g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Luigi Pagnanelli - 22 maggio 2018 [9037491]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9037491]

Ordinanza ingiunzione nei confronti di Luigi Pagnanelli - 22 maggio 2018

Registro dei provvedimenti
n. 342 del 22 maggio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale; 

RILEVATO che l’Ufficio, con atto n. 19957/106966 del 6 luglio 2016 (notificato il 14 luglio 2016), che qui deve intendersi integralmente riportato, ha contestato a Luigi Pagnanelli, nato a Roma il XX (C.F.: XX), e ivi residente in via XX, la violazione delle disposizioni di cui agli artt. 33, 34 e 162, comma 2-bis, del Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196, di seguito denominato “Codice”);

RILEVATO che dall’esame degli atti del procedimento sanzionatorio avviato con la contestazione di violazione amministrativa è emerso, in sintesi, quanto segue:

- con nota del 18 aprile 2016 la Procura della Repubblica presso il Tribunale di Roma ha informato l’Autorità dell’avvio di un procedimento penale nei confronti di 24 persone, fra i quali il dott. Pagnanelli il quale, sulla base del capo d’imputazione, nella sua qualità di medico di medicina generale del Servizio sanitario nazionale, “ometteva di adottare le misure minime dettate dall'art. 33 del [Codice] volte ad assicurare la protezione di dati personali e sensibili concernenti gli assistiti e, segnatamente, forniva a YY user id e password di accesso al sistema informatico denominato TS-progetto tessera sanitaria, così consentendo al dott. YY di accedere al sistema e rilasciare un certificato medico telematico nei confronti di ZZ con credenziali non proprie. In Roma il 30.12.2014”;

- conseguentemente, l’Ufficio ha avviato il procedimento sanzionatorio previsto per le violazioni in tema di misure minime di sicurezza;  

RILEVATO che con il citato atto del 6 luglio 2016 è stata contestata al dott. Luigi Pagnanelli, ai sensi dell’art. 162, comma 2-bis, del Codice, la violazione dell’art. 33, per avere omesso di adottare le misure minime di sicurezza di cui ai successivi artt. 34 e 35 e nella regola n. 2 del disciplinare tecnico di cui all’allegato B) del Codice; 

PRESO ATTO che per la predetta violazione è escluso il pagamento in misura ridotta; 

LETTE le memorie difensive datate 2 agosto 2016e il verbale dell’audizione datato 27 aprile 2017 del dott. Pagnanelli, ove si osserva quanto segue:

- “(…) in data 30 dicembre 2014 mi trovavo in malattia (…). Nonostante non ce ne fosse necessità alcuna, (…) mi ero fatto comunque carico di segnalare il nominativo del medico mio sostituto. Tale comunicazione non sarebbe stata, (…) neanche necessaria perchè lo studio medico nel quale opero, nel rispetto della convenzione dei medici di famiglia, esercita la c.d. medicina di gruppo. In buona sostanza, i dati sensibili di ogni singolo paziente sono (E DEVONO ESSERE) accessibili ad ogni singolo operatore medico. In data 30.12.2014, stando all’assunto della Procura, impossibile da verificare stante la mancanza di documentazione idonea nel fascicolo (…), qualcuno (che la procura ritiene essere il dottorYY) avrebbe rilasciato un certificato a nome di tale ZZ, usando le credenziali dello scrivente.

- E’ evidente che la omissione di misure minime previste dall’art. 33 summenzionato (del Codice), richiede che al fatto omissivo consegua un concreto pericolo di accesso non autorizzato o non consentito, violando in tal modo la privacy da parte del sostituto. Come già evidenziato, non si comprende quale lesione del bene giuridico possa ravvisarsi, nel caso che ci occupa, in assenza di qualsivoglia violazione della privacy, sia personale, del mio profilo, sia del paziente ZZ presente all’accesso da parte del sostituto. Per di più è chiaro che sussista una ipotesi di scriminante ai sensi dell’art. 50 c.p. essendovi il consenso – sia tacito o putativo – dell’avente diritto ovvero il mio e del paziente;

- “l’art. 33 del d.lgs. n. 196/2003 non è conferente al caso di specie, in quanto ai sensi dell’art. 83, 2 bis del decreto, per i medici di medicina generale ed i pediatri di libera scelta si applica la disciplina derogatoria e semplificata di cui all’art. 78 del decreto; tale disposizione è stata declinata e disciplinata nel provvedimento del Garante per la protezione dei dati personali del 19 luglio 2006 (…), il quale espressamente prevede che il trattamento dei dati sanitari “può essere effettuato da chi sostituisce temporaneamente il medico”; che, con riferimento all’obbligo di ogni medico di dotarsi di credenziali personali onde provvedere all’invio telematico della certificazione di malattia (che è questione totalmente diversa rispetto alla violazione della normativa sulla privacy), e all’inosservanza di tale obbligo da parte presuntivamente del dott. YY, tale circostanza non può essere a me ascritta avendo rigorosamente seguito la procedura prevista dal CCNL dei medici di medicina generale e dei pediatri di libera scelta, per effettuare la sostituzione del titolare dello studio, garantendo la continuità assistenziale e quindi in definitiva il diritto alla salute dei pazienti;”

