IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;
RILEVATO che l’Ufficio del Garante, all’esito di un procedimento amministrativo relativo ad un reclamo, ha accertato, con nota n. 11621/87291 del 9 aprile 2014, che l’Istituto Auxologico Italiano Cod. fisc.: 02703120150, con sede in Milano, via Ludovico Ariosto n. 13, in persona del legale rappresentante pro-tempore, non ha adottato le misure tecniche e organizzative volte ad assicurare che gli atti e i documenti contenenti dati personali sensibili (come quelli contenuti nella cartella clinica del reclamante), affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, fossero controllati e custoditi dagli incaricati fino alla restituzione, in maniera che ad essi non potessero accedere persone prive di autorizzazione, in violazione degli artt. 33 e 35 del d. lgs. 30 giugno 2003 n. 196, recante il Codice in materia di protezione dei dati personali (di seguito “Codice”) e della regola n. 28 del disciplinare tecnico di cui all’allegato B) al medesimo Codice;
VISTO il verbale nr. 20140/87291 del 30 giugno 2014 (che qui si intende integralmente richiamato), con cui è stata contestata all’Istituto Auxologico Italiano, la violazione amministrativa, non definibile in via breve ai sensi dell’art. 16 della legge 24 novembre 1981, n. 689, prevista dall’art. 162, comma 2-bis del Codice, in relazione all’art. 33;
VISTI gli scritti difensivi datati 29 luglio 2014 inviati ai sensi dell’art. 18 della legge n. 689/1981, con i quali l’Istituto Auxologico Italiano, illustrando ribadendole tutte le misure di sicurezza adottate a presidio dei dati sensibili trattati sia con riferimento alle cautele disciplinate alla regola n. 28 del disciplinare tecnico di cui all’allegato B) del Codice sia riguardo quelle inerenti le informazioni sulla sieropositività, ha evidenziato come ” Nessuna colpa o carenza generale nell’organizzazione e implementazione di dette misure può dunque essere imputata all’Istituto, il quale ha altresì richiesto agli incaricati, sia con apposite istruzioni sia nell’ambito di corsi di formazione, di controllare e custodire con cura i documenti contenenti dati sensibili, e in particolare la cartella clinica, fino alla restituzione”. Inoltre, ha osservato come “(…) il comportamento dell’infermiere/incaricato (del trattamento oggetto di contestazione), che depositava la cartella clinica chiusa e non incustodita, sul tavolo della camera singola ove risiedeva l’interessato e nel corso delle operazioni pre-operatorie, lungi dall’essere interpretato come abbandono della cartella clinica, è stato tenuto in adempimento di un preciso obbligo normativo che viene comunemente applicato in ambito sanitario”. Peraltro, riguardo la condotta tenuta dal reclamante nella vicenda oggetto di contestazione, ha osservato come “(…) da un lato (il reclamante) ha cercato di documentare formalmente (…) prima il diniego e poi la limitazione alla comunicazione dei dati a soggetti terzi (…) e dall’altro, ha posto in essere atti concludenti idonei a manifestare una volontà di segna contrario (…)” con ciò ingenerando “(…) nell’infermiere/incaricato il legittimo affidamento sulla compartecipazione della madre alle vicende del figlio e sulla presenza in buona fede della donna nella camera di degenza”, da ciò valutando ragionevole “(…) ritenere che l’accesso imprevisto e fraudolento alla cartella clinica da parte della sig.ra (…) (madre del reclamante) sia qualificabile come fatto oggettivamente imprevedibile e fortuito, idoneo quindi, sul piano eziologico, ad escludere la responsabilità dell’infermiere/incaricato e quindi la responsabilità solidale dell’Istituto (cfr. Cass. civ., sez. III, 10 marzo 2006, n. 5254). La condotta della sig.ra (…) (madre del reclamante) appare ulteriormente idonea ad escludere la colpa dell’infermiere/incaricato poiché posta in essere da persona più qualificata di un qualsiasi soggetto medio, il cui accesso all’informazione, assai repentino e del tutto imprevedibile, risulta facilitato dalla qualità di operatrice socio-sanitaria”;
VISTO il verbale dell’audizione delle parti redatto in data 12 gennaio 2015, ai sensi dell’art. 18 della legge n. 689/1981, nel quale l’Istituto Auxologico Italiano, ribadendo quanto argomentato nella memoria difensiva, ne fa discendere la ricorrenza “(…) sia degli elementi costitutivi dell’errore scusabile, di cui all’art. 3 della legge 689/1981, che la ricorrenza delle scriminanti di cui all’art. 4 della legge 689/1981”;
CONSIDERATO che le argomentazioni addotte non permettono di escludere la responsabilità dell’Istituto Auxologico Italiano in relazione alla contestazione in argomento.
Quanto esposto, oltre a non fornire alcun elemento di valutazione ulteriore rispetto a quelli già presi in considerazione in sede di accertamento della violazione formalizzata nel verbale di contestazione che ci occupa ciò determinando la non ravvisabilità di alcuno degli elementi costitutivi delle richiamate discipline di cui agli artt. 3 e 4 della legge n. 689/1981, risulta inconferente, atteso che, come esplicitamente indicato nel verbale di contestazione già citato, “(…) il vincolo intercorrente tra l’autore materiale della violazione (infermiere/incaricato la cui individuazione risulta impossibile considerato il tempo trascorso dai fatti in trattazione) e la persona giuridica della quale è prevista la responsabilità solidale (Istituto Auxologico Italiano) consente all’autorità amministrativa (Garante) di chiamare a rispondere dell’infrazione ambedue gli obbligati oppure uno o l’altro di essi (ferma la necessità della contestazione o della notificazione della violazione nei confronti del soggetto chiamato, in modo da metterlo in condizione – come nel caso che ci occupa – di far pervenire all’autorità stessa scritti a sua difesa), nonché che la responsabilità solidale dell’ente o del datore di lavoro per l’infrazione amministrativa del proprio dipendente, relativamente al pagamento della somma dovuta a titolo di sanzione, può essere fatta valere indipendentemente dall’identificazione dell’autore materiale dell’illecito quando – come nel caso di specie – sia stato comunque possibile accertare la sussistenza dell’illecito e il nesso soggettivo tra il relativo autore materiale e l’obbligato in solido, in ragione delle funzioni o incombenze esercitate dal trasgressore” (Cass. 23 aprile 1991, n. 4405; Cass. 4 febbraio 1998, n. 1144; Cass. 30 maggio 2001, n. 7351; Cass. 30 maggio 2002, n. 7909; Cass. civ. Sez. I 2 dicembre 2003, n. 18389);
RILEVATO, pertanto, che l’Istituto Auxologico Italiano ha effettuato un trattamento di dati personali (art. 4 comma 1, lett. a) e b) del Codice), omettendo di adottare le misure minime di sicurezza ai sensi dell’art. 33 del Codice;
VISTO l’art. 162, comma 2-bis, del Codice che punisce la violazione delle disposizioni indicate nell’art. 33 del Codice con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;
CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge 24 novembre 1981 n. 689, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore e che pertanto l’ammontare della sanzione pecuniaria deve essere quantificato nella misura di euro 10.000,00 (diecimila);
VISTA la documentazione in atti;
VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;
VISTE le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE il dott. Antonello Soro;
ORDINA
all’Istituto Auxologico Italiano Cod. fisc.: 02703120150, con sede in Milano, via Ludovico Ariosto n. 13, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 10.000,00 (diecimila) a titolo di sanzione amministrativa pecuniaria per la violazione di cui all’art. 162, comma 2-bis, come indicato in motivazione;
INGIUNGE
al medesimo soggetto di pagare la somma di euro 10.000,00 (diecimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689.
Ai sensi degli artt. 152 del Codice e 10 del d. lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.
Fonte: Garante Privacy.