Garante per la protezione
    dei dati personali


Ordinanza di ingiunzione nei confrontidi Casa di cura Scarnati srl

PROVVEDIMENTO DEL 27 MARZO 2014

Registro dei provvedimenti
 n. 156 del 27 marzo 2014

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, alla presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia,segretario generale;

RILEVATOche il Nucleo speciale privacy della Guardia di finanza, in esecuzione dellarichiesta di informazioni n. 3026/78073 del 7 febbraio 2012, formulata ai sensidell'art. 157 del d.lgs. 30 giugno 2003, n. 196, recante il Codice in materiadi protezione dei dati personali (di seguito "Codice"), ha svolto gliaccertamenti presso la Casa di cura Scarnati srl, con sede in Cosenza, Via Zaran. 4, P.I. 01018540789, formalizzati nel verbale di operazioni compiute dell'8marzo 2012, dai quali è emerso che la Casa di cura Scarnati srl ha effettuatole designazioni degli incaricati del trattamento solo nei confronti di cinquedipendenti, mentre "i rimanenti dipendenti e collaboratori che, a variotitolo, effettuano trattamento dei dati personali non sono stati nominati periscritto, ma agli stessi sono state impartite le istruzioni () in formaorale", in violazione di quanto previsto dall'art. 30 del Codice;

VISTOil verbale n. 16 del 19 marzo 2012 con cui è stata contestata alla Casa di curaScarnati srl la violazione amministrativa prevista dall'art. 162, comma 2-bis,in relazione all'art. 33 del Codice, per la quale non è prevista la definizionein via breve ai sensi dell'art. 16 della legge 24 novembre 1981 n. 689;

CONSIDERATOche, successivamente all'ispezione e a seguito di specifiche prescrizioni impartitedall'Ufficio con il provvedimento del 25 maggio 2012, la società ha provvedutoad adottare gli atti in precedenza omessi;

VISTIgli scritti difensivi inviati ai sensi dell'art. 18 della legge 24 novembre1981 n. 689, con cui la parte ha dichiarato che le designazioni degliincaricati del trattamento erano state effettuate nei confronti di cinquedipendenti che effettuano un trattamento di dati personali con l'ausilio distrumenti elettronici, come è stato verificato anche nel corso delle operazioni,mentre "per i rimanenti dipendenti - la clinica ne ha complessivamente 36- che a vario titolo effettuano il trattamento dei dati personali non vi èstata una specifica nomina per iscritto e sono state ad essi fornite istruzionisulle modalità del trattamento in relazione alle singole mansioni, in formaorale", ovvero affidando a questi ultimi "se e ove in qualche modocoinvolti nel trattamento dei dati personali, l'incarico attraverso lapreposizione del singolo al servizio amministrativo o tecnico ove avviene iltrattamento in modo tale da far sì che la designazione del singolo dipendenteal servizio comportasse in modo diretto ed automatico, senza la necessitàdell'atto nominativo, il conferimento dell'incarico al trattamento ()";

LETTOil verbale di audizione, svoltasi in data 13 gennaio 2014, ai sensi dell'art.18 della legge 24 novembre 1981 n. 689, con cui la parte, oltre a produrre unacospicua documentazione attestante le procedure poste in essere per conformareil trattamento dei dati personali alle disposizioni del Codice (tra cui lapredisposizione di corsi di formazione e di aggiornamento in materia diprivacy), ha precisato che i trattamenti presso la clinica sono effettuatisenza l'ausilio di strumenti elettronici e, quindi, di aver impartito leistruzioni agli incaricati oralmente, in virtù di quanto stabilito nelprovvedimento recante le semplificazioni in materia di misure di sicurezza,adottato dal Garante il 27 novembre 2008;

