g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di De Marchis Anna - 22 maggio 2018 [9027276]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9027276]

Ordinanza ingiunzione nei confronti di De Marchis Anna - 22 maggio 2018

Registro dei provvedimenti
n. 337 del 22 maggio  2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale; 

RILEVATO che l’Ufficio, con atto n. 19932/106966 del 6 luglio 2016 (notificato il 12 luglio 2016), che qui deve intendersi integralmente riportato, ha contestato a De Marchis Anna, nata a Nerola (RM) il XX (C.F. XX), residente in Roma, XX, la violazione delle disposizioni di cui agli artt. 33, 34 e 162, comma 2-bis, del Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196, di seguito denominato “Codice”);

RILEVATO che dall’esame degli atti del procedimento sanzionatorio avviato con la contestazione di violazione amministrativa è emerso, in sintesi, quanto segue:

- con nota del 18 aprile 2016 la Procura della Repubblica presso il Tribunale di Roma ha informato l’Autorità dell’avvio di un procedimento penale nei confronti di 24 persone, fra i quali la dott.ssa De Marchis la quale, sulla base del capo d’imputazione, nella sua qualità di medico di medicina generale del Servizio sanitario nazionale, “ometteva di adottare le misure minime dettate dall'art. 33 del [Codice] volte ad assicurare la protezione di dati personali e sensibili concernenti gli assistiti e, segnatamente, forniva a ZZ user id e password di accesso al sistema informatico denominato TS-progetto tessera sanitaria, così consentendo al dott. ZZ di accedere al sistema e rilasciare un certificato medico telematico nei confronti di YY con credenziali non proprie. In Roma il 30.12.2014”;

- conseguentemente, l’Ufficio ha avviato il procedimento sanzionatorio previsto per le violazioni in tema di misure minime di sicurezza;  

RILEVATO che con il citato atto del 6 luglio 2016 è stata contestata alla dott.ssa Anna De Marchis, ai sensi dell’art. 162, comma 2-bis, del Codice, la violazione dell’art. 33, per avere omesso di adottare le misure minime di sicurezza di cui ai successivi artt. 34 e 35 e nella regola n. 2 del disciplinare tecnico di cui all’allegato B) del Codice;

PRESO ATTO che per la predetta violazione è escluso il pagamento in misura ridotta; 

LETTE le memorie difensive presentate il 28 luglio 2016 e il verbale dell’audizione della dott.ssa De Marchis del 27 aprile 2017, ove si osserva quanto segue:

- “non fornivo al [dott. ZZ] le mie credenziali per l'invio telematico tramite Sistema Ts dei certificati di malattia dando per scontato che avesse le sue per l'eventuale emissione di certificati telematici ma, come detto ed al fine di consentire l'espletamento dell'attività di sostituzione, autorizzavo il medesimo ad accedere al Programma gestionale Medico 2000 ed, ovviamente, alla  stampa in copia cartacea del certificato che avrebbe dovuto essere poi,  munito di timbro e firma del medico presente, essere consegnato alla  Il dott. ZZ quindi, in data 30/12/14 e quale mio sostituto regolarmente comunicato alla ASL di riferimento durante la mia assenza, emetteva, dopo aver ricevuto e visitato la paziente YY e probabilmente per mera comodità, un certificato di malattia mediante il predetto programma Medico 2000, provvedendone poi alla trasmissione telematica all'INPS utilizzando il medesimo programma. Preciso che l'accesso da parte del mio sostituto al programma gestionale Medico 2000 si configura a mio avviso del tutto legittimo e conforme alla sua funzione atteso che, in caso dl visita e successiva valutazione In merito alle prescrizioni da fare, non può non conoscere lo stato della paziente circa i dati clinici della medesima, le prescrizioni farmaceutiche pregresse ovvero l'esistenza di eventuali esenzioni che invece è obbligato a considerare e segnalare nella prescrizione poiché, altrimenti, verrebbe meno la possibilità concreta per il sostituto di svolgere le mansioni professionali con competenza e completezza rispetto al ruolo del medico di famiglia che deve necessariamente conoscere lo stato pregresso e le condizioni generali di salute dei pazienti e garantire comunque in assenza del titolare la continuità assistenziale dei pazienti. Né, mi preme precisarlo, il mancato uso da parte del sostituto di credenziali di sua appartenenza può essere a me imputato atteso che non vi è stato, in  tal caso, alcun uso del Sistema TS né uso di credenziali user Id e password- nella mia titolarità per l'accesso al sistema informatico denominato TS- progetto Tessera sanitaria-, avendo invece il mio sostituto  provveduto evidentemente all'invio telematico del predetto certificato mediante il Programma Medico 2000. Sul punto, ritengo di dover essere chiara declinando qualsivoglia mia responsabilità nei fatti contestati. Aggiungo invece che il dott. ZZ, quale mio sostituto, non ha fatto altro che adempiere al suo ruolo visitando la paziente e prescrivendo, sulla base dell'acclarato stato della medesima, un certificato di malattia che avrebbe dovuto, forse, inviare telematicamente mediante sue credenziali utilizzando il Sistema Ts ed invece vi ha provveduto, probabilmente per maggior comodità e speditezza, mediante il sistema Medico 2000”;

RITENUTO che le argomentazioni addotte non risultano idonee a determinare l’archiviazione del procedimento sanzionatorio avviato con la contestazione di cui sopra per le ragioni di seguito esposte: 

a) risulta accertato, e ammesso dalla parte, che il dott. ZZ, nel corso di un’attività di sostituzione del medico di medicina generale dott.ssa De Marchis, sia acceduto al sistema informatico denominato TS – progetto tessera sanitaria, utilizzando le credenziali di autenticazione della predetta dott.ssa De Marchis;

b) risulta altresì accertato che l’accesso al sistema TS sia avvenuto utilizzando l’accesso all’applicativo gestionale di studio della dott.ssa De Marchis, denominato Medico 2000;

c) in base alle dichiarazioni della dott.ssa De Marchis, il dott. ZZ sarebbe stato autorizzato ad accedere all’applicativo Medico 2000; il dott. ZZ  sarebbe quindi acceduto al sistema TS con le credenziali della dott.ssa De Marchis, memorizzate nell’applicativo Medico 2000 e disponibili automaticamente per l’accesso al sistema TS;

d) sulla base di quanto emerso, deve ritenersi che, con riferimento ai trattamenti di dati personali effettuati dal dott. ZZ con l’utilizzo dell’applicativo gestionale di studio della dott.ssa De Marchis, quest’ultima abbia assunto la veste giuridica del titolare ai sensi dell’art. 4, comma 1, lett. f), del Codice, al quale competono “le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza”;

e) deve pertanto ascriversi alla dott.ssa De Marchis la responsabilità in ordine alla condotta omissiva costituita dalla mancata adozione delle misure minime di sicurezza atte a impedire l’utilizzo delle proprie credenziali per l’accesso al sistema TS;

f) era pertanto la dott.ssa De Marchis che avrebbe dovuto impedire che l’accesso all’applicativo Medico 2000, le cui funzionalità mediante le quali è possibile memorizzare le credenziali per l’accesso al sistema TS erano ben note alla dott.ssa De Marchis atteso il quotidiano uso del predetto applicativo, determinasse la automatica condivisione delle credenziali per l’accesso al sistema TS, provvedendo ad eliminarle dalla memoria della propria postazione di lavoro ovvero raccomandando al dott. ZZ, con disposizioni scritte, di provvedere all’accesso al sistema TS evitando di utilizzare per questa finalità l’applicativo Medico 2000;

g) deve pertanto confermarsi la responsabilità del dott.ssa De Marchis in ordine alla violazione contestata;

RILEVATO, quindi, che la dott.ssa Anna De Marchis, sulla base delle considerazioni sopra richiamate, risulta aver commesso la violazione prevista dall’art. 162, comma 2-bis, del Codice, per aver omesso di adottare le misure minime dettate dagli artt. 33 e 34 del Codice e dalla regola n. 2 del disciplinare tecnico di cui al relativo allegato B), consentendo al dott. ZZ di accedere al sistema informatico denominato TS-progetto tessera sanitaria con credenziali non proprie;

VISTO l’art. 162, comma 2-bis, del Codice, ove è previsto che “in caso di trattamento di dati personali effettuato in violazione delle misure indicate nell'articolo 33 […] è altresì applicata in sede amministrativa, in ogni caso, la sanzione amministrativa del pagamento di una somma da 10.000 euro a 120.000 euro”;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a) in ordine all’aspetto della gravità con riferimento agli elementi dell’entità del pregiudizio o del pericolo e dell’intensità dell’elemento psicologico, la violazione non risulta connotata da elementi specifici;

b) circa la personalità dell’autore della violazione, la dott.ssa De Marchis non risulta gravato da precedenti procedimenti sanzionatori definiti in via breve o con ordinanza-ingiunzione;

c) in merito alle condizioni economiche dell’agente, è stata presa in considerazione la dichiarazione dei redditi per l’anno 2016;

RITENUTO, quindi, di dover determinare, ai sensi dell’art. 11 della L. n. 689/1981, l’ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 10.000 (diecimila);

VISTA la documentazione in atti;

VISTA la legge n. 689/1981, e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

ORDINA

a De Marchis Anna, nata a Nerola (RM) il XX (C.F. XX), residente in Roma, XX, di pagare la somma di euro 10.000 (diecimila) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione;

INGIUNGE

alla medesima persona di pagare la somma di euro 10.000 (diecimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689. 

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero. 

Roma, 22 maggio 2018

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia

Scheda

Doc-Web
9027276
Data
22/05/18

Argomenti


Tipologie

Ordinanza ingiunzione o revoca

Vedi anche (10)