[doc. web n. 9025654]

Ordinanza ingiunzione nei confronti di Zagari Valter - 3 maggio 2018

Registro dei provvedimenti
n. 263 del 3 maggio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale; 

RILEVATO che l’Ufficio, con atto n. 19886/106966 del 6 luglio 2016 (notificato il 13 luglio 2016), che qui deve intendersi integralmente riportato, ha contestato a Zagari Valter, nato a Perugia il XX (C.F. XX), residente in Roma, via XX, la violazione delle disposizioni di cui agli artt. 33, 34 e 162, comma 2-bis, del Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196, di seguito denominato “Codice”);

RILEVATO che dall’esame degli atti del procedimento sanzionatorio avviato con la contestazione di violazione amministrativa è emerso, in sintesi, quanto segue:

- con nota del 18 aprile 2016 la Procura della Repubblica presso il Tribunale di Roma ha informato l’Autorità dell’avvio di un procedimento penale nei confronti di 24 persone, fra le quali il dott. Zagari il quale, sulla base del capo d’imputazione, nella sua qualità di medico di medicina generale del Servizio sanitario nazionale, “ometteva di adottare le misure minime dettate dall'art. 33 del [Codice] volte ad assicurare la protezione di dati personali e sensibili concernenti gli assistiti e, segnatamente, forniva a YY user id e password di accesso al sistema informatico denominato TS-progetto tessera sanitaria, così consentendo al dott. YY di accedere al sistema e rilasciare un certificato medico telematico nei confronti di ZZ con credenziali non proprie. In Roma il 31.12.2014”;

- conseguentemente, l’Ufficio ha avviato il procedimento sanzionatorio previsto per le violazioni in tema di misure minime di sicurezza;  

RILEVATO che con il citato atto del 6 luglio 2016 è stata contestata al dott. Valter Zagari, ai sensi dell’art. 162, comma 2-bis, del Codice, la violazione dell’art. 33, per avere omesso di adottare le misure minime di sicurezza di cui ai successivi artt. 34 e 35 e nella regola n. 2 del disciplinare tecnico di cui all’allegato B) del Codice; 

PRESO ATTO che per la predetta violazione è escluso il pagamento in misura ridotta; 

LETTE le memorie difensive del 3 agosto 2016 nonché il verbale relativo all’audizione del dott. Zagari del 21 giugno 2017, ove si osserva quanto segue:

- “Il sottoscritto svolge l'attività medica in forma associata, unitamente ad altri due sanitari e con l'ausilio di due segretarie, presso lo studio sito in Roma, Viale Ionio, 245. Per lo svolgimento della sua attività medica utilizza un software di cartella clinica per i Medici di Medicina Generale denominato FPI, della CGM (CompuGroup Medical), azienda munita di certificazione ISO 9001. Detto programma, cui si accede mediante l'inserimento di una username e di una password, modificata trimestralmente dal soggetto titolare, secondo le norme di sicurezza e conservata in luogo sicuro, consente l'accesso, al medico titolare ovvero al suo sostituto, ai dati clinici dei-pazienti che preventivamente abbiano dato il proprio consenso al trattamento dei loro dati personali a scopo sanitario da parte del medico titolare e di suoi eventuali sostituti, nonché la gestione degli stessi, delle prescrizioni, degli esami e dei referti. Detto programma, altresì, consente, mediante l'inserimento della medesima password, l'accesso al sistema TS-progetto tessera sanitaria, ai fini della compilazione e della trasmissione telematica dei certificati di malattia.;

- “E' accaduto che, in data 30 dicembre 2014, il sottoscritto era in ferie ed era sostituito, nell'occasione, dal dott. YY, il quale — per come dallo stesso riferito nelle sit rese in data 20.05.15 nell'ambito del proc. pen. n° 36151/15 R.g.n.r. della Procura della Repubblica presso il Tribunale di Roma — essendo impossibilitato, per problemi legati al suo PC, ad usare le sue credenziali per accedere al sistema TS-progetto tessera sanitaria ed emettere il certificato medico richiesto dalla Sig.ra ZZ, utilizzava, a quel fine, le credenziali del sottoscritto. L'utilizzo a questo specifico fine è stato, tuttavia, del tutto illegittimo e dal sottoscritto mai autorizzato. Se, infatti, è legittimo l'utilizzo delle credenziali del medico titolare, da parte del sostituto, ai fini dell'acceso ai dati clinici dei pazienti che, come la Sig.ra ZZ, abbiano dato il proprio consenso al trattamento dei loro dati personali a scopo sanitario da parte del medico titolare e di suoi eventuali sostituti, non altrettanto legittimo è l'utilizzo delle credenziali del medico titolare, da parte del sostituto, ai fini dell'accesso al sistema TS-progetto tessera sanitaria per la compilazione e trasmissione telematica dei certificati di malattia: è previsto, infatti che, per l'accesso al sistema TS, ciascun medico utilizzi le proprie credenziali e, nell'impossibilità di farlo, utilizzi, così come avrebbe dovuto fare il dott. YY, il proprio ricettario personale.”;

RITENUTO che le argomentazioni addotte non risultano idonee a determinare l’archiviazione del procedimento sanzionatorio avviato con la contestazione di cui sopra per le ragioni di seguito esposte: 

a) risulta accertato, e ammesso dalla parte, che il dott. YY, nel corso di un’attività di sostituzione del medico di medicina generale dott. Zagari, sia acceduto al sistema informatico denominato TS – progetto tessera sanitaria, utilizzando le credenziali di autenticazione del predetto dott. Zagari; 

b) risulta altresì accertato che l’accesso al sistema TS sia avvenuto utilizzando l’accesso al database dei pazienti del dott. Zagari, database gestito dall’applicativo FPF;

c) in base a quanto dichiarato dal dott. Zagari, il dott. YY sarebbe acceduto all’applicativo FPF, al fine di consultare le informazioni anamnestiche di un paziente, utilizzando le credenziali di autenticazione all’applicativo del medesimo dott. Zagari, attraverso le quali era possibile, in automatico, accedere al sistema TS, sempre con le credenziali del dott. Zagari;

d) sulla base di quanto emerso, deve ritenersi che, con riferimento ai trattamenti di dati personali effettuati dal dott. YY con l’utilizzo della postazione di lavoro e dell’archivio pazienti del dott. Zagari, quest’ultimo abbia assunto la veste giuridica del titolare ai sensi dell’art. 4, comma 1, lett. f), del Codice, al quale competono “le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza”;

e) era pertanto il dott. Zagari che avrebbe dovuto porre in essere ogni accorgimento al fine di impedire che il dott. YY utilizzasse le credenziali dell’applicativo FPF univocamente assegnate al dott. Zagari e fosse così in grado di accedere al sistema TS con credenziali non proprie;

f) deve pertanto ascriversi al dott. Zagari la responsabilità in ordine alla condotta omissiva costituita dalla mancata adozione delle misure minime di sicurezza atte a impedire che il dott. YY potesse accedere all’applicativo FPF (dal quale era possibile accedere al sistema TS) utilizzando credenziali non  proprie;

g) al riguardo, a nulla può rilevare la circostanza che sulla postazione di lavoro del dott. YY, nella giornata in cui lo stesso ha sostituito il dott. Zagari, si riscontrassero problemi di funzionamento (circostanza peraltro non supportata da idonea documentazione), poiché lo stesso ha utilizzato la postazione del dott. Zagari e le credenziali che quest’ultimo aveva evidentemente condiviso, per accedere all’applicativo FPF e, successivamente, al sistema TS. Rientrava nei doveri del titolare del trattamento, e cioè del dott. Zagari, proteggere i dati contenuti nel proprio computer e nei sistemi dallo stesso utilizzati, adottando le misure minime di sicurezza che, in ogni caso, impediscono l’utilizzo condiviso di credenziali di autenticazione per l’accesso ai sistemi e agli applicativi;

h) deve pertanto confermarsi la responsabilità del dott. Zagari in ordine alla violazione contestata;

RILEVATO, quindi, che il dott. Valter Zagari, sulla base delle considerazioni sopra richiamate, risulta aver commesso la violazione prevista dall’art. 162, comma 2-bis, del Codice, per aver omesso di adottare le misure minime dettate dagli artt. 33 e 34 del Codice e dalla regola n. 2 del disciplinare tecnico di cui al relativo allegato B), consentendo al dott. YY di accedere al sistema informatico denominato TS-progetto tessera sanitaria, attraverso l’applicativo FPF, con credenziali non proprie;

VISTO l’art. 162, comma 2-bis, del Codice, ove è previsto che “in caso di trattamento di dati personali effettuato in violazione delle misure indicate nell'articolo 33 […] è altresì applicata in sede amministrativa, in ogni caso, la sanzione amministrativa del pagamento di una somma da 10.000 euro a 120.000 euro”;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a) in ordine all’aspetto della gravità con riferimento agli elementi dell’entità del pregiudizio o del pericolo e dell’intensità dell’elemento psicologico, la violazione non risulta connotata da elementi specifici;

b) circa la personalità dell’autore della violazione, il dott. Zagari non risulta gravato da precedenti procedimenti sanzionatori definiti in via breve o con ordinanza-ingiunzione;

c) in merito alle condizioni economiche dell’agente, è stata presa in considerazione la dichiarazione dei redditi per l’anno 2016;

RITENUTO, quindi, di dover determinare, ai sensi dell’art. 11 della L. n. 689/1981, l’ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 10.000 (diecimila);

VISTA la documentazione in atti;

VISTA la legge n. 689/1981, e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

ORDINA

a Zagari Valter, nato a Perugia il XX (C.F. XX), residente in Roma, via XX, di pagare la somma di euro 10.000 (diecimila) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione;

INGIUNGE

al medesimo di pagare la somma di euro 10.000 (diecimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689. 

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero. 

Roma, 3 maggio 2018

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia