Garante per la protezione
    dei dati personali


Ordinanza di ingiunzione nei confrontidi Bios Marx s.r.l.

PROVVEDIMENTO DEL 16 GENNAIO 2014

Registro dei provvedimenti
 n. 17 del 16 gennaio 2014

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, alla presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia,segretario generale;

RILEVATOche, a seguito di una segnalazione pervenuta in data 29 marzo 2011 da partedella sig.ra Emilia Cominelli, con cui veniva lamentata una presunta violazionedella disciplina in materia di protezione dei dati personali da parte di BiosMarx s.r.l. che, nell'ambito dell'iniziativa "Non solo mimose",organizzata nelle giornate tra il 7 e il 9 marzo 2011 al fine di permetterealle donne la possibilità di effettuare gratuitamente alcuni esami medici,forniva a coloro che aderivano all'iniziativa un'informativa che prevedeva lacomunicazione dei dati raccolti "a partners commerciali, ad altre societàche forniscono servizi specifici; intermediari bancari e societàemittenti/gestori di carte di credito; terzi che per conto di Bios Marx srlforniscono servizi informatici; società del gruppo di appartenenza" senzaraccogliere uno specifico consenso, il Dipartimento libertà pubbliche e sanitàformulava una richiesta di informazione (prot. n. 6545 del 5 maggio 2011) alfine acquisire informazioni utili alla valutazione del caso; 

CONSIDERATOche, sulla base del riscontro fornito dalla società con la nota del 29 aprile2011 in cui si precisava che l'informativa resa in occasione dell'iniziativa"Non solo mimose" è "la stessa che normalmente viene distribuitaai pazienti/clienti di Bios International e che erroneamente è statadistribuita ai pazienti che hanno deciso di aderire all'iniziativa" inesame, l'Autorità ha adottato in data 9 febbraio 2012 un provvedimento (che quideve intendersi integralmente richiamato) nei confronti di Bios Marx s.r.l. aisensi degli artt. 143, comma 1, lett. b) e c), e 154, comma 1, lett. c) e d)del d.lgs. 30 giugno 2003 n. 196, recante il Codice in materia di protezionedei dati personali (di seguito "Codice"), con cui è stato dichiaratoillecito il trattamento dei dati personali dei pazienti effettuato dalla societàmediante un'informativa inidonea e sulla base di un consenso non validamenteprestato, sia nell'ambito dell'iniziativa "Non solo mimose" che inoccasione dei rapporti correnti con i pazienti;

VISTOil verbale n. 6739/73154 del 14 marzo 2012 con cui è stata contestata a BiosMarx s.r.l., con sede in Roma, Viale Marx n. 203, P.I. 10236991005, in personadel legale rappresentante pro tempore, la violazione di cui agli artt. 161 e162, comma 2-bis, del Codice, in relazione agli artt. 13 e 23, informandoladella facoltà di effettuare il pagamento in misura ridotta ai sensi dell'art.16 della legge 24 novembre 1981 n. 689;

RILEVATOdal rapporto predisposto dall'Ufficio del Garante ai sensi dell'art. 17 dellalegge 24 novembre 1981 n. 689 che non risulta essere stato effettuato ilpagamento in misura ridotta;

VISTOlo scritto difensivo, inviato ai sensi dell'art. 18 della legge 24 novembre1981 n. 689, con cui la parte ha eccepito la fondatezza delle violazionicontestate, in quanto, nel testo dell'informativa fornita in occasionedell'iniziativa "Non solo mimose", l'unico riferimento che andavaomesso era quello relativo alla comunicazione dei dati raccolti ad intermediaribancari e società emittenti/gestore di carte di credito, in quanto l'iniziativain questione era gratuita;

LETTOil verbale di audizione, svoltosi in data 8 ottobre 2012, ai sensi dell'art. 18della legge 24 novembre 1981 n. 689, con cui la parte ha ribadito quanto giàdichiarato nelle memorie difensive, precisando che i dati raccolti non sonostati comunicati a terzi, e ha dichiarato di aver immediatamente provveduto adadeguarsi alle prescrizioni contenute nel provvedimento del Garante,predisponendo un nuovo modello di informativa e di acquisizione del consenso;

