- 7 Novembre 2020
- Posted by: Marinelli
- Categoria: Diritto amministrativo, Diritto dei consumatori, Politica e diritti civili
Il nostro studio è riuscito a far annullare una multa da € 10.000 comminata, ingiustamente, alla nostra Assistita
Sentenza n. 1582/2019 pubbl. il 17/01/2020
Con la sentenza in commento (Sentenza n. 1582/2019 pubbl. il 17/01/2020) il Tribunale di Tivoli ha annullato l’ Ordinanza ingiunzione emessa dal Garante della Privacy nei confronti della nostra Assistita, medico del Servizio Sanitario Nazionale.
In particolare con detto provvedimento il Garante aveva contestato al sanitario la violazione dall’art. 162, comma 2-bis, del Codice in materia di protezione dei dati personali (D. lgs. 30 giugno 2003, n. 196): “per aver omesso di adottare le misure minime dettate dagli artt. 33 e 34 del Codice e dalla regola n. 2 del disciplinare tecnico di cui al relativo allegato B), consentendo alla dott.ssa XX di accedere al sistema informatico denominato TS-progetto tessera sanitaria, attraverso l’applicativo gestionale di studio, con credenziali non proprie”. Con lo stesso provvedimento l’Autorità condannava la nostra Assistita al pagamento della sanzione amministrativa prevista, pari ad euro 10.000,00.
La vicenda in esame prende le mosse da una indagine condotta nei confronti della nostra Assistita e di altri medici di famiglia i quali, assenti nel periodo di capodanno, avevano (secondo l’accusa), consentito ai propri sostituti di impiegare le proprie credenziali (Utenza e Password di accesso al Sistema Tessera Sanitaria) per accedere ai fascicoli sanitari dei propri pazienti per il rilascio dei certificati medici necessari.
Tale circostanza assumeva anche risvolti penali e una certa risonanza a livello nazionali, posto che nella notte di capodanno in questione (2014-2015), a Roma, numerosi vigili urbani erano risultati malati o assenti dal servizio con relativa attestazione medica rilasciata dai predetti sostituti.
Numerosi medici titolari degli studi medici coinvolti erano stati rinviati a giudizio per violazione dell’art 169 del D. lgs. 196/2003 e violazione del D. lgs. 82/2005 (CAD- Codice Amm. Digitale). I sostituti, invece, sono stati rinviati a giudizio con l’addebito degli articoli 350 c.p.p.; nonché art 494 cp e 615 ter cp..
Numerose erano state, tuttavia, anche le rimostranze delle Associazioni di categoria (cfr. https://www.quotidianosanita.it/lavoro-e-professioni/articolo.php?articolo_id=42241).
Per quanto qui di interesse, la condotta censurata dal Garante della Privacy (comunicazione a terzi delle proprie credenziali d’accesso al Sistema TS) configurerebbe, dunque, in astratto, una violazione della disciplina della Privacy. Tale violazione avrebbe comportato, tra l’altro, l’emissione di certificati medici attribuiti alla titolare dello Studio Medico, invece che al medico sostituto.
Tuttavia, per inquadrare la fattispecie e valutare la sussistenza della violazione in questione occorre considerare, sia le particolarità del sistema informatico impiegato dal medico sostituto, sia la sussistenza o meno, dell’elemento soggetto richiesto dalla norma sanzionatoria (coscienza e volontà).
Ebbene su entrambe i punti, il Tribunale di Tivoli così ha motivato: “con riferimento al caso in esame, si ritiene che l’accesso ai gestionali di studio (che risulta essere inevitabile da parte del medico sostituto per potere accedere ai profili dei pazienti del medico titolare) abbia comportato di default l’emissione, da parte del medico sostituto, di una certificazione di malattia come se la stessa fosse emessa dal titolare assente. Tale certificazione, in particolare, è stata emessa utilizzando un profilo ID (utenza e password) attribuito alla collega (odierna ricorrente) che si sostituiva; tuttavia non è dimostrato che tale profilo ID sia stato volontariamente comunicato al sostituto, apparendo, di contro, verosimile ritenere che le credenziali di invio al sistema fossero memorizzate nel software gestionale e da questo automaticamente proposte al sostituto”.
La sentenza qui riportata, presenta numerosi pregi: riepiloga il mutato quadro normativo che ha interessato la disciplina della privacy negli ultimi anni (con l’entrata in vigore del Decreto Legislativo 10 agosto 2018 n.101 e l’abrogazione parziale del Decreto Legislativo 30 giugno 2003, n. 196), e tiene conto anche del contesto specifico in cui si sono trovati ad operare i soggetti coinvolti nella vicenda in esame (particolarità del software gestionale impiegato, la sua recente introduzione, e il numero di soggetti coinvolti nella stessa violazione).
Per completezza espositiva, è possibile ricordare che, nel caso di specie, la pronuncia del Tribunale di Tivoli è stata preceduta di poco, sia dall’archiviazione del procedimento penale a carico dell’Assistita, sia dall’archiviazione del procedimento disciplinare che aveva seguito l’apertura del fascicolo penale.
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO TRIBUNALE DI TIVOLI
Il Giudice dr. Fernando Scolaro ha pronunciato la seguente
SENTENZA
nella causa civile in primo grado iscritta al n. 514 del ruolo generale affari contenziosi dell’anno 2019, discussa e decisa, mediante lettura del dispositivo, all’udienza del 20/12/2019 e vertente
tra
RF, rappresentata e difesa dall’Avv. MARINELLI VITTORIO AMEDEO, per procura in atti
PARTE RICORRENTE
e
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI, rappresentato e difeso dall’Avv. AVVOCATURA GENERALE DELLO STATO
PARTE RESISTENTE
Oggetto: opposizione sanzione amministrativa
FATTO – Con ricorso in opposizione a ordinanza-ingiunzione (ricorso originariamente iscritto alla sezione lavoro al n. di ruolo generale 2863/2018), la dott.ssa RF ha impugnato l’ordinanza-ingiunzione del Garante per la protezione dei dati personali n. 300/18, notificata in data 22 giugno 2018 emessa per la violazione dell’art. 162 comma 2 bis in relazione alla violazione delle misure indicate nell’art. 33 del Decreto Legislativo 30 giugno 2003, n. 196, con irrogazione della sanzione pecuniaria.
Si costituiva in giudizio parte resistente rassegnando le seguenti conclusioni: “In conferma dell’ordinanza-ingiunzione, rigettare l’opposizione poiché infondata. Vinte le spese.”.
All’udienza del 20/12/2019 la causa veniva discussa e decisa mediante lettura del dispositivo.
DIRITTO – L’opposizione è fondata.
Nel caso in esame, il Garante ha riconosciuto la responsabilità dell’odierna opponente ritenendo la condotta posta in essere contraria alle norme contenute nel codice per la protezione dei dati personali in materia di misure minime di sicurezza. In specie il Garante, dopo aver accertato che l’accesso al sistema da parte del medico sostituto era avvenuto utilizzando le credenziali del medico titolare dello studio, ha riconosciuto la responsabilità del medico in ordine alla condotta omissiva costituita dalla mancata adozione delle misure minime di sicurezza atte ad impedire l’utilizzo delle proprie credenziali per l’accesso al sistema.
Il Garante ha, infatti, ritenuto che il medico titolare dello studio, quale figura giuridica atta a decidere in ordine alle finalità, alle modalità del trattamento dei dati personali e agli strumenti utilizzati, avrebbe dovuto sincerarsi che l’accesso alle anagrafiche dei propri pazienti da parte di un altro medico non comportasse la condivisione delle credenziali di autenticazione assegnate al medico titolare per accedere al sistema.
Tanto premesso, va osservato che a seguito della entrata in vigore del Decreto Legislativo 10 agosto 2018 n.101 sulla privacy (che attua il General Data Protection Regulation, regolamento europeo entrato in vigore il 25 maggio 2018), sono stati abrogati, tra gli altri, gli artt. 33 e 162, comma 2 bis, del Decreto Legislativo 30 giugno 2003, n. 196 (posti a fondamento della sanzione irrogata).
Tuttavia, il comma 6 dell’art. 22 del D.Lgs. 101/2018 ha precisato che: “Dalla data di entrata in vigore del presente decreto, i rinvii alle disposizioni del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003, abrogate dal presente decreto, contenuti in norme di legge e di regolamento, si intendono riferiti alle corrispondenti disposizioni del Regolamento (UE) 2016/679 e a quelle introdotte o modificate dal presente decreto, in quanto compatibili”.
Tanto premesso, il Decreto Legislativo n. 101/2018, ha anche previsto che il Garante completi l’individuazione dei presupposti di liceità dei trattamenti, adottando specifiche misure di garanzia e promuovendo l’adozione di regole deontologiche (artt. 2-septies e 2-quater del Codice).
Orbene, nell’ambito di corpo normativo, attualmente composto da GDPR, decreto di adeguamento e vecchio testo del Codice Privacy, la condotta oggetto di accertamento da parte del Garante (seppure avente tuttora rilievo ai fini della configurabilità di un illecito amministrativo) può essere sanzionata ove si accerti l’elemento soggettivo nella violazione amministrativa che è sancito dall’art. 3 della stessa Legge n. 689/1981 (lo stesso articolo prescrive la necessità della configurazione, affinché possa ricorrere la responsabilità dell’agente, della “coscienza e volontarietà” dell’azione, sia essa dolosa o colposa, escludendone la sussistenza nell’ipotesi in cui l’infrazione sia stata commessa per errore sul fatto non determinato da colpa del soggetto).
Tanto premesso, con riferimento al caso in esame, si ritiene che l’accesso ai gestionali di
studio (che risulta essere inevitabile da parte del medico sostituto per potere accedere ai profili dei pazienti del medico titolare) abbia comportato di default l’emissione, da parte del medico sostituto, di una certificazione di malattia come se la stessa fosse emessa dal titolare assente.
Tale certificazione, in particolare, è stata emessa utilizzando un profilo ID (utenza e password) attribuito alla collega (odierna ricorrente) che si sostituiva; tuttavia non è dimostrato che tale profilo ID sia stato volontariamente comunicato al sostituto, apparendo, di contro, verosimile ritenere che le credenziali di invio al sistema fossero memorizzate nel software gestionale e da questo automaticamente proposte al sostituto.
Peraltro, dalla documentazione in atti, emerge come un rilevante numero di medici sia incorso nella medesima condotta il che fa ritenere che effettivamente il software gestionale conservi il profilo ID.
Orbene, soprattutto nei primi anni di introduzione dei nuovi sistemi informatizzati, appare costituire un errore scusabile la non conoscenza da parte di un soggetto non dotato di specifiche competenze in materia informatica, del fatto che le informazioni archiviate (segnatamente profilo ID) saranno fornite automaticamente dal sistema durante gli accessi successivi a quelle risorse, senza richiedere l’intervento dell’utente titolare di quelle credenziali.
Pertanto, si ritiene che debba annullarsi l’impugnata ordinanza-ingiunzione di pagamento emessa dal GARANTE PER LA PROTEZIONE DEI DATI PERSONALI nei confronti di RF.
La difficoltà interpretativa del quadro fattuale e normativo di riferimento, giustifica la compensazione delle spese di lite.
P.Q.M.
Il Tribunale di Tivoli, definitivamente pronunciando, così provvede:
– annulla l’impugnata ordinanza-ingiunzione di pagamento emessa dal GARANTE PER LA PROTEZIONE DEI DATI PERSONALI nei confronti di RF;
– compensa le spese di lite.
Tivoli, 20/12/2019
Il Giudice (Dr. Fernando Scolaro)
Hai bisogno di una consulenza?
Contattami per una prima consulenza senza nessun impegno!