Diritti interna

Doveri interna

ricerca avanzata

Ordinanza ingiunzione nei confronti di Rosa Francesca - 16 maggio 2018 [9026818]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
9026818
Data:
16/05/18
Tipologia:
Ordinanza ingiunzione o revoca

[doc. web n. 9026818]

Ordinanza ingiunzione nei confronti di Rosa Francesca - 16 maggio 2018

Registro dei provvedimenti
n. 300 del 16 maggio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano, componente e del dott. Giuseppe Busia, segretario generale; 

RILEVATO che l’Ufficio, con atto n. 19901/106966 del 6 luglio 2016 (notificato il 13 luglio 2016), che qui deve intendersi integralmente riportato, ha contestato a Rosa Francesca, nata a Roma l’XX (C.F. XX), residente in XX, via XX, la violazione delle disposizioni di cui agli artt. 33, 34 e 162, comma 2-bis, del Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196, di seguito denominato “Codice”);

RILEVATO che dall’esame degli atti del procedimento sanzionatorio avviato con la contestazione di violazione amministrativa è emerso, in sintesi, quanto segue:

- con nota del 18 aprile 2016 la Procura della Repubblica presso il Tribunale di Roma ha informato l’Autorità dell’avvio di un procedimento penale nei confronti di 24 persone, fra i quali la dott.ssa Rosa la quale, sulla base del capo d’imputazione, nella sua qualità di medico di medicina generale del Servizio sanitario nazionale, “ometteva di adottare le misure minime dettate dall'art. 33 del [Codice] volte ad assicurare la protezione di dati personali e sensibili concernenti gli assistiti e, segnatamente, forniva a XX user id e password di accesso al sistema informatico denominato TS-progetto tessera sanitaria, così consentendo alla dott.ssa XX di accedere al sistema e rilasciare un certificato medico telematico nei confronti di YY con credenziali non proprie. In Roma il 30.12.2014”;

- conseguentemente, l’Ufficio ha avviato il procedimento sanzionatorio previsto per le violazioni in tema di misure minime di sicurezza;

RILEVATO che con il citato atto del 6 luglio 2016 è stata contestata alla dott.ssa Rosa Francesca, ai sensi dell’art. 162, comma 2-bis, del Codice, la violazione dell’art. 33, per avere omesso di adottare le misure minime di sicurezza di cui ai successivi artt. 34 e 35 e nella regola n. 2 del disciplinare tecnico di cui all’allegato B) del Codice;

PRESO ATTO che per la predetta violazione è escluso il pagamento in misura ridotta;

LETTE le memorie difensive in data 1° agosto 2016 nonché il verbale relativo all’audizione della dott.ssa Rosa del 9 maggio 2017, ove si osserva quanto segue:

- “la Dott.ssa Francesca Rosa aveva in uso un programma gestionale chiamato "FPF" (gestito dalla società CompuGroup Medica»). Tale programma gestionale, da un lato, consentiva alla Dott.ssa Francesca Rosa di accedere ai dati personali e clinici dei pazienti e di gestirli nel migliore dei modi per l'esercizio consapevole e ottimale dell'attività medica e, dall'altro, consentiva al medico di famiglia di accedere - in via automatica e senza l'utilizzo delle specifiche credenziali del portale di accesso "TS — progetto tessera sanitaria" — a tale sistema informatico pubblico, per l'invio dei certificati medici all'INPS (e, dall'Ottobre 2015, anche per l'emissione della fattura elettronica). Il programma FPF era attivo sul computer di studio della Dott.ssa Rosa, attraverso l'utilizzo di una user id e di una password private (diverse da quelle per l'accesso al portale pubblico TS - progetto tessera sanitaria). Questa difesa tiene a ribadire che, attraverso l'utilizzo del programma FPF, in uso presso lo studio della Dott.ssa Rosa, per la gestione dei dati personali e clinici dei pazienti, era possibile accedere al sistema informatico "TS progetto tessera sanitaria", senza la necessità di utilizzare ogni volta le specifiche credenziali (della Dott.ssa Francesca Rosa) per tale portale di accesso pubblico”;

- “Dunque, nessun dubbio può esservi sul fatto che, legittimamente, la sostituta XX fosse a conoscenza delle credenziali private della Dott.ssa Francesca Rosa per accedere al programma gestionale di studio FPF, per consultare le cartelle cliniche dei pazienti. Si aggiunge, inoltre, che l'accesso al programma gestionale privato di studio era indispensabile anche per l'emissione delle ricette elettroniche. A tale ultimo riguardo, infatti, sebbene il servizio pubblico di invio telematico delle ricette elettroniche sia stato attivato soltanto nell'Ottobre 2015, già alla data del 30.12.2014, era obbligatoria l'emissione della ricetta (quella "rossa", per i non addetti ai lavori) in formato elettronico (ai fini, comunque, della tracciabilità delle varie prescrizioni mediche, per consentire — magari a campione — quel controllo sulla spesa pubblica e sulla correttezza dell'operato degli stessi medici di famiglia che sarebbe stato attivato, in modo capillare, soltanto nell'Ottobre 2015). Per emettere la ricetta ("rossa") elettronica, la Dott.ssa XX (sostituta) avrebbe dovuto stampare il documento portante il timbro della Dott.ssa Francesca Rosa (sostituita) e poi aggiungere il suo timbro personale, con la dicitura "per conto della Dott.ssa Francesca Rosa" (o qualche altra formula equivalente).”;

- “In ultimo tengo a precisare che, una volta entrati nel sistema gestionale in uso presso lo studio, denominato FPF - a causa di una grave falla nel sistema informatico - l'accesso alla piattaforma certificata TS-Progetto tessera sanitaria, avviene senza alcuna ulteriore autenticazione o richiesta di credenziali”.

