g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Ordinanza ingiunzione o revoca
  4. Provvedimento del 9 maggio 2024 [10026235]

Provvedimento del 9 maggio 2024 [10026235]

Stampa Stampa Stampa PDF Trasforma contenuto in PDF

[doc. web n. 10026235]

Provvedimento del 9 maggio 2024

Registro dei provvedimenti
n. 288 del 9 maggio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore l'avv. Guido Scorza;

PREMESSO

1. Introduzione.

Con reclamo presentato ai sensi dell’art. 77 del Regolamento, il dott. XX, professionista iscritto presso l’Ordine dei Tecnici Sanitari di Radiologia Medica e delle Professioni Sanitarie Tecniche, della Riabilitazione e della Prevenzione della provincia di Mantova (di seguito, l’“Ordine”), ha rappresentato di aver ricevuto, in data XX, “un avviso dall'Ordine […] con il quale gli veniva comunicat[a] la sospensione dall’Albo [, ai sensi dell’art. l’art. 4 del d.l. 1° aprile 2021, n. 44,] a seguito dell’inadempimento dell’obbligo vaccinale [da SARS-CoV-2] e [veniva] informato, altresì, del fatto che tale sospensione, per il personale che abbia un rapporto di lavoro dipendente, sarebbe stata comunicata anche al datore di lavoro”.

Successivamente, in data XX, l’Ordine “con apposita e-mail, richiedeva i dati identificativi del datore di lavoro al fine di comunicare a quest’ultimo il mancato adempimento dell’obbligo vaccinale, ai sensi dell’art. 1, comma 4, del D.L. 26 novembre 2021, n. 172”.  L’email in questione veniva, tuttavia, invitata non solo all’indirizzo di posta elettronica personale del reclamante ma anche gli indirizzi di posta elettronica di altri professionisti, tutti indicati in chiaro nel campo “A” dell’email, rendendo reciprocamene edotti i destinatari della stessa non solo dei rispettivi indirizzi di posta elettronica ma anche del mancato possesso del requisito vaccinale.

Al riguardo, l’Ordine, in persona del proprio Presidente, con un’email dell’XX, indirizzata all’avvocato difensore del reclamante, manifestava il proprio rammarico per quanto accaduto, rappresentando che “purtroppo [un dipendente dell’Ordine] ha erroneamente inviato documentazione a soggetti non dovuti”.

2. L’attività istruttoria.

In riscontro a una richiesta d’informazioni dell’Autorità (v. nota prot. n. XX del XX), l’Ordine, con nota del XX (prot. n. XX), ha dichiarato, in particolare, che:

“in data XX […] viene inviata email da parte dell’Ordine […] ai professionisti interessati con richiesta di comunicazione del datore di lavoro […] ai sensi dell’art. 4 comma 5, del Dl. 1° aprile 2021 n. 44 […]. In tale comunicazione è stata eseguita una semplice richiesta senza inserire alcun dato personale. In questa email sono stati riportati indirizzi di posta elettronica di alcuni professionisti interessati all’adempimento di comunicazione al datore di lavoro dello stato vaccinale come richiesto dalla legge. Non si evince in alcuna parte della email inviata, richieste specifiche o indicazioni della mancata vaccinazione. Certamente sarebbe stato opportuno utilizzare l’applicazione del contatto nascosto, condizione che accidentalmente non si è verificata. Resta comunque evidente che nessun professionista era a conoscenza della motivazione e non vi era nessun allegato”;

“il numero dei professionisti ai quali è stata inviata email [è pari a] 40”;

si è trattato di “un puro errore materiale di invio email e non [sussiste, pertanto,] colpa grave. Va considerato che nelle condizioni di emergenza Covid, la gestione dei professionisti, alla luce delle continue modifiche normative, non era di semplice applicazione […]”.

Con nota del XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato all’Ordine, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni degli artt. 5, par. 1, lett. a), e 6 del Regolamento, nonché 2-ter del Codice, avendo posto in essere una comunicazione di dati personali a terzi in maniera non conforme al principio di “liceità, correttezza e trasparenza” e in assenza di una base giuridica.

Con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).

Con nota del XX (prot. n. XX), l��Ordine ha presentato una memoria difensiva, dichiarando, in particolare, che:

“la comunicazione non ha riguardato alcun dato sensibile degli iscritti, essendo una richiesta di indicazione del soggetto datore di lavoro […] né peraltro, dalla comunicazione si poteva evincere lo stato di avanzamento o attivazione della procedura inerente all’accertamento dell’inadempimento dell’obbligo vaccinale”;

“la comunicazione via mail in modalità “palese” è stato frutto di un mero errore materiale […]”;

“la circostanza che da quella comunicazione si potesse desumere e conoscere “lo stato vaccinale” dei soggetti in indirizzo, ad avviso dell’Ordine non sposta i termini della questione; come noto infatti, lo stesso esito del procedimento circa l’adempimento dell’obbligo vaccinale veniva annotato sulla piattaforma di iscrizione (il soggetto in questione, infatti, risultava sospeso dall’esercizio della professione). Pertanto, la conoscenza indiretta dei soggetti interessati ad eventuali procedimenti di accertamento, sarebbe stata comunque astrattamente possibile”;

In occasione dell’audizione, richiesta ai sensi dell’art. 166, comma 6, del Codice e tenutasi in data XX (v. verbale prot. n. XX del XX), l’Ordine ha dichiarato, in particolare, che:

“i dati oggetto di comunicazione sarebbero stati comunque annotati nell’albo e, pertanto, i destinatari della comunicazione non hanno appreso informazioni destinate a rimanere riservate”;

“l’Ordine ha agito in buona fede, al fine esclusivo di salvaguardare la salute pubblica, adempiendo agli obblighi previsti ai sensi della normativa emergenziale nell’ambito della pandemia da SARS-CoV-2”;

“in tale difficile contesto, l’Ordine ha dovuto adottare in tempi rapidi delle scelte molte complesse, in un quadro giuridico non sempre chiaro e in continua evoluzione, essendo, peraltro, l’Ente dotato di una limitata struttura organizzativa”.

3. Esito dell’attività istruttoria.

I soggetti pubblici possono trattare dati personali, anche relativi a categorie particolari di dati (cfr. art. 9, par. 1, del Regolamento), se il trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (artt. 6, par. 1, lett. c) ed e), del Regolamento; v. anche artt. 9, par. 2, lett. g), del Regolamento, nonché 2-ter e 2-sexies del Codice).

La normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del […] regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento). Al riguardo, si evidenzia che l’operazione di comunicazione a terzi di dati personali, da parte di soggetti pubblici, è ammessa solo alle condizioni previste dall’art. 2-ter del Codice.

Il titolare del trattamento è, in ogni caso, tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c), del Regolamento).

Con riguardo ai trattamenti di dati personali relativi alla vaccinazione anti SARS-CoV-2, il legislatore - con l’art. 4 del d.l. 1° aprile 2021, n. 44, convertito in legge 28 maggio 2021, n. 76, nel testo applicabile al tempo dei fatti oggetto di reclamo - aveva stabilito che la vaccinazione costituiva “requisito essenziale per l'esercizio della professione e per lo svolgimento delle prestazioni lavorative” per gli esercenti le professioni sanitarie e gli operatori di interesse sanitario espressamente indicati dalla legge.

L’art. 4, comma 6, prevedeva che “decorsi i termini per l'attestazione dell'adempimento dell'obbligo vaccinale […], l'azienda sanitaria locale competente accerta l'inosservanza dell'obbligo vaccinale e, previa acquisizione delle ulteriori eventuali informazioni presso le autorità competenti, ne dà immediata comunicazione scritta all'interessato, al datore di lavoro e all'Ordine professionale di appartenenza. L'adozione dell'atto di accertamento da parte dell'azienda sanitaria locale determina la sospensione dal diritto di svolgere prestazioni o mansioni che implicano contatti interpersonali o comportano, in qualsiasi altra forma, il rischio di diffusione del contagio da SARS-CoV-2”. 

Il successivo comma 7 specificava che “la sospensione di cui al comma 6 è comunicata immediatamente all'interessato dall'Ordine professionale di appartenenza”.

In tale quadro, a seguito di interlocuzioni tra l’Autorità, le Federazioni nazionali degli Ordini delle professioni sanitarie e il Ministero della Salute, quest’ultimo aveva indirizzato alle Federazioni nazionali la nota interpretativa del XX (prot. n. XX), con oggetto “Art. 4 del decreto legge 01 aprile 2021, n. 44 convertito con modificazioni dalla legge 28 maggio 2021, n. 76. Adempimenti da parte degli Ordini”, riprendendo e integrando le precedenti indicazioni fornite con nota del XX (prot. n. XX).

In particolare, nella predetta nota interpretativa del XX, si precisava che l’art. 4, sopra citato, era “nell’intenzione del legislatore, un requisito imprescindibile perché i medesimi siano considerati idonei a svolgere la propria attività professionale, nonché condizione legittimante per l’esercizio della stessa, in qualunque forma giuridica”. Ciò con la conseguenza che “l’attività dell’Ordine prevista dal […] comma 7, consiste in un mero onere informativo, ossia nella comunicazione all’interessato […] senza alcuna valutazione di merito, della sospensione derivante ex lege dall’atto di accertamento dell’ASL, riportando l’annotazione relativa nell’albo, nel rispetto delle norme sulla tutela della riservatezza dei dati personali”. Pertanto, dall’inosservanza di tale requisito professionale “non può che discendere per il sanitario […] la sospensione ex lege dall’esercizio dell’attività professionale sanitaria tout court”.

Il quadro normativo sopra richiamato era stato successivamente riformato dal legislatore (v. d.l. 26 novembre 2021, n. 172), introducendo un diverso procedimento di verifica del requisito vaccinale da parte degli Ordini professionali per il tramite delle rispettive Federazioni nazionali.

In particolare, il novellato art. 4, comma 4, del d.l. 44/2021 prevedeva che “decorsi i termini di cui al comma 3, qualora l'Ordine professionale accerti il mancato adempimento dell'obbligo vaccinale, anche con riguardo alla dose di richiamo, ne dà comunicazione alle Federazioni nazionali competenti e, per il personale che abbia un rapporto di lavoro dipendente, anche al datore di lavoro”.

Nel premettere che, a seguito dell’emanazione del d.l. 31 ottobre 2022, n. 162 e a partire dal 1° novembre 2022, il requisito vaccinale non è più previsto per gli esercenti le professioni sanitarie e gli operatori di interesse sanitario, si evidenzia quanto segue.

In vigenza del quadro normativo sopra richiamato, i vari soggetti coinvolti (datori di lavoro, regioni, aziende sanitarie, ordini professionali), nell’effettuare i trattamenti in questione (che trovano la propria base giuridica nella predetta disposizione normativa) erano tenuti ad assicurare il rispetto dei principi di protezione dei dati (art. 5 del Regolamento), nonché a trattare i dati mediante il personale autorizzato e debitamente istruito in merito all’accesso ai dati (artt. 4, n. 10, 29, 32, par. 4, del Regolamento), tenuto, altresì, conto della particolare delicatezza degli stessi (art. 9, parr. 2 e 4, nonché art. 4, n. 15, e cons. 35 del Regolamento).

Nel sistema del Regolamento e del Codice tali norme di settore costituivano la base giuridica per le operazioni di trattamento necessarie alle verifiche della sussistenza (o meno) del requisito professionale, perimetrando, in modo uniforme a livello nazionale, l’ambito del trattamento consentito a ciascuno dei soggetti istituzionali coinvolti nel processo di verifica (v. i numerosi provvedimenti del Garante nel periodo emergenziale e, in particolare, i pareri resi sulle disposizioni di attuazione del predetto quadro, con specifico riguardo a quello reso con provv. 13 dicembre 2021, n. 430, doc. web n.  9727220, v. anche i provv.ti ivi richiamati). Come tradizionalmente affermato dal Garante, in particolare in un contesto lavorativo altrettanto delicato come quello del trasporto aereo di passeggeri, i trattamenti effettuati per finalità di accertamento dei requisiti per l’accesso e lo svolgimento di talune professioni previsti da specifiche disposizioni di legge devono essere svolti nel rigoroso rispetto dei limiti e delle condizioni previste da tale cornice di riferimento (v. provv. 27 aprile 2016, n. 194, doc. web n. 5149198).

Nel caso di specie, dall’istruttoria è emerso che l’Ordine, con nota del XX (prot. XX), ha comunicato al reclamante di aver accertato, con deliberazione n.XX del XX, il mancato possesso del requisito vaccinale anti SARS-CoV-2, con la conseguente sospensione dall’esercizio dell’attività professionale.

Risulta, altresì, accertato che, in data XX, l’Ordine ha inviato un’email al reclamante e ad altri quaranta professionisti, al fine di chiedere agli stessi di fornire gli estremi del proprio datore di lavoro.

Tale email è stata inviata dall’Ordine inserendo in chiaro gli indirizzi di posta elettronica di tutti i destinatari nel campo “A” (anziché nel campo copia nascosta “ccn”), così permettendo a ciascun destinatario di venire a conoscenza dell’indirizzo di posta elettronica personale di tutti gli altri destinatari.

L’invio del messaggio di posta elettronica in questione con le predette modalità - che, come confermato dall’Ordine, è stato effettuato in conseguenza di un mero errore materiale - ha determinato la messa a disposizione degli indirizzi di posta elettronica di ciascuno dei destinatari in favore degli altri, ossia soggetti che - anche tenuto conto della definizione di “terzo”, contenuta nell’art. 4, par. 1, n. 10, del Regolamento - non avevano titolo per conoscere i predetti recapiti.

La trasmissione del messaggio con le descritte modalità ha reso, altresì, vicendevolmente edotti tutti gli interessati, a cui è stata indirizzata la predetta e-mail, del mancato possesso del requisito vaccinale anti SARS-CoV-2. Infatti, sebbene l’email in questione contenesse unicamente una richiesta di comunicare gli estremi del datore di lavoro, senza espressi riferimenti alla motivazione sottesa a tale richiesta, risultava comunque evidente e agevolmente deducibile, da parte di tutti i destinatari, che la comunicazione in questione fosse stata inviata nel quadro della normativa di settore in materia di accertamento del requisito vaccinale, certamente già ben nota ai professionisti coinvolti nel periodo emergenziale, affinché l’Ordine potesse adempiere all’obbligo di notificare al datore di lavoro l’intervenuta sospensione dall’esercizio della professione, così come previsto dall’art. 4, comma 4, del d.l. 44/2021, nel testo al tempo vigente.

Non può, invece, accogliersi quanto eccepito dall’Ordine in merito alla circostanza che i professionisti sarebbero in ogni caso venuti a conoscenza della sospensione in conseguenza del mancato possesso del requisito vaccinale, per effetto dell’annotazione della stessa nell’albo online. Deve, infatti, evidenziarsi che l’art. 4, comma 4, del d.l. 1° aprile 2021, n. 44, come sostituito dall'art. 1, comma 1, lett. b), del d.l. 26 novembre 2021, n. 172, nell’introdurre il procedimento di verifica del requisito vaccinale da parte degli Ordini professionali per il tramite delle rispettive Federazioni nazionali, prevedeva che “l'atto di accertamento dell'inadempimento dell'obbligo vaccinale è adottato da parte dell'Ordine territoriale competente […] ha natura dichiarativa, non disciplinare, determina l'immediata sospensione dall'esercizio delle professioni sanitarie ed è annotato nel relativo Albo professionale”.

