Il Garante, con il provvedimento n. 336 del 22.5.2018, ha ordinato il pagamento della somma di euro 10.000 ad un medico di medicina generale per la violazione di cui agli artt. 33, 34, 35 (con specifico riferimento alla regola n. 2 del disciplinare tecnico di cui all’allegato B del Codice), avendo omesso di adottare le misure minime di sicurezza per impedire che un suo sostituto emettesse un certificato medico telematico (per malattia, destinato all’INPS) nei confronti di un’assistita del sostituito utilizzando credenziali riconducibili a quest’ultimo.
Il medico ha proposto ricorso chiedendo la declaratoria di nullità dell’opposta ordinanza ingiunzione, previa sospensione dell’efficacia esecutiva del provvedimento impugnato; Il Garante si è costituito chiedendo il rigetto della domanda e contestando la fondatezza degli avversi motivi di impugnazione.
Analizzando l’impianto normativo posto alla base del provvedimento opposto, la ricostruzione effettuata dalla parte del resistente merita di essere condivisa.
Difatti l’art. 33 impone ai titolari del trattamento di adottare misure volte ad assicurare un livello minimo di protezione dei dati personali, nel quadro degli obblighi di sicurezza di cui all’art. 31, per il quale i dati oggetto di trattamento devono essere custoditi e controllati, tenuto conto delle acquisizioni tecniche del momento, della natura dei dati e delle caratteristiche del trattamento, al fine di ridurre al minimo i rischi di distruzione, accesso non autorizzato, trattamento non consentito o non conforme alle finalità della raccolta dei dati.
La sanzione è stata comminata anche con riferimento alla violazione dell’art. 34 del codice privacy, il quale disciplina il trattamento di dati personali effettuato con strumenti elettronici, consentito adottando misure minime quali, in particolare, la previsione di meccanismi di autenticazione informatica, l’adozione di procedure di gestione delle credenziali di autenticazione, l’uso di un sistema di autorizzazione, l’aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati alla gestione degli strumenti elettronici impiegati, la protezione di tali strumenti e dei dati rispetto a trattamenti illeciti, ad accessi non consentiti e a determinati programmi informatici.
Tali misure minime devono essere adottate in osservanza dell’allegato B al codice, il quale include la regola tecnica che parte opposta ha ritenuto disattesa (in particolare regola n. 2), avente ad oggetto le credenziali di autenticazione. Esse devono consistere, per quanto attiene alla fattispecie, in un codice per l’identificazione dell’incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell’incaricato.
È necessario ricordare che è definita “titolare” la persona fisica cui competono le decisioni in ordine alle finalità e alle modalità del trattamento di dati personali. Sono invece definite “incaricati”, le persone autorizzate dal titolare al compimento di operazioni di “trattamento”, a sua volta individuato in qualunque operazione concernente, tra le altre, la registrazione, l’elaborazione e la comunicazione di dati. Anche il concetto di “comunicazione” trova una propria definizione nel dare conoscenza in qualunque forma dei dati personali ad uno o più soggetti determinati, diversi dall’interessato, dal titolare e dagli incaricati.
L’azione dell’incaricato è disciplinata invece dall’art. 30, il quale impone che la designazione dello stesso avvenga per iscritto e con puntuale indicazione dell’ambito del trattamento consentito, oltre che le operazioni di trattamento lui deputate avvengano sotto la diretta autorità del titolare, in osservanza delle istruzioni da questo impartite.
Ebbene, nella specie appare pacifico che il medico sostituto abbia utilizzato le credenziali dell’opponente allo scopo di emettere un certificato di malattia richiesto da una paziente del sostituto attraverso il sistema TS, pur avendo avuto accesso a causa della sostituzione effettuata alla consultazione del database informatico delle storie cliniche dei pazienti (Medico 2000).
È altresì pacifico che l’accesso al sistema TS avvenisse direttamente dall’ambiente informatico Medico 2000. Risulta dunque evidente che la violazione contestata e sanzionata si fondi sul mancato impedimento da parte del titolare dei dati dell’accesso da parte del medico sostituto al sistema TS, condotta che ha reso possibile per un soggetto diverso dall’assegnatario delle credenziali stesse operare una trasmissione di dati, ovvero un trattamento.
Invero, il sistema TS costituisce uno strumento di raccolta di dati. È infatti evidente che lo stesso abbia consentito la trasmissione, ovvero la comunicazione di dati, a soggetti altri e che ciò costituisca un trattamento. Neppure può negarsi che il medesimo contenga non solo i dati identificativi del paziente, ma altresì informazioni relative allo stato di salute dello stesso, quali l’impedimento al lavoro per causa di malattia e la prognosi, ovvero la durata dell’impedimento, a prescindere dall’indicazione della diagnosi.
Sul punto, seppure relativamente a fattispecie connesse alla diffusione di dati, si è espressa la Corte di Cassazione, affermando che anche l’indicazione della circostanza dell’assenza dal lavoro per malattia o per convalescenza possa dare luogo al trattamento di dati sensibili, pur in assenza di riferimenti a patologie specifiche, in quanto suscettibile di rivelare lo stato di salute dell’interessato (art. 4, comma 1, lett. d), ricostruendo la salute quale stato di benessere fisico e di equilibrio psichico dell’organismo in quanto esente da malattie, da imperfezioni e disturbi organici o funzionali (Sez. 1, Sent. n. 18980 del 2013).
Inoltre, le Sezioni Unite, in materia di obbligo di cifratura delle indicazioni degli stati patologici, hanno ricondotto al normotipo del trattamento le comunicazioni di dati personali, nella fattispecie certamente sensibili, da parte di un ente sanitario regionale verso un istituto bancario (Sent. n. 30981 del 2017).
È lecito dunque attendersi, in relazione al tipo di attività nella quale il trattamento ha luogo ed alle professionalità coinvolte, che il titolare impartisca quantomeno disposizioni atte ad evitare che altri possano effettuare a proprio nome una trasmissione a terzi di dati sensibili ed a fare in modo che venga elaborato dal sostituto incaricato un documento informatico nel quale direttamente figurino i dati identificativi dello stesso, quale soggetto autore della trasmissione dei dati.
In altri termini, risulta di tutta evidenza che un soggetto, posto dalla legge in un ruolo di garanzia, non possa omettere di interessarsi riguardo alla concreta possibilità che altri siano in grado di trasmettere e dunque trattare dati (sensibili) a mezzo di un documento il cui autore figuri essere, invece, egli stesso.
Nel caso di specie, l’invio del documento è potuto avvenire unicamente per il fatto del libero accesso del sostituto a tutto il sistema TS, grazie all’utilizzo, a monte, del programma Medico 2000, pur risultando autore del documento finale un soggetto diverso dall’incaricato (il titolare del trattamento, ossia il sostituito).
Proprio in tale condotta deve rinvenirsi la violazione da parte dell’opponente dell’obbligo di adozione delle misure volte ad assicurare la sicura trasmissione dei dati personali sensibili dei quali è titolare.
L’ambito sanitario è stato infatti frequentemente al centro delle attenzioni dell’autorità preposta alla vigilanza in materia, sin dalla fase antecedente all’entrata in vigore del codice della privacy, richiedendo cautele e misure organizzative supplementari rispetto a quanto già posto in tema di dati sensibili.
Importante dato normativo è costituito dall’art. 83, il quale è esplicitamente riferito all’attività dei medici di medicina generale ed impone l’adozione di una specifica serie di misure idonee a garantire, nell’organizzazione delle prestazioni e dei servizi, la tutela della riservatezza, ferme le misure minime poste dal codice in via generale. Inoltre, possono considerarsi le approfondite analisi di cui sono stati oggetto i trattamenti di dati eseguiti dai datori di lavoro nei confronti dei dipendenti, con regolamentazione di soft law da parte del Garante, anche per quanto concerne le modalità di comunicazione e successivo trattamento dei dati sensibili legati all’assenza dai luoghi di lavoro per motivi di salute, ad esempio, con particolare attenzione alla separazione tra i documenti contenenti indicazioni sulla prognosi da quelli comprensivi della diagnosi, traendo dettagliate conclusioni quanto ai destinatari delle certificazioni (datori, I.N.P.S., ecc.); si vedano inoltre le Linee-guida per il trattamento di dati dei dipendenti privati – 23 novembre 2006 (G.U. 7 dicembre 2006, n. 285) e le Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico – 14 giugno 2007 (G.U. 13 luglio 2007, n. 161).
Vertendosi nel caso in esame pacificamente in materia di certificazioni dello stato di malattia dei pazienti emessi da medici di medicina generale, non può che richiedersi agli operatori sanitari l’uso di particolare avvedutezza nella gestione dei meccanismi di accesso ai sistemi preposti alla compilazione di tali documenti, alla trasmissione degli stessi e dunque alla comunicazione dei dati.
Alla luce delle considerazioni svolte circa le tipologie di professionalità coinvolte e dell’obbligo per il titolare del trattamento di predisporre le misure di sicurezza di cui agli artt. 31 e 33, deve inoltre affermarsi che incomba su quest’ultimo anche l’obbligo di riscontrare ed identificare i vulnera all’interno degli strumenti elettronici di trattamento utilizzati, prevenendo possibilità di usi non controllati degli stessi da parte di altri soggetti agenti sotto la sua responsabilità, quali eventuali sostituti incaricati. È il caso dell’utilizzo di un programma informatico contenente al suo interno un sistema di trattamento dati ulteriore, ovvero di comunicazione a terzi. Ciò avrebbe dovuto comportare l’adozione di misure quali la predisposizione di un profilo di accesso dedicato o, se non consentito dai sistemi impiegati o reso momentaneamente impossibile dai personal computer in uso, l’impartire specifiche istruzioni per l’emissione e l’invio di certificazioni (nel senso della cancellazione delle credenziali memorizzate e criptate e del successivo inserimento di quelle del sostituto), evitando in tal modo l’invio a nome del medico sostituito.
È proprio in tale condotta che si riscontra la perdita di univocità delle credenziali di accesso rispetto al titolare assegnatario delle stesse, carattere richiesto dalla regola n. 2 del disciplinare tecnico allegato B) al Codice, per come richiamata dall’art. 34, il quale impone l’ “adozione di procedure di gestione delle credenziali di autenticazione, l’utilizzazione di un sistema di autorizzazione, l’aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, la protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici”.
Alla luce di tali rilievi deve dunque affermarsi che, in concreto, l’assenza di specifiche e dettagliate istruzioni da parte dell’opponente titolare dei dati volte ad evitare liberi accessi al sistema di trattamento dati TS (quali eliminare le proprie credenziali di accesso al sistema TS memorizzate nell’applicativo Medico 2000) abbia di fatto sottratto al controllo del titolare l’utilizzo dei dati stessi e che l’emissione-trasmissione del certificato medico da parte del sostituto (a nome del sostituito) costituisca una delle possibili conseguenze della contestata omissione.
Di più, alla luce della definizione di cui all’art. 4 lett. f) e del disposto dell’art. 30 (rubricato “incaricati del trattamento”), appare univocamente posto in capo al titolare l’obbligo di impartire istruzioni al soggetto incaricato, attenendosi alle quali questi deve operare, pur sempre “sotto la diretta autorità del titolare”. Si consideri che l’incaricato è definito dall’art. 4 lett. h) come la persona autorizzata dal titolare a compiere operazioni di trattamento. L’art. 30 appare poi imporre la forma scritta ai fini tanto della designazione dell’incaricato, quanto dell’individuazione del trattamento consentito a quest’ultimo, il tutto nell’ambito delle disposizioni che devono regolare il rapporto tra il titolare del trattamento, quale è certamente il medico, ed il suo eventuale sostituto.
È alla luce delle predette considerazioni che deve ritenersi il medico sostituto quale incaricato al trattamento per quanto attiene alla regolazione dei rapporti tra questi ed il medico sostituito.
Seppure appaia chiaro che, nella normale organizzazione professionale di uno studio medico, operino medici (titolari del trattamento) coadiuvati da incaricati di trattamento con funzioni amministrative e che ai titolari si sostituiscano occasionalmente altri professionisti (assumendo un ruolo assimilabile a quello del titolare nei confronti del paziente e degli incaricati con funzioni amministrative), è pur vero che il rapporto tra sostituito e sostituto deve poter essere inquadrato nella cornice del codice, allo scopo di individuare il soggetto cui competono le decisioni in ordine alle modalità del trattamento, nonché quello che agisca in un limitato arco di tempo sotto la responsabilità di questi, evidentemente vincolato alle disposizioni comunque impartite dal sostituito ed agente sotto la sua autorità.
In considerazione dunque della veste di incaricato che può dirsi essere stata assunta dal sostituto, a fronte della posizione di titolare rivestita dall’opponente, non risultano in conclusione essere stati allegati elementi tali da poter ritenere adempiuti da parte del titolare gli obblighi di istruzione e di puntuale indicazione dell’ambito operativo del soggetto incaricato (art. 30).
Ne discende che l’opposizione è stata rigettata, con liquidazione delle spese di lite.
Tribunale Roma sez. XVIII, 22/01/2020, n.445
Photo by National Cancer Institute on Unsplash