• MMG sanzionato dal Garante: aveva fornito alla sostituta User e Id del pc

    Il professionista è responsabile per l’accesso al sistema informatico contenente dati dei pazienti

    Il caso, condannato dal Garante, è un chiaro esempio di violazione della privacy da parte di un medico di famiglia del servizio sanitario nazionale e titolare di uno studio privato, specialista in medicina generale. Il professionista era stato destinatario di una contestazione da parte dell’Ufficio del Garante (clicca qui per leggere il provvedimento 335) nei confronti del medico un procedimento penale per violazione delle misure minime di sicurezza per aver questo fornito alla collega, che lo sostituiva in sua assenza,  l’user id  e  password di accesso  al sistema informatico, consentendole così di accedere con credenziali non proprie al suddetto sistema, e rilasciare un certificato medico telematico nei confronti di due pazienti.

    Il medico, nelle sue giustificazioni sia orali che scritte, aveva sostenuto di non aver fornito alla collega, che lo sostituiva, le credenziali di accesso al sistema informatico per il rilascio di certificati medici telematici e contenente i dati personali e sensibili dei pazienti, sostenendo che il sistema gestionale utilizzato nello studio di cui egli stesso è il titolare, prevedeva utenze diverse per diversi operatori, tra cui anche il medico sostituto. Il medico poi, seppur aveva dichiarato che al momento della predisposizione del certificato medico telematico il sistema informatico del suo studio consentiva l’esecuzione delle operazioni al sostituto senza chiedere ulteriori credenziali per l’accesso ed utilizzando di fatto quelle del titolare dello studio (che erano memorizzate all’interno del programma gestionale), aveva comunque sostenuto che ciò non poteva essere considerato come cessione delle credenziali di accesso.

    Il Garante

    Il Garante, valutate le argomentazioni addotte dal medico, ha riconosciuto la responsabilità di quest’ultimo per i fatti contestati, ritenendo la condotta posta in essere contraria alle norme contenute nel codice per la protezione dei dati personali in materia di misure minime di sicurezza, condannandolo al pagamento di una sanzione amministrativa (di euro 10.000 ndr).

    In specie l’Autorità giudicante, dopo aver accertato che l’accesso al sistema da parte del medico sostituto era avvenuto utilizzando le credenziali del medico titolare dello studio e attraverso un accesso automatico al sistema, perché in questo memorizzate, ha riconosciuto la responsabilità del medico in ordine alla  condotta omissiva costituita dalla mancata adozione delle misure minime di sicurezza atte ad impedire l’utilizzo delle proprie credenziali per l’accesso al sistema.

    Il Garante ha, infatti, ritenuto che il medico titolare dello studio, quale figura giuridica atta a decidere in ordine alle finalità, alle modalità del trattamento dei dati personali e agli strumenti utilizzati, avrebbe dovuto sincerarsi che l’accesso alle anagrafiche dei propri pazienti da parte di un altro medico non comportasse la condivisione delle credenziali di autenticazione assegnate al medico titolare per accedere al sistema. E nel caso di specie, ciò che ha determinato la condivisione delle credenziali – secondo il giudizio del Garante – non era stato il disvelamento dei caratteri alfanumerici che lo componevano – che in specie oltretutto non era avvenuto, essendo le credenziali già memorizzate – ma la possibilità che, anche attraverso procedure automatizzate, esse potessero essere utilizzate da soggetti diversi dal reale intestatario.

    Il Garante ha, poi, escluso che nel caso in esame potesse invocarsi la scusante dell’errore che esclude la responsabilità  dell’agente qualora la violazione sia commessa per errore non determinato da sua colpa. L’errore, infatti, può rilevare come causa di esclusione della responsabilità amministrativa solo quando esso risulti inevitabile, mentre non rileva qualora esso sia evitabile dall’interessato con l’ordinaria diligenza. Ebbene, nel caso di specie, secondo il Garante il medico titolare dello studio non ha operato con la raccomandata diligenza, non avendo tenuto conto della funzionalità di memorizzazione, e quindi di condivisione con altri utenti, delle credenziali per l’accesso al sistema utilizzato dal medico per lo svolgimento della quotidiana attività.

    FONTE: DOTTNET

Comments are closed.