g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Calvanese Raffaello - 22 maggio 2018 [9027252]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9027252]

Ordinanza ingiunzione nei confronti di Calvanese Raffaello - 22 maggio 2018

Registro dei provvedimenti
n. 336 del 22 maggio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale; 

RILEVATO che l’Ufficio, con atto n. 19928/106966 del 6 luglio 2016 (notificato il 12 luglio 2016), che qui deve intendersi integralmente riportato, ha contestato a Calvanese Raffaello, nato a Salerno il XX (C.F. XX), residente in Roma, via XX, la violazione delle disposizioni di cui agli artt. 33, 34 e 162, comma 2-bis, del Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196, di seguito denominato “Codice”);

RILEVATO che dall’esame degli atti del procedimento sanzionatorio avviato con la contestazione di violazione amministrativa è emerso, in sintesi, quanto segue:

- con nota del 18 aprile 2016 la Procura della Repubblica presso il Tribunale di Roma ha informato l’Autorità dell’avvio di un procedimento penale nei confronti di 24 persone, fra i quali il dott. Calvanese il quale, sulla base del capo d’imputazione, nella sua qualità di medico di medicina generale del Servizio sanitario nazionale, “ometteva di adottare le misure minime dettate dall'art. 33 del [Codice] volte ad assicurare la protezione di dati personali e sensibili concernenti gli assistiti e, segnatamente, forniva a YY user id e password di accesso al sistema informatico denominato TS-progetto tessera sanitaria, così consentendo alla dott.ssa YY di accedere al sistema e rilasciare un certificato medico telematico nei confronti di ZZ con credenziali non proprie. In Roma il 29.12.2014”;
- conseguentemente, l’Ufficio ha avviato il procedimento sanzionatorio previsto per le violazioni in tema di misure minime di sicurezza;

RILEVATO che con il citato atto del 6 luglio 2016 è stata contestata al dott. Raffaello Calvanese0, ai sensi dell’art. 162, comma 2-bis, del Codice, la violazione dell’art. 33, per avere omesso di adottare le misure minime di sicurezza di cui ai successivi artt. 34 e 35 e nella regola n. 2 del disciplinare tecnico di cui all’allegato B) del Codice;

PRESO ATTO che per la predetta violazione è escluso il pagamento in misura ridotta;

LETTE le memorie difensive presentate il 5 agosto 2016 e il verbale dell’audizione del dott. Calvanese dell’11 aprile 2017, ove si osserva quanto segue:

- “il collega che ha visitato la Sig.ra ZZ, per redigere il certificato medico, ha dovuto necessariamente "aprire" il mio programma di gestione pazienti in modo da conoscere le informazioni anamnestiche utili ed indispensabili prima di prescrivere un farmaco o certificare una diagnosi; giova evidenziare, a tal fine, che il sistema operativo "Medico 2000", autorizzato ASL, al momento dell'inserimento del nome del paziente, fornisce automaticamente la scheda dello stesso con i dati del suo medico curante; tale applicazione pertanto, in automatico, senza dover inserire i dati identificativi del medico, prende l'anagrafico del paziente, cui va indicata successivamente, all'esito della visita, la diagnosi, per poi stampare il certificato in copia cartacea, da consegnare al paziente. Soltanto per tale ultima operazione, e cioè la stampa e l'invio alla ASL del certificato medico telematico, è necessaria la password personale del medico di fiducia. In tale circostanza, secondo l'Accusa, il professionista che mi ha sostituito, socio di studio, avrebbe trasmesso telematicamente il certificato medico all' INPS generato dal sistema gestionale "Medico 2000" con le mie credenziali, mentre avrebbe dovuto e potuto generarlo con le proprie o rilasciarlo in forma cartacea munito di timbro personale e firma propria. In ogni caso, giova precisare, non è stato commesso alcun errore sostanziale ed è stata garantita  l'assistenza medica ad una paziente, senza perciò incorrere in una violazione della sua privacy dato che il medico sostituto, per svolgere adeguatamente la sua attività nell'interesse del paziente, è obbligatoriamente tenuto ad avere conoscenza della scheda del paziente e che la forma associativa del nostro studio consente appunto al "sostituto" di accedervi quando visita e/o prescrive medicinali e/o rilascia certificazioni per il paziente di un altro medico”;

- “tengo ad evidenziare che, a differenza di quanto contestato, non ho consegnato le mie credenziali al mio sostituto; inoltre lavorando in una Unità di Cure Primarie (UCP) ero dotato come tutti gli altri medici di un computer collegato in una rete interna condivisa; in tale rete ciascuno poteva accedere con una propria password all'archivio degli altri medici della UCP. Il programma da me utilizzato era "Medico 2000 V5" che consentiva di consultare i dati degli assistiti dei colleghi. Non ero presente in quei giorni a Roma e probabilmente la mia password, che era conservata in un cassetto della scrivania in comune con il Dottor YY cui solo noi avevamo accesso, è stata utilizzata dallo stesso, a mia insaputa. Richiedo, pertanto, l'archiviazione del procedimento”;

- “è evidente che la omissione di misure minime prevista dall'art. 33 summenzionato, richiede che al fatto omissivo consegua un concreto pericolo di accesso non autorizzato o non consentito, violando in tal modo la privacy dell'interessato; come già evidenziato, non si comprende quale lesione al bene giuridico possa ravvisarsi, nel caso che ci occupa, in assenza di qualsivoglia violazione della privacy, sia personale, del mio profilo, sia della paziente ZZ, presente all'accesso da parte di altro medico dello studio, mio sostituto; per di più è chiaro che sussista una ipotesi di scriminante ai sensi dell'art. 50 C.p. essendovi il consenso dell'avente diritto, ovvero il mio e della paziente, e trattandosi, per di più, di diritti assolutamente disponibili; a fronte di quanto considerato è evidente come non mi si possa muovere alcun addebito in assenza di qualsivoglia elemento atto ad integrare la norma contestata e in evidente contrasto con il principio di offensività”;