RITENUTO che le argomentazioni addotte non risultano idonee a determinare l’archiviazione del procedimento sanzionatorio avviato con la contestazione di cui sopra per le ragioni di seguito esposte: 

a) risulta accertato che il dott. YY, nel corso di un’attività di sostituzione del medico di medicina generale dott. Pagnanelli, sia acceduto al sistema informatico denominato TS – progetto tessera sanitaria, utilizzando le credenziali di autenticazione della predetto dott. Pagnanelli; 

b) risulta altresì accertato che l’accesso al sistema TS sia avvenuto utilizzando l’accesso all’applicativo gestionale di studio del dott. Pagnanelli;

c) in base a quanto dichiarato dal dott. Pagnanelli, lo stesso avrebbe fornito le proprie credenziali di autenticazione al sistema TS al dott.YY, consentendo quindi, a quest’ultimo, l’accesso al citato sistema TS;

d) sulla base di quanto emerso, deve ritenersi che, con riferimento ai trattamenti di dati personali effettuati dal dott. YY con l’utilizzo delle credenziali di autenticazione (user id e password) del dott. Pagnanelli, quest’ultimo abbia assunto la veste giuridica del titolare ai sensi dell’art. 4, comma 1, lett. f), del Codice, al quale competono “le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza”;

e) deve pertanto ascriversi al dott. Pagnanelli la responsabilità in ordine alla condotta omissiva costituita dalla mancata adozione delle misure minime di sicurezza atte a impedire la condivisione delle proprie credenziali di accesso all’applicativo gestionale e, conseguentemente, al sistema TS;

f) preliminarmente deve evidenziarsi che il bene giuridico tutelato dalle norme in esame evidentemente risiede nella sicurezza dei sistemi e degli archivi contenenti dati personali, la quale, attraverso la condivisione di credenziali di autenticazione, risulta irrimediabilmente vulnerata. Inoltre, deve richiamarsi il dettato dell’art. 162, comma 2-bis, del Codice, che stabilisce la punibilità delle violazioni in tema di misure minime di sicurezza “in ogni caso”;

g) con riferimento al funzionamento del sistema TS non può neanche essere ravvisata l’esimente di cui all’art. 3 della legge n. 689/1981, che esclude la responsabilità dell’agente quando la violazione è commessa per errore non determinato da sua colpa. L’errore, infatti, può rilevare come causa di esclusione della responsabilità amministrativa solo quando esso risulti inevitabile, e a tal fine occorre un elemento positivo idoneo ad indurre un errore siffatto, non ovviabile dall'interessato con l'ordinaria diligenza (Cassazione civile, sez. I, 05/06/2001, n. 7603). Nel caso in argomento, non risulta che il dott. Pagnanelli abbia operato con la raccomandata diligenza, poiché ha reso disponibili le proprie credenziali di accesso all’applicativo gestionale ad un altro medico di medicina generale, rendendo in questo modo possibile l’accesso non autorizzato al sistema TS;

h) relativamente a quanto argomentato circa il fatto che “l’art. 33 del d.lgs. n. 196/2003 non è conferente al caso di specie (…)” si rileva l’inconferenza delle richiamate norme del Codice (art. art. 83, comma 2-bis e 78) e del provvedimento dell’Autorità recante “Informativa: indicazioni per medici di base e pediatri” (in www.garanteprivacy.it, doc. web n. 1318699) che non fanno alcun riferimento alla condotta oggetto della contestazione in argomento.

i) deve pertanto confermarsi la responsabilità del dott. Pagnanelli in ordine alla violazione contestata;  

RILEVATO, quindi, che il dott. Luigi Pagnanelli, sulla base delle considerazioni sopra richiamate, risulta aver commesso la violazione prevista dall’art. 162, comma 2-bis, del Codice, per aver omesso di adottare le misure minime dettate dagli artt. 33 e 34 del Codice e dalla regola n. 2 del disciplinare tecnico di cui al relativo allegato B), consentendo al dott.YY di accedere al sistema informatico denominato TS-progetto tessera sanitaria con credenziali non proprie;

VISTO l’art. 162, comma 2-bis, del Codice, ove è previsto che “in caso di trattamento di dati personali effettuato in violazione delle misure indicate nell'articolo 33 […] è altresì applicata in sede amministrativa, in ogni caso, la sanzione amministrativa del pagamento di una somma da 10.000 euro a 120.000 euro”;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a) in ordine all’aspetto della gravità con riferimento agli elementi dell’entità del pregiudizio o del pericolo e dell’intensità dell’elemento psicologico, la violazione non risulta connotata da elementi specifici;

b) circa la personalità dell’autore della violazione, il dott. Pagnanelli non risulta gravata da precedenti procedimenti sanzionatori definiti in via breve o con ordinanza-ingiunzione;

c) in merito alle condizioni economiche dell’agente, è stata presa in considerazione la dichiarazione dei redditi per l’anno 2016; 

RITENUTO, quindi, di dover determinare, ai sensi dell’art. 11 della L. n. 689/1981, l’ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 10.000 (diecimila);

VISTA la documentazione in atti;

VISTA la legge n. 689/1981, e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

ORDINA

a Luigi Pagnanelli, nato a Roma il XX (C.F.: XX), e ivi residente in via XX, di pagare la somma di euro 10.000 (diecimila) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione;

INGIUNGE

alla medesima persona di pagare la somma di euro 10.000 (diecimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689. 

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero. 

Roma, 22 maggio 2018

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia

Scheda

Doc-Web
9037491
Data
22/05/18

Argomenti


Tipologie

Ordinanza ingiunzione o revoca

Vedi anche (10)