g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Adolfo Allegrini - 22 maggio 2018 [9027476]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9027476]

Ordinanza ingiunzione nei confronti di Adolfo Allegrini - 22 maggio 2018

Registro dei provvedimenti
n. 339 del 22 maggio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale; 

RILEVATO che l’Ufficio, con atto n. 19942/106966 del 6 luglio 2016 (notificato il 12 luglio 2016), che qui deve intendersi integralmente riportato, ha contestato ad Adolfo Allegrini, nato a Poggio Mirteto (Roma) il XX (C.F.: XX), e residente in Roma, via XX, la violazione delle disposizioni di cui agli artt. 33, 34 e 162, comma 2-bis, del Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196, di seguito denominato “Codice”);

RILEVATO che dall’esame degli atti del procedimento sanzionatorio avviato con la contestazione di violazione amministrativa è emerso, in sintesi, quanto segue: 

-  con nota del 18 aprile 2016 la Procura della Repubblica presso il Tribunale di Roma ha informato l’Autorità dell’avvio di un procedimento penale nei confronti di 24 persone, fra i quali il dott. Allegrini il quale, sulla base del capo d’imputazione, nella sua qualità di medico di medicina generale del Servizio sanitario nazionale, “ometteva di adottare le misure minime dettate dall'art. 33 del [Codice] volte ad assicurare la protezione di dati personali e sensibili concernenti gli assistiti e, segnatamente, forniva a YY user id e password di accesso al sistema informatico denominato TS-progetto tessera sanitaria, così consentendo alla dott.ssa YY Anna di accedere al sistema e rilasciare un certificato medico telematico nei confronti di ZZ con credenziali non proprie. In Roma il 30.12.2014”;

- conseguentemente, l’Ufficio ha avviato il procedimento sanzionatorio previsto per le violazioni in tema di misure minime di sicurezza;

RILEVATO che con il citato atto del 6 luglio 2016 è stata contestata al dott. Adolfo Allegrini, ai sensi dell’art. 162, comma 2-bis, del Codice, la violazione dell’art. 33, per avere omesso di adottare le misure minime di sicurezza di cui ai successivi artt. 34 e 35 e nella regola n. 2 del disciplinare tecnico di cui all’allegato B) del Codice; 

PRESO ATTO che per la predetta violazione è escluso il pagamento in misura ridotta; 

LETTI il verbale dell’audizione del dott. Allegrini del 31 ottobre 2017 e le memorie difensive prodotte nell’ambito dell’audizione e datate 30 ottobre 2017, ove si osserva quanto segue:

- “(…) nel caso di specie (…) si rileva che alcun accertamento amministrativo è stato posto in essere e che pertanto non è ricavabile alcuna violazione dell’art. 33 del Codice  di protezione dei dati personali.

- In ogni caso, trattandosi di medico generico, si rileva la disciplina derogatoria art. 83 comma 2 e 78 (del Codice).

- “In aggiunta si osserva che la normativa di legge non prevedeva all’epoca dei fatti alcuna disciplina rispetto alla figura dei medici sostituiti di fatto operativa solo ad agosto 2015”

- “(…) da ultimo si rileva la violazione del principio del ne bis in idem secondo il quale al dott. Adolfo Allegrini si vorrebbe applicare una sanzione amministrativa di natura afflittiva, per l’importo stabilito, in aggiunta ad un procedimento penale tutt’ora in corso per il quale non è pervenuta richiesta di rinvio a giudizio (sentenza Grande Stevens)”;

RITENUTO che le argomentazioni addotte non risultano idonee a determinare l’archiviazione del procedimento sanzionatorio avviato con la contestazione di cui sopra per le ragioni di seguito esposte: 

a) diversamente da quanto ritenuto, la violazione in argomento risulta essere accertata per effetto di quanto previsto dall’art. 13 della legge n. 689/1981 sia dagli atti trasmessi dalla Procura della Repubblica c/o il Tribunale di Roma, sia dal provvedimento prescrizionale adottato ai sensi dell’art. 169, comma 2, del d.Lgs. n. 196/2003 datato 1° giugno 2016, nei quali, peraltro, la condotta censurata oltre ad essere descritta puntualmente, non risulta essere messa in discussione nel merito;

b) la dott.ssa YY, quindi, nel corso di un’attività di sostituzione del medico di medicina generale dott. Allegrini, risulta essere acceduta al sistema informatico denominato TS – progetto tessera sanitaria, utilizzando le credenziali di autenticazione del predetto dott. Allegrini;

c) risulta altresì accertato che l’accesso al sistema TS sia avvenuto utilizzando l’accesso all’applicativo gestionale di studio del dott. Allegrini;

d) sulla base di quanto emerso, deve ritenersi che, con riferimento ai trattamenti di dati personali effettuati dalla dott.ssa YY con l’utilizzo dell’applicativo gestionale di studio del dott. Allegrini, quest’ultimo abbia assunto la veste giuridica del titolare ai sensi dell’art. 4, comma 1, lett. f), del Codice, al quale competono “le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza”;

