Rigetto ricorso contro ritardo accesso dati sanitari

Un cittadino ha impugnato una decisione del Garante Privacy, ritenendo troppo blanda la sanzione (un ammonimento) inflitta a un istituto sanitario per un ritardo nella fornitura dei suoi dati. Il Tribunale di Roma ha rigettato il ricorso, confermando che il ritardo, pur essendo una violazione, può essere classificato come ‘minore’ quando si tratta di un caso isolato, non vengono lamentati danni specifici e il titolare del trattamento coopera. La sentenza chiarisce l’importanza del principio di proporzionalità nell’applicazione delle sanzioni GDPR e la distinzione tra diritto di accesso dati GDPR e accesso ai documenti amministrativi.

A cura di Carmine Paul Alexander TEDESCO - Avvocato

Prenota un appuntamento

Per una consulenza legale o per valutare una possibile strategia difensiva prenota un appuntamento.

La consultazione può avvenire in studio a Milano, Pesaro, Benevento, oppure in videoconferenza.

PRENOTA

02.37901052

8:00 – 20:00
(Lun - Sab)

Pubblicato il 18 ottobre 2024 in Diritto Civile, Giurisprudenza Civile, Procedura Civile

Accesso Dati GDPR: Un Semplice Ritardo Giustifica una Sanzione Pesante?

Il diritto di accesso dati GDPR è uno strumento fondamentale per la tutela della privacy, ma cosa succede quando la risposta del titolare del trattamento arriva in ritardo? Una recente sentenza del Tribunale di Roma ha stabilito che non ogni ritardo merita una sanzione pecuniaria, confermando la proporzionalità di un ammonimento per una ‘violazione minore’. Questo caso offre spunti cruciali sulla differenza tra accesso ai dati e accesso ai documenti, e sui criteri per valutare la gravità di una violazione.

I Fatti: La Richiesta di Accesso Dati GDPR e la Risposta Tardiva

Un cittadino aveva presentato una richiesta di accesso ai propri dati sanitari a un istituto di sanità pubblico. A causa di una risposta tardiva, si era rivolto al Garante per la Protezione dei Dati Personali, il quale aveva sanzionato l’istituto con un ammonimento. Ritenendo la sanzione troppo lieve, il cittadino ha impugnato il provvedimento del Garante davanti al Tribunale, chiedendo una sanzione più severa.

L’istituto sanitario e il Garante si sono difesi sostenendo la correttezza della decisione. In particolare, il Garante ha evidenziato che l’illecito era stato valutato correttamente, considerando che non erano state lamentate conseguenze dannose specifiche a causa del ritardo e che non risultavano precedenti violazioni da parte dell’istituto.

La Posizione del Tribunale: Differenza tra Accesso Dati GDPR e Accesso agli Atti

Il Tribunale ha rigettato il ricorso, fornendo importanti chiarimenti. In primo luogo, ha ribadito la netta distinzione tra il diritto di accesso dati GDPR (Art. 15) e il diritto di accesso ai documenti amministrativi (L. 241/1990).

Il GDPR garantisce il diritto di ricevere una ‘copia dei dati personali oggetto di trattamento’, non necessariamente una copia dei documenti fisici che li contengono. Lo scopo è rendere l’interessato consapevole dei trattamenti che lo riguardano e permettergli di verificarne la liceità. L’accesso agli atti amministrativi, invece, ha finalità diverse e segue regole proprie.

Le motivazioni della decisione

Il cuore della sentenza risiede nelle motivazioni che hanno portato il Tribunale a confermare la decisione del Garante. La violazione commessa dall’istituto sanitario – non aver risposto tempestivamente alla richiesta di accesso e non aver informato l’interessato dei suoi diritti – è stata qualificata come ‘violazione minore’.

Questa valutazione si basa su diversi fattori, in linea con l’art. 83 del GDPR e le linee guida europee:

1. Natura isolata dell’incidente: Non risultavano precedenti violazioni da parte del titolare del trattamento.
2. Assenza di danno lamentato: Il ricorrente non ha allegato né provato di aver subito danni specifici a causa della ‘omessa tempestività dell’accesso’.
3. Cooperazione del titolare: L’istituto sanitario ha dimostrato di cooperare con l’Autorità Garante durante l’istruttoria, fornendo tutte le informazioni richieste.
4. Effetti esauriti: La condotta contestata si è conclusa con la consegna di tutta la documentazione sanitaria al ricorrente.

Il Tribunale ha concluso che, alla luce di queste circostanze, un ammonimento rappresentava una sanzione congrua, proporzionata ed efficace, in grado di sanzionare la condotta senza risultare eccessivamente punitiva.

Le conclusioni

Questa sentenza riafferma un principio fondamentale del GDPR: la proporzionalità. Non tutte le violazioni sono uguali e le sanzioni devono essere calibrate sulla base della gravità concreta della condotta. Un ritardo nell’evadere una richiesta di accesso dati GDPR, sebbene costituisca un illecito, può essere considerato una ‘violazione minore’ se non accompagnato da fattori aggravanti come la sistematicità, l’intenzionalità o un danno effettivo per l’interessato. Per le aziende e le pubbliche amministrazioni, ciò sottolinea l’importanza non solo di rispondere alle richieste, ma anche di cooperare pienamente con le autorità in caso di indagine, poiché tale comportamento può mitigare significativamente le conseguenze di una violazione.

Un ritardo nella risposta a una richiesta di accesso ai dati personali (ex art. 15 GDPR) costituisce sempre una violazione grave?
No. Secondo la sentenza, un ritardo può essere qualificato come ‘violazione minore’ se si tratta di un caso isolato, se l’interessato non lamenta danni specifici derivanti dal ritardo e se il titolare del trattamento coopera con l’Autorità di controllo. In tali casi, una sanzione non pecuniaria come l’ammonimento può essere ritenuta proporzionata.

Qual è la differenza tra il diritto di accesso ai dati personali secondo il GDPR e il diritto di accesso ai documenti amministrativi?
Il diritto di accesso sancito dall’art. 15 del GDPR mira a rendere l’interessato consapevole dei trattamenti che lo riguardano e a verificarne la liceità, garantendo il diritto a una ‘copia dei dati personali’. Non implica necessariamente il diritto a ottenere una copia dei documenti che li contengono. Il diritto di accesso ai documenti amministrativi (L. 241/1990) risponde a diverse finalità di trasparenza amministrativa e segue regole differenti.

Quali fattori vengono considerati per qualificare una violazione del GDPR come ‘minore’ e sanzionarla con un semplice ammonimento?
I fattori considerati includono: il carattere isolato della violazione (assenza di precedenti), l’assenza di un danno specifico lamentato dall’interessato, la piena cooperazione del titolare del trattamento con l’Autorità Garante e il fatto che gli effetti della violazione si siano esauriti (ad esempio, con la successiva fornitura completa dei dati).

Testo del provvedimento

SENTENZA TRIBUNALE DI ROMA N. 14889 2024 – N. R.G. 00032965 2023 DEL 01 10 2024 PUBBLICATA IL 01 10 2024

REPUBBLICA ITALIANA

IN NOME DEL POPOLO ITALIANO TRIBUNALE ORDINARIO DI ROMA

SEZIONE DIRITTI DELLA PERSONA E IMMIGRAZIONE CIVILE

Il Tribunale, nella persona del AVV_NOTAIO ha pronunciata, all’ esito della camera di consiglio dell’1.10.2024 la seguente

SENTENZA

nella causa civile di I Grado iscritta al n. NUMERO_DOCUMENTO. NUMERO_DOCUMENTO promossa da:

Sul ricorso iscritto al n. 32965/2023 del Ruolo Generale e proposto

, elettivamente domiciliato in Roma, alla INDIRIZZO, presso lo studio dell’AVV_NOTAIO, che lo rappresenta e difende; Parte_1

-Attore-

Nei confronti di

, con il patrocinio dell’AVV_NOTAIO, elettivamente domiciliato in C/O AVV_NOTAIO, in INDIRIZZO INDIRIZZO; Controparte_1

–

Convenuto-

Controparte_2

con il patrocinio dell’Avvocatura

Generale dello Stato- Roma, elettivamente domiciliato in Roma, alla INDIRIZZO; -Convenuto-

Concisa esposizione delle ragioni di fatto e di diritto della decisione

Con riscorso proposto ai sensi dell’art. 78 del Regolamento UE n. 679 del 2016, impugna il provvedimento n. 179 del 13 aprile 2023 del RAGIONE_SOCIALE per la RAGIONE_SOCIALE dei dati personali, il quale ‘ai sensi dell’art. 58, par.2, lett.b del Regolamento ammonisce l’ San Gallicano- IFO Parte_1 CP_1

quale titolare del trattamento per aver violato l’art. 12 del Regolamento ‘. L’odierno attore lamenta l’erroneità del provvedimento in quanto ha applicato la sanzione dell’ammonimento e chiede, pertanto, di rideterminare la sanzione amministrativa applicata.

