[doc. web n. 9023208]

Ordinanza ingiunzione - 16 maggio 2018

Registro dei provvedimenti
n. 302 del 16 maggio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano, componente e del dott. Giuseppe Busia, segretario generale; 

RILEVATO che l’Ufficio, con atto n. 19914/106966 del 6 luglio 2016 (notificato il 12 luglio 2016), che qui deve intendersi integralmente riportato, ha contestato a XX, nata a XX il XX (C.F. XX), residente in XX, via XX, la violazione delle disposizioni di cui agli artt. 33, 34 e 162, comma 2-bis, del Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196, di seguito denominato “Codice”);

RILEVATO che dall’esame degli atti del procedimento sanzionatorio avviato con la contestazione di violazione amministrativa è emerso, in sintesi, quanto segue:

- con nota del 18 aprile 2016 la Procura della Repubblica presso il Tribunale di XX ha informato l’Autorità dell’avvio di un procedimento penale nei confronti di 24 persone, fra i quali la dott.ssa XX la quale, sulla base del capo d’imputazione, nella sua qualità di medico di medicina generale del Servizio sanitario nazionale, “ometteva di adottare le misure minime dettate dall'art. 33 del [Codice] volte ad assicurare la protezione di dati personali e sensibili concernenti gli assistiti e, segnatamente, forniva a YY user id e password di accesso al sistema informatico denominato TS-progetto tessera sanitaria, così consentendo al dott. YY di accedere al sistema e rilasciare un certificato medico telematico nei confronti di ZZ con credenziali non proprie. In XX il 30.12.2014”;

- conseguentemente, l’Ufficio ha avviato il procedimento sanzionatorio previsto per le violazioni in tema di misure minime di sicurezza;

RILEVATO che con il citato atto del 6 luglio 2016 è stata contestata alla dott.ssa XX, ai sensi dell’art. 162, comma 2-bis, del Codice, la violazione dell’art. 33, per avere omesso di adottare le misure minime di sicurezza di cui ai successivi artt. 34 e 35 e nella regola n. 2 del disciplinare tecnico di cui all’allegato B) del Codice; 

PRESO ATTO che per la predetta violazione è escluso il pagamento in misura ridotta;

LETTE le memorie difensive depositate nel corso dell’audizione della dott.ssa XX del 16 maggio 2017, ove si osserva quanto segue:

- “si evidenzia che, in base alle verifiche anche tecniche svolte dalla dott.ssa XX a seguito della vicenda in esame, è risultato che l’erroneo invio del contestato certificato medico a suo nome da parte del sostituto è risultato originato da un difetto della precedente versione del software gestionale [denominato Medico 2000] in uso al tempo della presunta violazione, che prevedeva a livello tecnico una peculiare modalità di configurazione delle funzionalità previste dal software medesimo per la compilazione dei certificati di malattia e la loro trasmissione all'INPS attraverso il sistema TS. Nella precedente versione, il software prevedeva, infatti, che al fine di porre in essere in modo agevole e snello l'attività amministrativa in esame, una volta avuto accesso a Medico 2000, era possibile per il medico effettuare la ricerca degli assistiti e, laddove necessario, attivare la funzione per la compilazione di un certificato di malattia da inoltrare all'INPS tramite il sistema TS. Nel caso di utilizzo di tale funzione il software proponeva automaticamente un modello di certificato precompilato con i dati del medico curante da completare con le ulteriori indicazioni inerenti lo stato di malattia. Successivamente, al fine procedere alla trasmissione telematica del certificato di malattia all'INPS, era comunque necessario procedere all'inserimento delle ulteriori specifiche credenziali assegnate al medico per l'uso del sistema TS, oggetto della contestazione in esame, che risultavano composte da un codice identificativo assegnato dall'Amministrazione competente, consistente nel codice fiscale dello stesso medico, nonché da una parola chiave riservata conosciuta dallo stesso medico. Il software, al fine di velocizzare l'attività ed evitare errori nell'inserimento delle credenziali (essendo disponibili un numero limitato di tentativi prima che l'utenza venisse bloccata) permetteva inoltre la memorizzazione delle credenziali di identificazione nel sistema TS, selezionando la specifica casella a ciò deputata”;

- “per la predetta impostazione predefinita del sistema, anche in caso di accesso al software da parte del medico sostituto, nel caso di avvio della procedura di compilazione di un certificato di malattia, l'intestazione del certificato medesimo e le credenziali di invio ai sistema TS, ove memorizzate, erano di default associate al medico curante e dovevano essere pertanto modificate, manualmente, dal medico sostituto che emetteva il certificato in sua assenza, attraverso l'inserimento dei suoi riferimenti e l'uso delle sue credenziali per l'uso del sistema TS”;

- “Si desume pertanto che l'erroneo invio da parte del medico sostituto del certificato medico a nome della dott.ssa XX sia stato causato non certo da una rivelazione da parte della dott.ssa XX delle sue credenziali di accesso al sistema TS ed in particolare della sua parola chiave (rimasta segreta), ma in ragione del peculiare funzionamento del software sopra descritto, il quale, all'epoca, proponeva di default al medico sostituto i certificati di malattia già precompilati con intestazione, in prima battuta, al medico curante e correlata proposizione delle credenziali di invio al sistema TS, ove memorizzate da quest'ultimo nell'ambito del proprio legittimo accesso al software gestionale (in forma comunque cifrata, per quanto riguarda la password)”;

RITENUTO che le argomentazioni addotte non risultano idonee a determinare l’archiviazione del procedimento sanzionatorio avviato con la contestazione di cui sopra per le ragioni di seguito esposte:

a) risulta accertato, e ammesso dalla parte, che il dott. YY, nel corso di un’attività di sostituzione del medico di medicina generale dott.ssa XX, sia acceduto al sistema informatico denominato TS – progetto tessera sanitaria, utilizzando le credenziali di autenticazione della predetta dott.ssa XX; 

b) risulta altresì accertato che l’accesso al sistema TS sia avvenuto utilizzando l’accesso al programma gestionale dell’archivio pazienti della dott.ssa XX, denominato Medico 2000;

c) sulla base delle dichiarazioni difensive, il dott. YY sarebbe acceduto al programma Medico 2000 utilizzando proprie credenziali, ma sarebbe poi acceduto al sistema TS con le credenziali della dott.ssa XX poiché il programma Medico 2000 manteneva in memoria tali credenziali al fine di un più rapido accesso al sistema;

d) sulla base di quanto emerso, deve ritenersi che, con riferimento ai trattamenti di dati personali effettuati dal dott. YY con l’utilizzo della postazione di lavoro e dell’archivio pazienti della dott.ssa XX, quest’ultima abbia assunto la veste giuridica del titolare ai sensi dell’art. 4, comma 1, lett. f), del Codice, al quale competono “le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza”;

e) era pertanto la dott.ssa XX che avrebbe dovuto sincerarsi del corretto funzionamento dell’applicativo Medico 2000 prima dell’utilizzo dello stesso da parte del dott. YY, specialmente in ragione del frequente utilizzo di tale applicativo dal quale deve ritenersi che la dott.ssa XX fosse pienamente a conoscenza della funzionalità di memorizzazione delle credenziali di autenticazione al sistema TS;

f) deve pertanto ascriversi alla dott.ssa XX la responsabilità in ordine alla condotta omissiva costituita dalla mancata adozione delle misure minime di sicurezza atte a impedire che il dott. YY potesse accedere al sistema TS utilizzando credenziali non  proprie;

g) con riferimento al funzionamento dell’applicativo Medico 2000 non può, inoltre, invocarsi l’esimente di cui all’art. 3 della legge n. 689/1981, che esclude la responsabilità dell’agente quando la violazione è commessa per errore non determinato da sua colpa. L’errore, infatti, può rilevare come causa di esclusione della responsabilità amministrativa solo quando esso risulti inevitabile, e a tal fine occorre un elemento positivo idoneo ad indurre un errore siffatto, non ovviabile dall'interessato con l'ordinaria diligenza (Cassazione civile, sez. I, 05/06/2001, n. 7603). Nel caso in argomento, non risulta che la dott.ssa XX si sia adoperata al fine di eliminare le proprie credenziali di accesso al sistema TS memorizzate nell’applicativo Medico 2000 ovvero al fine di dare idonee istruzioni al dott. YY per l’utilizzo delle credenziali a quest’ultimo assegnate; 

h) deve pertanto confermarsi la responsabilità della dott.ssa XX in ordine alla violazione contestata;

RILEVATO, quindi, che la dott.ssa XX, sulla base delle considerazioni sopra richiamate, risulta aver commesso la violazione prevista dall’art. 162, comma 2-bis, del Codice, per aver omesso di adottare le misure minime dettate dagli artt. 33 e 34 del Codice e dalla regola n. 2 del disciplinare tecnico di cui al relativo allegato B), consentendo al dott. YY di accedere al sistema informatico denominato TS-progetto tessera sanitaria, attraverso l’applicativo gestionale di studio Medico 2000, con credenziali non proprie;

VISTO l’art. 162, comma 2-bis, del Codice, ove è previsto che “in caso di trattamento di dati personali effettuato in violazione delle misure indicate nell'articolo 33 […] è altresì applicata in sede amministrativa, in ogni caso, la sanzione amministrativa del pagamento di una somma da 10.000 euro a 120.000 euro”;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a) in ordine all’aspetto della gravità con riferimento agli elementi dell’entità del pregiudizio o del pericolo e dell’intensità dell’elemento psicologico, la violazione non risulta connotata da elementi specifici;

b) circa la personalità dell’autore della violazione, la dott.ssa XX non risulta gravata da precedenti procedimenti sanzionatori definiti in via breve o con ordinanza-ingiunzione;

c) in merito alle condizioni economiche dell’agente, è stata presa in considerazione la dichiarazione dei redditi per l’anno 2016; 

RITENUTO, quindi, di dover determinare, ai sensi dell’art. 11 della L. n. 689/1981, l’ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 10.000 (diecimila);

VISTA la documentazione in atti;

VISTA la legge n. 689/1981, e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE il dott. Antonello Soro;

ORDINA

a XX, nata a XX il XX (C.F. XX), residente in XX, via XX, di pagare la somma di euro 10.000 (diecimila) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione;

INGIUNGE

alla medesima persona di pagare la somma di euro 10.000 (diecimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689. 

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero. 

Roma, 16 maggio 2018

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia