[doc. web n. 9037467]

Ordinanza ingiunzione nei confronti di Morelli Alessandra - 22 maggio 2018

Registro dei provvedimenti
n. 341 del 22 maggio 2018 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale; 

RILEVATO che l’Ufficio, con atto n. 19953/106966 del 6 luglio 2016 (notificato il 13 luglio 2016), che qui deve intendersi integralmente riportato, ha contestato a Morelli Alessandra, nata a Roma il XX (C.F. XX), residente in Roma, via XX, la violazione delle disposizioni di cui agli artt. 33, 34 e 162, comma 2-bis, del Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196, di seguito denominato “Codice”);

RILEVATO che dall’esame degli atti del procedimento sanzionatorio avviato con la contestazione di violazione amministrativa è emerso, in sintesi, quanto segue: 

- con nota del 18 aprile 2016 la Procura della Repubblica presso il Tribunale di Roma ha informato l’Autorità dell’avvio di un procedimento penale nei confronti di 24 persone, fra i quali la dott.ssa Morelli la quale, sulla base del capo d’imputazione, nella sua qualità di medico di medicina generale del Servizio sanitario nazionale, “ometteva di adottare le misure minime dettate dall'art. 33 del [Codice] volte ad assicurare la protezione di dati personali e sensibili concernenti gli assistiti e, segnatamente, forniva a KK user id e password di accesso al sistema informatico denominato TS-progetto tessera sanitaria, così consentendo alla dott.ssa KK di accedere al sistema e rilasciare un certificato medico telematico nei confronti di YY con credenziali non proprie. In Roma il 30.12.2014”;

- conseguentemente, l’Ufficio ha avviato il procedimento sanzionatorio previsto per le violazioni in tema di misure minime di sicurezza;

RILEVATO che con il citato atto del 6 luglio 2016 è stata contestata alla dott.ssa Alessandra Morelli, ai sensi dell’art. 162, comma 2-bis, del Codice, la violazione dell’art. 33, per avere omesso di adottare le misure minime di sicurezza di cui ai successivi artt. 34 e 35 e nella regola n. 2 del disciplinare tecnico di cui all’allegato B) del Codice; 

PRESO ATTO che per la predetta violazione è escluso il pagamento in misura ridotta; 

LETTE le memorie difensive presentate il 3 agosto 2016, il verbale dell’audizione della dott.ssa Morelli del 27 aprile 2017 e la memoria integrativa del 3 maggio 2017, ove si osserva quanto segue:

- “Il mio programma di gestione dei pazienti, si chiama FPF […] Il programma di gestione dei pazienti, che contiene tutte le informazioni anamnestiche indispensabili per una continuità terapeutica ed assistenziale anche per ì nostri sostituti, dà la possibilità, al suo interno, di accedere automaticamente tramite le nostre credenziali al sistema TS. (Tali credenziali sono comunque criptate). Ciò consente quando facciamo un certificato di malattia di caricare in automatico i dati anagrafici, indispensabili per i controlli INPS, dei pazienti. Mi preme sottolineare che il mio programma, come anche quello di altri colleghi, non prevede una password diversa per l'area dei certificati, ma, si accede direttamente a questa senza alcuna password […]. Quindi, per permettere ad un sostituto di lavorare sono costretta a dare le mie credenziali di avvio del programma, cosa che consente al sostituto stesso di accedere a tutte le informazioni anamnestiche dei pazienti per metterlo in condizioni di poter lavorare in modo adeguato. Mi preme sottolineare come, operando in tal modo, i certificati rimangono in memoria sulla parte anagrafica del programma di gestione pazienti, fatto estremamente utile e importante per la continuità terapeutica, poiché consente di conoscere la frequenza con cui il paziente si ammala e le diagnosi precedenti. Inoltre, nel caso servisse un certificato continuativo di malattia (cioè uno che estende il periodo di malattia) è importante poter accedere alla scheda che raccoglie tutti i certificati precedenti, cosa che purtroppo con il sistema TS non è possibile fare. Si ribadisce che la maggior parte dei programmi in uso non prevedono una password diversa per l'area dei certificati ma si accede direttamente a questa. Solo ad ottobre 2015 con l'avvio della "ricetta dematerializzata” i programmi hanno dato la possibilità ad un medico sostituto di creare o proprio profilo con sue credenziali di accesso al programma, mentre precedentemente alla suddetta data, il medico titolare era costretto ad aprire il programma per mettere in condizioni il medico sostituto di operare. Comunque, nonostante tale modifica, a tutt'oggi, o il medico sostituto dopo aver trasmesso il certificato telematico lo stampa, sulla stampa invece del suo nome appare comunque il nome del medico titolare senza alcuna traccia del nome del sostituto. I titolari dei programmi, consultati a proposito, dicono che il problema non è al momento risolvibile”;

- “ribadisco che il programma FPF non prevedeva la possibilità di password ai non titolari di studi medici e quindi i sostituti accedono al sistema con delle credenziali preimpostate dal programma di cui solo il titolare dello studio medico è in possesso. Quindi, nella circostanza della sostituzione, l'accesso alla parte della certificazione medica è avvenuto utilizzando l'identificazione del titolare, ma la parte cartacea della ricetta veniva sottoscritta dal sostituto, apponendo il suo timbro. In particolare, vorrei sottolineare che il sistema gestionale FPF non prevedeva, fino a ottobre 2015, alcuna attribuzione di password di accesso a soggetti terzi, non regolati da alcun contratto di convenzione con la Asl, mentre da novembre 2015 il software gestionale prevede l'attribuzione di specifiche password di accesso individuali anche ai sostituti.”;