Si costituisce in giudizio il convenuto, il quale in via preliminare eccepisce l’improcedibilità del ricorso per mancato rispetto del termine previsto dall’art. 10 del d.lgs. n. 150 del 2011 mentre, quanto al merito, sostiene di aver agito nel rispetto delle norme. Più precisamente, afferma di aver consegnato al ricorrente tutta la documentazione medica in suo possesso Controparte_3

e chiede, pertanto, il rigetto integrale dell’impugnativa. Si costituisce anche l’RAGIONE_SOCIALE dei dati personali, che sostiene di aver valutato correttamente l’illecito, non avendo l’odierno attore ‘ lamentato conseguenze di danno eventuale a causa della omessa tempestività dell’accesso ‘ né risultando precedenti violazioni commesse dal titolare del trattamento. Chiede, per tali motivi, il rigetto del ricorso perché inammissibile e infondato.

Il AVV_NOTAIO , con ordinanza del 19 febbraio2024 , dato atto che il ricorso è stato tempestivamente proposto, ha fissato udienza al 1 ottobre 2024 con termine per deposito di memorie conclusionali al 17 settembre 2024.

Il ricorso deve essere rigettato.

Il ricorrente, per quanto allega ai fini della legittimazione all’impugnazione del provvedimento dell’RAGIONE_SOCIALE RAGIONE_SOCIALE, agisce perché ‘ perché quest’unico fatto derivato al ricorrente è un fatto che è stato commesso da un RAGIONE_SOCIALE che ha una Banca dati e quindi, ( può ) ripercuotersi su altri interessati ‘ ( vedi pa. 4 del ricorso).

Come precisato dal RAGIONE_SOCIALE ‘ Con l’istituto dell’accesso ai dati personali, previsto dall’art. 15 del Regolamento, l’interessato ha diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano, nonché l’accesso ai dati personali e alle informazioni di cui ai paragrafi 1 (lettere da a) ad h)) e 2 del medesimo articolo 15: tale accesso ai dati si sostanzia nel ricevere ‘copia dei dati personali oggetto di trattamento’ (art. 15, par. 3, del Regolamento) e non, necessariamente, copia dei documenti nei quali tali dati sono riportati. l’RAGIONE_SOCIALE ha spesso, nel corso degli anni, ribadito la netta differenza tra il diritto di accesso ai dati personali e il diritto di accesso alla documentazione esercitato ai sensi della legge n. 241/1990 e della normativa di settore (legge n. 24/2017, art. 4; diritto di ‘accesso bancario’ di cui all’art. 119 del d.lgs. n. 385/1993, ecc.), evidenziando la diversa ratio tra i due istituti giuridici (cfr.: ‘Relazione 2019’ del RAGIONE_SOCIALE – par. 14.2, pag. 150). Infatti, il diritto di accesso sancito dall’art. 15 del Regolamento, mira a rendere consapevole l’interessato dei trattamenti dei dati che lo riguardano effettuati dal titolare del trattamento, nonché a rendere agevole la verifica della
liceità degli stessi e, in considerazione di ciò, non può essere utilizzato in sostituzione di differenti strumenti e istituti riconosciuti da altre normative di settore eventualmente applicabili in concreto. Nello stesso senso si è espresso l’RAGIONE_SOCIALE con le Linee-guida ‘Guidelines 01/2022 on data subject rights – Right of access’: ‘(…) il GDPR contiene espressamente l’obbligo di fornire all’interessato una copia dei dati personali oggetto di trattamento. Ciò, tuttavia, non significa che l’interessato abbia sempre il diritto di ottenere una copia dei documenti contenenti i dati personali, ma una copia inalterata dei dati personali oggetto di trattamento in tali documenti (…) purché la compilazione consenta all’interessato di conoscere e verificare la liceità del trattamento’ (par. 150) e, ancora ‘(…) è importante ricordare che esiste una distinzione tra il diritto di ottenere l’accesso ai sensi dell’articolo 15 del GDPR e il diritto di ricevere una copia degli atti amministrativi disciplinati dal diritto nazionale, essendo quest’ultimo un diritto a ricevere sempre una copia del documento effettivo.(…)'(par. 152-Traduzione non ufficiale). L’ , nel riscontro fornito al reclamante a seguito dell’invito ad aderire dell’RAGIONE_SOCIALE, ha esplicitato le finalità del trattamento, le categorie di dati trattate in relazione alle prestazioni effettuate e alle relazioni mediche rilasciate, i destinatari di eventuali comunicazioni di dati, fornito informazioni in relazione alle previsioni di cui alle lett. e), f), g) e h) dell’art. 15 del Regolamento (cfr. la nota datata 24 ottobre 2022 (prot. n. NUMERO_DOCUMENTO) del titolare del trattamento); in particolare, circa i tempi di conservazione, ha dichiarato che ‘si precisa che le prestazioni effettuate (…) (dall’interessato) sono conservate all’interno di una ‘cartella ambulatoriale’ per un periodo di conservazione quinquennale, come da ‘prontuario di selezione degli archivi delle e delle ‘ adottato dagli IFO ‘ ( pag 5 provvedimento RAGIONE_SOCIALE ) CP_1 Controparte_4 Controparte_5
Premesso che non esiste la cartella clinica di essendosi questi avvalso solo di prestazioni ambulatoriali , come dedotto da Ifo ( .’non esiste la cartella clinica….. non prevista dal percorso di screening’ ) , perché ‘ le prestazioni effettuate nei confronti del paziente sono tutte riconducibili ad attività di screening in base ad un protocollo di prevenzione per le infezioni sessualmente trasmissibili, nato prima come progetto di ricerca epidemiologica (Progetto CORAGIONE_SOCIALERORAGIONE_SOCIALEH) e successivamente diventato un percorso accessibile da chiunque si rivolga agli ambulatori MST degli IFO ( Pag. 7 memoria di costituzione)’, il Tribunale dà atto che il RAGIONE_SOCIALE non ha riscontrato violazioni per quel che concerne la conservazione e l’ integrità dei dati ( come risulta da quanto specificamente riscontrato da Ifo ) , in assenza peraltro di un’ espressa allegazione sul punto da parte del ricorrente, che ‘ suppone ‘ e genericamente lamenta esserci stata ( pag. 6 del ricorso). Parte_1
L’RAGIONE_SOCIALE RAGIONE_SOCIALE ha solo accertato che ‘ che l’ , titolare del trattamento, per quel che concerne i profili di rilevanza in materia di RAGIONE_SOCIALE dei dati personali, in relazione all’istanza di accesso ai dati avanzata dall’interessato, ai sensi dell’art. 15 del Regolamento, in data 23 dicembre 2020 (sollecitata in data 2 marzo e 2 novembre 2021), non ha fornito idoneo riscontro nei termini previsti Controparte_6

dall’art. 12, paragrafo 3, del Regolamento, né ha informato l’interessato dei motivi atti a giustificare tale inottemperanza e della possibilità di proporre reclamo a un’RAGIONE_SOCIALE di controllo e di proporre ricorso giurisdizionale (art. 12, paragrafo 4, del Regolamento). Il titolare, in relazione alle informazioni di cui all’articolo 15 del Regolamento, ha fornito riscontro a seguito dell’invito ad aderire dell’RAGIONE_SOCIALE, in data 25 ottobre 2022. Ciò, in violazione dell’art. 12, paragrafi 3 e 4, del Regolamento, in relazione all’art. 15 del Regolamento medesimo’ .
In particolare il RAGIONE_SOCIALE ha ritenuto che si è trattato di un caso isolato, né può essere valorizzato il fatto che a detta del ricorrente la violazione denunciata avrebbe coinvolto altri pazienti, visto l’RAGIONE_SOCIALE ha dato atto ‘ non risultano precedenti violazioni’ e che sulla base delle dichiarazioni rese dal titolare, l’ ‘interessato (…) non ha mai lamentato (…) conseguenze di danno eventuale a causa della omessa tempestività di accesso (…)’ (art. 83, par. 2, lett. a) del Regolamento).
Peraltro il ricorrente, pacificamente in possesso di tutta la documentazione sanitaria che lo riguarda, neppure allega il danno conseguente al ritardo nell’accesso ai dati ai sensi dell’art. 15 del Regolamento, da intendersi come ritardo nella consegna della copia dei dati personali oggetto del trattamento, che mira a rendere consapevole l’interessato dei trattamenti dei dati che lo riguardano effettuati dal titolare del trattamento, nonché a rendere agevole la verifica della liceità degli stessi e non consiste nel diritto di ottenere copia dei documenti nei quali tali dati sono riportati, che può essere esercitato ai sensi delle diverse normative di settore, come, invece, ripetutamente dedotto da nel ricorso e nella comparsa conclusionale: ‘ le cartelle richieste erano indispensabili perché egli trovandosi in cura presso altra struttura sanitaria, quei dati raccolti tra il 2009 e 2010, avrebbero potuto fornire un quadro ben chiaro e dettagliato della sua malattia, dell’eventuale suo decorso ( peggiorativo e/o migliorativo) e della necessità, fatti i raffronti tra la situazione esistente al tempo e quella attuale, di un eventuale intervento mirato alla sua risoluzione definitiva pag. 2 comparsa conclusionale) -Parte_1
L’RAGIONE_SOCIALE ha rilevato che il titolare dei dati ha dimostrato di cooperare (art. 83, par. 2, lett. e) e f) del Regolamento), perché ha fornito tutte le informazioni ai sensi dell’art. 15 del Regolamento, anche se in ritardo, ragione per la quale ha ricevuto la sanzione dell’ammonimento.

