Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

la guida

Gdpr e studi medici/odontoiatri: responsabilità e sanzioni

Un quadro delle responsabilità e sanzioni per studi medici e odontoiatrici dopo l’entrata in vigore del Gdpr e del D. Lgs. 101/2018 che adegua il Codice Privacy alla consolidata normativa europea

05 Dic 2018

Luigi Mischitelli

Privacy & Data Protection Specialist at IRCCS Casa Sollievo della Sofferenza


Con il Regolamento Europeo 2016/679 (GDPR), nonché con l’entrata in vigore del D. Lgs. 101/2018 che adegua il Codice Privacy alla consolidata normativa europea, gli studi medici e odontoiatrici si trovano a dover adempiere ad una serie di obblighi che, a vario titolo, provocano diversi mutamenti organizzativi ed economici al loro interno. Vediamo tutte le novità in fatto di responsabilità e sanzioni.

Responsabilità e sanzioni

Alle battute finali è doveroso esporre quelli che sono i “motori propulsivi” che spingono i professionisti, le aziende e gli enti ad adeguarsi alla normativa, ossia le sanzioni e le responsabilità in capo al Titolare del trattamento.

Il GDPR e il nuovo Codice Privacy introducono un apparato sanzionatorio “misto”, fino a tempi recenti monopolio del vecchio Codice Privacy. Nel nuovo assetto, il GDPR disciplina le sanzioni amministrative, mentre il nuovo Codice Privacy le sanzioni penali.

L’art. 83 GDPR si occupa di due casistiche diversamente sanzionabili, a seconda della gravità della violazione.

  • La prima casistica, che coincide con l’art. 83.4, riguarda le violazioni di minore gravità, sanzionabili sino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. In particolare riguardano la violazione degli obblighi del titolare ed il responsabile del trattamento (consenso minori in relazione ai servizi della società dell’informazione, trattamento che non richiede l’identificazione, privacy by design e by default[37], contitolari e responsabili del trattamento, Registri delle attività di trattamento, misure di sicurezza e Data Breach, Valutazione di Impatto e DPO, certificazione[38]), degli obblighi dell’organismo di certificazione e degli obblighi dell’organismo di controllo dei codici di condotta[39].
  • La seconda casistica, che coincide con l’art. 83.5, riguarda le violazioni di maggiore gravità, sanzionabili sino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. In particolare riguardano la violazione dei principi di base del trattamento, comprese le condizioni relative al consenso; la violazione dei diritti degli interessati; i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale; qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX (disposizioni relative a specifiche situazioni di trattamento); l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo (Garante Privacy). Bisogna sottolineare che il Garante Privacy è l’unica autorità che può irrogare le sanzioni – effettive, proporzionate e dissuasive – previste dal GDPR, valutando caso per caso le singole violazioni e il loro carattere doloso o colposo.

Il nuovo Codice Privacy – con la novella del D. Lgs. 101/2018 entrato in vigore il 19 Settembre 2018 – ha introdotto un ulteriore impianto sanzionatorio, che il GDPR riserva agli Stati UE in base all’art. 84.

In particolare il nuovo art. 166 Codice Privacy è l’unico superstite del Titolo III – Capo I, una volta disciplinante le violazioni amministrative del vecchio Codice Privacy. Il primo comma del nuovo art. 166 Codice Privacy prevede la sanzione fino a 10 milioni di euro o al 2% del fatturato dell’impresa in caso di violazioni delle disposizioni di cui agli articoli 2-quinquies, comma 2, relativo all’informativa da rendere con linguaggio semplificato rilasciata ai minori di quattordici anni in occasione dell’offerta diretta di servizi della società dell’informazione, 2-quinquiesdecies, sui trattamenti svolti per l’esecuzione di un compito di interesse pubblico che presentano rischi elevati, 92, comma 1, 93, comma 1, relativi alle cartelle cliniche e ai certificati di assistenza al parto, 123, comma 4, 128, 129, comma 2, e 132-ter, relativi ai trattamenti posti in essere dai fornitori di reti pubbliche di comunicazioni o di servizi di comunicazione elettronica accessibili al pubblico. Alla medesima sanzione amministrativa è inoltre soggetto colui che non effettua la valutazione di impatto di cui all’articolo 110, comma 1, primo periodo, ovvero non sottopone il programma di ricerca a consultazione preventiva del Garante a norma del terzo periodo del predetto comma, in relazione alle attività di ricerca medica, biomedica ed epidemiologica.

