[doc. web n. 9025638]

Ordinanza ingiunzione nei confronti di Pace Marina - 3 maggio 2018

Registro dei provvedimenti
n. 262 del 3 maggio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale; 

RILEVATO che l’Ufficio, con atto n. 19886/106966 del 6 luglio 2016 (notificato il 12 luglio 2016), che qui deve intendersi integralmente riportato, ha contestato a Pace Marina, nata a Roma il XX (C.F. XX), residente in Roma, XX, la violazione delle disposizioni di cui agli artt. 33, 34 e 162, comma 2-bis, del Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196, di seguito denominato “Codice”);

RILEVATO che dall’esame degli atti del procedimento sanzionatorio avviato con la contestazione di violazione amministrativa è emerso, in sintesi, quanto segue:

- con nota del 18 aprile 2016 la Procura della Repubblica presso il Tribunale di Roma ha informato l’Autorità dell’avvio di un procedimento penale nei confronti di 24 persone, fra i quali la dott.ssa Pace la quale, sulla base del capo d’imputazione, nella sua qualità di medico di medicina generale del Servizio sanitario nazionale, “ometteva di adottare le misure minime dettate dall'art. 33 del [Codice] volte ad assicurare la protezione di dati personali e sensibili concernenti gli assistiti e, segnatamente, forniva a YY user id e password di accesso al sistema informatico denominato TS-progetto tessera sanitaria, così consentendo alla dott.ssa YY di accedere al sistema e rilasciare un certificato medico telematico nei confronti di ZZ con credenziali non proprie. In Roma il 31.12.2014”;

- conseguentemente, l’Ufficio ha avviato il procedimento sanzionatorio previsto per le violazioni in tema di misure minime di sicurezza;

RILEVATO che con il citato atto del 6 luglio 2016 è stata contestata alla dott.ssa Marina Pace, ai sensi dell’art. 162, comma 2-bis, del Codice, la violazione dell’art. 33, per avere omesso di adottare le misure minime di sicurezza di cui ai successivi artt. 34 e 35 e nella regola n. 2 del disciplinare tecnico di cui all’allegato B) del Codice; 

PRESO ATTO che per la predetta violazione è escluso il pagamento in misura ridotta; 

LETTO il verbale relativo all’audizione della dott.ssa Pace, in data 16 maggio 2017, nel quale si osserva quanto segue:

- “La dott.ssa Pace, che è medico di base, è andata in ferie, per quel che ricorda, il giorno 23 dicembre 2014. La dott.ssa assiste 1.300 pazienti circa. Di conseguenza, la stessa ha nominato un sostituto, comunicandolo alla Asl di competenza, nella persona della dott.ssa YY. Quest'ultima ha preso in carico l'assistenza di questi numerosissimi pazienti, che sono stati visitati durante il periodo di ferie della dott.ssa Pace. La dott.ssa Pace crede di essere rientrata in servizio il giorno 3 gennaio 2015. Naturalmente, al momento della sostituzione, ha delegato la dott.ssa YY a poter consultare l'archivio informatico al fine di poter provvedere alle visite ed alle prescrizioni necessarie, poiché nel suddetto archivio erano indicate le patologie, la storia del paziente, nonché le terapie svolte fino a quel momento. Tutto ciò era assolutamente necessario perché potesse svolgere compiutamente il suo mandato professionale. Sul computer della dott.ssa Pace è rimasta memorizzata la password che la collegava al sistema TS-Progetto tessera sanitaria e, solo per una negligenza, attribuibile esclusivamente alla dott.ssa YY, il certificato è stato inviato a nome della dott.ssa Pace. Nel momento in cui la dott.ssa Pace ha richiesto la sostituzione alla dott.ssa YY le è stato richiesto se anche lei fosse in possesso della sua password (necessaria per le certificazioni da inviare agli istituti di competenza (Inps e Sogei). Per tali ragioni la dott.ssa Pace si dichiara del tutto estranea a quanto contestato e non poteva essere differentemente, perché aveva dovuto concedere l’accesso al suo sistema informatico, come già detto, alla dott.ssa YY, per svolgere la sua attività”; 

RITENUTO che le argomentazioni addotte non risultano idonee a determinare l’archiviazione del procedimento sanzionatorio avviato con la contestazione di cui sopra per le ragioni di seguito esposte:

a) risulta accertato, e ammesso dalla parte, che la dott.ssa YY, nel corso di un’attività di sostituzione del medico di medicina generale dott.ssa Pace, sia acceduta al sistema informatico denominato TS – progetto tessera sanitaria, utilizzando le credenziali di autenticazione della predetta dott.ssa Pace; 

b) risulta altresì accertato che l’accesso al sistema TS sia avvenuto utilizzando la postazione di lavoro della dott.ssa Pace e l’accesso al database dei pazienti della dott.ssa Pace;

c) in base a quanto dichiarato dalla dott.ssa Pace, la dott.ssa YY sarebbe acceduta al postazione di lavoro nella quale erano rimaste memorizzate le credenziali di autenticazione della predetta dott.ssa Pace per accedere al sistema TS;

d) sulla base di quanto emerso, deve ritenersi che, con riferimento ai trattamenti di dati personali effettuati dalla dott.ssa YY con l’utilizzo della postazione di lavoro e dell’archivio pazienti della dott.ssa Pace, la predetta abbia assunto la veste giuridica del titolare ai sensi dell’art. 4, comma 1, lett. f), del Codice, al quale competono “le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza”;

e) era pertanto la dott.ssa Pace che avrebbe dovuto sincerarsi del corretto funzionamento della propria postazione di lavoro prima dell’utilizzo della stessa da parte della dott.ssa YY e che avrebbe dovuto cancellare le proprie credenziali di accesso ivi memorizzate al fine di evitare indebiti accessi al sistema TS;

f) deve pertanto ascriversi alla dott.ssa Pace la responsabilità in ordine alla condotta omissiva costituita dalla mancata adozione delle misure minime di sicurezza atte a impedire che la dott.ssa YY, utilizzando la postazione di lavoro della dott.ssa Pace, avesse la disponibilità delle credenziali di autenticazione ivi memorizzate (mediante le quali era possibile accedere al sistema TS);

g) deve pertanto confermarsi la responsabilità della dott. Pace in ordine alla violazione contestata;

RILEVATO, quindi, che la dott.ssa Marina Pace, sulla base delle considerazioni sopra richiamate, risulta aver commesso la violazione prevista dall’art. 162, comma 2-bis, del Codice, per aver omesso di adottare le misure minime dettate dagli artt. 33 e 34 del Codice e dalla regola n. 2 del disciplinare tecnico di cui al relativo allegato B), consentendo alla dott.ssa YY di accedere al sistema informatico denominato TS-progetto tessera sanitaria, con credenziali non proprie, utilizzando la postazione di lavoro della dott.ssa Marina Pace;

VISTO l’art. 162, comma 2-bis, del Codice, ove è previsto che “in caso di trattamento di dati personali effettuato in violazione delle misure indicate nell'articolo 33 […] è altresì applicata in sede amministrativa, in ogni caso, la sanzione amministrativa del pagamento di una somma da 10.000 euro a 120.000 euro”;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a) in ordine all’aspetto della gravità con riferimento agli elementi dell’entità del pregiudizio o del pericolo e dell’intensità dell’elemento psicologico, la violazione non risulta connotata da elementi specifici;

b) circa la personalità dell’autore della violazione, la dott.ssa Pace non risulta gravata da precedenti procedimenti sanzionatori definiti in via breve o con ordinanza-ingiunzione;

c) in merito alle condizioni economiche dell’agente, è stata presa in considerazione la dichiarazione dei redditi per l’anno 2016; 

RITENUTO, quindi, di dover determinare, ai sensi dell’art. 11 della L. n. 689/1981, l’ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 10.000 (diecimila);

VISTA la documentazione in atti;

VISTA la legge n. 689/1981, e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la prof.ssa Licia Califano;

ORDINA

a Pace Marina, nata a Roma il XX (C.F. XX), residente in Roma, XX, di pagare la somma di euro 10.000 (diecimila) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione;

INGIUNGE

alla medesima di pagare la somma di euro 10.000 (diecimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689. 

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero. 

Roma, 3 maggio 2018

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia