Garante per la protezione dei dati personali: Ordinanza ingiunzione – 14 febbraio 2019
Riferimenti normativi: art. 13, comma 4, art. 23, art. 26, art. 161 e art. 162, comma 2-bis, della vecchia versione del Codice della privacy (precedente alla modifica introdotta dal D.lgs. 101/2018)
Fatto
L’ordinanza ingiunzione del 14 febbraio 2019 del garante privacy, oggetto di commento, trae origine da una vicenda che aveva avuto lo scorso anno un risalto nazionale ed era stata, infatti, oggetto di pubblicazione in alcuni quotidiani nazionali. A seguito dell’esame di detti quotidiani e quindi della presa di conoscenza della vicenda, l’ufficio del garante per la protezione dei dati personali intraprendeva un procedimento volto alla verifica del comportamento posto in essere dall’autore della vicenda, al fine di verificare il rispetto o meno della normativa in materia di protezione dei dati personali.
In particolare, era emerso che un medico avesse utilizzato gli indirizzi di posta elettronica di persone che erano state pazienti della struttura sanitaria presso la quale detto medico aveva svolto la propria professione, per spedire a detti indirizzi una e-mail all’interno della quale il medico indicava anche il proprio appoggio ad un candidato per le imminenti elezioni politiche che si sarebbero svolte il 4 marzo 2018 (effettuando, quindi, in tal modo una attività di propaganda elettorale). In ragione del contenuto della e-mail, il Garante privacy riteneva opportuno verificare che l’attività posta in essere dal medico avesse rispettato il Provvedimento del 6 marzo 2014 che era stato adottato dallo stesso Garante con riferimento alla materia del trattamento di dati personali presso i partiti politici e di esonero dell’informativa per fini di propaganda elettorale.
A seguito dell’istruttoria svolta dall’ufficio del garante, emergeva che le e-mail inviate dal medico con finalità di propaganda elettorale erano state spedite a degli indirizzi di posta elettronica appartenenti a dei soggetti che egli aveva avuto come pazienti presso l’Istituto europeo di oncologia ove lavorava e che, nel momento in cui detto medico aveva interrotto il rapporto di lavoro con la struttura sanitaria, aveva acquisito gli indirizzi di posta elettronica dei propri pazienti. Tali indirizzi, come detto, erano stati utilizzati successivamente per inviare le e-mail aventi in parte contenuto propagandistico politico. Dall’istruttoria era emerso, altresì, che il medico non aveva fornito ai titolari di detti indirizzi e-mail l’informativa prevista dal codice privacy e non aveva altresì acquisito il consenso dei destinatari dell’e-mail all’invio delle stesse.
In considerazione di quanto era emerso dall’istruttoria, l’ufficio del garante privacy aveva contestato al medico che l’omissione dell’informativa e la mancata acquisizione del consenso degli interessati relativamente all’invio dell’e-mail di cui sopra avente contenuto di propaganda elettorale, comportassero, rispettivamente, la applicazione della vecchia disposizione del codice privacy (art. 161, in vigore fino alla sua abrogazione avvenuta con il decreto legislativo 101 del 2018) che sanzionava la violazione dell’obbligo di fornire all’interessato un’idonea informativa nonché della vecchia disposizione del codice privacy (art. 162, anche esso abrogato con l’entrata in vigore del decreto legislativo 101 del 2018) che sanzionava la violazione di disposizioni in materia di disciplina del trattamento dei dati personali.
A fronte delle contestazioni mosse dal garante, il medico si difendeva sostenendo che gli indirizzi e-mail acquisiti dalla struttura sanitaria, erano stati utilizzati dallo stesso con finalità informative relative alla propria attività lavorativa e in particolare per comunicare il termine del rapporto di lavoro con la struttura sanitaria e il suo trasferimento presso delle nuove strutture che si trovavano in regioni italiane diverse da quelle in cui aveva precedentemente lavorato. Il medico precisava altresì che il messaggio propagandistico politico, in particolare consistente nel sostegno ad un candidato per le elezioni politiche del 4 marzo 2018, era rinvenibile soltanto all’interno di una delle e-mail inviate. Infine, il medico si difendeva sostenendo che nelle e-mail inviate ai pazienti era contenuta l’informazione dovuta agli interessati e, in calce alle stesse, era altresì inserito un link attraverso il quale gli interessati avrebbero potuto opporsi alla ricezione delle medesime.
Volume consigliato
La decisione del Garante
Il Garante per la protezione dei dati personali, all’esito del procedimento, ha comunque ritenuto provate le violazioni che erano state contestate al medico e conseguentemente lo ha sanzionato, condannandolo al pagamento della sanzione pecuniaria amministrativa prevista dalla vecchia versione del codice privacy.
In particolare, il garante ha ritenuto che l’obbligo di fornire l’informativa all’interessato, impone al titolare del trattamento (in questo caso il medico) di fornire l’informativa, quando i dati non sono raccolti presso l’interessato, nel momento in cui vengono registrati i dati di quest’ultimo o, al più tardi, nel caso in cui sia prevista la comunicazione di detti dati, non oltre il momento in cui avviene la prima comunicazione. Dall’istruttoria svolta è emerso, invece, che il medico avesse prelevato gli indirizzi e-mail e i nominativi dei suoi pazienti direttamente dal database della struttura sanitaria nel momento in cui aveva interrotto il proprio rapporto di lavoro. Pertanto, i dati erano stati raccolti non presso l’interessato. Posto quanto sopra, il medico non aveva provato di aver fornito agli interessati l’informativa nel momento in cui aveva acquisito i dati di cui sopra. In secondo luogo, dall’istruttoria era appunto emerso che i dati personali acquisiti presso la struttura sanitaria erano stati utilizzati per finalità diverse da quelle per cui detti dati erano stati conferiti dagli interessati. Infatti, posto che i medesimi erano stati rilasciati dagli interessati per finalità di cura e posto altresì che era stato provato che le e-mail inviate dal medico non comunicavano ai pazienti soltanto il trasferimento lavorativo del medico, ma contenevano altresì un messaggio propagandistico a livello elettorale (esprimendo, in particolare, il medico il proprio sostegno ad un candidato alle elezioni politiche che si sarebbero svolte il 4 marzo 2018), la mancata acquisizione di uno specifico ed autonomo consenso degli interessati a ricevere comunicazioni aventi tale contenuto ha comportato la violazione da parte del medico delle vecchie disposizioni in materia di consenso.
In considerazione di tutto quanto sopra, il Garante per la protezione dei dati personali ha, quindi, comminato al medico, in qualità di titolare del trattamento dei dati, la sanzione amministrativa prevista dalla vecchia versione del codice privacy per le due violazioni riscontrate, rispettivamente, del pagamento di una somma di euro 6.000 e del pagamento di una somma di euro 10.000 (per un totale di euro 16.000).
Scrivi un commento
Accedi per poter inserire un commento