Il secondo comma dell’art. 166 prevede la sanzione fino a 20 milioni di euro o al 4% del fatturato dell’impresa in caso di violazioni delle disposizioni di cui agli articoli 2-ter, sui trattamenti svolti per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, 2-quinquies, comma 1, relativo alla raccolta del consenso prestato dai minori di quattordici anni in occasione dell’offerta diretta di servizi della società dell’informazione, 2-sexies, relativo al trattamento di particolari categorie di dati per motivi di interesse pubblico rilevante, 2-septies, comma 7, relativo alle procedure di accesso fisico e logico ai dati genetici, biometrici o relativi alla salute, 2-octies, riguardante i trattamenti di dati relativi a condanne penali e reati, 2-terdecies, commi 1, 2, 3 e 4, relativo ai diritti delle persone decedute, 52, commi 4 e 5, sulla diffusione di provvedimenti giudiziari contenenti dati personali, 75, 78, 79, 80, 82, 92, comma 2, 93, commi 2 e 3, in relazione al trattamento di dati sanitari, 96, sui dati personali degli studenti, 99, 100, commi 1, 2 e 4, 101, 105 commi 1, 2 e 4, 110-bis, commi 2 e 3, sui trattamenti a fini statistici e di ricerca scientifica, 111, 111-bis, 116, comma 1, per i trattamenti nell’ambito di lavoro, 120, comma 2, in relazione alle assicurazioni, 122, 123, commi 1, 2, 3 e 5, 124, 125, 126, 130, commi da 1 a 5, 131, 132, 132-bis, comma 2, 132-quater, tutte disposizioni relative ai servizi di comunicazione elettronica, 157, nonché delle misure di garanzia, delle regole deontologiche di cui rispettivamente agli articoli 2-septies e 2-quater.

Gli illeciti penali

Ma è indubbiamente il Titolo III – Capo II la parte più interessante del nuovo Codice Privacy, ossia quella che riguarda gli illeciti penali.

Art. 167  (Trattamento illecito dei dati) 

L’art. 167 dispone che:

  • salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, operando in violazione di quanto disposto dagli articoli 123 (dati relativi al traffico), 126 (dati relativi all’ubicazione) e 130 (comunicazione indesiderate) o dal provvedimento di cui all’articolo 129 (elenchi di contraenti) arreca nocumento all’interessato, è punito con la reclusione da sei mesi a un anno e sei mesi.
  • Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, procedendo al trattamento dei dati personali di cui agli articoli 9 (trattamento di categorie particolari di dati personali) e 10 (trattamento di dati personali relativi a condanne penali e reati) del Regolamento in violazione delle disposizioni di cui agli articoli 2-sexies (trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante) e 2-octies (principi relativi al trattamento di dati relativi a condanne penali e reati), o delle misure di garanzia di cui all’articolo 2-septies (misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute) ovvero operando in violazione delle misure adottate ai sensi dell’articolo 2- quinquiesdecies (trattamento che presenta rischi elevati per l’esecuzione di un compito di interesse pubblico) arreca nocumento all’interessato, è punito con la reclusione da uno a tre anni.
  • Salvo che il fatto costituisca più grave reato, la pena di cui al comma 2 si applica altresì a chiunque, al fine di trarre per sè o per altri profitto ovvero di arrecare danno all’interessato, procedendo al trasferimento dei dati personali verso un paese terzo o un’organizzazione internazionale al di fuori dei casi consentiti ai sensi degli articoli 45 (trasferimento sulla base di una decisione di adeguatezza), 46 (trasferimento soggetto a garanzie adeguate) o 49 (deroghe in specifiche situazioni) del Regolamento, arreca nocumento all’interessato.
  • 4. Il Pubblico ministero, quando ha notizia dei reati di cui ai commi 1, 2 e 3, ne informa senza ritardo il Garante.
  • Il Garante trasmette al pubblico ministero, con una relazione motivata, la documentazione raccolta nello svolgimento dell’attività di accertamento nel caso in cui emergano elementi che facciano presumere la esistenza di un reato. La trasmissione degli atti al pubblico ministero avviene al più tardi al termine dell’attività di accertamento delle violazioni delle disposizioni di cui al presente decreto.
  • Quando per lo stesso fatto è stata applicata a norma del presente codice o del Regolamento a carico dell’imputato o dell’ente una sanzione amministrativa pecuniaria dal Garante e questa è stata riscossa, la pena è diminuita.

Art. 167-bis (Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala)

L’art. 167-bis dispone che:

  • salvo che il fatto costituisca più grave reato, chiunque comunica o diffonde al fine di trarre profitto per sé o altri ovvero al fine di arrecare danno, un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala, in violazione degli articoli 2-ter (Base giuridica per il trattamento di dati personali effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri), 2-sexies (trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante) e 2-octies (principi relativi al trattamento di dati relativi a condanne penali e reati), è punito con la reclusione da uno a sei anni.
  • Salvo che il fatto costituisca più grave reato, chiunque, al fine trarne profitto per se’ o altri ovvero di arrecare danno, comunica o diffonde, senza consenso, un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala, e’ punito con la reclusione da uno a sei anni, quando il consenso dell’interessato è richiesto per le operazioni di comunicazione e di diffusione.
  • Per i reati di cui ai commi 1 e 2, si applicano i commi 4, 5 e 6 dell’articolo 167.

Art. 167-ter (Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala)

L’art. 167-ter dispone che:

  • salvo che il fatto costituisca più grave reato, chiunque, al fine trarne profitto per sé o altri ovvero di arrecare danno, acquisisce con mezzi fraudolenti un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala è punito con la reclusione da uno a quattro anni.
  • Per il reato di cui al comma 1 si applicano i commi 4, 5 e 6 dell’articolo 167.

Art. 168 (Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante)

L’art. 168 dispone che:

  • salvo che il fatto costituisca più grave reato, chiunque, in un procedimento o nel corso di accertamenti dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito con la reclusione da sei mesi a tre anni.
  • Fuori dei casi di cui al comma 1, è punito con la reclusione sino ad un anno chiunque intenzionalmente cagiona un’interruzione o turba la regolarità di un procedimento dinanzi al Garante o degli accertamenti dallo stesso svolti.

Art. 170 (Inosservanza dei provvedimenti del Garante)

L’art. 170 dispone che:

  • chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi degli articoli 58, paragrafo 2, lettera f) del Regolamento (imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento), dell’articolo 2-septies, comma 1 (In attuazione di quanto previsto dall’articolo 9, paragrafo 4, del regolamento, i dati genetici, biometrici e relativi alla salute, possono essere oggetto di trattamento in presenza di una delle condizioni di cui al paragrafo 2 del medesimo articolo ed in conformità alle misure di garanzia disposte dal Garante, nel rispetto di quanto previsto dal presente articolo), nonché i provvedimenti generali di cui all’articolo 21, comma 1, del decreto legislativo di attuazione dell’articolo 13 della legge 25 ottobre 2017, n. 163 è punito con la reclusione da tre mesi a due anni.

Art. 171 (Violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori)

Infine l’art. 171 dispone che:

  • la violazione delle disposizioni di cui agli articoli 4 (impianti audiovisivi), comma 1, e 8 (divieto di indagini sulle opinioni) della legge 20 maggio 1970, n. 300, è punita con le sanzioni di cui all’articolo 38 (disposizioni penali) della medesima legge.[40]

Violazione del GDPR e danno all’interessato

Infine, non si può sorvolare su un’altra possibile “grana” che potrebbe riguardare lo Studio medico e odontoiatrico: la responsabilità per danno causato all’interessato per violazione del GDPR.

Art. 82 GDPR

In base all’art. 82 GDPR:

  • chiunque subisca un danno materiale o immateriale causato da una violazione del GDPR ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.
  • Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.
  • Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile.
  • Qualora più titolari del trattamento o responsabili del trattamento oppure entrambi il titolare del trattamento e il responsabile del trattamento siano coinvolti nello stesso trattamento e siano, ai sensi dei paragrafi 2 e 3, responsabili dell’eventuale danno causato dal trattamento, ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato.
  • Qualora un titolare del trattamento o un responsabile del trattamento abbia pagato, conformemente al paragrafo 4, l’intero risarcimento del danno, tale titolare del trattamento o responsabile del trattamento ha il diritto di reclamare dagli altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno conformemente alle condizioni di cui al paragrafo 2.
  • Le azioni legali per l’esercizio del diritto di ottenere il risarcimento del danno sono promosse dinanzi alle autorità giurisdizionali competenti a norma del diritto dello Stato membro di cui all’articolo 79, paragrafo 2 (in Italia, il giudice ordinario).

Considerazioni conclusive

A conclusione di questo articolo, una raccomandazione: è necessario che lo Studio medico e odontoiatrico adotti un “cambio di rotta”, dal vecchio regime formale al nuovo regime sostanziale. La protezione dei dati personali è cambiata, e tutto gira attorno alla responsabilità del Titolare e al suo “dovere” di dar conto di ogni sua scelta.

Quindi, l’importante è fare presto e adeguarsi il prima possibile, anche per evitare di incorrere nelle sanzioni/risarcimenti di cui al punto precedente.

  1. Si veda: https://www.garanteprivacy.it/regolamentoue/approccio-basato-sul-rischio-e-misure-di-accountability-responsabilizzazione-di-titolari-e-responsabili
  2. Per approfondimenti (e sostituendo il refuso “entrato in vigore” con “applicabile”): https://www.accredia.it/2018/07/13/entrato-in-vigore-il-nuovo-gdpr-ecco-come-la-certificazione-tutela-la-privacy/
  3. Si veda: https://www.agendadigitale.eu/sanita/gdpr-e-codici-di-condotta-sui-dati-personali-in-sanita-che-succedera-nel-2018/
  4. Per approfondimenti si veda: https://www.agendadigitale.eu/sicurezza/privacy/gdpr-sanzioni-e-responsabilita-tutto-cio-che-ce-da-sapere/

@RIPRODUZIONE RISERVATA

Articolo 1 di 4