Viola le norme sulla protezione dei dati personali il sanitario che disvela notizie circa un paziente

La Corte di Cassazione, con la pronuncia n. 28417 depositata il giorno 11 ottobre 2023, si pronuncia in tema di protezione dei dati personali, con particolare riguardo all’ambito sanitario.

L’Azienda USL […] proponeva opposizione dinanzi al Tribunale di Ravenna avverso l’ordinanza-ingiunzione di pagamento della sanzione di 50mila euro comminata dal Garante per la protezione dei dati personali per l’illecito trattamento nei riguardi di una paziente sottopostasi ad interruzione volontaria di gravidanza . Il Tribunale di Ravenna accoglieva l’opposizione, annullando l’ordinanza-ingiunzione. Nel provvedimento veniva rilevato che la paziente, ricoverata presso il reparto di ginecologia per l’intervento interruttivo della gravidanza, aveva fornito un numero telefonico di sua pertinenza per i successivi contatti. Durante le procedure di dimissione, l’infermiera era costretta ad allontanarsi per un’urgenza. Per tale ragione, l’operatrice sanitaria , costretta a contattare la paziente per indicarle l’uso del farmaco necessario per le cure post-operatorie, non si avvedeva del contatto telefonico lasciato dall’interessata e apposto all’interno della sua cartellina personale. L’infermiera, infatti, telefonava al numero indicato sul frontespizio , in uso al marito della paziente, al quale riferiva di essere un’operatrice dell’Ospedale di Faenza e di dover interloquire con la moglie per una terapia, senza aggiungere null’altro di più specifico. Sulla base di tali fatti, secondo il Tribunale non può ritenersi integrata la fattispecie contestata da Garante dei dati personali di cui all’articolo 5, apr.1, lett. e e articolo 9 Reg. UE numero 2016/679 del 27 aprile 2016. Ciò in quanto, in base al considerando 35 del Regolamento, per dati personali relativi alla salute ” si intendono quelli contenenti informazioni sulla salute fisica e mentale. Nella specie, a tenore delle argomentazioni del giudice di prime cure, l’infermiera avrebbe riferito una notizia talmente generica da non integrare l’illecito in contestazione, né tantomeno l’obbligo di riservatezza imposto dalla legge sull’interruzione di gravidanza. Avverso tale provvedimento il Garante per la protezione dei dati personali ha proposto ricorso per Cassazione, lamentando la violazione e la falsa applicazione dell’articolo 32 Cost. e delle norme in materia di protezione dei dati e della riservatezza in materia abortiva . La Corte di Cassazione condivide le doglianze sollevate dall’Autorità garante. Più segnatamente, rileva il Collegio Decidente che la genericità dell’informazione non elide l’illecito. L’esistenza di una malattia” in senso lato – intesa dunque come situazione che renda necessario un trattamento sanitario – attiene a dato sulla salute non occorre, cioè, che sia specificato di quale trattamento terapeutico o di quale malattia si tratti. È questo l’orientamento seguito dalla Corte di Cassazione in ambito lavoristico, risarcitorio e bancario, ove già il mero riferimento alla malattia” è da considerarsi dato personale relativo alla salute. Pertanto, la Corte di Cassazione annulla la sentenza impugnata e rinvia al Tribunale di Ravenna, in diversa composizione, per nuovo esame della questione e anche per la liquidazione delle spese di legittimità.

Presidente Antonio – Relatore Nazzicone Fatti di causa La Azienda USL […] propose opposizione innanzi al Tribunale di Ravenna, chiedendo che fosse dichiarata illegittima l'ordinanza ingiunzione per il pagamento della sanzione di Euro 50.000,00, emessa in data 27 gennaio 2021, n. 36, dal Garante per la protezione dei dati personali, con la quale era stato dichiarato l'illecito trattamento dei dati personali di una paziente, sottopostasi ad interruzione volontaria della gravidanza. Con sentenza del 31 marzo 2022, n. 188, il Tribunale di Ravenna ha accolto l'opposizione, annullando l'ordinanza ingiunzione. La sentenza impugnata, in punto di fatto, sulla base delle prove prodotte ed espletate ha accertato che il omissis la paziente fu ricoverata presso il reparto di ginecologia per l'intervento di interruzione volontaria della gravidanza, fornendo un numero telefonico di sua pertinenza da utilizzare per i successivi contatti mentre erano in corso le procedure di dimissione, l'infermiera fu chiamata per un'urgenza e chiese alla paziente di attenderla, ma questa si allontanò ugualmente di sua iniziativa quindi l'infermiera, dovendo fornire necessarie indicazioni con riguardo al farmaco da assumere, tentava immediatamente di contattare la paziente utilizzando il numero scritto sul frontespizio della cartella clinica, senza notare che all'interno era ritenuto l'ulteriore recapito telefonico, ed al marito, che aveva risposto, riferì di essere infermiera presso l'Ospedale di […] e che doveva parlare con la moglie per una terapia, senza altro aggiungere. Sulla base di tali fatti, il Tribunale ha ritenuto che non sia stata integrata la fattispecie dell'addebito, individuata dal Garante nell'art. 5, par. 1, lett. a , e art. 9 reg. UE n. 2016/679 del 27 aprile 2016, per avere l'azienda sanitaria rivelato uno specifico stato di salute, comunicando a terzi dati idonei a rivelarlo, senza idonea base giuridica ed in violazione del diniego della stessa a consentirne la conoscenza da parte di soggetti terzi, in violazione del principio di correttezza ciò, in quanto il considerando art. 35 del regolamento prevede che per dati personali relativi alla salute si intendono quelli contenenti informazioni sulla salute fisica o mentale, come sui dati di registrazione a servizi di assistenza o prestazioni sanitarie, nonché un codice che identifichi il paziente a fini sanitari, quelle su esami e controlli effettuati su una parte del corpo e qualsiasi informazione concernente, ad esempio, una malattia, una disabilità, il rischio di malattie, l'anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell'interessato. Nella specie, invece, ha ritenuto che nessuna di tali informazioni sia stata fornita dall'infermiera, in quanto le uniche informazioni derivate dalla telefonata attengono al reparto ed il generico riferimento ad una terapia ma il reparto di ginecologia non è necessariamente di degenza, nè compie solo interventi di interruzione volontaria della gravidanza del pari, le terapie prescritte in un simile reparto sono le più varie, non necessariamente quelle post-operatorie di una interruzione di gravidanza volontaria. Ha concluso che la telefonata non configura una comunicazione contenente dati concernenti la salute giuridicamente rilevanti ai fini sanzionatori, in violazione del principio di correttezza. Nè risulta violato l'obbligo di riservatezza, imposto dalla L. n. 194 del 1978 , con riguardo a tale intervento, in quanto non fu fornita nessuna informazione riconducibile ad esso, avendo oltretutto il marito del tutto ignorato, come è stato provato, lo stato di gravidanza. Il Garante per la protezione dei dati personali ha proposto ricorso, sulla base di due motivi, cui resiste l'Azienda USL […] con controricorso, depositando anche la memoria. Ragioni della decisione 1. - Con il primo motivo si denuncia la violazione e falsa applicazione dell' art. 32 Cost. , art. 9, par. 4, e considerando artt. 10, 35 e 51 reg. UE n. 679/2016 , art. 83 Codice dei dati personali e dei principi di correttezza e riservatezza ex L. n. 196 del 1993, in quanto si trattava incontestatamente di dati relativi alla salute, nè il considerando contiene precetti normativi in sé, ma è solo esplicativo e non reca indicazioni tassative. L'art. 83, lett. h , del Codice predetto, ancora in vigore in virtù del D.Lgs. n. 101 del 2018, art. 22, prevede che le strutture pubbliche, che erogano prestazioni sanitarie, debbano adottare misure idonee a garantire il rispetto dei diritti ed il segreto professionale, ferme restando le regole sul trattamento dei dati sensibili e, tra le misure di sicurezza, debbono prevedere procedure, anche di formazione del personale, dirette a prevenire un'esplicita correlazione tra l'interessato e reparti o strutture, indicativa dell'esistenza di un particolare stato di salute . Ne deriva che la mera correlazione tra la paziente e il reparto di degenza abbia costituito illecito trattamento dei dati sulla salute della stessa. Con il secondo motivo, deduce la violazione o falsa applicazione del principio di riservatezza, di cui alla L. n. 194 del 1978 , atteso che il legislatore ha attribuito tutela alle donne che ricorrono ad intervento di interruzione volontaria della gravidanza, ed il richiamato principio fu violato, sebbene non furono fornite informazioni che potessero rivelare il trattamento di c.d. IVG. 2. - I due motivi, da trattare congiuntamente in quanto intimamente connessi, sono fondati, nei limiti di seguito esposti. 2.1. - Secondo l'art. 4, n. 15, reg. UE n. 679/2016 , i dati relativi alla salute sono definiti i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute , e, ai sensi del n. 12, per violazione dei dati personali si intende la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati . La sanzione del Garante è stata comminata per violazione dell'art. 5, par. 1, lett. a , d e f , art. 9 e art. 32, par. 1, lett. b del Regolamento. L'art. 5, sui principi applicabili al trattamento di dati personali, richiede che essi siano a trattati in modo lecito, corretto e trasparente nei confronti dell'interessato liceità, correttezza e trasparenza d esatti e, se necessario, aggiornati devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati esattezza f trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali integrità e riservatezza . L'art. 32, sulla sicurezza del trattamento , prevede che - tenuto conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche - il titolare del trattamento e il responsabile del trattamento siano tenuti a predisporre misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio , comprendenti, ad esempio, la cifratura dei dati personali, la riservatezza ed integrità dei sistemi di trattamento, il ripristino tempestivo della disponibilità dei dati personali in caso di incidente fisico o tecnico, una procedura per verificare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. 2.2. - Nella specie, all'Azienda sanitaria, nel caso in esame, è stata contestata la violazione dell'art. 32, par. 1, lett. b , concernente specificamente la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento . Reputa il Collegio, alla stregua delle parole usate, che il fatto stesso di comunicare l'esigenza di un trattamento sanitario e, quindi, l'esistenza di una malattia in senso lato - intesa dunque come situazione che renda necessario un trattamento sanitario - attiene a dato sulla salute non occorre cioè, a tal fine, che sia specificato di quale trattamento o di quale malattia si tratti. Invero, questa Corte ha già ritenuto che anche il semplice riferimento ad un'assenza dal lavoro per malattia costituisca un dato personale relativo alla salute del soggetto cui l'informazione si riferisce Cass. 8 agosto 2013, n. 18980 , in motiv. , così come l'ostensione di una situazione di invalidità sia pur genericamente indicata Cass. 26 giugno 2018, n. 16816 , la necessità del lavoratore di sottoporsi a consulenza psichiatrica Cass. 31 gennaio 2018, n. 2367 , non massimata , la indicazione della causale del bonifico richiesto in favore di un beneficiario dell'indennizzo previsto dalla L. n. 210 del 1992 , in favore di coloro che hanno patito una infezione per effetto di trasfusione o vaccinazione e dei ai prossimi congiunti di persone venute meno a causa dell'infezione da trasfusione o vaccinazione Cass., sez. un., 27-122017, n. 30981 . 2.3. - Questa Corte ha anche chiarito che, in tema di sanzioni amministrative, l'opposizione all'ordinanza-ingiunzione non configura un'impugnazione dell'atto, ed introduce, piuttosto, un ordinario giudizio sul fondamento della pretesa dell'autorità amministrativa, devolvendo al giudice adito la piena cognizione circa la legittimità e la fondatezza della stessa, con l'ulteriore conseguenza che il giudice ha il potere-dovere di esaminare l'intero rapporto, con cognizione non limitata alla verifica della legittimità formale del provvedimento, ma estesa - nell'ambito delle deduzioni delle parti - all'esame completo nel merito della fondatezza dell'ingiunzione, ivi compresa la determinazione dell'entità della sanzione sulla base di un apprezzamento discrezionale e multis, Cass. 15 giugno 2020, n. 11481 Cass. 27 dicembre 2018, n. 33373 , non mass. Cass. 10 aprile 2018, n. 8792 , non mass. Cass. 9 gennaio 2017, n. 192 Cass. 17 agosto 2016, n. 17143 Cass. 2 aprile 2015, n. 6778 , in relazione alla L. 24 novembre 1981, n. 689, art. 23 e già Cass. 17 aprile 2013, n. 9255 Cass. 24 marzo 2004, n. 5877 Cass. 10 dicembre 1996, n. 10976 . Invero, in tema di sanzioni amministrative pecuniarie, spetta al potere discrezionale del giudice determinarne l'entità, entro i limiti previsti dalla legge, allo scopo di commisurarla alla gravità del fatto concreto, globalmente desunta dai suoi elementi oggettivi e soggettivi. Infatti, il giudizio di opposizione non ha ad oggetto l'atto, ma il rapporto, con conseguente cognizione piena del giudice, che potrà e dovrà valutare le deduzioni difensive proposte in sede amministrativa eventualmente non esaminate o non motivatamente respinte , in quanto riproposte nei motivi di opposizione, decidendo su di esse con pienezza di poteri, sia che le stesse investano questioni di diritto che di fatto Cass., sez. un., 28 gennaio 2010, n. 1786 . Per quanto specificamente attiene alle sanzioni comminate dal Garante per la protezione dei dati personali, per il disposto del D.Lgs. n. 196 del 2003, art. 166, comma 7, nell'adozione dei provvedimenti sanzionatori si osservano, in quanto applicabili, della L. 24 novembre 1981, n. 689, artt. da 1 a 9, artt. da 18 a 22 e artt. da 24 a 28 . Tra essi, la L. n. 689 del 1981, art. 22, dispone che l'opposizione è regolata dal D.Lgs. 1 settembre 2011, n. 150, art. 6 . Il D.Lgs. n. 150 del 2011, art. 6, prevede, al comma 11, che il giudice accoglie l'opposizione quando non vi sono prove sufficienti della responsabilità dell'opponente al comma 12, che il giudice possa, con la sentenza che accoglie l'opposizione, anche modificare l'ordinanza-ingiunzione limitatamente all'entità della sanzione dovuta, che è determinata in una misura in ogni caso non inferiore al minimo edittale. Il giudizio di commisurazione della sanzione deve tenere conto, a norma dell'art. 83 del regolamento, concernente le Condizioni generali per infliggere sanzioni amministrative pecuniarie , del precetto generale secondo cui le sanzioni amministrative siano in ogni singolo caso effettive, proporzionate e dissuasive , e che, al momento di fissare l'ammontare della sanzione, si tenga debito conto dei seguenti elementi a la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l'oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito b il carattere doloso o colposo della violazione c le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati d il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli artt. 25 e 32 e eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento f il grado di cooperazione con l'autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi g le categorie di dati personali interessate dalla violazione h la maniera in cui l'autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione i qualora siano stati precedentemente disposti provvedimenti di cui all'art. 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti j l'adesione ai codici di condotta approvati ai sensi dell'art. 40 o ai meccanismi di certificazione approvati ai sensi dell'art. 42 k eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione. Ai sensi dell'art. 83, commi 4 e 5, non vi è una misura minima della sanzione, per i casi di minore gravità complessiva. 2.4. - Ne deriva che, nel caso di specie, il giudice del merito dovrà prendere in considerazione, sotto il profilo dell'induzione in errore dell'Azienda, plurimi elementi di fatto, come già accertati dal giudice del merito, quali a la condotta della paziente stessa, che non soltanto fornì entrambi i numeri di telefono per il contatto, ivi compreso quello utilizzato, ma, soprattutto, non attese, come le era stato chiesto ed indicato, il ritorno dell'infermiera per ottenere la corretta terapia b la condotta di estrema diligenza dell'infermiera nel preoccuparsi di reperire la paziente, sebbene questa si fosse inopportunamente e volontariamente allontanata prima del permesso di congedo medico dalla struttura c l'essere la notizia comunicata, pur attinente genericamente la salute, rimasta del tutto indeterminata, potendo ben riguardare una mera visita ordinaria di controllo, sia pure in quel reparto, senza nessuna lesione della dignità dell'interessata, che avrebbe potuto essere in gioco solo ove fosse stata comunicata l'effettiva ragione dell'intervento terapeutico richiesto di dignità della donna e della persona indicata come padre del concepito parla invero proprio la L. n. 194 del 1978, art. 5, secondo cui la struttura sanitaria deve, specialmente quando la richiesta di interruzione della gravidanza sia motivata dall'incidenza delle condizioni economiche, o sociali, o familiari sulla salute della gestante, esaminare con la donna e con il padre, ove la donna lo consenta, nel rispetto della dignità e della riservatezza della donna e della persona indicata come padre del concepito, le possibili soluzioni dei problemi proposti, di aiutarla a rimuovere le cause che la porterebbero alla interruzione della gravidanza, di metterla in grado di far valere i suoi diritti di lavoratrice e di madre, di promuovere ogni opportuno intervento atto a sostenere la donna, offrendole tutti gli aiuti necessari sia durante la gravidanza sia dopo il parto d il conseguente impatto limitato della notizia di una visita in un reparto sulla sfera giuridica dell'interessata e pure rileva la condotta della Asl, che immediatamente ritenne di notificare al Garante ed attuare altresì ulteriori misure interne f infine, potrà il giudice del merito considerare l'emergenza indotta da epidemia Covid in corso, che richiedeva uno sforzo straordinario del sistema sanitario per far fronte a ben altre criticità e pericoli per la vita dei pazienti. Occorrerà altresì in generale considerare l'art. 83 del regolamento, sopra menzionato, con il principio relativo alle sanzioni amministrative, che, ove, comminate, devono essere in ogni singolo caso effettive, proporzionate e dissuasive dovendo, quindi, rilevare se il tipo di condotta, che ha portato all'illegittima diffusione dei dati, sia tale da essere efficacemente contrastata da una sanzione amministrativa o non sia dipesa da una situazione di concomitanza di circostanze del tutto peculiari e difficilmente in sé ripetibili. Infine, ai sensi del D.Lgs. 10 agosto 2018, n. 101, art. 22, comma 13, è prevista in via generale una ulteriore limitazione dell'entità della sanzione, nei primi mesi di entrata in vigore del decreto, come nella specie. In definitiva, il giudice del merito dovrà rivalutare tutte le circostanze del caso e l'errore umano, anche sotto il profilo se fu circoscritto ed indotto dal soggetto i cui dati furono comunicati. 3. - La sentenza impugnata è cassata, con rinvio innanzi al Tribunale di Ravenna, in diversa composizione, perché rivaluti la controversia, alla stregua dei principi sopra esposti. P.Q.M. La Corte accoglie il ricorso, cassa la sentenza impugnata e rinvia la causa innanzi al Tribunale di Ravenna, in diversa composizione, anche per la liquidazione delle spese di legittimità.