e) deve pertanto ascriversi al dott. Allegrini la responsabilità in ordine alla condotta omissiva costituita dalla mancata adozione delle misure minime di sicurezza atte a impedire la condivisione delle proprie credenziali di accesso all’applicativo gestionale e, conseguentemente, al sistema TS;

f) relativamente a quanto argomentato sia circa il fatto che “In ogni caso, trattandosi di medico generico, si rileva la disciplina derogatoria art. 83 comma 2 e 78 (del Codice)” sia il fatto che “(…) la normativa di legge non prevedeva all’epoca dei fatti alcuna disciplina rispetto alla figura dei medici sostituiti di fatto operativa solo ad agosto 2015”, si rileva l’inconferenza delle richiamate norme del Codice (art. art. 83, comma 2-bis e 78) anche alla luce di quanto disciplinato dal provvedimento dell’Autorità recante “Informativa: indicazioni per medici di base e pediatri” (in www.garanteprivacy.it, doc. web n. 1318699) nonchè della “(…) normativa generale prevista dal DPCM 26/03/2008 attuativo del D.L. 296/2006 art.1 comma 810 lett. c e successive modifiche”, che non fanno alcun riferimento alla condotta oggetto della contestazione in argomento;

g) circa “(…) la violazione del principio del ne bis in idem (…)”, le disposizioni di cui all’art. 162, comma 2 bis, e all’art. 169, sono indirizzate alla tutela di interessi pubblici compatibili ma diversi, infatti, mentre la norma sanzionatoria amministrativa tende a prevenire e a reprimere i comportamenti omissivi e negligenti del titolare o del responsabile del trattamento, la norma penale si pone il principale obiettivo, attraverso l’istituto del “ravvedimento operoso” descritto nel comma 2 dell’art. 169 del Codice, di ripristinare un minimo livello di sicurezza nei sistemi e negli archivi contenenti dati personali. La logica conseguenza è che fra le predette norme non vi sia concorso apparente e conseguentemente alcun rapporto di specialità. In conclusione, anche alla luce delle richiamate sentenze tra cui quella della CEDU Grande/Stevens, con la formula “è altresì applicata in sede amministrativa, in ogni caso, la sanzione…” si è intesa fare salva l’irrogazione della sanzione amministrativa pecuniaria anche nei casi in cui la condotta dell’agente integri il reato di cui all’art. 169, potendosi disapplicare il principio di specialità stabilito dall’art. 9 della legge n. 689/1981 .

h) deve pertanto confermarsi la responsabilità del dott. Allegrini in ordine alla violazione contestata;

RILEVATO, quindi, che il dott. Adolfo Allegrini, sulla base delle considerazioni sopra richiamate, risulta aver commesso la violazione prevista dall’art. 162, comma 2-bis, del Codice, per aver omesso di adottare le misure minime dettate dagli artt. 33 e 34 del Codice e  dalla  regola  n. 2  del  disciplinare tecnico di cui al relativo allegato B), consentendo alla dott.ssa Mariangela Anna YY di accedere al sistema informatico denominato TS-progetto tessera sanitaria con credenziali non proprie;

VISTO l’art. 162, comma 2-bis, del Codice, ove è previsto che “in caso di trattamento di dati personali effettuato in violazione delle misure indicate nell'articolo 33 […] è altresì applicata in sede amministrativa, in ogni caso, la sanzione amministrativa del pagamento di una somma da 10.000 euro a 120.000 euro”;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a) in ordine all’aspetto della gravità con riferimento agli elementi dell’entità del pregiudizio o del pericolo e dell’intensità dell’elemento psicologico, la violazione non risulta connotata da elementi specifici;

b) circa la personalità dell’autore della violazione, il dott. Allegrini non risulta gravata da precedenti procedimenti sanzionatori definiti in via breve o con ordinanza-ingiunzione;

c) in merito alle condizioni economiche dell’agente, è stata presa in considerazione la dichiarazione dei redditi per l’anno 2016; 

RITENUTO, quindi, di dover determinare, ai sensi dell’art. 11 della L. n. 689/1981, l’ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 10.000 (diecimila);

VISTA la documentazione in atti;

VISTA la legge n. 689/1981, e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

ORDINA

a Adolfo Allegrini, nato a Poggio Mirteto (Roma) il XX (C.F.: XX), e residente in Roma, via XX, di pagare la somma di euro 10.000 (diecimila) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione;

INGIUNGE

alla medesima persona di pagare la somma di euro 10.000 (diecimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689. 

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero. 

Roma, 22 maggio 2018

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia

Scheda

Doc-Web
9027476
Data
22/05/18

Argomenti


Tipologie

Ordinanza ingiunzione o revoca

Vedi anche (10)