g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Rocchi Roberto - 22 maggio 2018 [9027284]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9027284]

Ordinanza ingiunzione nei confronti di Rocchi Roberto - 22 maggio 2018

Registro dei provvedimenti
n. 338 del 22 maggio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale; 

RILEVATO che l’Ufficio, con atto n. 19936/106966 del 6 luglio 2016 (notificato il 12 luglio 2016), che qui deve intendersi integralmente riportato, ha contestato a Rocchi Roberto, nato a Roma il XX (C.F. XX), residente in Roma, via XX, la violazione delle disposizioni di cui agli artt. 33, 34 e 162, comma 2-bis, del Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196, di seguito denominato “Codice”);

RILEVATO che dall’esame degli atti del procedimento sanzionatorio avviato con la contestazione di violazione amministrativa è emerso, in sintesi, quanto segue:

- con nota del 18 aprile 2016 la Procura della Repubblica presso il Tribunale di Roma ha informato l’Autorità dell’avvio di un procedimento penale nei confronti di 24 persone, fra i quali il dott. Rocchi il quale, sulla base del capo d’imputazione, nella sua qualità di medico di medicina generale del Servizio sanitario nazionale, “ometteva di adottare le misure minime dettate dall'art. 33 del [Codice] volte ad assicurare la protezione di dati personali e sensibili concernenti gli assistiti e, segnatamente, forniva a YY user id e password di accesso al sistema informatico denominato TS-progetto tessera sanitaria, così consentendo al dott. YY di accedere al sistema e rilasciare un certificato medico telematico nei confronti di ZZ con credenziali non proprie. In Roma il 31.12.2014”;

- conseguentemente, l’Ufficio ha avviato il procedimento sanzionatorio previsto per le violazioni in tema di misure minime di sicurezza;

RILEVATO che con il citato atto del 6 luglio 2016 è stata contestata al dott. Roberto Rocchi, ai sensi dell’art. 162, comma 2-bis, del Codice, la violazione dell’art. 33, per avere omesso di adottare le misure minime di sicurezza di cui ai successivi artt. 34 e 35 e nella regola n. 2 del disciplinare tecnico di cui all’allegato B) del Codice; 

PRESO ATTO che per la predetta violazione è escluso il pagamento in misura ridotta; 

LETTE le memorie difensive presentate il 9 agosto 2016 e il verbale dell’audizione del dott. Rocchi del 7 novembre 2016, ove si osserva quanto segue:

- “il Dott. Rocchi è venuto a conoscenza dei fatti avvenuti il 31/12/2014 solamente allorquando è stato convocato presso la procura della Repubblica presso il Tribunale di Roma il successivo 7/5/2015. In tale occasione il Dott. Rocchi ha appreso che il 31.12.2014 - quando egli. con la propria famiglia, si trovava fuori Roma presso dei parenti per trascorrere alcuni giorni di vacanza- il Dott. YY, suo collega di studio, aveva rilasciato un certificato di malattia per il Sig. ZZ (paziente affidatosi alle cure del Dott. Roberto Rocchi) a nome del Dott. Roberto Rocchi anziché a suo nome. Non conosciamo i motivi per i quali il Dott. YY abbia operato in tale modo e cioè abbia generato un certificava telematico a nome del medico che stava sostituendo anziché a nome proprio. Possiamo solo ipotizzare che il motivo di tale modus agendi sia da ascriversi all'esigenza di evadere il più velocemente possibile (compatibilmente con la complessità e delicatezza della prestazione), le richieste dei pazienti che in quella giornata - è stato successivamente riferito al Dott. Rocchi - erano stati particolarmente numerosi. Il procedimento di autenticazione con il TS personale del medico “sostituto" pur appartenente allo stesso studio, è più lunga e laboriosa rispetto all'utilizzo delle credenziali del medico c.d. Titolare. E’ emerso, inoltre che quello stesso giorno a qualche ora di distanza, il Dott. YY ha rilasciato un certificato medico di malattia (protocollo univoco PUC n.131119378). a proprio nome e quindi usando le proprie credenziali TS, dopo avete visitato un'altra paziente del Dott. Rocchi […]. Certo è che il Dott. YY non ha utilizzato il computer dello studio del Dott. Rocchi in quanto non ne conosce le password di accesso.”;

