Diritti interna

Doveri interna

ricerca avanzata

Ordinanza ingiunzione nei confronti Bertolotto Michele e Azienda Universitaria Ospedaliera Ospedali Riuniti di Trieste - 19 gennaio 2017 [6521965]

[doc. web n. 6521965]

Ordinanza ingiunzione nei confronti Bertolotto Michele e Azienda Universitaria Ospedaliera Ospedali Riuniti di Trieste - 19 gennaio 2017

Registro dei provvedimenti
n. 16 del 19 gennaio 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

RILEVATO che l´Ufficio del Garante, con atto n. 10262/89943 del 31 marzo 2014 (notificato il 14 aprile 2014), che qui deve intendersi integralmente riportato, ha contestato al dott. Bertolotto Michele, nato a XX il XX, residente in Trieste, XX, C.F. XX, la violazione delle disposizioni di cui agli artt. 23, 162, comma 2-bis, e 167 del Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196, di seguito denominato "Codice"); rilevato che con il medesimo atto l´Ufficio ha individuato l´Azienda Universitaria Ospedaliera Ospedali Riuniti di Trieste (di seguito "Azienda Ospedaliera" o "AUOTS" o "AOUTS"), in persona del legale rappresentante pro-tempore con sede in Trieste, via Farneto n. 3, C.F. 01066380328, quale soggetto obbligato in solido per la contestata violazione, ai sensi dell´art. 6, comma 3, della legge n. 689/1981;

RILEVATO, più precisamente, che con l´atto di contestazione si rappresenta che:

-  il Garante ha esaminato la segnalazione e il successivo reclamo presentati il 13 e 14 novembre 2013 dalla sig.ra XX, la quale ha lamentato un accesso abusivo a propri dati personali idonei a rilevare lo stato di salute, da parte di due medici dell´Azienda Ospedaliera, fra cui il dott. Michele Bertolotto;

- a seguito di richiesta di informazioni da parte dell´Ufficio, l´Azienda Ospedaliera ha rappresentato di aver svolto verifiche ed accertamenti al fine di individuare eventuali accessi abusivi alle informazioni personali della reclamante, in particolare esaminando i file di log degli applicativi in uso presso il nosocomio;

- dalle verifiche è emerso che il dott. Michele Bertolotto ha effettuato un accesso ai dati della reclamante nella giornata del 30 aprile 2010;

- in base a quanto rilevato, il dott. Bertolotto, designato dal Direttore della U.C.O. di Radiologia della medesima Azienda Ospedaliera quale incaricato del trattamento ai sensi dell´art. 30 del Codice, ha effettuato il predetto accesso in assenza del consenso dell´interessato previsto dagli artt. 23, 77 e 81 del Codice;

RILEVATO che con il citato atto del 31 marzo 2014 è stata contestata al dott. Bertolotto, ai sensi dell´art. 162, comma 2-bis, la violazione delle disposizioni di cui all´art. 23 del Codice, per aver trattato i dati personali idonei a rilevare lo stato di salute della reclamante, in assenza del prescritto consenso;

VISTO il rapporto relativo all´atto di contestazione di cui sopra, predisposto dall´Ufficio ai sensi dell´art. 17 della legge 24 novembre 1981, n. 689, dal quale non risulta essere stato effettuato il pagamento in misura ridotta;

VISTI gli scritti difensivi del 14 maggio 2014 e il verbale di audizione del 15 giugno 2015 che qui si intendono integralmente richiamati, nei quali si legge:

- "gli atti richiamati nella contestazione non sono stati messi a disposizione dell´interessato. Tali circostanze determinano l´incompletezza della contestazione […]. L´incompletezza determina un significativo pregiudizio del diritto del destinatario della contestazione di partecipare al procedimento e di esercitare il diritto al contraddittorio e di difesa";

- "il destinatario della contestazione non è stato messo nelle condizioni di avere accesso a tutti gli atti del procedimento; non è stato avvisato nemmeno delle modalità con le quali avrebbe potuto avere conoscenza ed estrarre copia degli atti procedimentali. […] Ne discende l´invalidità procedimentale che formalmente si eccepisce";

- "Non ho mai consultato i dati personali — sanitari della Signora XX, né ho mai avuto alcun interesse personale o professionale in tal senso. L´unico accesso effettuato con il mio identificativo (XX) è avvenuto il 30.4.2010 alle h. 7.08 […]. Il 30.4.2010 non ero in servizio al momento dell´accesso, essendo uscito alle 18.00 del giorno prima e rientrato in servizio alle 8.23 […]. Il mio datore di lavoro ha preso atto di questa evidenza documentale e ha constatato la mia totale estraneità rispetto all´addebito. […] Perciò posso solo ipotizzare che l´accesso con le mie credenziali sia dovuto a un malfunzionamento del sistema informatico dell´Azienda Ospedaliera Triestina e/o alla disattenzione del sanitario che ha avuto effettivamente accesso ai dati della Signora XX con le mie credenziali, atteso che costui avrebbe dovuto utilizzare quelle proprie. I punti di criticità del sistema informatico utilizzato dalla predetta Azienda, peraltro, sono noti a Codesta Spettabile Autorità e riconosciuti dalla stessa Azienda […].";

RITENUTO che le argomentazioni addotte non risultano idonee a determinare l´archiviazione del procedimento sanzionatorio avviato con la contestazione di cui sopra, per le ragioni di seguito esposte:

- quanto alle argomentazioni di carattere formale, non può che constatarsi che l´Ufficio, nell´instaurazione del procedimento sanzionatorio nei confronti del dott. Bertolotto, ha osservato tutte le disposizioni della legge n. 689/1981 in tema di partecipazione al procedimento e garanzia del diritto di difesa notificando l´atto di contestazione della violazione amministrativa entro novanta giorni dalla data dell´accertamento (art. 14, comma 2), coincidente con la nota di chiusura dell´istruttoria da parte del Dipartimento libertà pubbliche e sanità del 14 febbraio 2014 e informando la parte della facoltà di procedere al pagamento in forma ridotta entro sessanta giorni dalla notificazione dell´atto di contestazione ovvero di presentare entro trenta giorni scritti difensivi o richiesta di audizione; acquisendo dalla parte scritti difensivi e dichiarazioni personali (art. 18, comma 1) e consentendo alla parte medesima, nell´ambito dell´audizione, di produrre scritti difensivi e documentazione integrativa; quanto alle modalità per accedere agli atti del procedimento, le stesse sono indicate nel Regolamento n. 1/2006 - Accesso ai documenti amministrativi presso l´Ufficio del Garante – del 26 luglio 2006, pubblicato in G.U. n. 183 del 8 agosto 2006 (in www.gpdp.it, doc. web n. 1320021) e ad esse si è attenuto l´Ufficio nell´ambito del procedimento per l´accesso instaurato a seguito di istanza della parte in data 14 maggio 2014 e conclusosi con provvedimento di accoglimento del 24 giugno 2014;

- nel merito, deve, in primis, essere richiamato il contenuto della segnalazione della sig.ra XX la quale ha rappresentato che "in data 11 settembre 2013, a seguito della mia presa di coscienza di una diffusione non autorizzata dei miei dati sensibili, ho chiesto al responsabile dell´Ufficio Privacy dell´AOUTS di prendere visione di tutti coloro che avevano avuto accesso ai miei dati sensibili a partire dall´anno 2008 a tutt´oggi attraverso la tracciatura informatica dell´INSIEL. In data 30 settembre 2013 mi è stata ufficialmente consegnata l´indagine informatica da parte dell´azienda AOUTS. Ho potuto quindi notare numerosi accessi non autorizzati da parte della dottoressa Rosaria Perrone […] e del dottor Michele Bertolotto […], marito e moglie, i quali hanno deliberatamente aperto e letto il contenuto di numerosi documenti sanitari privati […]. Dopo avere preso attentamente visione dei tabulati a me forniti dall´azienda AOUTS, in data 30 settembre 2013 ho quindi comunicato ufficialmente all´ufficio privacy dell´azienda AOUTS che il dottor Michele Bertolotto e la dottoressa Rosaria Perrone non erano autorizzati ad accedere ai miei dati come invece è risultato dai tabulati. […] Non sono stata mai paziente né della dottoressa Perrone né del dottor Bertolotto.";

- dai tabulati acquisiti dalle parti nel corso dell´istruttoria è emerso che, mediante il codice identificativo attribuito al dott. Michele Bertolotto, è stato effettuato un accesso agli archivi informatici dell´Azienda Ospedaliera in data 30 aprile 2010 alle ore 7.08. Nel corso di tale accesso sono state effettuate cinque distinte operazioni che hanno riguardato la consultazione dell´anagrafica della sig.ra XX e dei relativi codici identificativi e la consultazione di due referti redatti dal reparto cardiologia e dal laboratorio analisi cliniche dell´ospedale nel giorno precedente. Il predetto accesso deve essere attribuito al dott. Bertolotto. In primo luogo, risulta che l´accesso sia avvenuto utilizzando le credenziali assegnate univocamente al dott. Bertolotto quale incaricato del trattamento: tali credenziali, in base a quanto previsto dalle regole del disciplinare tecnico di cui all´allegato B) del Codice, constano di una componente riservata conosciuta dal solo incaricato e non condivisa con altri medici del reparto. Non risulta che l´Azienda Sanitaria o il dott. Bertolotto abbiano denunciato illeciti utilizzi delle credenziali di autenticazione attribuite a quest´ultimo, né risulta che il dott. Bertolotto, dopo aver avuto conoscenza dell´accesso effettuato a suo nome, abbia verificato, o fatto verificare all´Azienda Sanitaria, se analoghi accessi fossero stati eseguiti anche nei confronti di altri pazienti. A fronte di tali elementi, appare non probante l´osservazione difensiva circa l´asserita presenza in servizio del dott. Bertolotto solo dalle ore 8.23 del 30 aprile 2010: del resto, quest´ultimo avrebbe potuto accedere al sistema anche fuori dall´orario di servizio senza che il sistema medesimo generasse degli alert idonei ad evidenziare tale anomalia (come in effetti avvenuto);