RITENUTOche le argomentazioni addotte non risultano idonee ad escludere laresponsabilità della società in relazione a quanto contestato. Va, infatti,precisato che la contestazione di violazione amministrativa ha riguardato sia imodelli di informativa e di acquisizione del consenso utilizzati ordinariamentedalla società per effettuare il trattamento di dati personali dei propripazienti, sia quelli utilizzati nell'ambito della già citata iniziativa.Dall'esame della documentazione fornita, è risultato che i suddetti modelli,rilasciati anche ai pazienti che si recano presso la struttura, non sonoconformi alle disposizioni del Codice perché privi di alcuni elementiessenziali, specificamente individuati nel richiamato provvedimento del Garantedel 9 febbraio 2012. Trattasi, in particolare, della mancanza nell'informativadell'indicazione dei dati indispensabili all'erogazione della prestazionemedica richiesta (ivi comprese le attività amministrative correlate); qualorasia prevista la comunicazione dei dati a terzi, i soggetti o categorie disoggetti a cui i dati sono comunicati, nonché la tipologia di dati oggettodella comunicazione e la natura facoltativa del conferimento dei dati personaliper l'eventuale perseguimento di ulteriori finalità; allo stesso modo, è statarilevata l'assenza di una specifica formula di consenso con riguardo allediverse finalità perseguite e alle diverse operazioni di trattamento effettuatedal titolare. Nel medesimo provvedimento, che non è stato impugnato dalla parte,sono prescritte altresì le necessarie modifiche da apportare, per rendere iltrattamento conforme alla legge;

RILEVATO,quindi, che la Bios Marx s.r.l. ha effettuato un trattamento di dati personalirendendo una informativa inidonea e senza acquisire un consenso specifico perciascuna finalità perseguita, in violazione degli artt. 13 e 23 del Codice;

VISTOl'art. 161 del Codice che punisce la violazione dell'art. 13 con la sanzioneamministrativa del pagamento di una somma da seimila euro a trentaseimila euro;

VISTOl'art. 162, comma 2-bis, del Codice che punisce la violazione delledisposizioni indicate nell'art. 167 del Codice, tra le quali quella di cuiall'art. 23 del medesimo Codice, con la sanzione amministrativa del pagamentodi una somma da diecimila euro a centoventimila euro;

CONSIDERATOche, ai fini della determinazione dell'ammontare della sanzione pecuniaria,occorre tenere conto, ai sensi dell'art. 11 della legge 24 novembre 1981 n.689, della gravità della violazione, dell'opera svolta dall'agente pereliminare o attenuare le conseguenze della stessa, della personalità e dellecondizioni economiche del contravventore;

RITENUTOche, con riferimento alla gravità della violazione, la condotta posta in esseredalla società assume particolare rilievo, in quanto le modalità seguite nonconsentivano agli interessati di esprimere un consenso libero per i trattamentiulteriori rispetto a quelli per finalità di cura;

RITENUTOdi dover determinare, ai sensi dell'art. 11 della legge 24 novembre 1981 n.689, l'ammontare delle sanzioni nella misura di euro 6.000,00 (seimila) per laviolazione di cui all'art. 161 e nella misura di euro 10.000,00 (diecimila) perla violazione di cui all'art. 162, comma 2-bis, per un ammontare complessivopari a euro 16.000,00 (sedicimila);

VISTAla documentazione in atti;

VISTAla legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTEle osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazionedel 28 giugno 2000;

RELATOREla dott.ssa Augusta Iannini;

ORDINA

BiosMarx s.r.l., con sede in Roma, Viale Marx n. 203, P.I. 10236991005, in personadel legale rappresentante pro-tempore, di pagare la somma di euro 16.000,00(sedicimila) a titolo di sanzione amministrativa pecuniaria per le violazionipreviste dagli artt. 161 e 162, comma 2-bis, del Codice;

INGIUNGE

allamedesima società di pagare la somma di euro 16.000,00 (sedicimila), secondo lemodalità indicate in allegato, entro 30 giorni dalla notificazione del presenteprovvedimento, pena l'adozione dei conseguenti atti esecutivi a norma dall'art.27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine digiorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale oin copia autentica, quietanza dell'avvenuto versamento.

Ai sensidegli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presenteprovvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria,con ricorso depositato al tribunale ordinario del luogo ove ha la residenza iltitolare del trattamento dei dati, entro il termine di trenta giorni dalla datadi comunicazione del provvedimento stesso, ovvero di sessanta giorni se ilricorrente risiede all'estero.

Roma, 16 gennaio 2014

Il presidente
Soro

Il relatore
Iannini

Il segretario generale
Busia