RITENUTO che le argomentazioni addotte non risultano idonee a determinare l’archiviazione del procedimento sanzionatorio avviato con la contestazione di cui sopra per le ragioni di seguito esposte: 

a) risulta accertato, e ammesso dalla parte, che la dott.ssa YY, nel corso di un’attività di sostituzione del medico di medicina generale dott. Calvanese, sia acceduta al sistema informatico denominato TS – progetto tessera sanitaria, utilizzando le credenziali di autenticazione del predetto dott. Calvanese; 

b) risulta altresì accertato che l’accesso al sistema TS sia avvenuto utilizzando l’accesso all’applicativo gestionale di studio del dott. Calvanese, denominato Medico 2000;

c) in base alle dichiarazioni del dott. Calvanese, che appaiono contraddittorie sul punto, la dott.ssa YY sarebbe acceduta all’applicativo Medico 2000, non è chiaro se previo consenso del dott. Calvanese medesimo ovvero utilizzando le sue credenziali, reperite in cassetto condiviso fra i due medici; la dott.ssa YY  sarebbe quindi acceduta al sistema TS con le credenziali del dott. Calvanese, memorizzate nell’applicativo Medico 2000 e disponibili automaticamente per l’accesso al sistema TS;

d sulla base di quanto emerso, deve ritenersi che, con riferimento ai trattamenti di dati personali effettuati dalla dott.ssa YY con l’utilizzo dell’applicativo gestionale di studio del dott. Calvanese, quest’ultimo abbia assunto la veste giuridica del titolare ai sensi dell’art. 4, comma 1, lett. f), del Codice, al quale competono “le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza”;

e) deve pertanto ascriversi al dott. Calvanese la responsabilità in ordine alla condotta omissiva costituita dalla mancata adozione delle misure minime di sicurezza atte a impedire l’utilizzo delle proprie credenziali per l’accesso al sistema TS;

f) era pertanto il dott. Calvanese che avrebbe dovuto impedire la condivisione delle credenziali di accesso all’applicativo Medico 2000, custodendole in un luogo inaccessibile ad altre persone, evitando così che la dott.ssa YY potesse accedere al sistema TS con credenziali non proprie;

g) quanto all’osservazione in base alla quale, per configurarsi un illecito amministrativo in tema di adozione di misure minime di sicurezza nel trattamento dei dati personali, sia necessario provare la lesione, in concreto, del bene giuridico tutelato dalla norma, deve evidenziarsi, in primo luogo, che tale bene giuridico evidentemente risiede nella sicurezza dei sistemi e degli archivi contenenti dati personali, la quale, attraverso la condivisione di credenziali di autenticazione risulta irrimediabilmente vulnerata. Inoltre, deve richiamarsi il dettato dell’art. 162, comma 2-bis, del Codice, che stabilisce la punibilità delle violazioni in tema di misure minime di sicurezza “in ogni caso”;

h) deve pertanto confermarsi la responsabilità del dott. Calvanese in ordine alla violazione contestata;

RILEVATO, quindi, che il dott. Raffaello Calvanese, sulla base delle considerazioni sopra richiamate, risulta aver commesso la violazione prevista dall’art. 162, comma 2-bis, del Codice, per aver omesso di adottare le misure minime dettate dagli artt. 33 e 34 del Codice e dalla regola n. 2 del disciplinare tecnico di cui al relativo allegato B), consentendo alla dott.ssa YY di accedere al sistema informatico denominato TS-progetto tessera sanitaria con credenziali non proprie;

VISTO l’art. 162, comma 2-bis, del Codice, ove è previsto che “in caso di trattamento di dati personali effettuato in violazione delle misure indicate nell'articolo 33 […] è altresì applicata in sede amministrativa, in ogni caso, la sanzione amministrativa del pagamento di una somma da 10.000 euro a 120.000 euro”;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a) in ordine all’aspetto della gravità con riferimento agli elementi dell’entità del pregiudizio o del pericolo e dell’intensità dell’elemento psicologico, la violazione non risulta connotata da elementi specifici;

b) circa la personalità dell’autore della violazione, il dott. Calvanese non risulta gravato da precedenti procedimenti sanzionatori definiti in via breve o con ordinanza-ingiunzione;

c) in merito alle condizioni economiche dell’agente, è stata presa in considerazione la dichiarazione dei redditi per l’anno 2016; 

RITENUTO, quindi, di dover determinare, ai sensi dell’art. 11 della L. n. 689/1981, l’ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 10.000 (diecimila);

VISTA la documentazione in atti;

VISTA la legge n. 689/1981, e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

ORDINA

a Calvanese Raffaello, nato a Salerno il XX (C.F. XX), residente in Roma, via della Pineta di Ostia n. 3, di pagare la somma di euro 10.000 (diecimila) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione;

INGIUNGE

alla medesima persona di pagare la somma di euro 10.000 (diecimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689. 

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 22 maggio 2018

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia

Scheda

Doc-Web
9027252
Data
22/05/18

Argomenti


Tipologie

Ordinanza ingiunzione o revoca

Vedi anche (10)