenti ulteriori misure tecnico-organizzative: (i) erogazione di nuova e ulteriore attività formativa generale e verticale rivolta a tutta la popolazione aziendale, suddivisa per tipologia di soggetti autorizzati al trattamento;(ii) esteso progetto di revisione e aggiornamento di tutte le policy e le procedure inerenti all’uso degli strumenti informatici e la protezione dei dati personali”.

Per i motivi sopra esposti, in entrambi i casi, l’Ospedale ha chiesto all’Autorità di qualificare il rimprovero nei limiti della colpa lieve o lievissima, sì da prevedere l’applicazione di sanzioni correttive non pecuniarie e, solo in subordine, qualora si ritenga di prevedere l’applicazione di sanzioni pecuniarie, di commisurare tale sanzione nei minimi termini.
Tenuto conto che le violazioni oggetto di notifica ai sensi dell’art. 33 del Regolamento riguardano il medesimo titolare del trattamento e fattispecie analoghe, l’Ufficio ha disposto la riunione dei due procedimenti istruttori, ai sensi dell’art. 10, comma 4 del regolamento del Garante n. 1/2019, e ha comunicato tale circostanza al titolare del trattamento con la citata nota del XX.

3. Esito dell’attività istruttoria

Preso atto di quanto rappresentato e documentato dall’Ospedale nel corso dei due procedimenti istruttori di cui al punto 1, lett. a) e b), dapprima con gli atti di notifica di violazione e, successivamente, con le relative memorie difensive, si osserva che:

per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)” e per “dati relativi alla salute” “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, nn. 1 e 15 del Regolamento). Questi ultimi dati meritano una maggiore protezione dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali (Cons. n. 51 del Regolamento);

il Regolamento prevede che il trattamento dei dati personali è lecito solo se e nella misura in cui ricorre una delle condizioni previste dall’art. 6 del Regolamento;

con particolare riferimento alle questioni prospettate, le informazioni sullo stato di salute possono essere comunicate soltanto all’interessato e possono essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico (art. 9 Regolamento e art. 84 del Codice in combinato disposto con l’art. 22, comma 11, d.lgs. 10 agosto 2018, n. 101);

il titolare del trattamento è, in ogni caso, tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di «integrità e riservatezza», secondo il quale i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. f) del Regolamento).

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive sopra richiamate, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con i richiamati atti di avvio dei procedimenti, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del regolamento del Garante n. 1/2019.

In particolare, le argomentazioni addotte dall’Azienda non sono idonee ad accogliere le richieste di archiviazione formulate nelle memorie difensive. Infatti, alla luce della definizione di dato personale sopra richiamata, gli indirizzi e-mail, come già evidenziato nelle note del XX e del XX sono riconducibili alla nozione di dato personale (v. Provv.ti del Garante del 25 giugno 2002, doc. web n. 29864 e 24 giugno 2003, doc. web n. 1132562, consultabili in www.gpdp.it). Pertanto, anche se una parte degli indirizzi e-mail erano privi di riferimenti al nome e al cognome o comunque ad altri dati direttamente identificativi degli interessati, si tratta di informazioni personali, soggette, come le altre, all’applicazione della disciplina in materia di protezione dei dati personali. Inoltre, la circostanza che dal contesto delle comunicazioni poteva desumersi che i destinatari della stessa erano utenti, in un caso, dell’Unità Operativa di Neurologia e, nell’altro, dell’Unità Chirurgia Trapianti e Metabolico-Bariatrica e, quindi, pazienti in cura presso le predette Unità, comporta che i trattamenti, rispetto al quale sono state effettuate al Garante le notifiche di violazione dei dati, hanno avuto ad oggetto informazioni relative alla salute, in quanto concernenti informazioni relative a prestazioni di assistenza sanitaria, che rivelano informazioni sullo stato di salute (art. 4, par. 1, n. 15 del Regolamento). Pertanto, l’invio di comunicazioni mediante un unico messaggio di posta elettronica indirizzato a un numero plurimo di destinatari, i cui indirizzi sono stati inseriti nel campo copia conoscenza (c.c.), ha, di fatto, senza giustificato motivo e in assenza di presupposto giuridico, rivelato reciprocamente, ai destinatari delle comunicazioni, lo stato di salute degli altri pazienti.

Per tali ragioni si confermano le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Ospedale, per aver comunicato a soggetti terzi dati personali degli interessati cui afferiscono gli indirizzi email, destinatari delle sopradescritte comunicazioni, di cui al presente procedimento, nonché dati relativi alla salute, in violazione dei principi base di cui agli artt. 5, lett. f), e 9 del Regolamento.

La violazione delle predette disposizioni rende applicabile, ai sensi dell’art. 58, par. 2, lett. i), la sanzione amministrativa prevista dall’art. 83, par. 5 del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice.

In tale quadro, considerato, in ogni caso, che la condotta ha esaurito i suoi effetti e considerato che l’Ospedale ha dichiarato di aver adottato ulteriori misure ritenute necessarie per scongiurare futuri analoghi accadimenti, non ricorrono i presupposti per l’adozione di provvedimenti, di tipo prescrittivo o inibitorio, di cui all’art. 58, par. 2, del Regolamento.

4. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Le violazioni degli artt. 5, par. 1, lett. f), e 9 del Regolamento, causate dalle condotte poste in essere dall’Ospedale, sono soggette all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 5, del Regolamento.

Si consideri che il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2, del Regolamento in relazione ai quali, per i casi in esame, si osserva che:

l’Autorità ha preso conoscenza degli eventi a seguito delle notifiche di violazione dei dati personali effettuate dal titolare e non sono pervenuti reclami o segnalazioni al Garante sull’accaduto (art. 83, par. 2, lett. h) e k) del Regolamento);

i trattamenti dei dati effettuati dall’Ospedale hanno riguardato anche dati idonei a rilevare informazioni sulla salute di alcune centinaia di interessati (art. 83, par. 2, lett. a) e g) del Regolamento);

sotto il profilo riguardante l’elemento soggettivo non emerge alcun atteggiamento intenzionale da parte del titolare del trattamento, essendo le violazioni avvenute per errore nella fase di inserimento dei destinatari nello specifico campo delle mail (art. 83, par. 2, lett. b) del Regolamento);

l’Ospedale ha preso in carico la problematica introducendo misure volte a ridurre la replicabilità degli stessi eventi occorsi (art. 83, par. 2, lett. c) del Regolamento);

il titolare ha dimostrato un elevato grado di cooperazione con l’Autorità al fine di porre rimedio alle violazioni e attenuarne i possibili effetti negativi (art. 83, par. 2, lett. f) del Regolamento);

i fatti si sono verificati nell’ambito delle iniziative assunte dall’Ospedale per rispondere alle esigenze di pazienti e caregiver di ricevere informazioni e chiarimenti sulle attività dell'Unità presso cui i pazienti sono in cura, nel tentativo di contrastare l’improvvisa mancanza di contatto diretto con la struttura ospedaliera determinata dall’emergenza pandemica da Covid-19 (art. 83, par. 2, lett. k) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, del Regolamento, nella misura di euro 70.000,00 (settantamila) per la violazione degli artt. 5, par. 1, lett. f) e 9 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che, debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati all’Autorità.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dalla Società Ospedale San Raffaele s.r.l., per la violazione degli artt. 5, par. 1, lett. f) e 9 del Regolamento, nei termini di cui in motivazione.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, alla Società Ospedale San Raffaele s.r.l, con Sede legale in Via Olgettina 60 — 20132 Milano, P.I. e C.F.: 07636600962, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 70.000,00 (settantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla predetta Società Ospedale San Raffaele s.r.l., in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 70.000,00 (settantamile) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.


DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso giurisdizionale dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 28 aprile 2022

IL VICEPRESIDENTE
Cerrina Feroni

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei

Rispondi