Professione
Professione
Canali Minisiti ECM

Il medico è responsabile anche solo per omessa vigilanza sul sistema informatico utilizzato per la gestione dell’archivio pazienti

Professione Redazione DottNet | 14/09/2018 13:34

Il professionista ne risponde per l’accesso al sistema informatico contenente dati dei pazienti

Su Dottnet ieri abbiamo pubblicato un lungo servizio sulle nuove norme relative alla privacy. Il caso, condannato dal Garante, è un chiaro esempio di violazione della privacy da parte di un medico di famiglia del servizio sanitario nazionale e titolare di uno studio privato, specialista in medicina generale. Il professionista era stato destinatario di una contestazione da parte dell’Ufficio del Garante nei confronti del medico un procedimento penale per violazione delle misure minime di sicurezza per aver questo fornito alla collega, che lo sostituiva in sua assenza,  l’user id  e  password di accesso  al sistema informatico, consentendole così di accedere con credenziali non proprie al suddetto sistema, e rilasciare un certificato medico telematico nei confronti di due pazienti.

Il medico, nelle sue giustificazioni sia orali che scritte, aveva sostenuto di non aver fornito alla collega, che lo sostituiva, le credenziali di accesso al sistema informatico per il rilascio di certificati medici telematici e contenente i dati personali e sensibili dei pazienti, sostenendo che il sistema gestionale utilizzato nello studio di cui egli stesso è il titolare, prevedeva utenze diverse per diversi operatori, tra cui anche il medico sostituto. Il medico poi, seppur aveva dichiarato che al momento della predisposizione del certificato medico telematico il sistema informatico del suo studio consentiva l’esecuzione delle operazioni al sostituto senza chiedere ulteriori credenziali per l’accesso ed utilizzando di fatto quelle del titolare dello studio (che erano memorizzate all’interno del programma gestionale), aveva comunque sostenuto che ciò non poteva essere considerato come cessione delle credenziali di accesso.

pubblicità

Il Garante

Il Garante, si legge sulla rivista. valutate le argomentazioni addotte dal medico, ha riconosciuto la responsabilità di quest’ultimo per i fatti contestati, ritenendo la condotta posta in essere contraria alle norme contenute nel codice per la protezione dei dati personali in materia di misure minime di sicurezza, condannandolo al  pagamento di una sanzione amministrativa.

In specie l’Autorità giudicante, dopo aver accertato che l’accesso al sistema da parte del medico sostituto era avvenuto utilizzando le credenziali del medico titolare dello studio e attraverso un accesso automatico al sistema, perché in questo memorizzate, ha riconosciuto la responsabilità del medico in ordine alla  condotta omissiva costituita dalla mancata adozione delle misure minime di sicurezza atte ad impedire l’utilizzo delle proprie credenziali per l’accesso al sistema.

Il Garante ha, infatti, ritenuto che il medico titolare dello studio, quale figura giuridica atta a decidere in ordine alle finalità, alle modalità del trattamento dei dati personali e agli strumenti utilizzati, avrebbe dovuto sincerarsi che l’accesso alle anagrafiche dei propri pazienti da parte di un altro medico non comportasse la condivisione delle credenziali di autenticazione assegnate al medico titolare per accedere al sistema. E nel caso di specie, ciò che ha determinato la condivisione delle credenziali – secondo il giudizio del Garante – non era stato il disvelamento dei caratteri alfanumerici che lo componevano – che in specie oltretutto non era avvenuto, essendo le credenziali già memorizzate – ma la possibilità che, anche attraverso procedure automatizzate, esse potessero essere utilizzate da soggetti diversi dal reale intestatario.

Il Garante ha, poi, escluso che nel caso in esame potesse invocarsi la scusante dell’errore che esclude la responsabilità  dell’agente qualora la violazione sia commessa per errore non determinato da sua colpa. L’errore, infatti, può rilevare come causa di esclusione della responsabilità amministrativa solo quando esso risulti inevitabile, mentre non rileva qualora esso sia evitabile dall’interessato con l’ordinaria diligenza. Ebbene, nel caso di specie, secondo il Garante il medico titolare dello studio non ha operato con la raccomandata diligenza, non avendo tenuto conto della funzionalità di memorizzazione, e quindi di condivisione con altri utenti, delle credenziali per l’accesso al sistema utilizzato dal medico per lo svolgimento della quotidiana attività.

Commenti

Rispondi
Rispondi
Rispondi
Rispondi
3 Risposte Rispondi

I Correlati

Unimpresa, dal nuovo taglio dell'Irpef annunciata dal Governo ne beneficeranno solo il 5% dei contribuenti: i calcoli

“La Federazione è impegnata in questo senso a dare indicazioni ben precise ai propri iscritti, ai medici, per un uso assolutamente appropriato di questa sostanza che è un presidio fondamentale per la cura del dolore”

Una guida pratica per valutare le migliori opzioni sul mercato e proteggere la propria attività e reputazione

Una recente pronuncia della Corte di Giustizia Europea (C-218/22 del 18 gennaio 2024) apre una breccia nel muro dell’impossibilità di monetizzazione delle ferie

Ti potrebbero interessare

Unimpresa, dal nuovo taglio dell'Irpef annunciata dal Governo ne beneficeranno solo il 5% dei contribuenti: i calcoli

La Scuola di Specializzazione ha come obiettivo principale la formazione di professionisti psicoterapeuti e specialisti nel campo della Psicologia della Salute

Una guida pratica per valutare le migliori opzioni sul mercato e proteggere la propria attività e reputazione

Una recente pronuncia della Corte di Giustizia Europea (C-218/22 del 18 gennaio 2024) apre una breccia nel muro dell’impossibilità di monetizzazione delle ferie