N. R.G. 32965/2023
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
TRIBUNALE ORDINARIO DI ROMA
SEZIONE DIRITTI
DELLA PERSONA E IMMIGRAZIONE CIVILE Il Tribunale, nella persona del Giudice Dott.ssa NOME COGNOME ha pronunciata, all’ esito della camera di consiglio dell’1.10.2024 la seguente
SENTENZA N._14889_2024_- N._R.G._00032965_2023 DEL_01_10_2024 PUBBLICATA_IL_01_10_2024
nella causa civile di I Grado iscritta al n. r.g. 32965/2023 promossa da:
Sul ricorso iscritto al n. 32965/2023 del Ruolo Generale e proposto , elettivamente domiciliato in Roma, alla INDIRIZZO, presso lo studio dell’avv. COGNOME NOMECOGNOME che lo rappresenta e difende;
Attore–
Nei confronti di , con il patrocinio dell’Avv. COGNOME NOME, elettivamente domiciliato in C/O Avv. NOME COGNOME, in TIVOLI alla INDIRIZZO
Convenuto- con il patrocinio dell’Avvocatura Generale dello Stato– Roma, elettivamente domiciliato in Roma, alla INDIRIZZO
Convenuto-
Concisa esposizione delle ragioni di fatto e di diritto della decisione
Con riscorso proposto ai sensi dell’art. 78 del Regolamento UE n. 679 del 2016, impugna il provvedimento n. 179 del 13 aprile 2023 del Garante per la protezione dei dati personali, il quale “ai sensi dell’art. 58, par.2, lett.b del Regolamento ammonisce l’ San RAGIONE_SOCIALE quale titolare del trattamento per aver violato l’art. 12 del Regolamento”.
L’odierno attore lamenta l’erroneità del provvedimento in quanto ha applicato la sanzione dell’ammonimento e chiede, pertanto, di rideterminare la sanzione amministrativa applicata.
Si costituisce in giudizio il convenuto, il quale in via preliminare eccepisce l’improcedibilità del ricorso per mancato rispetto del termine previsto dall’art. 10 del d.lgs. n. 150 del 2011 mentre, quanto al merito, sostiene di aver agito nel rispetto delle norme.
Più precisamente, afferma di aver consegnato al ricorrente tutta la documentazione medica in suo possesso chiede, pertanto, rigetto integrale dell’impugnativa.
Si costituisce anche l’Autorità Garante per la protezione dei dati personali, che sostiene di aver valutato correttamente l’illecito, non avendo l’odierno attore “lamentato conseguenze di danno eventuale a causa della omessa tempestività dell’accesso” né risultando precedenti violazioni commesse dal titolare del trattamento.
Chiede, per tali motivi, il rigetto del ricorso perché inammissibile infondato.
Il Giudice , con ordinanza del 19 febbraio2024 , dato atto che il ricorso è stato tempestivamente proposto, ha fissato udienza al 1 ottobre 2024 con termine per deposito di memorie conclusionali al 17 settembre 2024.
Il ricorso deve essere rigettato.
Il ricorrente, per quanto allega ai fini della legittimazione all’impugnazione del provvedimento dell’Autorità Garante, agisce perché “ perché quest’unico fatto derivato al ricorrente è un fatto che è stato commesso da un Istituto di Sanità che ha una Banca dati e quindi, ( può ) ripercuotersi su altri interessati “ ( vedi pa. 4 del ricorso).
Come precisato dal Garante “Con l’istituto dell’accesso ai dati personali, previsto dall’art. 15 del Regolamento, l’interessato ha diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano, nonché l’accesso ai dati personali e alle informazioni di cui ai paragrafi 1 (lettere da a) ad h)) e 2 del medesimo articolo 15:
tale accesso ai dati si sostanzia nel ricevere “copia dei dati personali oggetto di trattamento” (art. 15, par. 3, del Regolamento) e non, necessariamente, copia dei documenti nei quali tali dati sono riportati.
l’Autorità ha spesso, nel corso degli anni, ribadito la netta differenza tra il diritto di accesso ai dati personali e il diritto di accesso alla documentazione esercitato ai sensi della legge n. 241/1990 e della normativa di settore (legge n. 24/2017, art. 4; diritto di “accesso bancario” di cui all’art. 119 del d.lgs. n. 385/1993, ecc.), evidenziando la diversa ratio tra i due istituti giuridici (cfr.: “Relazione 2019” del Garante – par. 14.2, pag. 150).
Infatti, il diritto di accesso sancito dall’art. 15 del Regolamento, mira a rendere consapevole l’interessato dei trattamenti dei dati che lo riguardano effettuati dal titolare del trattamento, nonché a rendere agevole la verifica della liceità degli stessi e, in considerazione di ciò, non può essere utilizzato in sostituzione di differenti strumenti e istituti riconosciuti da altre normative di settore eventualmente applicabili in concreto.