RITENUTO che le argomentazioni addotte non risultano idonee a determinare l’archiviazione del procedimento sanzionatorio avviato con la contestazione di cui sopra per le ragioni di seguito esposte: 

a) risulta accertato, e ammesso dalla parte, che la dott.ssa KK, nel corso di un’attività di sostituzione del medico di medicina generale dott.ssa Morelli, sia acceduta al sistema informatico denominato TS – progetto tessera sanitaria, utilizzando le credenziali di autenticazione della predetta dott.ssa Morelli; 

b) risulta altresì accertato che l’accesso al sistema TS sia avvenuto utilizzando l’accesso all’applicativo gestionale di studio della dott.ssa Morelli, denominato FPF, con le credenziali di quest’ultima;

c) in base alle dichiarazioni della dott.ssa Morelli, la dott.ssa KK, dopo essere acceduta all’applicativo FPF, avrebbe avuto accesso al sistema TS mediante una funzionalità dell’applicativo che aveva memorizzato le credenziali della dott.ssa Morelli in forma criptata e aveva effettuato l’accesso al sistema, con tali credenziali, in automatico;

d) sulla base di quanto emerso, deve ritenersi che, con riferimento ai trattamenti di dati personali effettuati dalla dott.ssa KK con l’utilizzo dell’applicativo gestionale di studio della dott.ssa Morelli, quest’ultima abbia assunto la veste giuridica del titolare ai sensi dell’art. 4, comma 1, lett. f), del Codice, al quale competono “le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza”;

e) deve pertanto ascriversi alla dott.ssa Morelli la responsabilità in ordine alla condotta omissiva costituita dalla mancata adozione delle misure minime di sicurezza atte a impedire l’utilizzo delle proprie credenziali per l’accesso al sistema TS;

f) era pertanto la dott.ssa Morelli che avrebbe dovuto impedire che l’accesso all’applicativo FPF, le cui funzionalità mediante le quali è possibile memorizzare le credenziali per l’accesso al sistema TS le erano ben note atteso il quotidiano uso del predetto applicativo, determinasse la automatica condivisione delle credenziali per l’accesso al sistema TS, provvedendo ad eliminarle dalla memoria della propria postazione di lavoro ovvero raccomandando alla dott.ssa KK, con disposizioni scritte, di provvedere all’accesso al sistema TS evitando di utilizzare per questa finalità l’applicativo FPF;

g) al riguardo, a nulla può rilevare la circostanza che l’applicativo FPF consentisse di visionare i dati anamnestici dei pazienti solo utilizzando le credenziali del medico titolare (circostanza peraltro non supportata da idonea documentazione) giacché rientrava nei doveri del titolare del trattamento, e cioè della dott.ssa Morelli, proteggere i dati adottando le misure minime di sicurezza che, in ogni caso, impediscono l’utilizzo condiviso di credenziali di autenticazione per l’accesso ai sistemi e agli applicativi;

h) con riferimento al funzionamento dell’applicativo FPF non può, quindi, invocarsi l’esimente di cui all’art. 3 della legge n. 689/1981, che esclude la responsabilità dell’agente quando la violazione è commessa per errore non determinato da sua colpa. L’errore, infatti, può rilevare come causa di esclusione della responsabilità amministrativa solo quando esso risulti inevitabile, e a tal fine occorre un elemento positivo idoneo ad indurre un errore siffatto, non ovviabile dall'interessato con l'ordinaria diligenza (Cassazione civile, sez. I, 05/06/2001, n. 7603). Nel caso in argomento, non risulta che la dott.ssa Morelli abbia operato con la raccomandata diligenza, poiché ha reso disponibili le proprie credenziali di accesso all’applicativo FPF ad un altro medico di medicina generale, rendendo in questo modo possibile l’accesso non autorizzato al sistema TS;

i) deve pertanto confermarsi la responsabilità del dott.ssa Morelli in ordine alla violazione contestata;  

RILEVATO, quindi, che la dott.ssa Alessandra Morelli, sulla base delle considerazioni sopra richiamate, risulta aver commesso la violazione prevista dall’art. 162, comma 2-bis, del Codice, per aver omesso di adottare le misure minime dettate dagli artt. 33 e 34 del Codice e dalla regola n. 2 del disciplinare tecnico di cui al relativo allegato B), consentendo alla dott.ssa KK di accedere al sistema informatico denominato TS-progetto tessera sanitaria con credenziali non proprie;

VISTO l’art. 162, comma 2-bis, del Codice, ove è previsto che “in caso di trattamento di dati personali effettuato in violazione delle misure indicate nell'articolo 33 […] è altresì applicata in sede amministrativa, in ogni caso, la sanzione amministrativa del pagamento di una somma da 10.000 euro a 120.000 euro”;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a) in ordine all’aspetto della gravità con riferimento agli elementi dell’entità del pregiudizio o del pericolo e dell’intensità dell’elemento psicologico, la violazione non risulta connotata da elementi specifici;

b) circa la personalità dell’autore della violazione, la dott.ssa Morelli non risulta gravata da precedenti procedimenti sanzionatori definiti in via breve o con ordinanza-ingiunzione;

c) in merito alle condizioni economiche dell’agente, è stata presa in considerazione la dichiarazione dei redditi per l’anno 2016; 

RITENUTO, quindi, di dover determinare, ai sensi dell’art. 11 della L. n. 689/1981, l’ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 10.000 (diecimila);

VISTA la documentazione in atti;

VISTA la legge n. 689/1981, e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

ORDINA

a Morelli Alessandra, nata a Roma il XX (C.F. XX), residente in Roma, via XX, di pagare la somma di euro 10.000 (diecimila) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione;

INGIUNGE

alla medesima persona di pagare la somma di euro 10.000 (diecimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689. 

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero. 

Roma, 22 maggio 2018

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia