Dato sulla salute nella comunicazione di informazioni sull’assegnazione di un paziente a un reparto

Massima

Ai fini della qualificazione di un'informazione personale come “relativa alla salute” non occorre che vi sia una specificazione del trattamento sanitario o della patologia della persona stessa;  pertanto, la correlazione tra l'identità di una donna ed il reparto di una struttura sanitaria è da considerarsi “dato personale relativo alla salute”, ma (in sé sola) tale informazione non lede la dignità e la riservatezza della donna, tutelate dalla legge n. 194/1978 sull'interruzione volontaria della gravidanza (IVG). Peraltro, i fatti che hanno portato il Garante per la Protezione dei Dati Personali ad irrogare una sanzione amministrativa pecuniaria devono essere rivalutati (e con essi l'an e il quantum della sanzione stessa) dal giudice del rinvio.

Il caso

Una donna si sottoponeva, nel marzo 2019, ad un intervento di IVG presso un'azienda sanitaria pubblica, fornendo per i successivi contatti un numero telefonico a sé riferito. Nel contesto delle procedure di dimissione, nelle quali il personale infermieristico avrebbe dovuto fornire alla paziente indicazioni in ordine a farmaci da assumere, quest'ultima si allontanava spontaneamente nonostante fosse stata invitata dall'infermiera (in quel momento chiamata altrove per un'urgenza) ad attenderla. L'infermiera provvedeva immediatamente a rintracciare telefonicamente la paziente ad un numero telefonico (reperito sul frontespizio della cartella clinica informatizzata) al quale rispondeva un uomo (il di lei marito), al quale l'infermiera riferiva di essere del reparto di Ginecologia di tale ospedale e che doveva parlare con la moglie per una terapia, senz'altro specificare.

A distanza di mesi, l'azienda ospedaliera veniva raggiunta da una richiesta di risarcimento danni da parte della paziente, che censurava l'operato dell'azienda, fra l'altro, con riferimento al fatto che il numero di telefono utilizzato dall'infermiera non era quello fornito in occasione di quell'episodio di ricovero (relativo all'IVG), ma tempo addietro in occasione di altri accessi in struttura.

L'azienda sanitaria, ravvedendo nell'accaduto un evento di violazione dei dati personali a norma dell'art. 33 GDPR, provvedeva a notificare l'incidente all'Autorità Garante per la Protezione dei Dati Personali (GPDP) nei termini di legge.

L'Autorità avviava l'istruttoria preliminare e notificava all'azienda sanitaria la comunicazione di avvio del procedimento per l'adozione delle misure correttive, all'esito del quale veniva emanata, nel gennaio 2021, ordinanza ingiunzione per il pagamento di una sanzione amministrativa pecuniaria (ai sensi degli artt. 58, par. 2, lett. i) e 83 GDPR, nonché dell'art. 166 d.lgs. n. 196/2003) di € 50.000,00 nei confronti dell'Azienda sanitaria.

Avverso tale ordinanza ingiunzione proponeva opposizione l'Azienda sanitaria davanti al Tribunale di Ravenna, che con sentenza del marzo 2022 accoglieva l'opposizione annullando l'ordinanza ingiunzione, ritenendo che le informazioni comunicate non fossero qualificabili come “dati personali relativi alla salute” e che, conseguentemente, non fosse neppure stato violato l'obbligo di riservatezza stabilito dalla legge sull'IVG.

Ricorreva per cassazione il GPDP sulla base di due motivi; l'azienda sanitaria resisteva con controricorso e memoria.

La questione

Le questioni di diritto sostanziale in esame sono sostanzialmente due, e vertono sulla qualificazione giuridica dell'informazione consistente nella correlazione tra un paziente e un reparto di degenza di una struttura sanitaria, sotto due profili:

1. tale informazione deve considerarsi “dato personale relativo alla salute” a norma dell'art. 4, § 1, n. 15 e considerando n. 35 GDPR?
2. la comunicazione di tale informazione a terzi non autorizzati viola il principio di tutela della dignità e della riservatezza della donna (e della persona indicata come padre del concepito) sancito dalla l. n. 194/1978, recante norme sulla tutela sociale della maternità e sull'interruzione volontaria della gravidanza?

Vi sono inoltre questioni di diritto processuale, in ordine - da un lato - all'oggetto dell'opposizione ad un'ordinanza ingiunzione per il pagamento di una sanzione amministrativa pecuniaria, nonché - d'altro lato - ai criteri per la determinazione dell'entità delle sanzioni comminate dal GPDP.

Le soluzioni giuridiche

La Corte censurava la sentenza del Tribunale di Ravenna laddove quest'ultimo concludeva che le informazioni comunicate non consistessero in dati personali relativi alla salute (in quanto, a dire del Tribunale, nulla rivelavano in merito a specifici trattamenti o patologie della paziente), in linea con precedenti arresti della Corte, che sancivano la natura “sensibile” (ad esempio):

• del riferimento ad un'assenza dal lavoro “per malattia”;
• dell'ostensione di una situazione di “invalidità” sia pur genericamente indicata;
• della necessità del lavoratore di sottoporsi a "consulenza psichiatrica";
• dell'indicazione della causale del bonifico richiesto in favore di un beneficiario dell'indennizzo previsto dalla l. n. 210/1992 (in materia di danni da trasfusione o vaccinazione).

La sentenza del Tribunale veniva peraltro confermata sotto l'aspetto della non esistenza di una lesione del principio di dignità e riservatezza della donna, tutelati dalla legge n. 194/1978 sull'IVG, a motivo del fatto che la notizia comunicata risultava (pur nel suo essere genericamente attinente alla salute) “ del tutto indeterminata ” e dunque, in sé, con “impatto limitato [...] sulla sfera giuridica dell'interessata”.

Sugli aspetti processuali la Corte osservava quanto segue:

1. sull'oggetto dell'opposizione all'ordinanza ingiunzione di pagamento di una sanzione amministrativa pecuniaria: esso “non ha ad oggetto l'atto, ma il rapporto, con conseguente cognizione piena del giudice, che potrà e dovrà valutare le deduzioni difensive proposte in sede amministrativa (eventualmente non esaminate o non motivatamente respinte), in quanto riproposte nei motivi di opposizione, decidendo su di esse con pienezza di poteri, sia che le stesse investano questioni di diritto che di fatto” (testuale dalla sentenza), con la conseguenza che il giudice ha potere discrezionale di determinare (o rideterminare) la sanzione, commisurandola alla gravità del fatto concreto, come accertato nel giudizio di merito;
2. sul giudizio di commisurazione della sanzione: dopo aver ricordato che, a norma dell'art. 83 GDPR le sanzioni amministrative pecuniarie devono essere, nel singolo caso, “effettive, proporzionate e dissuasive”, e riportati gli elementi (aggravanti o attenuanti) da prendere in considerazione, elencati dalla disposizione appena citata, la Corte ripercorreva “plurimi elementi di fatto”, accertati dal giudice del merito, che avrebbero dovuto essere oggetto di un nuovo esame per determinare “se il tipo di condotta, che ha portato all'illegittima diffusione [rectius comunicazione, n.d.r.] dei dati, sia tale da essere efficacemente contrastata da una sanzione amministrativa o non sia dipesa da una situazione di concomitanza di circostanze del tutto peculiari e difficilmente in sè ripetibili”.

Per tutto quanto sopra la Corte cassava la sentenza impugnata, con rinvio innanzi al Tribunale di Ravenna, in diversa composizione, affinché rivalutasse la questione alla luce dei principi di diritto enunciati, nonché per la liquidazione delle spese del giudizio di legittimità.

Osservazioni

Il percorso argomentativo del Collegio della Prima Sezione Civile della Corte appare lineare, e le soluzioni condivisibili sotto ogni profilo.

Non vi è dubbio, infatti, che la nozione di “dato personale relativo alla salute” deve essere suscettibile di abbracciare ogni informazione in qualunque modo o misura rivelatrice di condizioni, presenti, passate o future, “attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (vedi anche l'elencazione, ovviamente non tassativa, fornita dal considerando n. 35 GDPR).

Del resto, che un'informazione personale sia considerabile o no “delicata”, dipende dal contesto concreto, che può mutare inaspettatamente e rapidamente. Basti riportarsi con la mente all'epoca della pandemia, nella fase in cui anche solo notare una persona in coda davanti ad una farmacia (in attesa di sottoporsi a un tampone), poteva essere rivelatrice di informazioni piuttosto precise relative alla sua salute, e/o alla sua volontà di non volersi sottoporre a vaccinazione.

Tali informazioni “sensibili” però, per assurgere a “dati soggetti a maggiore tutela dell'anonimato” (quali sono, come nel caso di specie, quelli su eventi clinici e/o trattamenti relativi a donne che si sottopongono ad una IVG), devono risultare sufficientemente determinate e circostanziate.

Ad avviso della Cassazione, questa ed altre circostanze aggravanti sono state valorizzate in modo eccessivo dall'Autorità Garante, nel commisurare una sanzione sostanzialmente ritenuta, nel caso concreto, sproporzionata nell'entità, per inadeguato apprezzamento degli elementi di fatto accertati nel giudizio di merito, con conseguente valutazione di illegittimità della sanzione stessa. Sotto quest'ultimo profilo la pronuncia appare riprendere alcuni principi di diritto enunciati in Cass. civ., ord. 22 settembre 2023, n. 27189.

Sarà interessante monitorare l'esito del giudizio di rinvio, che peraltro prefigura una drastica riduzione (se non totale azzeramento) della sanzione amministrativa. Il che, in ogni caso, non esclude in radice una qualche responsabilità risarcitoria (anche ex  art. 82 GDPR) ascrivibile all'azienda ospedaliera, che non si ritiene improbabile possa essere (o essere già stata) oggetto di accertamento in un separato giudizio.