Le circostanze del caso concreto, dunque, inducono a qualificare la condotta della resistente come ‘violazione minore’, ai sensi del cons. 148 del Regolamento e delle ‘Linee guida riguardanti l’applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679’, adottate dal Gruppo di Lavoro, Art. 29, il 3 ottobre 2017 WP 253, e fatte proprie dal Comitato europeo per la RAGIONE_SOCIALE dei dati con l’ ‘Endorsement 1/2018 del 25 maggio 2018’, tenuto conto che neppure risulta riscontrato specificamente l’illecito trattamento dei dati sanitari.
In definitiva deve riconoscersi congrua e proporzionata la sanzione dell’ammonimento irrogata all’Ifo per il ritardo con il quale ha riscontrato l’istanza del ricorrente ai sensi dell’art. 15 del Regolamento, visto che la condotta contestata ha esaurito i suoi effetti, che non risultano precedenti violazioni denunciate in danno della struttura sanitaria del medesimo tenore e che comunque l’interessato non ha allegato specifici danni conseguenti al ritardo nel riscontro dell’accesso ai sensi dell’art. 15 del Regolamento , in disparte il fatto che questi ha ottenuto la consegna di tutta la documentazione sanitaria che lo riguardava.
Le spese seguono il criterio della soccombenza e vengono liquidate come da dispositivo ( valore indeterminabile complessità bassa onorario minimo fase di studio, introduttiva e decisoria 2906 euro, oltre accessori di legge).

P.Q.M.

Il Tribunale, definitivamente pronunciando, ogni altra istanza disattesa o assorbita, così dispone:

rigetta il ricorso;

condanna il ricorrente a rimborsare all’RAGIONE_SOCIALE RAGIONE_SOCIALE le spese di lite che liquida in 2906 euro, oltre accessori di legge;

condanna il ricorrente a rimborsare a le spese di lite che liquida

Controparte_1

in complessivi 2906 euro, oltre accessori di legge.

Così deciso in Roma, all’esti della camera di consiglio dell’ 1 ottobre 2024

Il AVV_NOTAIO AVV_NOTAIO COGNOME

La selezione delle sentenze e la raccolta delle massime di giurisprudenza è a cura di Carmine Paul Alexander TEDESCO, Avvocato a Milano, Pesaro e Benevento.

Desideri approfondire l'argomento ed avere una consulenza legale?

Prenota un appuntamento. La consultazione può avvenire in studio a Milano, Pesaro, Benevento, oppure in videoconferenza / conference call e si svolge in tre fasi.

Prima dell'appuntamento: analisi del caso prospettato. Si tratta della fase più delicata, perché dalla esatta comprensione del caso sottoposto dipendono il corretto inquadramento giuridico dello stesso, la ricerca del materiale e la soluzione finale.

Durante l’appuntamento: disponibilità all’ascolto e capacità a tenere distinti i dati essenziali del caso dalle componenti psicologiche ed emozionali.

Al termine dell’appuntamento: ti verranno forniti gli elementi di valutazione necessari e i suggerimenti opportuni al fine di porre in essere azioni consapevoli a seguito di un apprezzamento riflessivo di rischi e vantaggi. Il contenuto della prestazione di consulenza stragiudiziale comprende, difatti, il preciso dovere di informare compiutamente il cliente di ogni rischio di causa. A detto obbligo di informazione, si accompagnano specifici doveri di dissuasione e di sollecitazione.

Il costo della consulenza legale è di € 150,00.