RITENUTOche le argomentazioni addotte non sono idonee ad escludere la responsabilitàdella parte in relazione a quanto contestato, in quanto la mancata designazionedegli incaricati del trattamento, di cui all'art. 30 del Codice, comporta ladisapplicazione di tutte le misure di sicurezza previste dal Disciplinare tecnicodi cui all'allegato B) al Codice. In particolare, si rileva che il dettatonormativo espressamente prevede che le istruzioni devono essere impartite periscritto, a prescindere dagli strumenti (elettronici o meno) con cui iltrattamento è effettuato. Pertanto, non è assolutamente conferentel'argomentazione della parte che, invece, vuole distinguere le modalità con cuiistruire i propri incaricati sulla base dello strumento utilizzato. Rispetto,invece, alla circostanza che la designazione del dipendente quale incaricatoavvenga automaticamente in virtù dell'assegnazione ad un determinato servizio,pur volendo riconoscere la legittimità di questa procedura, sulla base diquanto stabilito dall'art. 30, comma 2, del Codice, si fa presente tuttavia chenon è stata prodotta alcuna documentazione al riguardo, con particolareriferimento all'ambito di trattamento posto in essere da ciascuna unità e,dunque, da ciascun dipendente ad essa assegnato. Si osserva, inoltre, che ilrichiamato provvedimento in materia di semplificazioni delle misure disicurezza, adottato dal Garante il 27 novembre 2008, non può essere riferito altrattamento effettuato dalla clinica, in quanto le disposizioni ivi indicate siapplicano a quei "soggetti che trattano soltanto dati personali nonsensibili e che trattano come unici dati sensibili quelli costituiti dallostato di salute o malattia dei propri dipendenti o collaboratori ()". Inultimo, con riguardo alla documentazione pervenuta, si rappresenta che lemisure predisposte per adeguarsi alle disposizioni del Codice sono intervenutesolo successivamente al rilievo oggetto di contestazione e, pertanto, possonoessere valutate solo ai fini della quantificazione della sanzione;

RILEVATO,pertanto, che la Casa di cura Scarnati srl ha effettuato un trattamento di datipersonali (art. 4 comma 1, lett. a) e b) del Codice) omettendo di adottare lemisure minime di sicurezza ai sensi dell'art. 33 del Codice;

VISTOl'art. 162, comma 2-bis, del Codice che punisce la violazione delle disposizioniindicate nell'art. 33 del Codice con la sanzione amministrativa del pagamentodi una somma da diecimila euro a centoventimila euro;

CONSIDERATOche, ai fini della determinazione dell'ammontare della sanzione pecuniaria,occorre tenere conto, ai sensi dell'art. 11 della legge 24 novembre 1981 n.689, dell'opera svolta dall'agente per eliminare o attenuare le conseguenzedella violazione, della gravità della violazione, della personalità e dellecondizioni economiche del contravventore;

RITENUTOdi dover determinare, ai sensi dell'art. 11 della legge 24 novembre 1981 n.689, l'ammontare della sanzione pecuniaria per la violazione di cui all'art.162, comma 2-bis, del Codice nella misura di euro 10.000,00 (diecimila);

VISTAla documentazione in atti;

VISTAla legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTEle osservazioni dell'Ufficio, formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000;

RELATOREla prof.ssa Licia Califano;

ORDINA

allaCasa di cura Scarnati srl, con sede in Cosenza, Via Zara n. 4, P.I.01018540789, in persona del legale rappresentante pro-tempore, di pagare lasomma di euro 10.000,00 (diecimila) a titolo di sanzione amministrativapecuniaria;

INGIUNGE

almedesimo soggetto di pagare la somma di euro 10.000,00 (diecimila), secondo lemodalità indicate in allegato, entro 30 giorni dalla notificazione del presenteprovvedimento, pena l'adozione dei conseguenti atti esecutivi a norma dall'art.27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine digiorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale oin copia autentica, quietanza dell'avvenuto versamento.

Ai sensidegli artt. 152 del Codice e 10 del d. lg. n. 150/2011, avverso il presenteprovvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trenta giornidalla data di comunicazione del provvedimento stesso, ovvero di sessanta giornise il ricorrente risiede all'estero.

Roma, 27 marzo 2014

Il presidente
Soro

Il relatore
Califano

Il segretario generale
Busia