Al riguardo, l’Autorità, nel fornire il proprio parere in relazione allo schema di decreto del Presidente del Consiglio dei Ministri, da adottarsi ai sensi dell’art. 9, comma 10, del d.l. n. 52/2021, di concerto con il Ministro della salute, il Ministro per l’innovazione tecnologica e la transizione digitale e il Ministro dell’economia e delle finanze, per dare applicazione alle disposizioni di cui al decreto-legge 26 novembre 2021, n. 172 (provv. 13 dicembre 2021, n. 430, doc. web n. 9727220), aveva evidenziato che “al fine di evitare la diffusione, anche online, di informazioni particolarmente delicate relative al professionista iscritto all’Ordine, tale annotazione dovrebbe essere effettuata con la sola menzione dell’intervenuta sospensione, senza ulteriori specificazioni, dalle quali sia possibile risalire alla violazione dell’obbligo vaccinale (ad esempio, mediante riferimenti espliciti alla violazione di tale obbligo e/o richiami espressi all’art. 4 del d.l. n. 44/2021 o altre similari locuzioni, quali “sospensioni ex. L.76/21”, e/o alla natura temporanea – fino al XX – della sospensione)”. Recependo tale indicazione, l’art. 1, comma 1, lett. l), del d.P.C.M. 17 dicembre 2021 aveva introdotto l’art. 17-quinquies, comma 5, del d.P.C.M. 17 giugno 2021, ai sensi del quale “la sospensione dall'esercizio delle professioni sanitarie di cui all'art. 4, commi 4 e 5, del decreto-legge n. 44 del 2021, è annotata sull'albo dell'Ordine territoriale, nonché, ove esistente, nell'albo della Federazione nazionale, senza ulteriori specificazioni dalle quali sia possibile desumere il mancato rispetto dell'obbligo vaccinale da parte dell'esercente la professione sanitaria”. Conseguentemente, l’annotazione della sospensione dei professionisti nell’albo online non avrebbe comunque consentito di conoscere la ragione sottesa alla sospensione, ovvero il mancato possesso de requisito vaccinale.

Quanto accidentalmente verificatosi configura, pertanto, per i profili di protezione dei dati, una comunicazione di dati personali in assenza di uno specifico presupposto giuridico, non essendo la stessa richiesta dal richiamato quadro normativo di settore. Pur prendendo atto che l’invio dell’email in questione è stato effettuato con le predette modalità per un mero errore umano, la comunicazione dei dati personali del reclamante e degli altri interessati risulta perciò avvenuta in maniera non conforme al principio di “liceità, correttezza e trasparenza” e in assenza di una base giuridica, in violazione dell’art. 5, par. 1, lett. a), e 6 del Regolamento, nonché 2-ter del Codice.

In ogni caso, contrariamente a quanto prospettato dal reclamante, la corrispondenza in questione non ha comunque comportato la comunicazione di “dati relativi alla salute” (art. 4, par. 1, n. 15, del Regolamento), in quanto, sebbene tale definizione includa anche la prestazione di servizi sanitari, nel caso di specie, tenuto conto dello specifico quadro di contesto e normativo sopra richiamato, la mancata vaccinazione anti SARS-CoV-2 di per sé non poteva essere correlata a specifiche ragioni di esenzione o differimento, connesse a situazioni di morbilità, pregresse o attuali, temporanee o permanenti degli interessati (cfr. provv.ti 22 febbraio 2024, n. 110, in corso di pubblicazione; 17 maggio 2023, n. 194, doc. web n. 9910245; 24 novembre 2022, n. 385, doc. web n. 9839018). Diversamente, infatti, ove i professionisti avessero prodotto all’Ordine un’attestazione relativa all'omissione o al differimento della vaccinazione in caso di accertato pericolo per la salute, in relazione a specifiche condizioni cliniche documentate, attestate dal medico di medicina generale, la sospensione dei professionisti non sarebbe stata disposta, secondo quanto espressamente previsto dall’art. 4, commi 2 e 3, del citato d.l. 44/2021 (v. in particolare il comma 3, ai sensi del quale “qualora dalla Piattaforma nazionale-DGC non risulti l'effettuazione della vaccinazione anti SARSCoV-2, anche con riferimento alla dose di richiamo successiva al ciclo vaccinale primario, nelle modalità stabilite nella circolare di cui al comma 1, l'Ordine professionale territorialmente competente invita l'interessato a produrre, entro cinque giorni dalla ricezione della richiesta, la documentazione comprovante l'effettuazione della vaccinazione oppure l'attestazione relativa all'omissione o al differimento della stessa ai sensi del comma 2, ovvero la presentazione della richiesta di vaccinazione, da eseguirsi entro un termine non superiore a venti giorni dalla ricezione dell'invito, o comunque l'insussistenza dei presupposti per l'obbligo vaccinale di cui al comma 1”).

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Ordine, in quanto, ancorché per un mero errore umano, inviando la predetta email del XX, ha reso reciprocamene edotti i destinatari della stessa dei rispettivi indirizzi di posta elettronica e del mancato possesso del requisito vaccinale, ponendo in essere una comunicazione di dati personali in maniera non conforme al principio di liceità, correttezza e trasparenza, e in assenza di una base giuridica, in violazione degli artt. 5, par. 1, lett. a), e 6 del Regolamento, nonché 2-ter del Codice.

Tenuto conto che la violazione delle predette disposizioni ha avuto luogo in conseguenza di un’unica condotta, trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, tutte le violazioni sono soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Al riguardo si osserva che, sebbene la violazione abbia riguardato i dati personali di un numero considerevole d’interessati, ovvero quaranta professionisti (cfr. art. 83, par. 2, lett. a), del Regolamento), la condotta ha natura colposa, atteso che, come dichiarato dall’Ordine, l’email in questione è stata inviata con gli indirizzi dei destinatari in chiaro a causa di un mero errore umano (cfr. art. 83, par. 2, lett. b), del Regolamento). Pertanto, si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento sia basso (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60).

Ciò premesso, ai fini della quantificazione della sanzione, occorre prendere in considerazione le seguenti circostanze attenuanti:

l’Ordine ha offerto un buon livello di cooperazione con l’Autorità nel corso dell’istruttoria (cfr. art. 83, par. 2, lett. f), del Regolamento);

non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento, aventi la medesima natura di quelle accertate in relazione ai fatti di reclamo, o precedenti provvedimenti di cui all’art. 58 del Regolamento (cfr. art. 83, par. 2, lett. e) ed i), del Regolamento);

l’Ordine, che è un soggetto pubblico di modeste dimensioni, dotato di limitate risorse organizzative, ha operato nel contesto emergenziale dovuto alla pandemia da SARS-CoV-2, in cui lo stesso, come altre Amministrazioni, ha dovuto assumere decisioni complesse in temi rapidi, a fronte di un quadro normativo dell’emergenza particolarmente complesso e in continua evoluzione (peraltro, il requisito professionale della vaccinazione non è più richiesto per il personale sanitario a decorrere dal 1° novembre 2022, per effetto del d.l. 31 ottobre 2022, n. 162) (cfr. art. 83, par. 2, lett. k), del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 3.000 (tremila) per la violazione degli artt. 5, par. 1, lett. a), e 6 del Regolamento, nonché 2-ter del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Tenuto conto che la violazione ha riguardato, oltre al reclamante, un numero considerevole d’interessati, si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dall’Ordine per violazione degli artt. 5, par. 1, lett. a), e 6 del Regolamento, nonché 2-ter del Codice, nei termini di cui in motivazione;

ORDINA

all’Ordine dei Tecnici Sanitari di Radiologia Medica e delle Professioni Sanitarie Tecniche, della Riabilitazione e della Prevenzione della provincia di Mantova, in persona del legale rappresentante pro-tempore, con sede legale in Via Imre Nagy, 58 - 46100 Mantova (MN), C.F. 80029070200, di pagare la somma di euro 3.000 (tremila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al predetto Ordine, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 3.000 (tremila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

-la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice (v. art. 16 del Regolamento del Garante n. 1/2019);

-l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento (v. art. 17 del Regolamento del Garante n. 1/2019).

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 9 maggio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
10026235
Data
09/05/24

Argomenti

Ordini professionali Comunicazione a terzi Dati sanitari Operatori sanitari

Tipologie

Ordinanza ingiunzione o revoca