La Corte di Cassazione si pronuncia sul rigetto di opposizione di una casa di cura contro il provvedimento di sanzione amministrativa comminata dal Garante Privacy e approfondisce l’adempimento della notificazione telematica.
Il caso. Il Garante per la protezione dei dati personali sanzionava una casa di cura per non avere provveduto a segnalare all’Autorità in via preventiva tramite la notificazione telematica, il trattamento dei dati personali relativi alla diagnosi e cura di patologie medico-chirurgiche concernenti la rilevazione di malattie infettive e diffusive e sieropositività come previsto dall’art. 37, comma 1, lett. b del codice in materia di protezione dei dati personali d.lgs. n. 196/2003 . La notificazione precede l'inizio del trattamento dei dati art. 38, comma 1, Codice della Privacy e può riguardare uno o più trattamenti con finalità correlate e costituisce un adempimento a carico del titolare del trattamento dei dati personali persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza v. art. 4, comma 1, lett. f Codice della Privacy . La notificazione è validamente effettuata solo se è trasmessa attraverso il sito del Garante, utilizzando l'apposito modello, che contiene specifiche e tassative informazioni previste dal Codice della Privacy coordinate identificative del titolare, la finalità del trattamento una descrizione della/delle categorie di persone interessate e dei dati o delle categorie di dati relative alle medesime i destinatari o le categorie di destinatari a cui i dati possono essere comunicati, i trasferimenti di dati previsti verso paesi terzi una descrizione generale che permetta di valutare in via preliminare l’adeguatezza delle misure adottate per garantire la sicurezza del trattamento. La disciplina in materia di notificazione del trattamento dei dati personali è contenuta negli artt. 37, 38, 154, comma 1, lett. l , 163, 168, 181, comma 1, lett. c , 16, 162, comma 1, d.lgs. n. 196/2003 Codice in materia di protezione dei dati personali . Nel caso di omessa o inidonea notificazione nel caso di notizie incomplete viene prevista, ai sensi dell’art. 163 del Codice della Privacy, una sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro. Il Garante per la protezione dei dati personali, nell’ottica di semplificazione, ha adottato un provvedimento generale Registro delle Deliberazioni n. 1 del 31 marzo 2004, G. U. n. 81 del 6 aprile 2004 nel quale ha indicato alcuni casi da sottrarre all'obbligo di notificazione esenzioni . La casa di cura presentava opposizione alla sanzione amministrativa ai sensi dell’art. 152 del Codice della Privacy di fronte al Tribunale di Ancona. Secondo il Tribunale, nel caso in esame, ricorrevano i presupposti previsti per l’obbligo di notificazione al Garante per la protezione dei dati personali trattamento di dati idonei a rivelare lo stato di salute e la vita sessuale, tra cui quelli concernenti la rilevazione, attraverso le normali indagini su campioni ematici, di malattie infettive e sieropositività . Il caso in esame non rientrava, secondo il Tribunale, negli esoneri di notificazione previsti dal sopra citato provvedimento generale del Garante relativo ai casi da sottrarre all'obbligo di notificazione in relazione ai trattamenti effettuati dagli esercenti le professioni sanitarie tale denominazione si riferisce alle persone fisiche e non alle strutture sanitarie. Il Tribunale rigettava, pertanto, l’opposizione della casa di cura. La casa di cura presentava ricorso alla Cassazione per l’errata interpretazione del Tribunale delle disposizioni dell’art. 37 del Codice della Privacy ad oggetto l’obbligo di notificazione al Garante privacy. La casa di cura rappresentava che l’art. 37 del Codice della privacy prevede l’obbligo di notifica per i trattamenti di dati idonei e rivelare lo stato di salute e la vita sessuale non in relazione al contenuto dei dati, ma in relazione alle finalità. Per rilevazione, secondo la casa di cura si dovrebbe intendere l’attività di indagine che può essere finalizzata a diversi scopi dalla tutela della salute alla ricerca scientifica o statistica . La rilevazione che fa scattare l’obbligo di notificazione, è, secondo la casa di cura, esclusivamente quella connessa alla formazione e implementazione delle banche dati specificatamente realizzate per la raccolta e l’organizzazione di dati relativi a quelle specifiche patologie. Obbligo di notificazione? Secondo la casa di cura, il sopra citato obbligo di notificazione non riguarderebbe le banche dati generali nelle quali le strutture sanitarie fanno confluire, insieme con i dati anagrafici dei pazienti e le altre informazioni a costoro relative, anche i dati relativi a malattie infettive e diffusive acquisiti nell’ambito della normale attività diagnostica, bensì soltanto i trattamenti di dati posti in essere dai centri specializzati nello studio, la diagnosi e la cura delle patologie specificatamente indicate nella disposizione in commento. La Cassazione ha rigettato il ricorso e ha confermato l’interpretazione operata dal Tribunale di Ancona. La Cassazione ha richiamato l’attenzione sul dato testuale, e sull’interpretazione letterale ai sensi dell’art. 12 delle preleggi di quanto previsto dall’art. 37, b del codice della Privacy sui dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria . Notificazione telematica del Garante per le case di cura. L’interpretazione fornita dalla casa di cura sull’art. 37, secondo la Cassazione, è restrittiva in quanto la stessa pretende di interpretare il termine rilevazione” atto e risultato del rilevare come indagine conoscitiva quasi che lo stesso termine rilevazione fosse seguito dall’aggettivo epidemiologica o dall’aggettivo statistica” e non può essere condivisa. La Cassazione evidenzia che le finalità di indagini epidemiologiche sono previste inoltre nell’elenco delle finalità dei trattamenti dei dati idonei a rivelare lo stato di salute e la vita sessuale a cui la norma collega l’obbligo di notifica, quali che siano le patologie oggetto delle indagini stesse rispetto a quella della rilevazione di malattie mentali, infettive e diffusive, sieropositività. Secondo la Cassazione anche il provvedimento del Garante di elenco dei casi sottratti alla notificazione richiamato dalla casa di cura nella difesa conferma la tesi del Tribunale. L’interpretazione della casa di cura, secondo la quale l’obbligo di notificazione al Garante dei dati idonei a rivelare lo stato di salute trattati a fini di procreazione assistita, come a fini di rilevazione di malattie mentali, infettive e diffusive, sieropositività, come a fini di trapianto di organi e tessuti, gravi solo sulle strutture specializzate in una delle sopra citate attività sanitarie e non gravi sulle strutture che pratichino tali attività senza essere specializzate esclusivamente in una di esse è, secondo la Cassazione, pertanto, priva di fondamento. La sentenza è di interesse in quanto approfondisce, tra le prime in Italia, l’istituto della notificazione telematica del Garante per le case di cura, adempimento che sarà abrogato dal nuovo testo del regolamento europeo in materia di protezione dei dati personali che richiederà una complessa armonizzazione a cura delle autorità Garanti nazionali. La Cassazione ha compensato le spese alla luce dell’assenza di precedenti di legittimità e la presenza di precedenti dissonanti di merito.
Corte di Cassazione, sez. II Civile, sentenza 5 febbraio – 21 aprile 2016, n. 8105 Presidente Presidente – Relatore Cosentino Svolgimento del processo La società Labor spa - Casa di Cura Villa Igea ha proposto ricorso contro il Garante per la protezione dei dati personali di seguito, il Garante per la cassazione della sentenza con cui il tribunale di Ancona ha rigettato l’opposizione ex art. 152 d.lgs. 196/03 codice della privacy dalla stessa proposta avverso l’ordinanza ingiunzione del medesimo Garante del 15.1.07. Con tale ordinanza la Casa di Cura era stata sanzionata ai sensi dell’articolo 163 del codice della privacy per aver omesso, in violazione del disposto dell’articolo 37, comma 1, lett. b , dello stesso codice, la notificazione al Garante del trattamento, dalla stessa effettuato, dei dati personali relativi alla diagnosi e onta di patologie medico-chirurgiche concernenti la rilevazione di malattie infettive e diffusive e sieropositività. Il tribunale di Ancona ha fondato la propria decisione sulla seguente catena argomentativa la Casa di cura si occupa di attività di diagnosi e cura nell’ambito di detta attività essa tratta, avvalendosi di banche dati sia cartacee che elettroniche, dati idonei a rivelare lo stato di salute e la vita sessuale, tra cui quelli concernenti la rilevazione, attraverso le normali indagini su campioni ematici, di malattie infettive e diffusive e sieropositività. ricorrevano quindi i presupposti dell’obbligo di notificazione del trattamento al Garante, ai sensi dell’articolo 37, comma 1, lett. b , del codice della privacy la Casa di cura non poteva giovarsi dell’esonero dal suddetto obbligo di notificazione disposto dal Garante - con la delibera n. 1 del 31.3.04, adottata ai sensi del secondo comma del suddetto articolo 37 del codice della privacy - in relazione ai trattamenti di dati effettuati da esercenti le professioni sanitarie ciò in quanto l’espressione esercenti le professioni sanitarie non poteva che riferirsi a persone fisiche e non a strutture sanitarie, pubbliche o private. Il ricorso si fonda su un solo motivo, riferito alla violazione dell’articolo 37, comma 1, lett. b del codice della privacy. Il Garante ha depositato con controricorso. Solo la ricorrente ha depositato memoria ex art. 378 cpc. Il ricorso è stato discusso alla pubblica udienza del 5.2.16 nella quale il Procuratore Generale ha concluso come in epigrafe. Motivi della decisione Con l’unico mezzo di ricorso si censura l’assunto del giudice territoriale secondo cui la Casa di Cura Villa Igea sarebbe tenuta a notificare al Garante il trattamento, da lei effettuato, di dati idonei a rivelare lo stato di salute e la vita sessuale, trattandosi di dati inerenti la rilevazione di malattie infettive e diffusive e sieropositività attraverso le normali indagini su campioni ematici pag. 4 della sentenza gravata , ossia di dati da cui è possibile rilevare la sussistenza di malattie infettive e diffusive e sieropositività pag. 5 della sentenza gravata . Al riguardo nel ricorso si sviluppano le seguenti argomentazioni a l’articolo 37, comma 1, lett. b , del codice della privacy collega l’obbligo di notificare al Garante i trattamenti di dati idonei a ritrovare lo stato di salute e la vita sessuale non in relazione al contenuto di tali dati, ma in relazione alla finalità del relativo trattamento, normativamente indicata, tra l’altro, nella rilevazione di malattie mentali, infettive e diffusive, sieropositività b per rilevazione si dovrebbe intendere l’attività di indagine conoscitiva che può essere finalizzata a diversi scopi dalla tutela della salute alla ricerca scientifica o statistica la rilevazione a cui deve essere finalizzato il trattamento dei dati perché sorga l’obbligo della relativa notifica al Garante sarebbe cioè, secondo la ricorrente, solo quella destinata alla formazione e all’implementazione di banche dati specificamente realizzate per la raccolta e l’organizzazione di dati relativi a quelle specifiche patologie c conseguentemente, sempre secondo la ricorrente, l’obbligo della notificazione ex art. 37, comma 1, lett. b , del codice della privacy non riguarderebbe le banche dati generali nelle quali le strutture sanitarie fanno confluire, insieme con i dati anagrafici dei pazienti e le altre informazioni sanitarie a costoro relative, anche i dati relativi a malattie infettive e diffusive acquisiti nell’ambito della normale attività diagnostica, bensì soltanto i trattamenti di dati posti in essere dai centri specializzati nello studio, la diagnosi e la cura delle patologie specificamente indicate nella disposizione in commento. La tesi della ricorrente non può essere condivisa. È opportuno, per comodità di discorso, trascrivere integralmente il testo dell’articolo 37, comma 1, lettera b , del codice della privacy, alla cui stregua vanno notificati al Garante i trattamenti dei dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria . La semplice lettura del testo ora riportato rende palese che l’interpretazione operatane dal giudice territoriale, e sostenuta dalla difesa del Garante, non è, come pretende la ricorrente, un’interpretazione estensiva ma, al contrario, è una corretta interpretazione letterale, fondata, come prescritto dall’articolo 12 delle preleggi, sul significato proprio delle parole e, precisamente, della parola rilevazione , ossia atto e risultato dell’atto del rilevare. È il ricorrente che pretende di operare una interpretazione arbitrariamente restrittiva leggendo la parola rilevazione , nel testo sopra trascritto, come indagine conoscitiva , quasi che la stessa fosse seguita dall’aggettivo epidemiologica o dall’aggettivo statistica . Manifesta riprova di quanto qui si sostiene è, del resto, che nell’elenco delle finalità dei trattamenti dei dati idonei a rivelare lo stato di salute e la vita sessuale a cui la norma collega l’obbligo di notifica al Garante è inclusa anche la finalità delle indagini epidemiologiche , come finalità diversa - ed autonomamente idonea a far insorgere l’obbligo della notifica al Garante, quali che siano le patologie oggetto delle indagini stesse - rispetto a quella della rilevazione di malattie mentali, infettive e diffusive, sieropositività . Può ancora osservarsi che la ricorrente, per sostenere il proprio assunto, invoca le precisazioni sulle notificazioni in ambito sanitario diffuse dal Garante con documento del 26.4.04, laddove, a commento dell’esonero dall’obbligo di notificazione disposto con la delibera del Garante 31.3.04 n. 1 in relazione ai trattamenti di dati effettuati da esercenti le professioni sanitarie, si legge Per quanto riguarda poi le malattie mentali, infettive e diffusive, il trattamento da notificare è solo quello effettuato a fini di rilevazione di tali patologie. Questa circostanza ricorre nel caso di insiemi organizzati di informazioni su tali aspetti - di cui sono spesso gestori strutture, anziché persone fisiche - e non anche in caso di episodi occasionali di diagnosi e cura che riguardano un singolo professionista oppure nei casi in cui, presso un comune, occorre adottare in conformità alla legge un provvedimento che dispone un trattamento sanitario obbligatorio . Al riguardo il Collegio rileva che tale testo, lungi dal supportare le tesi della ricorrente, fornisce ulteriore argomento per dissentirne. Da un lato, infatti, la nozione, ivi enunciata, di insiemi organizzati di informazioni su tali aspetti ben può essere riferita alle banche dati dei pazienti delle strutture sanitarie in cui confluiscano, con gli altri dati idonei a rivelare lo stato di salute, anche quelli trattati per rilevare la presenza di malattie infettive e diffusive o la sieropositività d’altro lato, il rilievo testuale che la circostanza della finalizzazione del trattamento alla rilevazione non ricorre in caso di episodi occasionali di diagnosi e cura che riguardano un singolo professionista conferma che essa invece ricorre, anche nell’interpretazione della legge seguita dal Garante, nel caso di insiemi organizzati di informazioni su tali aspetti - di cui sono spesso gestori strutture, anziché persone fisiche caso in cui rientra quello delle banche dati delle ciniche in cui confluiscano dati trattati per rilevare malattie mentali, infettive e diffusive. Né, per altro verso, appaiono concludenti le considerazioni del ricorrente in ordine alla ratio semplificatrice che ha condotto il legislatore a passare, con il codice della privacy, dal regime della previgente legge n. 675/96 tutti i titolari del trattamento sono tenuti a notificare tranne coloro che sono espressamente esonerati a quello ancora oggi in vigore notificano solo coloro che rientrano in determinati ambiti normativamente individuati pagina 18 del ricorso . Nella specie, infatti, la soggezione all’obbligo di notifica del trattamento dei dati relativi allo stato di salute che vengano trattati per la rilevazione di malattie mentali, infettive e diffusive viene prevista espressamente dalla legge. Infine appare priva di pregio la considerazione, svolta dalla ricorrente nella memoria ex art. 378 c.p.c., secondo cui indiretta conferma dell’assunto sostenuto nel ricorso discenderebbe dalla ordinanza di questa Corte n. 8184/14, che ha affermato l’onere della notificazione a carico di una struttura convenzionata con il Servizio sanitario nazionale per il ricovero e la degenza nella branca medica specialistica di ostetricia e ginecologia, con annesso servizio per il trattamento della sterilità il testo dell’articolo 37, comma 1, lett. b , del codice della privacy non offre infatti alcun supporto all’assunto della difesa della ricorrente secondo cui l’obbligo di notificare al Garante il trattamento dei dati idonei a rivelare lo stato di salute trattati a fini di procreazione assistita, come a fini di rilevazione di malattie mentali, infettive e diffusive, sieropositività, come a fini di trapianto di organi e tessuti, gravi solo sulle strutture specializzate in una di tali attività sanitarie e non gravi sulle strutture che pratichino tali attività senza essere specializzate esclusivamente in una di esse per un caso di obbligo di notifica ex art. 37, comma 1, lett. b del codice della privacy a carico di un laboratorio di analisi cliniche, cfr. Cass. 1030/14, ove si discute esclusivamente della sussistenza di un errore scusabile . In conclusione il ricorso va rigettato. L’assenza di precedenti di legittimità e la presenza di taluni dissonanti precedenti di merito inducono il Collegio a compensare le spese del giudizio di cassazione. P.Q.M. La Corte rigetta il ricorso e compensa le spese del giudizio di cassazione.