Una recente sentenza emessa dalla Corte di Cassazione – Sezione Seconda Civile, 29 luglio 2016, n. 15908 ha puntualizzato in merito alla corretta applicazione dell’art. 37, d.lgs. n. 196/2003 e s.m.i. riguardante l’obbligo di notificazione al Garante in caso di trattamento dei dati personali.
L'articolo continua dopo la pubblicità
Per rimanere sempre aggiornato segui il nostro Dossier Privacy e protezione dei dati personali.
Inoltre ti potrebbe interessare il nostro ebook di recente pubblicazione "Commento breve al Regolamento europeo per la privacy".
A seguito di una ispezione condotta dalla Guardia di Finanza (Nucleo ispettivo Privacy) si era determinata una ordinanza-ingiunzione contro una struttura sanitaria privata, rea di non avere proceduto alla notificazione al Garante, ai sensi di quanto disposto dall’art. 37, c. 1, lett. B).
La struttura in questione aveva proposto ricorso al Tribunale rilevando che tali dati venivano trattati solo in funzione delle prestazioni sanitarie erogate, in assenza di sistematizzazione e/o organizzazione di banche dati. Inoltre, fondava la legittimità della propria condotta richiamando la circolare dell’Associazione italiana ospedalità privata (AIOP) con la quale erano state acquisite informazioni in merito a suddetti obblighi.
Il Tribunale accoglieva il ricorso ritenendo che l’articolo in questione non prevede un obbligo generale di notificazione, ma debba applicarsi solo in relazione a specifiche fattispecie, quali:
“b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria”. (Art. 37, c. 2, lett. B)
Ad avviso del giudice di primo grado il trattamento di dati a fini di prestazione di servizi sanitari non è assoggettato a tale obbligo.
Contro la sentenza del Tribunale, ha prodotto ricorso in Cassazione il Garante per la protezione dei dati personali, rimarcando come la struttura sanitaria privata svolgeva attività di raccolta di dati anche telematici relativi allo stato di salute dei pazienti, con finalità di diagnosi, cura, terapia e per adempimenti di natura amministrativa, oltre che, di legge.
Il Garante ha, altresì, dedotto come l’art. 37 (c. 1-bis. “La notificazione relativa al trattamento dei dati di cui al comma 1 non è dovuta se relativa all'attività dei medici di famiglia e dei pediatri di libera scelta, in quanto tale funzione è tipica del loro rapporto professionale con il Servizio sanitario nazionale”. Comma inserito dall'art. 2-quinquies, comma 1, lett. a), del decreto legge 29 marzo 2004, n. 81, convertito, con modificazioni, dalla legge 26 maggio 2004, n. 138) – a differenza di quanto erroneamente affermato dal Tribunale – ha una portata generica e che, inoltre, la Circolare richiamata dalla resistente prevede che siano sottratti all’obbligo di notifica i trattamenti di dati idonei a rivelare lo stato di salute effettuati da “esercenti le professioni sanitarie” e non da “strutture sanitarie”, che rappresenta la categoria alla quale appartiene la ricorrente.
L’art. 37, ad avviso del ricorrente, prescrive la notifica per il trattamento di dati sanitari a fini di prestazione di servizi sanitari per via telematica, senza che sia necessaria una successiva rielaborazione.
Pertanto, la notificazione al Garante dei dati idonei a rivelare lo stato di salute, trattati a fini di servizi sanitari per via telematica e relativi a banche dati o alla fornitura di beni, rientra fra quelle indicate specificamente nell’art. 37.
Dalla lettura dell’art. 37, secondo il Garante, vanno notificati le prestazioni per via telematica di servizi sanitari relativi ad una banca di dati o alla fornitura di beni, effettuata da una struttura sanitaria, pubblica o privata, consistente, indicativamente, nella raccolta di schede o di cartelle cliniche per ogni paziente, accessibile a diversi soggetti e consultabile in rete telematica oppure on line.
Suddetto obbligo di notificazione non vige, invece, per i trattamenti di dati sanitari effettuati:
1) manualmente mediante archivi cartacei, o
2) eseguiti nell’ambito di servizi di assistenza o consultazione sanitaria per via telefonica, o comunque
3) inseriti in banche dati non collegate a reti telematiche.
La Cassazione ha cassato la sentenza impugnata chiedendo al giudice del rinvio di uniformarsi al seguente principio di diritto:
“Agli effetti del Decreto Legislativo n. 196 del 2003, articolo 37, comma 1, lettera b, va notificato al Garante il trattamento di dati idonei aa rivelare lo stato di salute a fini di prestazione per via telematica di servizi sanitari relativi ad una banca di dati o alla fornitura di beni, effettuata da una struttura sanitaria pubblica o privata, e consistente, indicativamente, nella raccolta di schede o di cartelle cliniche per ogni paziente, accessibile a diversi soggetti e consultabile in rete telematica oppure online”.
Rif. Corte di Cassazione – Sezione Seconda Civile, 29 luglio 2016, n. 15908