Sentenze
L’infermiera informa il marito della paziente della necessità di una terapia. È violazione dei dati personali ma la sanzione va calibrata. Il decalogo della Cassazione
di Paola Ferrari *
24 Esclusivo per Sanità24
Il fatto stesso di comunicare l'esigenza di un trattamento sanitario e, quindi, l'esistenza di una "malattia" in senso lato – intesa, dunque, come situazione che renda necessario un trattamento sanitario - attiene a dato sulla salute: non occorre cioè, a tal fine, che sia specificato di quale trattamento o di quale malattia si tratti.
Occorrerà considerare l'art. 83 del regolamento Ue n. 2016/679 per determinare l’ammontare delle sanzioni amministrative che, ove, comminate, devono essere "in ogni singolo caso effettive, proporzionate e dissuasive", dovendo, quindi, rilevare se il tipo di condotta, che ha portato all'illegittima diffusione dei dati, sia tale da essere efficacemente contrastata da una sanzione amministrativa o non sia dipesa da una situazione di concomitanza di circostanze del tutto peculiari e difficilmente in sé ripetibili.
Con questa motivazione, la prima sezione della Cassazione civile con l’ordinanza 11 ottobre 2023, n. 28417, ha accolto con rinvio il ricorso del Garante per la protezione dei dati personali ribaltando la diversa opinione del Tribunale di Ravenna.
L’ Azienda Usl della Romagna propose opposizione, chiedendo che fosse dichiarata illegittima l'ordinanza ingiunzione per il pagamento della sanzione di Euro 50.000,00, emessa in data 27 gennaio 2021, n. 36, dal Garante per la protezione dei dati personali.
I fatti
La paziente fu ricoverata presso il reparto di ginecologia per un intervento di interruzione volontaria della gravidanza, fornendo un numero telefonico di sua pertinenza da utilizzare per i successivi contatti.
Mentre erano in corso le procedure di dimissione, l'infermiera fu chiamata per un'urgenza e chiese alla paziente di attenderla, ma questa si allontanò ugualmente di sua iniziativa.
Dovendo fornire necessarie indicazioni riguardo al farmaco da assumere, tentava immediatamente di contattare la paziente utilizzando il numero scritto sul frontespizio della cartella clinica senza notare che non si trattava di quello della paziente ma del marito.
A quest’ultimo riferì di essere infermiera presso l'ospedale e che doveva parlare con la moglie per una terapia, senza altro aggiungere.
Sulla base di tali fatti, il Tribunale ritenne che la telefonata non integrasse la fattispecie dell'addebito, individuata dal Garante nell'art. 5, par. 1, lett. a), e art. 9 reg. UE n. 2016/679 del 27 aprile 2016, in quanto non fu fornita nessuna informazione riconducibile ad esso, avendo oltretutto il marito del tutto ignorato, come è stato provato, lo stato di gravidanza.
L’opinione della Cassazione
L'art. 32 reg. UE n. 2016/679 che si occupa della "sicurezza del trattamento", prevede che - tenuto conto dello "stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche" - il titolare del trattamento e il responsabile del trattamento siano tenuti a predisporre "misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio", comprendenti, ad esempio, la cifratura dei dati personali, la riservatezza e integrità dei sistemi di trattamento, il ripristino tempestivo della disponibilità dei dati personali in caso di incidente fisico o tecnico, una procedura per verificare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Reputa il Collegio, alla stregua delle parole usate, che il fatto stesso di comunicare l'esigenza di un trattamento sanitario e, quindi, l'esistenza di una "malattia" in senso lato – intesa, dunque, come situazione che renda necessario un trattamento sanitario - attiene a dato sulla salute: non occorre cioè, a tal fine, che sia specificato di quale trattamento o di malattia si tratti.
Invero, prosegue la sentenza, la Cassazione ha già ritenuto che anche il semplice riferimento a un'assenza dal lavoro "per malattia" costituisca un dato personale "relativo alla salute" del soggetto cui l'informazione si riferisce (Cass. 8 agosto 2013, n. 18980), così come l'ostensione di una situazione di invalidità sia pur genericamente indicata (Cass. 26 giugno 2018, n. 16816), la necessità del lavoratore di sottoporsi a "consulenza psichiatrica" (Cass. 31 gennaio 2018, n. 2367, non massimata), la indicazione della causale del bonifico richiesto in favore di un beneficiario dell'indennizzo previsto dalla L. n. 210 del 1992, in favore di coloro che hanno patito una infezione per effetto di trasfusione o vaccinazione e dei ai prossimi congiunti di persone venute meno a causa dell'infezione da trasfusione o vaccinazione (Cass., sez. un., 27-122017, n. 30981).
Il decalogo per il calcolo della sanzione
La Sentenza ha altresì chiarito che dal momento che l’art 83, commi 4 e 5, non indica una misura minima della sanzione, per i casi di minore gravità complessiva, spetta al potere discrezionale del giudice determinarne l'entità, entro i limiti previsti dalla legge, allo scopo di commisurarla alla gravità del fatto concreto, globalmente desunta dai suoi elementi oggettivi e soggettivi e in particolare:
a) la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l'oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;
b) il carattere doloso o colposo della violazione;
c) le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;
d) il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli artt. 25 e 32;
e) eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;
f) il grado di cooperazione con l'autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
g) le categorie di dati personali interessate dalla violazione;
h) la maniera in cui l'autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;
i) qualora siano stati precedentemente disposti provvedimenti di cui all'art. 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti;
j) l'adesione ai codici di condotta approvati ai sensi dell'art. 40 o ai meccanismi di certificazione approvati ai sensi dell'art. 42;
k) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione.
Il comportamento della paziente conta
Ne deriva che, nel caso di specie, afferma la sentenza, il giudice del merito dovrà prendere in considerazione, sotto il profilo dell'induzione in errore dell'Azienda, plurimi elementi di fatto quali:
a) la condotta della paziente stessa, che non soltanto fornì entrambi i numeri di telefono per il contatto, ivi compreso quello utilizzato, ma, soprattutto, non attese, come le era stato chiesto ed indicato, il ritorno dell'infermiera per ottenere la corretta terapia;
b) la condotta di estrema diligenza dell'infermiera nel preoccuparsi di reperire la paziente, sebbene questa si fosse inopportunamente e volontariamente allontanata prima del permesso di congedo medico dalla struttura;
c) l'essere la notizia comunicata, pur attinente genericamente la salute, rimasta del tutto indeterminata, potendo ben riguardare una mera visita ordinaria di controllo, sia pure in quel reparto, senza nessuna lesione della "dignità" dell'interessata, che avrebbe potuto essere in gioco solo ove fosse stata comunicata l'effettiva ragione dell'intervento terapeutico richiesto;
d) il conseguente impatto limitato della notizia di una visita in un reparto sulla sfera giuridica dell'interessata;
e) pure rileva la condotta della Asl, che immediatamente ritenne di notificare al Garante ed attuare altresì ulteriori misure interne;
f) infine, potrà il giudice del merito considerare l'emergenza indotta da epidemia Covid in corso, che richiedeva uno sforzo straordinario del sistema sanitario per far fronte a ben altre criticità e pericoli per la vita dei pazienti.
* Avvocato
© RIPRODUZIONE RISERVATA