Riferimenti normativi: artt. 33, 34, 162, comma 2-bis del Codice in materia di protezione dei dati personali; art. 3 della L. 689/1981;
Fatto
Un medico del servizio sanitario nazionale e titolare di uno studio privato, specialista in medicina generale, era stato destinatario di una contestazione da parte dell’Ufficio del Garante per la protezione dei dati personali per aver violato le misure minime di sicurezza imposte dal Codice privacy, e volte ad assicurare la protezione dei dati personali e sensibili dei pazienti dello studio.
In particolare, il Garante era stato informato dalla Procura della Repubblica di aver avviato nei confronti del medico un procedimento penale per violazione delle misure minime di sicurezza per aver questo fornito alla collega, che lo sostituiva in sua assenza, l’user id e password di accesso al sistema informatico, consentendole così di accedere con credenziali non proprie al suddetto sistema, e rilasciare un certificato medico telematico nei confronti di due pazienti.
Il medico, nelle sue giustificazioni sia orali che scritte, aveva sostenuto di non aver fornito alla collega, che lo sostituiva, le credenziali di accesso al sistema informatico per il rilascio di certificati medici telematici e contenente i dati personali e sensibili dei pazienti, sostenendo che il sistema gestionale utilizzato nello studio di cui egli stesso è il titolare, prevedeva utenze diverse per diversi operatori, tra cui anche il medico sostituto. Il medico poi, seppur aveva dichiarato che al momento della predisposizione del certificato medico telematico il sistema informatico del suo studio consentiva l’esecuzione delle operazioni al sostituto senza chiedere ulteriori credenziali per l’accesso ed utilizzando di fatto quelle del titolare dello studio (che erano memorizzate all’interno del programma gestionale), aveva comunque sostenuto che ciò non poteva essere considerato come cessione delle credenziali di accesso.
La decisione del Garante
Il Garante, valutate le argomentazioni addotte dal medico, ha riconosciuto la responsabilità di quest’ultimo per i fatti contestati, ritenendo la condotta posta in essere contraria alle norme contenute nel codice per la protezione dei dati personali in materia di misure minime di sicurezza, condannandolo al pagamento di una sanzione amministrativa.
In specie l’Autorità giudicante, dopo aver accertato che l’accesso al sistema da parte del medico sostituto era avvenuto utilizzando le credenziali del medico titolare dello studio e attraverso un accesso automatico al sistema, perché in questo memorizzate, ha riconosciuto la responsabilità del medico in ordine alla condotta omissiva costituita dalla mancata adozione delle misure minime di sicurezza atte ad impedire l’utilizzo delle proprie credenziali per l’accesso al sistema.
Il Garante ha, infatti, ritenuto che il medico titolare dello studio, quale figura giuridica atta a decidere in ordine alle finalità, alle modalità del trattamento dei dati personali e agli strumenti utilizzati, avrebbe dovuto sincerarsi che l’accesso alle anagrafiche dei propri pazienti da parte di un altro medico non comportasse la condivisione delle credenziali di autenticazione assegnate al medico titolare per accedere al sistema. E nel caso di specie, ciò che ha determinato la condivisione delle credenziali – secondo il giudizio del Garante – non era stato il disvelamento dei caratteri alfanumerici che lo componevano – che in specie oltretutto non era avvenuto, essendo le credenziali già memorizzate – ma la possibilità che, anche attraverso procedure automatizzate, esse potessero essere utilizzate da soggetti diversi dal reale intestatario.
Il Garante ha, poi, escluso che nel caso in esame potesse invocarsi la scusante dell’errore che esclude la responsabilità dell’agente qualora la violazione sia commessa per errore non determinato da sua colpa. L’errore, infatti, può rilevare come causa di esclusione della responsabilità amministrativa solo quando esso risulti inevitabile, mentre non rileva qualora esso sia evitabile dall’interessato con l’ordinaria diligenza. Ebbene, nel caso di specie, secondo il Garante il medico titolare dello studio non ha operato con la raccomandata diligenza, non avendo tenuto conto della funzionalità di memorizzazione, e quindi di condivisione con altri utenti, delle credenziali per l’accesso al sistema utilizzato dal medico per lo svolgimento della quotidiana attività.
Volume consigliato
La tutela della privacy in ambito sanitario
L’opera mira a fornire agli operatori del settore sanitario, pubblico e privato, gli strumenti per comprendere in modo chiaro e semplice la copiosa normativa relativa al trattamento dei dati sanitari, in modo che gli stessi possano adempiere con tranquillità agli obblighi su di loro gravanti, volti alla cura e alla protezione dei dati personali dei loro assistiti. In particolare, l’Autore, dopo aver illustrato le caratteristiche principali dei dati sanitari, necessarie per poter individuare quali informazioni rientrano in detta categoria, si dedica all’esame di tutte le disposizioni che incidono sul loro trattamento: dal codice privacy fino al GDPR, passando per le linee guida adottate dal Garante nel corso degli anni in tema di dossier sanitario, siti web dedicati alla salute, referti on-line, indagini di customer satisfaction nonché per la normativa in tema di fascicolo sanitario elettronico. Il trattamento dei dati in ambito sanitario, in considerazione della delicatezza delle informazioni che riguardano lo stato di salute degli interessati, è sempre stato estremamente pericoloso. L’opera si rende ancor più utile oggi, in un mondo in cui anche nell’ambito sanitario i dati personali assumono un’importanza fondamentale e vengono trattati attraverso diversi strumenti tecnologici ed elettronici, rientrando la protezione di tali dati tra i principali adempimenti che i professionisti e le strutture sanitarie debbono curare per poter fornire le proprie prestazioni senza preoccupazioni di incorrere in responsabilità.Pier Paolo Muià Si è laureato in Giurisprudenza presso l’Università degli Studi di Firenze. Esercita la professione di avvocato tra Firenze, Prato e Pistoia, occupandosi in particolare di responsabilità medica, diritto di internet, privacy e IP. È autore di numerose pubblicazioni sulle principali riviste giuridiche nazionali e collabora stabilmente con il portale giuridico Diritto.it. È stato relatore in diversi convegni, anche per ordini professionali medici.
Pier Paolo Muià | 2018
Scrivi un commento
Accedi per poter inserire un commento