RITENUTO che le argomentazioni addotte non risultano idonee a determinare l’archiviazione del procedimento sanzionatorio avviato con la contestazione di cui sopra per le ragioni di seguito esposte:

a) risulta accertato, e ammesso dalla parte, che la dott.ssa XX, nel corso di un’attività di sostituzione del medico di medicina generale dott.ssa Rosa, sia acceduta al sistema informatico denominato TS – progetto tessera sanitaria, utilizzando le credenziali di autenticazione della predetta dott.ssa Rosa; 

b) risulta altresì accertato che l’accesso al sistema TS sia avvenuto utilizzando l’accesso al programma gestionale dell’archivio pazienti della dott.ssa Rosa, denominato FPF;

c) sulla base delle dichiarazioni difensive, la dott.ssa XX sarebbe acceduta al programma FPF utilizzando le credenziali della dott.ssa Rosa, e sarebbe poi acceduta al sistema TS, sempre con le credenziali della dott.ssa Rosa;

d) sulla base di quanto emerso, deve ritenersi che, con riferimento ai trattamenti di dati personali effettuati dalla dott.ssa XX con l’utilizzo della postazione di lavoro e dell’archivio pazienti della dott.ssa Rosa, quest’ultima abbia assunto la veste giuridica del titolare ai sensi dell’art. 4, comma 1, lett. f), del Codice, al quale competono “le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza”;

e) era pertanto la dott.ssa Rosa che avrebbe dovuto sincerarsi del corretto funzionamento dell’applicativo FPF prima dell’utilizzo dello stesso da parte della dott.ssa XX e che avrebbe dovuto assegnare a quest’ultima delle credenziali di accesso all’applicativo al fine di evitare indebiti utilizzi del medesimo e indebiti accessi al sistema TS;

f) deve pertanto ascriversi alla dott.ssa Rosa la responsabilità in ordine alla condotta omissiva costituita dalla mancata adozione delle misure minime di sicurezza atte a impedire che la dott.ssa XX potesse accedere all’applicativo FPF (dal quale era possibile accedere al sistema TS) utilizzando credenziali non  proprie;

g) con riferimento al funzionamento dell’applicativo FPF non può, quindi, invocarsi l’esimente di cui all’art. 3 della legge n. 689/1981, che esclude la responsabilità dell’agente quando la violazione è commessa per errore non determinato da sua colpa. L’errore, infatti, può rilevare come causa di esclusione della responsabilità amministrativa solo quando esso risulti inevitabile, e a tal fine occorre un elemento positivo idoneo ad indurre un errore siffatto, non ovviabile dall'interessato con l'ordinaria diligenza (Cassazione civile, sez. I, 05/06/2001, n. 7603). Nel caso in argomento, non risulta che la dott.ssa Rosa si sia adoperata al fine di consentire l’accesso all’applicativo medesimo soltanto a soggetti in possesso di credenziali di autenticazione in linea con le disposizioni del Codice e con le regole del disciplinare tecnico di cui al relativo allegato B). Al contrario, è la stessa dott.ssa Rosa ad aver affermato di aver condiviso le proprie credenziali per l’accesso al sistema FPF con la dott.ssa XX; 

h) deve pertanto confermarsi la responsabilità della dott.ssa Rosa in ordine alla violazione contestata;

RILEVATO, quindi, che la dott.ssa Francesca Rosa, sulla base delle considerazioni sopra richiamate, risulta aver commesso la violazione prevista dall’art. 162, comma 2-bis, del Codice, per aver omesso di adottare le misure minime dettate dagli artt. 33 e 34 del Codice e dalla regola n. 2 del disciplinare tecnico di cui al relativo allegato B), consentendo alla dott.ssa XX di accedere al sistema informatico denominato TS-progetto tessera sanitaria, attraverso l’applicativo gestionale di studio, con credenziali non proprie;

VISTO l’art. 162, comma 2-bis, del Codice, ove è previsto che “in caso di trattamento di dati personali effettuato in violazione delle misure indicate nell'articolo 33 […] è altresì applicata in sede amministrativa, in ogni caso, la sanzione amministrativa del pagamento di una somma da 10.000 euro a 120.000 euro”;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a) in ordine all’aspetto della gravità con riferimento agli elementi dell’entità del pregiudizio o del pericolo e dell’intensità dell’elemento psicologico, la violazione non risulta connotata da elementi specifici;

b) circa la personalità dell’autore della violazione, la dott.ssa Rosa non risulta gravata da precedenti procedimenti sanzionatori definiti in via breve o con ordinanza-ingiunzione;

c) in merito alle condizioni economiche dell’agente, è stata presa in considerazione la dichiarazione dei redditi per l’anno 2016;

RITENUTO, quindi, di dover determinare, ai sensi dell’art. 11 della L. n. 689/1981, l’ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 10.000 (diecimila);

VISTA la documentazione in atti;

VISTA la legge n. 689/1981, e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la dott.ssa Augusta Iannini;

ORDINA

a Rosa Francesca, nata a Roma l’XX (C.F. XX), residente in XX, via XX, di pagare la somma di euro 10.000 (diecimila) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione;

INGIUNGE

alla medesima persona di pagare la somma di euro 10.000 (diecimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689. 

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 16 maggio 2018

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia