Responsabilità del medico in caso di accesso al sistema informatico
Home » News » Focus

L’accesso al sistema informatico contenente dati dei pazienti di uno studio medico da parte di soggetti terzi grazie alla memorizzazione delle credenziali di accesso da parte del titolare dello studio comporta la responsabilità di quest’ultimo

Pier Paolo Muià Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

Versione PDF del documento

Garante per la protezione dei dati personali: provvedimento n.335 del 22/05/2018 sull’accesso al sistema informatico.

Riferimenti normativi: artt. 33, 34, 162, comma 2-bis del Codice in materia di protezione dei dati personali; art. 3 della L. 689/1981;

Fatto

Un medico del servizio sanitario nazionale e titolare di uno studio privato, specialista in medicina generale, era stato destinatario di una contestazione da parte dell’Ufficio del Garante per la protezione dei dati personali per aver violato le misure minime di sicurezza imposte dal Codice privacy, e volte ad assicurare la protezione dei dati personali e sensibili dei pazienti dello studio.
In particolare, il Garante era stato informato dalla Procura della Repubblica di aver avviato nei confronti del medico un procedimento penale per violazione delle misure minime di sicurezza per aver questo fornito alla collega, che lo sostituiva in sua assenza, l’user id e password di accesso al sistema informatico, consentendole così di accedere con credenziali non proprie al suddetto sistema, e rilasciare un certificato medico telematico nei confronti di due pazienti.
Il medico, nelle sue giustificazioni sia orali che scritte, aveva sostenuto di non aver fornito alla collega, che lo sostituiva, le credenziali di accesso al sistema informatico per il rilascio di certificati medici telematici e contenente i dati personali e sensibili dei pazienti, sostenendo che il sistema gestionale utilizzato nello studio di cui egli stesso è il titolare, prevedeva utenze diverse per diversi operatori, tra cui anche il medico sostituto. Il medico poi, seppur aveva dichiarato che al momento della predisposizione del certificato medico telematico il sistema informatico del suo studio consentiva l’esecuzione delle operazioni al sostituto senza chiedere ulteriori credenziali per l’accesso ed utilizzando di fatto quelle del titolare dello studio (che erano memorizzate all’interno del programma gestionale), aveva comunque sostenuto che ciò non poteva essere considerato come cessione delle credenziali di accesso.

La decisione del Garante

Il Garante, valutate le argomentazioni addotte dal medico, ha riconosciuto la responsabilità di quest’ultimo per i fatti contestati, ritenendo la condotta posta in essere contraria alle norme contenute nel codice per la protezione dei dati personali in materia di misure minime di sicurezza, condannandolo al pagamento di una sanzione amministrativa.
In specie l’Autorità giudicante, dopo aver accertato che l’accesso al sistema da parte del medico sostituto era avvenuto utilizzando le credenziali del medico titolare dello studio e attraverso un accesso automatico al sistema, perché in questo memorizzate, ha riconosciuto la responsabilità del medico in ordine alla condotta omissiva costituita dalla mancata adozione delle misure minime di sicurezza atte ad impedire l’utilizzo delle proprie credenziali per l’accesso al sistema.
Il Garante ha, infatti, ritenuto che il medico titolare dello studio, quale figura giuridica atta a decidere in ordine alle finalità, alle modalità del trattamento dei dati personali e agli strumenti utilizzati, avrebbe dovuto sincerarsi che l’accesso alle anagrafiche dei propri pazienti da parte di un altro medico non comportasse la condivisione delle credenziali di autenticazione assegnate al medico titolare per accedere al sistema. E nel caso di specie, ciò che ha determinato la condivisione delle credenziali – secondo il giudizio del Garante – non era stato il disvelamento dei caratteri alfanumerici che lo componevano – che in specie oltretutto non era avvenuto, essendo le credenziali già memorizzate – ma la possibilità che, anche attraverso procedure automatizzate, esse potessero essere utilizzate da soggetti diversi dal reale intestatario.
Il Garante ha, poi, escluso che nel caso in esame potesse invocarsi la scusante dell’errore che esclude la responsabilità dell’agente qualora la violazione sia commessa per errore non determinato da sua colpa. L’errore, infatti, può rilevare come causa di esclusione della responsabilità amministrativa solo quando esso risulti inevitabile, mentre non rileva qualora esso sia evitabile dall’interessato con l’ordinaria diligenza. Ebbene, nel caso di specie, secondo il Garante il medico titolare dello studio non ha operato con la raccomandata diligenza, non avendo tenuto conto della funzionalità di memorizzazione, e quindi di condivisione con altri utenti, delle credenziali per l’accesso al sistema utilizzato dal medico per lo svolgimento della quotidiana attività.

Volume consigliato

La tutela della privacy in ambito sanitario

La tutela della privacy in ambito sanitario

Pier Paolo Muià, 2018,

L’opera mira a fornire agli operatori del settore sanitario, pubblico e privato, gli strumenti per comprendere in modo chiaro e semplice la copiosa normativa relativa al trattamento dei dati sanitari, in modo che gli stessi possano adempiere con tranquillità agli obblighi su di loro...



© RIPRODUZIONE RISERVATA


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it