A seguito di una ispezione condotta dalla Guardia di Finanza (Nucleo ispettivo Privacy) si era determinata una ordinanza-ingiunzione contro una struttura sanitaria privata, rea di non avere proceduto alla notificazione al Garante, ai sensi di quanto disposto dall’art. 37, c. 1, lett. B).
La struttura in questione aveva proposto ricorso al Tribunale rilevando che tali dati venivano trattati solo in funzione delle prestazioni sanitarie erogate, in assenza di sistematizzazione e/o organizzazione di banche dati. Inoltre, fondava la legittimità della propria condotta richiamando la circolare dell’Associazione italiana ospedalità privata (AIOP) con la quale erano state acquisite informazioni in merito a suddetti obblighi.
Il Tribunale accoglieva il ricorso ritenendo che l’articolo in questione non prevede un obbligo generale di notificazione, ma debba applicarsi solo in relazione a specifiche fattispecie, quali:
“b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria”. (Art. 37, c. 2, lett. B)
Ad avviso del giudice di primo grado il trattamento di dati a fini di prestazione di servizi sanitari non è assoggettato a tale obbligo.
Contro la sentenza del Tribunale, ha prodotto ricorso in Cassazione il Garante per la protezione dei dati personali, rimarcando come la struttura sanitaria privata svolgeva attività di raccolta di dati anche telematici relativi allo stato di salute dei pazienti, con finalità di diagnosi, cura, terapia e per adempimenti di natura amministrativa, oltre che, di legge.
Il Garante ha, altresì, dedotto come l’art. 37 (c. 1-bis. “La notificazione relativa al trattamento dei dati di cui al comma 1 non è dovuta se relativa all’attività dei medici di famiglia e dei pediatri di libera scelta, in quanto tale funzione è tipica del loro rapporto professionale con il Servizio sanitario nazionale”. Comma inserito dall’art. 2-quinquies, comma 1, lett. a), del decreto legge 29 marzo 2004, n. 81, convertito, con modificazioni, dalla legge 26 maggio 2004, n. 138) – a differenza di quanto erroneamente affermato dal Tribunale – ha una portata generica e che, inoltre, la Circolare richiamata dalla resistente prevede che siano sottratti all’obbligo di notifica i trattamenti di dati idonei a rivelare lo stato di salute effettuati da “esercenti le professioni sanitarie” e non da “strutture sanitarie”, che rappresenta la categoria alla quale appartiene la ricorrente.
L’art. 37, ad avviso del ricorrente, prescrive la notifica per il trattamento di dati sanitari a fini di prestazione di servizi sanitari per via telematica, senza che sia necessaria una successiva rielaborazione.
Pertanto, la notificazione al Garante dei dati idonei a rivelare lo stato di salute, trattati a fini di servizi sanitari per via telematica e relativi a banche dati o alla fornitura di beni, rientra fra quelle indicate specificamente nell’art. 37.
Dalla lettura dell’art. 37, secondo il Garante, vanno notificati le prestazioni per via telematica di servizi sanitari relativi ad una banca di dati o alla fornitura di beni, effettuata da una struttura sanitaria, pubblica o privata, consistente, indicativamente, nella raccolta di schede o di cartelle cliniche per ogni paziente, accessibile a diversi soggetti e consultabile in rete telematica oppure on line.
Suddetto obbligo di notificazione non vige, invece, per i trattamenti di dati sanitari effettuati:
1) manualmente mediante archivi cartacei, o
2) eseguiti nell’ambito di servizi di assistenza o consultazione sanitaria per via telefonica, o comunque
3) inseriti in banche dati non collegate a reti telematiche.
La Cassazione ha cassato la sentenza impugnata chiedendo al giudice del rinvio di uniformarsi al seguente principio di diritto:
“Agli effetti del Decreto Legislativo n. 196 del 2003, articolo 37, comma 1, lettera b, va notificato al Garante il trattamento di dati idonei aa rivelare lo stato di salute a fini di prestazione per via telematica di servizi sanitari relativi ad una banca di dati o alla fornitura di beni, effettuata da una struttura sanitaria pubblica o privata, e consistente, indicativamente, nella raccolta di schede o di cartelle cliniche per ogni paziente, accessibile a diversi soggetti e consultabile in rete telematica oppure online”.
fonte e approfondimenti https://www.fiscoetasse.com/approfondimenti/12678-trattamento-dei-dati-sanitari-on-line–occorre-la-notifica-al-garante.html
Corte di Cassazione Civile, Sezione 2, Sentenza 29 luglio 2016, n. 15908 (CED Cassazione 2016)
SVOLGIMENTO DEL PROCESSO
Con ricorso ex artt. 10, d. lgs. 01/09/2011, n. 150, e 152, d. lgs. 30 giugno 2003, n. 196, la (OMISSIS) SRL ha proposto opposizione avverso l’ordinanza – ingiunzione n. 367 del 4.10.2011 emessa dall’Autorità Garante per la protezione dei dati personali, conseguente ad accertamento operato da personale della Guardia di Finanza in data 17.11.2009 presso la struttura sanitaria all’epoca denominata “(OMISSIS)”, ed al verbale di contestazione del 19.11.2009, nel quale si affermava che erano stati trattati dati Decreto Legislativo n. 196 del 2003, ex articolo 37, comma 1, lettera b, (“Codice della privacy”) senza la prescritta notificazione. L’opponente deduceva che tali dati venissero rilevati solo in funzione delle prestazioni sanitarie erogate, in assenza di sistematizzazione e/o organizzazione in banche dati; che non sussisteva l’omissione contestata, attese le finalità per le quali erano stati raccolti i dati medesimi, diverse da quelle previste dall’articolo 37 citato, ciò anche alla luce delle informazioni acquisite mediante circolare dall’Associazione italiana ospedalità privata (AIOP). La (OMISSIS) S.R.L. ha perciò contestato la legittimità della sanzione irrogata, deducendo altresì la sussistenza di una fattispecie di errore scusabile, attese le peculiarità del quadro normativo, ed allegando comunque l’inesatta quantificazione, dovendo trovare applicazione l’articolo 164 bis del codice della privacy. Il GARANTE PROTEZIONE DATI PERSONALI si costituiva contestando l’opposizione.
Con sentenza n. 426/2012 del 12/06/2012, il TRIBUNALE di CHIAVARI accoglieva l’opposizione e annullava l’ordinanza ingiunzione.
Osservava il Tribunale come: 1) l’articolo 37, lettera b, del codice della privacy, a differenza della L. n. 675 del 1996, non preveda un obbligo generale di notificazione, individuando, invece, in positivo i casi tipici in cui tale obbligo sussiste; 2) il trattamento a fini di prestazione di servizi sanitari non sia, pertanto, generalmente assoggettato a tale obbligo, facendo la norma riferimento a specifici requisiti, ovvero che i dati siano trattati a fini di “…. prestazioni di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni.. “, per poi prevedere autonomamente le fattispecie di trattamento ai fini di “… indagini epidemiologiche… “, ed ancora il trattamento ai fini di: “… rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti… “; 3) la citata norma del Codice della privacy ha riguardo unicamente ad un’attività di rilevazione di dati, in termini di insiemi organizzati di informazioni, che non è propria di ogni struttura sanitaria; 4) la circolare n. 1 del 31.3.2004 dell’Autorità Garante avrebbe esercitato la prerogativa riservatale dalla legge di ridurre, e non certo di ampliare, l’ambito applicativo dell’obbligo di notificazione; 5) in definitiva, il trattamento dei dati non organizzati in una banca dati accessibile a terzi per via telematica (fattispecie non emergente nel caso in esame), con riferimento alle esigenze di tutela e salute degli interessati e di terzi, non rimane soggetto all’obbligo di notifica ex articolo 37 cit., a prescindere dalla distinzione fra esercenti le professioni sanitarie e strutture di cura. La fondatezza del ricorso in opposizione della (OMISSIS) S.R.L. veniva affermata dal Tribunale di Chiavari, dunque, per il fatto che l’opponente non svolgesse attività scientifica e di acquisizione dati se non in rapporto alle esigenze strettamente connesse alla prestazioni offerte.
Avverso la sentenza del Tribunale di Chiavari il GARANTE per la PROTEZIONE dei DATI PERSONALI ha proposto ricorso in unico motivo. La (OMISSIS) S.R.L. resiste con controricorso. Le parti hanno presentato memorie ai sensi dell’articolo 378 c.p.c..
MOTIVI DELLA DECISIONE
Il primo motivo del ricorso del Garante per la Protezione dei Dati Personali deduce violazione di legge con riguardo al Decreto Legislativo n. 196 del 2003, articolo 37, comma 1, lettera b. Assume il ricorrente come sia incontroverso che la (OMISSIS) S.R.L. svolgesse attività di raccolta di dati anche telematici relativi allo stato di salute dei pazienti, con finalità di diagnosi, cura, terapia, oltre che per adempimenti amministrativi e di legge. Deduce ancora che il Tribunale ha malamente interpretato la norma in esame, affermando che essa individua in positivo i casi in cui sussiste un obbligo di notificazione, laddove la stessa disposizione ha una portata generica, che, alla stregua del comma 2, viene dettagliata dal Garante. In tal senso, la Circolare del 31.3.2004 prevede che siano sottratti all’obbligo di notifica i trattamenti di dati idonei a rivelare lo stato di salute effettuati da “esercenti le professioni sanitarie”, laddove, essendo la (OMISSIS) S.R.L. una “struttura sanitaria”, essa non poteva andare esente da tale obbligo. L’articolo 37 cit. sarebbe anche chiaro nel prescrivere la notifica per il mero trattamento di dati sanitari “a fini di…prestazione di servizi sanitari per via telematica”, senza che sia necessaria una successiva rielaborazione. Si chiede dal ricorrente, in definitiva, di affermare che l’obbligo di notifica Decreto Legislativo n. 196 del 2003, ex articolo 37, comma 1, lettera b, sussiste con riferimento al trattamento, da parte di strutture sanitarie, di dati idonei a rilevare lo stato di salute.
La controricorrente eccepisce in via pregiudiziale l’inammissibilità del riferimento fatto in ricorso dal Garante alla Circolare del 26.04.2004, non prodotta nel corso del giudizio davanti al Tribunale. Trattasi, in realtà, di atto avente natura non normativa, quanto amministrativa, sicchè la relativa violazione non è denunciabile in cassazione ai sensi dell’articolo 360 c.p.c., n. 3. Peraltro, non essendovi cenno a tale circolare nella sentenza impugnata, era onere della parte ricorrente, al fine di evitare una statuizione di inammissibilità per novità della questione, di allegare l’avvenuta allegazione di essa innanzi al giudice di merito, e di indicare in quale specifico atto del giudizio precedente lo avesse fatto.
Per il resto, il ricorso risulta fondato.
Il Decreto Legislativo n. 196 del 2003, articolo 37, comma 1, lettera b, prescrive che:
“Il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguarda:
(…)
- b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria”.
Il comma 1-bis, aggiunge, peraltro:
“La notificazione relativa al trattamento dei dati di cui al comma 1 non è dovuta se relativa all’attività dei medici di famiglia e dei pediatri di libera scelta, in quanto tale funzione è tipica del loro rapporto professionale con il Servizio sanitario nazionale”.
Il comma 2 specifica che:
“Il Garante può individuare altri trattamenti suscettibili di recare pregiudizio ai diritti e alle libertà dell’interessato, in ragione delle relative modalità o della natura dei dati personali, con proprio provvedimento adottato anche ai sensi dell’articolo 17. Con analogo provvedimento pubblicato sulla Gazzetta ufficiale della Repubblica italiana il Garante può anche individuare, nell’ambito dei trattamenti di cui al comma 1, eventuali trattamenti non suscettibili di recare detto pregiudizio e pertanto sottratti all’obbligo di notificazione”.
Il Tribunale di Chiavari ha affermato che la (OMISSIS) S.R.L. fosse esonerata, dunque, per il fatto che l’opponente non svolgesse attività scientifica e di acquisizione dati se non in rapporto alle esigenze strettamente connesse alla prestazioni offerte, ma tale interpretazione della norma applicata risulta generica e non convincente.
La notificazione al Garante dei dati idonei a rivelare lo stato di salute, trattati a fini di servizi sanitari per via telematica e relativi a banche di dati o alla fornitura di beni, rientra fra quelle indicate specificamente nell’articolo 37 del Codice privacy. Detta notifica, generalmente imposta dalla legge per tali dati trattati con tali modalità, può, piuttosto, essere esclusa per effetto di un provvedimento dell’Autorità garante (nella specie, adottato il 31 marzo 2004, pubblicato sulla Gazzetta ufficiale 6 aprile 2004, n. 81 e sul sito web www.garanteprivacy.it).
In forza di tale delibera n. 1 del 31 marzo 2004, rimangono sottratti all’obbligo di notificazione al Garante, con riferimento ai casi di cui al comma 1, lettera b) dell’articolo 37, Codice privacy, “i trattamenti di dati idonei a rivelare lo stato di salute e la vita sessuale effettuati da esercenti le professioni sanitarie, anche unitamente ad altri esercenti titolari dei medesimi trattamenti:
- a) a fini di procreazione assistita, di trapianto di organi e tessuti, indagine epidemiologica, rilevazione di malattie mentali, infettive, diffusive o di sieropositività. Ciò sempre che i trattamenti siano effettuati non sistematicamente, rispetto a dati non organizzati in una banca di dati accessibile a terzi per via telematica e limitatamente ai dati e alle operazioni indispensabili per la tutela della salute o dell’incolumità fisica dell’interessato o di un terzo;
- b) ad esclusivi fini di monitoraggio della spesa sanitaria o di adempimento di obblighi normativi in materia di igiene e sicurezza del lavoro e della popolazione”.
Alla stregua di tale dato normativo, va notificata la prestazione per via telematica di servizi sanitari relativi ad una banca di dati o alla fornitura di beni, effettuata da una struttura sanitaria, pubblica o privata, consistente, indicativamente, nella raccolta di schede o di cartelle cliniche per ogni paziente, accessibile a diversi soggetti e consultabile in rete telematica oppure on-line.
Rimangono sottratti all’obbligo di notificazione i trattamenti di dati sanitari effettuati manualmente mediante archivi cartacei, o eseguiti nell’ambito di servizi di assistenza o consultazione sanitaria per via telefonica, o comunque inseriti in banche dati non collegate a reti telematiche.
La fondatezza dell’unico motivo del ricorso del Garante per la protezione dei dati personali induce, in definitiva, all’accoglimento dello stesso.
La sentenza impugnata va pertanto cassata, con rinvio al Tribunale di Genova diverso composizione, il quale procederà a nuovo esame della causa, svolgendo i necessari accertamenti di fatto in ordine alle modalità di trattamento dei dati sanitari da parte della (OMISSIS) S.R.L., uniformandosi al seguente principio di diritto:
“Agli effetti del Decreto Legislativo n. 196 del 2003, articolo 37, comma 1, lettera b, va notificato al Garante il trattamento di dati idonei a rivelare lo stato di salute a fini di prestazione per via telematica di servizi sanitari relativi ad una banca di dati o alla fornitura di beni, effettuata da una struttura sanitaria, pubblica o privata, e consistente, indicativamente, nella raccolta di schede o di cartelle cliniche per ogni paziente, accessibile a diversi soggetti e consultabile in rete telematica oppure on-line”.
Il giudice del rinvio provvederà anche sulle spese del giudizio di cassazione.
P.Q.M.
La Corte accoglie il ricorso proposto dal Garante per la Protezione dei Dati Personali, cassa la sentenza impugnata in relazione alle censure accolte e rinvia la causa, anche per le spese del giudizio di cassazione, al Tribunale di Genova.
Così deciso in Roma, nella camera di consiglio della Seconda sezione civile della Corte Suprema di Cassazione, il 19 aprile 2016.