- in ordine alle caratteristiche del sistema informatico in uso presso l´Azienda Ospedaliera (oggetto dio esame del Garante con il provvedimento n. 3 del 10 gennaio 2013, doc. web n. 2284708), le stesse non hanno alcuna attinenza con le osservazioni difensive del dott. Bertolotto, posto che l´approfondita istruttoria operata dall´Autorità in occasione del richiamato procedimento amministrativo non ha evidenziato nessuna anomalia nel sistema di autenticazione ed accesso agli applicativi informatici in uso presso l´Azienda Ospedaliera;

- dal complesso dei predetti elementi discende pertanto che l´accesso non autorizzato ai dati personali idonei a rilevare lo stato di salute della reclamante è ascrivibile esclusivamente al dott. Bertolotto, unico destinatario delle chiavi (elemento già di per sé sufficiente per l´attribuzione della responsabilità), il quale non aveva comunque acquisito il suo consenso e senza che la stessa fosse in cura presso di lui;

RILEVATO, quindi, che il dott. Michele Bertolotto, sulla base delle considerazioni sopra richiamate, risulta aver commesso, in qualità di incaricato del trattamento, ai sensi degli artt. 4, comma 1, lett. h), e 30 del Codice, la violazione delle disposizioni previste dagli artt. 23 e 162, comma 2-bis, e 167 del Codice, per aver trattato i dati personali idonei a rilevare lo stato di salute della reclamante, in assenza del prescritto consenso;

VISTO l´art. 162, comma 2-bis, del Codice che punisce le violazioni delle norme indicate nell´art. 167, tra le quali quelle di cui all´art. 23, con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

CONSIDERATO che, ai fini della determinazione dell´ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell´art. 11 della legge n. 689/1981, dell´opera svolta dall´agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a) in ordine all´aspetto della gravità con riferimento agli elementi dell´entità del pregiudizio o del pericolo e dell´intensità dell´elemento psicologico, la violazione risulta connotata da elementi specifici connessi alla natura sensibile dei dati trattati dal dott. Bertolotto;

b) ai fini della valutazione dell´opera svolta dall´agente, non risultano elementi idonei ad evidenziare un comportamento collaborativo della parte, una volta emersi gli indebiti trattamenti;

c) circa la personalità dell´autore della violazione, deve essere considerata la circostanza che il dott. Bertolotto non risulta gravato da precedenti procedimenti sanzionatori definiti in via breve o a seguito di ordinanza ingiunzione;

d) in merito alle condizioni economiche dell´agente, sono state prese in considerazione le informazioni reddituali relative all´anno 2015;

RITENUTO, quindi, di dover determinare, ai sensi dell´art. 11 della legge n. 689/1981, l´ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 10.000,00 (diecimila);

RITENUTO di dover individuare, ai sensi dell´art. 6, comma 3, della legge n. 689/1981, l´Azienda Universitaria Ospedaliera Ospedali Riuniti di Trieste quale obbligato in solido con l´autore della violazione al pagamento della somma da questo dovuta;

VISTA la documentazione in atti;

VISTA la legge n. 689/1981, e successive modificazioni e integrazioni;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la dott.ssa Augusta Iannini;

ORDINA

al dott. Bertolotto Michele, nato a XX il XX, residente in Trieste, XX, e all´Azienda Universitaria Ospedaliera Ospedali Riuniti di Trieste, in persona del legale rappresentante pro-tempore con sede in Trieste, via Farneto n. 3, quest´ultima in qualità di obbligato in solido, di pagare la somma di euro 10.000,00 (diecimila) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione;

INGIUNGE

ai medesimi di pagare la somma di euro 10.000,00 (diecimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l´adozione dei conseguenti atti esecutivi a norma dall´art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 19 gennaio 2017

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia