EntiOnLine
Categorie
indietro
05/04/2018 Ordinanza ingiunzione nei confronti di Azienda Ospedaliera Sant'Andrea di Roma - 5 aprile 2018 > omissione designazione soggetti che trattano dati personali quali incaricati del trattamento

Con provvedimento in data 5 aprile 2018 ( Registro dei provvedimenti n. 202 del 5 aprile 2018 ) il Garante ha adottato una Ordinanza ingiunzione nei confronti dell' all’Azienda Ospedaliera Sant’Andrea di Roma, in persona del legale rappresentante pro-tempore, con sede legale in Roma, via di Grottarossa n. 1035, C.F. 06019571006, di pagare la somma di euro 10.000 (diecimila) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione;

Continua a leggere

Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

RILEVATO che l’Ufficio, con atto n. 17976/97258 del 18 giugno 2015 (notificato il 25 giugno 2015), che qui deve intendersi integralmente riportato, ha contestato all’Azienda Ospedaliera Sant’Andrea di Roma, in persona del legale rappresentante pro-tempore, con sede legale in Roma, via di Grottarossa n. 1035, C.F. 06019571006, la violazione delle disposizioni di cui agli artt. 33 e 162, comma 2-bis del Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196, di seguito denominato “Codice”);

RILEVATO che dall’esame degli atti del procedimento sanzionatorio avviato con la contestazione di violazione amministrativa è emerso, in sintesi, quanto segue:

- a seguito di un accertamento ispettivo svolto dal Garante in data 23 e 26 gennaio 2015, è stato rilevato che l’Azienda Ospedaliera ha omesso di designare i soggetti che trattano dati personali quali incaricati del trattamento ai sensi dell’art. 30 del Codice;

- in particolare, nel corso dell’accertamento è stato richiesto all’Azienda Ospedaliera di esibire la copia delle designazioni di due incaricati del trattamento. L’Azienda Ospedaliera, con nota del 6 marzo 2015, ha dichiarato che “negli anni successivi al 2008 e fino al 2011 compreso, furono adottate dalla Direzione generale appositi atti deliberativi che nell’adottare il DPS prevedevano anche l’adozione con successivi atti di misure relative tra l’altro dalla nomina dei responsabili e degli incaricati […]. Tuttavia, non si è riusciti a rinvenire le documentazioni relative a tali atti di nomina”;

- in un documento prodotto dall’Azienda Ospedaliera e allegato alla nota del 6 marzo 2015, si evidenziava che la maggior parte dei dipendenti avevano ricevuto gli atti di designazione quali incaricati del trattamento in data antecedente e prossima alla predisposizione della sopra richiamata nota del 6 marzo 2015, e alcuni di essi dovevano ancora essere designati perché assenti al momento della ricognizione complessiva dei soggetti che svolgono operazioni di trattamento;

- sulla base delle evidenze documentali, poiché la mancata designazione degli incaricati del trattamento determina la mancata adozione di tutte le misure minime di sicurezza che il Codice e il disciplinare tecnico di cui al relativo allegato B) riconduce all’attività degli incaricati del trattamento, l’Ufficio ha provveduto a contestare all’Azienda Ospedaliera la violazione delle disposizioni in materia di misure minime di sicurezza e a inviare alla Procura della Repubblica presso il Tribunale di Roma una comunicazione di notizia di reato, in data 18 giugno 2015, per le violazioni previste e punite dall’art. 169 del Codice;

RILEVATO che con il citato atto del 18 giugno 2015 è stata contestata alla Azienda Ospedaliera, ai sensi dell’art. 162, comma 2-bis, del Codice, la violazione dell’art. 33, per non avere effettuato la designazione degli incaricati del trattamento, secondo le modalità indicate dall’art. 30, omettendo dunque di adottare le misure minime di sicurezza di cui ai successivi artt. 34 e 35 e nelle regole nn. 1-10, 12-14, 15 e 27-29 del disciplinare tecnico di cui all’allegato B) del Codice;

PRESO ATTO che per la predetta violazione è escluso il pagamento in misura ridotta;

LETTO il verbale di audizione del 14 marzo 2016, nel corso della quale l’Azienda Ospedaliera ha depositato memorie difensive ove si osserva, in sintesi, quanto segue:

- “deve confermarsi come, nel periodo in esame, fossero state comunque adottate dall’Azienda tutte le misure minime di sicurezza previste dal Codice Privacy, con particolare riferimento a quelle specificamente menzionate nella Contestazione”;

- dalla documentazione prodotta “si ricava comunque che, pur nelle more del completamento delle procedure di conferimento ad ogni dipendente della lettera di designazione quale incaricato, risultavano ben individuati gli ambiti di trattamento consentiti al personale assegnato ai vari uffici dell’Azienda […] nonché impartite apposite istruzioni per iscritto al personale assegnato ai diversi uffici in ordine al trattamento dei dati con o senza strumenti elettronici”;

RITENUTO che le argomentazioni addotte non risultano idonee a determinare l’archiviazione del procedimento sanzionatorio avviato con la contestazione di cui sopra per le ragioni di seguito esposte:

a) risulta accertato che la Azienda ospedaliera non ha provveduto alla designazione per iscritto degli incaricati del trattamento ai sensi dell'art. 30 del Codice, con ciò determinando la mancata applicazione di quella parte di misure minime di sicurezza che il Codice riconduce all'attività degli incaricati del trattamento medesimo. Al riguardo è opportuno sottolineare che la mancata designazione degli incaricati del trattamento non costituisce un mero inadempimento formale, in quanto la designazione medesima si configura come atto presupposto indispensabile per l'applicazione della parte più significativa delle misure di sicurezza da adottarsi per il trattamento dei dati personali ed è strettamente correlata all'attività degli incaricati del trattamento (ovvero di coloro che ordinariamente operano sui dati personali), mirando a fornire agli stessi le istruzioni da seguire per il corretto trattamento dei dati; per tali ragioni, la mancata designazione per iscritto degli incaricati, ai sensi dell'art. 30, determina la mancata applicazione di tutte quelle misure minime di sicurezza, di cui all'art. 33 e seguenti, che il disciplinare tecnico (allegato B) del Codice) riconduce all'attività degli incaricati del trattamento medesimo (regole nr. 1-10; 12-14; 15 e 27-29 dell'allegato B) e comporta, quindi, l'applicazione della sanzione di cui all'art. 162, comma 2- bis, del Codice;

b) a conferma di ciò deve evidenziarsi che i documenti prodotti nelle memoria difensiva, nonché quelli già allegati alla nota del 6 marzo 2015, e richiamati nella medesima memoria, seppure astrattamente idonei ad individuare l’ambito del trattamento consentito per ciascun dipendente (a prezzo di una complessa opera di ricostruzione giacché gran parte degli elementi sono presenti nei voluminosi documenti programmatici per la sicurezza), non permettono a tali soggetti di avere un quadro organico e diretto del complesso dei limiti e delle prescrizioni specifiche, in particolare in materia di adozione delle misure minime di sicurezza, che devono essere costantemente osservati affinché siano puntualmente applicate tutte le regole che il disciplinare tecnico di cui all’allegato B) del Codice riconduce all’attività degli incaricati del trattamento;

c) ne consegue che la mancata formale designazione degli incaricati del trattamento, nelle modalità indicate dall’art. 30 del Codice, determina nel concreto la mancata individuazione delle specifiche condotte che i dipendenti sono chiamati ad adottare al fine di consentire la puntuale applicazione delle misure minime di sicurezza indicate nell’atto di contestazione;

d) deve pertanto confermarsi la responsabilità della Azienda in ordine alla violazione contestata;

RILEVATO, quindi, che l’Azienda Ospedaliera Sant’Andrea, sulla base delle considerazioni sopra richiamate, risulta aver commesso la violazione prevista dall’art. 162, comma 2-bis, del Codice, per non avere effettuato la designazione degli incaricati del trattamento, secondo le modalità indicate dall’art. 30, omettendo dunque di adottare le misure minime di sicurezza di cui agli artt. 33 e ss. e alle regole nn. 1-10, 12-14, 15 e 27-29 del disciplinare tecnico di cui all’allegato B) del medesimo Codice;

VISTO l’art. 162, comma 2-bis, del Codice, ove è previsto che “in caso di trattamento di dati personali effettuato in violazione delle misure indicate nell'articolo 33 […] è altresì applicata in sede amministrativa, in ogni caso, la sanzione amministrativa del pagamento di una somma da 10.000 euro a 120.000 euro”;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a) in ordine all’aspetto della gravità con riferimento agli elementi dell’entità del pregiudizio o del pericolo e dell’intensità dell’elemento psicologico, la violazione non risulta connotata da elementi specifici;

b) ai fini della valutazione dell’opera svolta dall’agente, deve essere considerato in termini favorevoli il fatto che l’Azienda ha dato puntuale adempimento al provvedimento di prescrizione del 15 giugno 2015, adottato dal Garante ai sensi dell’art. 169, 2° comma, del Codice, provvedendo alla designazione degli incaricati del trattamento e all’attuazione delle correlate misure minime di sicurezza;

c) circa la personalità dell’autore della violazione, l’Azienda Ospedaliera non risulta gravata da precedenti procedimenti sanzionatori definiti in via breve o con ordinanza-ingiunzione;

RITENUTO, quindi, di dover determinare, ai sensi dell’art. 11 della L. n. 689/1981, l’ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 10.000 (diecimila);

VISTA la documentazione in atti;

VISTA la legge n. 689/1981, e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la prof.ssa Licia Califano;

ORDINA

all’Azienda Ospedaliera Sant’Andrea di Roma, in persona del legale rappresentante pro-tempore, con sede legale in Roma, via di Grottarossa n. 1035, C.F. 06019571006, di pagare la somma di euro 10.000 (diecimila) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione;

INGIUNGE

alla medesima società di pagare la somma di euro 10.000 (diecimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Banca dati