Dato sulla salute nella comunicazione di informazioni sull’assegnazione di un paziente a un reparto
29 Febbraio 2024
Massima Ai fini della qualificazione di un'informazione personale come “relativa alla salute” non occorre che vi sia una specificazione del trattamento sanitario o della patologia della persona stessa; pertanto, la correlazione tra l'identità di una donna ed il reparto di una struttura sanitaria è da considerarsi “dato personale relativo alla salute”, ma (in sé sola) tale informazione non lede la dignità e la riservatezza della donna, tutelate dalla legge n. 194/1978 sull'interruzione volontaria della gravidanza (IVG). Peraltro, i fatti che hanno portato il Garante per la Protezione dei Dati Personali ad irrogare una sanzione amministrativa pecuniaria devono essere rivalutati (e con essi l'an e il quantum della sanzione stessa) dal giudice del rinvio. Il caso Una donna si sottoponeva, nel marzo 2019, ad un intervento di IVG presso un'azienda sanitaria pubblica, fornendo per i successivi contatti un numero telefonico a sé riferito. Nel contesto delle procedure di dimissione, nelle quali il personale infermieristico avrebbe dovuto fornire alla paziente indicazioni in ordine a farmaci da assumere, quest'ultima si allontanava spontaneamente nonostante fosse stata invitata dall'infermiera (in quel momento chiamata altrove per un'urgenza) ad attenderla. L'infermiera provvedeva immediatamente a rintracciare telefonicamente la paziente ad un numero telefonico (reperito sul frontespizio della cartella clinica informatizzata) al quale rispondeva un uomo (il di lei marito), al quale l'infermiera riferiva di essere del reparto di Ginecologia di tale ospedale e che doveva parlare con la moglie per una terapia, senz'altro specificare. A distanza di mesi, l'azienda ospedaliera veniva raggiunta da una richiesta di risarcimento danni da parte della paziente, che censurava l'operato dell'azienda, fra l'altro, con riferimento al fatto che il numero di telefono utilizzato dall'infermiera non era quello fornito in occasione di quell'episodio di ricovero (relativo all'IVG), ma tempo addietro in occasione di altri accessi in struttura. L'azienda sanitaria, ravvedendo nell'accaduto un evento di violazione dei dati personali a norma dell'art. 33 GDPR, provvedeva a notificare l'incidente all'Autorità Garante per la Protezione dei Dati Personali (GPDP) nei termini di legge. L'Autorità avviava l'istruttoria preliminare e notificava all'azienda sanitaria la comunicazione di avvio del procedimento per l'adozione delle misure correttive, all'esito del quale veniva emanata, nel gennaio 2021, ordinanza ingiunzione per il pagamento di una sanzione amministrativa pecuniaria (ai sensi degli artt. 58, par. 2, lett. i) e 83 GDPR, nonché dell'art. 166 d.lgs. n. 196/2003) di € 50.000,00 nei confronti dell'Azienda sanitaria. Avverso tale ordinanza ingiunzione proponeva opposizione l'Azienda sanitaria davanti al Tribunale di Ravenna, che con sentenza del marzo 2022 accoglieva l'opposizione annullando l'ordinanza ingiunzione, ritenendo che le informazioni comunicate non fossero qualificabili come “dati personali relativi alla salute” e che, conseguentemente, non fosse neppure stato violato l'obbligo di riservatezza stabilito dalla legge sull'IVG. Ricorreva per cassazione il GPDP sulla base di due motivi; l'azienda sanitaria resisteva con controricorso e memoria. La questione Le questioni di diritto sostanziale in esame sono sostanzialmente due, e vertono sulla qualificazione giuridica dell'informazione consistente nella correlazione tra un paziente e un reparto di degenza di una struttura sanitaria, sotto due profili:
Vi sono inoltre questioni di diritto processuale, in ordine - da un lato - all'oggetto dell'opposizione ad un'ordinanza ingiunzione per il pagamento di una sanzione amministrativa pecuniaria, nonché - d'altro lato - ai criteri per la determinazione dell'entità delle sanzioni comminate dal GPDP. Le soluzioni giuridiche La Corte censurava la sentenza del Tribunale di Ravenna laddove quest'ultimo concludeva che le informazioni comunicate non consistessero in dati personali relativi alla salute (in quanto, a dire del Tribunale, nulla rivelavano in merito a specifici trattamenti o patologie della paziente), in linea con precedenti arresti della Corte, che sancivano la natura “sensibile” (ad esempio):
La sentenza del Tribunale veniva peraltro confermata sotto l'aspetto della non esistenza di una lesione del principio di dignità e riservatezza della donna, tutelati dalla legge n. 194/1978 sull'IVG, a motivo del fatto che la notizia comunicata risultava (pur nel suo essere genericamente attinente alla salute) “ del tutto indeterminata ” e dunque, in sé, con “impatto limitato [...] sulla sfera giuridica dell'interessata”. Sugli aspetti processuali la Corte osservava quanto segue:
Per tutto quanto sopra la Corte cassava la sentenza impugnata, con rinvio innanzi al Tribunale di Ravenna, in diversa composizione, affinché rivalutasse la questione alla luce dei principi di diritto enunciati, nonché per la liquidazione delle spese del giudizio di legittimità. Osservazioni Il percorso argomentativo del Collegio della Prima Sezione Civile della Corte appare lineare, e le soluzioni condivisibili sotto ogni profilo. Non vi è dubbio, infatti, che la nozione di “dato personale relativo alla salute” deve essere suscettibile di abbracciare ogni informazione in qualunque modo o misura rivelatrice di condizioni, presenti, passate o future, “attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (vedi anche l'elencazione, ovviamente non tassativa, fornita dal considerando n. 35 GDPR). Del resto, che un'informazione personale sia considerabile o no “delicata”, dipende dal contesto concreto, che può mutare inaspettatamente e rapidamente. Basti riportarsi con la mente all'epoca della pandemia, nella fase in cui anche solo notare una persona in coda davanti ad una farmacia (in attesa di sottoporsi a un tampone), poteva essere rivelatrice di informazioni piuttosto precise relative alla sua salute, e/o alla sua volontà di non volersi sottoporre a vaccinazione. Tali informazioni “sensibili” però, per assurgere a “dati soggetti a maggiore tutela dell'anonimato” (quali sono, come nel caso di specie, quelli su eventi clinici e/o trattamenti relativi a donne che si sottopongono ad una IVG), devono risultare sufficientemente determinate e circostanziate. Ad avviso della Cassazione, questa ed altre circostanze aggravanti sono state valorizzate in modo eccessivo dall'Autorità Garante, nel commisurare una sanzione sostanzialmente ritenuta, nel caso concreto, sproporzionata nell'entità, per inadeguato apprezzamento degli elementi di fatto accertati nel giudizio di merito, con conseguente valutazione di illegittimità della sanzione stessa. Sotto quest'ultimo profilo la pronuncia appare riprendere alcuni principi di diritto enunciati in Cass. civ., ord. 22 settembre 2023, n. 27189. Sarà interessante monitorare l'esito del giudizio di rinvio, che peraltro prefigura una drastica riduzione (se non totale azzeramento) della sanzione amministrativa. Il che, in ogni caso, non esclude in radice una qualche responsabilità risarcitoria (anche ex art. 82 GDPR) ascrivibile all'azienda ospedaliera, che non si ritiene improbabile possa essere (o essere già stata) oggetto di accertamento in un separato giudizio. Riferimenti normativiRiferimenti giurisprudenziali |