- “L'obiettivo che si prefigge la norma consiste nel limitare il più possibile tali accadimenti dettando misure minime di sicurezza. Il presupposto per l'applicazione della norma è che si siano verificati o si possano verificare tali fatti e cioè si possa verificare, fra l’altro, un accesso non autorizzato o un trattamento non consentito. Ma nel caso che ci occupa viene a mancare il presupposto per l'applicazione della norma. Infatti un soggetto titolare del trattamento dei dati, al pari del medico “Scelto" dal paziente, non può, in ogni caso, commettere un accesso non autorizzato o un trattamento non consentito. Ne consegue che il medico le cui credenziali del sistema TS siano inserite (in forma criptata), in un gestionale in comune con gli altri medici appartenenti al gruppo, si è attenuto a quanto prescritto dall'ACN sulle forme associate dell'Assistenza primaria e non ha contravvenuto all'adozione delle misure minime di sicurezza in quanto i colleghi di studio sono abilitati al pari suo a trattare i dati di tutti i pazienti del gruppo. Affermare il contrario - come si pretenderebbe con la contestazione oggi impugnata - è una palese ed illegittima incongruenza: da una parte si incentiva l'esercizio della medicina generale convenzionata in forma associativa al fine di garantire un più elevato livello qualitativo, per realizzare adeguate forme di continuità dell'assistenza e delle cure stabilendo metodi e schemi organizzativi a cui i medici devono attenersi, si afferma la liceità del trattamento dei dati in caso di attività professionale prestata in forma associata, dall'altra si imputa al medico facente parte del gruppo di non avere adottato quelle misure minime “volte ad assicurare un livello minimo di protezione dei dati personali" . Ma da chi il medico in questione avrebbe dovuto proteggere i dati? Dal suo stesso collega di studio che per legge è tenuto ad assistere anche i pazienti degli altri componenti della medicina di gruppo a condividere le informazioni su tutti i pazienti, la cartella clinica ed è legittimato a trattarne i dati? Riteniamo che la contestazione e la conseguente sanzione non debba essere fine a sé stessa ma debba essere diretta a censurare una condotta da cui siano scaturiti effettivamente dei danni per l'interessato ex art. 15 D.Lgs. 196/2003”;

RITENUTO che le argomentazioni addotte non risultano idonee a determinare l’archiviazione del procedimento sanzionatorio avviato con la contestazione di cui sopra per le ragioni di seguito esposte:

a) risulta accertato, e ammesso dalla parte, che il dott. YY, nel corso di un’attività di sostituzione del medico di medicina generale dott. Rocchi, sia acceduto al sistema informatico denominato TS – progetto tessera sanitaria, utilizzando le credenziali di autenticazione del predetto dott. Rocchi;

b) risulta altresì accertato che l’accesso al sistema TS sia avvenuto utilizzando l’accesso all’applicativo gestionale di studio;

c) in base alle dichiarazioni del dott. Rocchi, il dott. YY sarebbe acceduto al gestionale di studio per visionare i dati anamnestici di un paziente del dott. Rocchi. In tale applicativo risultavano memorizzate in forma criptata le credenziali del dott. Rocchi, disponibili automaticamente per l’accesso al sistema TS;

d) sulla base di quanto emerso, deve ritenersi che, con riferimento ai trattamenti di dati personali effettuati dal dott. YY con l’utilizzo dell’applicativo gestionale di studio nel quale erano inseriti i dati dei pazienti del dott. Rocchi, quest’ultimo abbia assunto la veste giuridica del titolare ai sensi dell’art. 4, comma 1, lett. f), del Codice, al quale competono “le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza”;

e) deve pertanto ascriversi alla dott. Rocchi la responsabilità in ordine alla condotta omissiva costituita dalla mancata adozione delle misure minime di sicurezza atte a impedire l’utilizzo delle proprie credenziali per l’accesso al sistema TS da parte di terzi;

f) era pertanto il dott. Rocchi che avrebbe dovuto impedire che l’accesso all’applicativo, le cui funzionalità mediante le quali è possibile memorizzare le credenziali per l’accesso al sistema TS erano ben note al dott. Rocchi medesimo atteso il quotidiano uso del predetto applicativo, determinasse la automatica condivisione delle credenziali per l’accesso al sistema TS, provvedendo ad eliminarle dalla memoria dell’applicativo prima di assentarsi dallo studio medico;

g) quanto all’osservazione relativa alla mancanza di un effettivo danno all’interessato dalla condotta del dott. Rocchi, ragione per la quale sarebbe inapplicabile la sanzione amministrativa per l’omessa adozione delle misure minime di sicurezza, deve evidenziarsi che, con riferimento a tale materia, il bene giuridico tutelato dalle norme di cui agli artt. 33 e ss. del Codice è la sicurezza dei sistemi, che risulta irreparabilmente vulnerata in caso di condivisione delle credenziali di autenticazione.  Al riguardo, va inoltre specificato che non ha alcuna rilevanza la considerazione che le credenziali del dott. Rocchi fossero memorizzate nel sistema in forma criptata, giacché la condivisione delle stesse si realizza quando esse vengono messe nella disponibilità di altri soggetti, e non soltanto nel caso in cui si determina il disvelamento dei caratteri alfanumerici che le compongono. Va infine osservato che la norma di cui all’art. 162, comma 2-bis, del Codice, prevede l’applicazione della sanzione amministrativa “in ogni caso”, e non solo quando si realizza un danno nei confronti dell’interessato;

h) deve pertanto confermarsi la responsabilità del dott. Rocchi in ordine alla violazione contestata;

RILEVATO, quindi, che il dott. Roberto Rocchi, sulla base delle considerazioni sopra richiamate, risulta aver commesso la violazione prevista dall’art. 162, comma 2-bis, del Codice, per aver omesso di adottare le misure minime dettate dagli artt. 33 e 34 del Codice e dalla regola n. 2 del disciplinare tecnico di cui al relativo allegato B), consentendo al dott. YY di accedere al sistema informatico denominato TS-progetto tessera sanitaria con credenziali non proprie;

VISTO l’art. 162, comma 2-bis, del Codice, ove è previsto che “in caso di trattamento di dati personali effettuato in violazione delle misure indicate nell'articolo 33 […] è altresì applicata in sede amministrativa, in ogni caso, la sanzione amministrativa del pagamento di una somma da 10.000 euro a 120.000 euro”;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a) in ordine all’aspetto della gravità con riferimento agli elementi dell’entità del pregiudizio o del pericolo e dell’intensità dell’elemento psicologico, la violazione non risulta connotata da elementi specifici;

b) circa la personalità dell’autore della violazione, il dott. Rocchi non risulta gravato da precedenti procedimenti sanzionatori definiti in via breve o con ordinanza-ingiunzione;

c) in merito alle condizioni economiche dell’agente, è stata presa in considerazione la dichiarazione dei redditi per l’anno 2016; 

RITENUTO, quindi, di dover determinare, ai sensi dell’art. 11 della L. n. 689/1981, l’ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 10.000 (diecimila);

VISTA la documentazione in atti;

VISTA la legge n. 689/1981, e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

ORDINA

a Rocchi Roberto, nato a Roma il XX (C.F. XX), residente in Roma, via XX, di pagare la somma di euro 10.000 (diecimila) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione;

INGIUNGE

alla medesima persona di pagare la somma di euro 10.000 (diecimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689. 

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 22 maggio 2018

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia

Scheda

Doc-Web
9027284
Data
22/05/18

Argomenti


Tipologie

Ordinanza ingiunzione o revoca

Vedi anche (10)