Nello stesso senso si è espresso l’EDPB (European Data Protection Board) con le Linee-guida “Guidelines 01/2022 on data subject rights – Right of access”:
“(…) il GDPR contiene espressamente l’obbligo di fornire all’interessato una copia dei dati personali oggetto di trattamento.
Ciò, tuttavia, non significa che l’interessato abbia sempre il diritto di ottenere una copia dei documenti contenenti i dati personali, ma una copia inalterata dei dati personali oggetto di trattamento in tali documenti (…) purché la compilazione consenta all’interessato di conoscere e verificare la liceità del trattamento” (par. 150) e, ancora “(…) è importante ricordare che esiste una distinzione tra il diritto di ottenere l’accesso ai sensi dell’articolo 15 del GDPR e il diritto di ricevere una copia degli atti amministrativi disciplinati dal diritto nazionale, essendo quest’ultimo un diritto a ricevere sempre una copia del documento effettivo.(…)”(par. 152-Traduzione non ufficiale).
, nel riscontro fornito al reclamante a seguito dell’invito ad aderire dell’Autorità, ha esplicitato le finalità del trattamento, le categorie di dati trattate in relazione alle prestazioni effettuate e alle relazioni mediche rilasciate, i destinatari di eventuali comunicazioni di dati, fornito informazioni in relazione alle previsioni di cui alle lett. e), f), g) e h) dell’art. 15 del Regolamento (cfr. la nota datata 24 ottobre 2022 (prot. n. 14078) del titolare del trattamento);
in particolare, circa i tempi di conservazione, ha dichiarato che “si precisa che le prestazioni effettuate (…) (dall’interessato) sono conservate all’interno di una “cartella ambulatoriale” per un periodo di conservazione quinquennale, come da “prontuario di selezione degli archivi delle e delle ” adottato dagli IFO” ( pag 5 provvedimento Garante ) Premesso che non esiste la cartella clinica di essendosi questi avvalso solo di prestazioni ambulatoriali , come dedotto da Ifo ( .”non esiste la cartella clinica….. non prevista dal percorso di screening” ) , perché “ le prestazioni effettuate nei confronti del paziente sono tutte riconducibili ad attività di screening in base ad un protocollo di prevenzione per le infezioni sessualmente trasmissibili, nato prima come progetto di ricerca epidemiologica (Progetto CORAGIONE_SOCIALE) e successivamente diventato un percorso accessibile da chiunque si rivolga agli ambulatori MST degli IFO ( Pag. 7 memoria di costituzione)”, il Tribunale dà atto che il Garante non ha riscontrato violazioni per quel che concerne la conservazione e l’ integrità dei dati ( come risulta da quanto specificamente riscontrato da Ifo ) , in assenza peraltro di un’ espressa allegazione sul punto da parte del ricorrente, che “ suppone “ e genericamente lamenta esserci stata ( pag. 6 del ricorso).
L’Autorità Garante ha solo accertato che “che l’ , titolare del trattamento, per quel che concerne i profili di rilevanza in materia di protezione dei dati personali, in relazione all’istanza di accesso ai dati avanzata dall’interessato, ai sensi dell’art. 15 del Regolamento, in data 23 dicembre 2020 (sollecitata in data 2 marzo e 2 novembre 2021), non ha fornito idoneo riscontro nei termini previsti dall’art. 12, paragrafo 3, del Regolamento, né ha informato l’interessato dei motivi atti a giustificare tale inottemperanza e della possibilità di proporre reclamo a un’Autorità di controllo e di proporre ricorso giurisdizionale (art. 12, paragrafo 4, del Regolamento). Il titolare, in relazione alle informazioni di cui all’articolo 15 del Regolamento, ha fornito riscontro a seguito dell’invito ad aderire dell’Autorità, in data 25 ottobre 2022.
Ciò, in violazione dell’art. 12, paragrafi 3 e 4, del Regolamento, in relazione all’art. 15 del Regolamento medesimo”.
In particolare il Garante ha ritenuto che si è trattato di un caso isolato, né può essere valorizzato il fatto che a detta del ricorrente la violazione denunciata avrebbe coinvolto altri pazienti, visto l’Autorità ha dato atto “ non risultano precedenti violazioni” e che sulla base delle dichiarazioni rese dal titolare, l’ ”interessato (…) non ha mai lamentato (…) conseguenze di danno eventuale a causa della omessa tempestività di accesso (…)” (art. 83, par. 2, lett. a) del Regolamento).
Peraltro il ricorrente, pacificamente in possesso di tutta la documentazione sanitaria che lo riguarda, neppure allega il danno conseguente al ritardo nell’accesso ai dati ai sensi dell’art. 15 del Regolamento, da intendersi come ritardo nella consegna della copia dei dati personali oggetto del trattamento, che mira a rendere consapevole l’interessato dei trattamenti dei dati che lo riguardano effettuati dal titolare del trattamento, nonché a rendere agevole la verifica della liceità degli stessi e non consiste nel diritto di ottenere copia dei documenti nei quali tali dati sono riportati, che può essere esercitato ai sensi delle diverse normative di settore, come, invece, ripetutamente dedotto da nel ricorso e nella comparsa conclusionale: “ le cartelle richieste erano indispensabili perché egli trovandosi in cura presso altra struttura sanitaria, quei dati raccolti tra il 2009 e 2010, avrebbero potuto fornire un quadro ben chiaro e dettagliato della sua malattia, dell’eventuale suo decorso ( peggiorativo e/o migliorativo) e della necessità, fatti i raffronti tra la situazione esistente al tempo e quella attuale, di un eventuale intervento mirato alla sua risoluzione definitiva pag. 2 comparsa conclusionale) – L’Autorità ha rilevato che il titolare dei dati ha dimostrato di cooperare (art. 83, par. 2, lett. e) e f) del Regolamento), perché ha fornito tutte le informazioni ai sensi dell’art. 15 del Regolamento, anche se in ritardo, ragione per la quale ha ricevuto la sanzione dell’ammonimento.
Le circostanze del caso concreto, dunque, inducono a qualificare la condotta della resistente come “violazione minore”, ai sensi del cons. 148 del Regolamento e delle “Linee guida riguardanti l’applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal Gruppo di Lavoro, Art. 29, il 3 ottobre 2017 WP 253, e fatte proprie dal Comitato europeo per la protezione dei dati con l’ ”Endorsement 1/2018 del 25 maggio 2018”, tenuto conto che neppure risulta riscontrato specificamente l’illecito trattamento dei dati sanitari.
In definitiva deve riconoscersi congrua e proporzionata la sanzione dell’ammonimento irrogata all’Ifo per il ritardo con il quale ha riscontrato l’istanza del ricorrente ai sensi dell’art. 15 del Regolamento, visto che la condotta contestata ha esaurito i suoi effetti, che non risultano precedenti violazioni denunciate in danno della struttura sanitaria del medesimo tenore e che comunque l’interessato non ha allegato specifici danni conseguenti al ritardo nel riscontro dell’accesso ai sensi dell’art. 15 del Regolamento , in disparte il fatto che questi ha ottenuto la consegna di tutta la documentazione sanitaria che lo riguardava. Le spese seguono il criterio della soccombenza e vengono liquidate come da dispositivo ( valore indeterminabile complessità bassa onorario minimo fase di studio, introduttiva e decisoria 2906 euro, oltre accessori di legge).
Il Tribunale, definitivamente pronunciando, ogni altra istanza disattesa o assorbita, così dispone:
rigetta il ricorso;
condanna il ricorrente a rimborsare all’Autorità Garante le spese di lite che liquida in 2906 euro, oltre accessori di legge;
condanna il ricorrente a rimborsare a le spese di lite che liquida in complessivi 2906 euro, oltre accessori di legge.
Così deciso in Roma, all’esti della camera di consiglio dell’ 1 ottobre 2024 Il Giudice Dott.ssa NOME COGNOME
La selezione delle sentenze e la raccolta delle massime di giurisprudenza è a cura di
Carmine Paul Alexander TEDESCO, Avvocato a Milano, Pesaro e Benevento.
Desideri approfondire l'argomento ed avere una consulenza legale?
Prenota un appuntamento.
La consultazione può avvenire in studio a Milano, Pesaro, Benevento, oppure in videoconferenza / conference call e si svolge in tre fasi.
Prima dell'appuntamento: analisi del caso prospettato. Si tratta della fase più delicata, perché dalla esatta comprensione del caso sottoposto dipendono il corretto inquadramento giuridico dello stesso, la ricerca del materiale e la soluzione finale.
Durante l’appuntamento: disponibilità all’ascolto e capacità a tenere distinti i dati essenziali del caso dalle componenti psicologiche ed emozionali.
Al termine dell’appuntamento: ti verranno forniti gli elementi di valutazione necessari e i suggerimenti opportuni al fine di porre in essere azioni consapevoli a seguito di un apprezzamento riflessivo di rischi e vantaggi. Il contenuto della prestazione di consulenza stragiudiziale comprende, difatti, il preciso dovere di informare compiutamente il cliente di ogni rischio di causa. A detto obbligo di informazione, si accompagnano specifici doveri di dissuasione e di sollecitazione.