Per la Corte di Cassazione la telefonata di un’infermiera, fatta alla persona sbagliata, che indica il nome del reparto di Ginecologia e la necessità di una terapia (non specificata) rivela dati sanitari. Ma quanto è “grave”, in concreto, questa violazione?
La Suprema Corte di Cassazione con l’ordinanza n. 28417 emanata lo scorso 11 ottobre stabilisce il principio di cui sopra e rinvia al Tribunale di Ravenna per ridefinire la sanzione in capo a una ASL che aveva impugnato l’ordinanza ingiunzione per il pagamento della sanzione di 50 mila euro emessa dal Garante Privacy.
La sentenza è interessante per due motivi:
- in primo luogo, perché stabilisce un principio di diritto circa la nozione di “dati relativi alla salute” che non possiamo non tenere in considerazione;
- in secondo luogo (e questo è sicuramente l’aspetto più interessante) perché la Cassazione dà indicazioni precise su come calcolare la sanzione, evidenziando – neanche troppo tra le righe – che non tutte le violazioni di dati relativi alla salute sono uguali.
Dati sanitari, il Garante privacy chiarisce quando è vera anonimizzazione
Indice degli argomenti
La vicenda processuale
Una paziente veniva ricoverata presso il reparto di Ginecologia di un ospedale per un intervento di interruzione volontaria della gravidanza, fornendo un numero telefonico di sua pertinenza da utilizzare per i successivi contatti.
A seguito dell’intervento, mentre erano in corso le procedure di dimissione, l’infermiera che si stava occupando della paziente veniva chiamata per un’urgenza: chiedeva quindi alla paziente di attenderla per fornirle indicazioni precise sui farmaci da assumere.
La paziente (che evidentemente aveva fretta) dopo un po’ di attesa decideva di andarsene.
A quel punto l’infermiera, dovendo fornire le necessarie indicazioni riguardo a farmaci salvavita da assumere, telefonava al numero scritto sul frontespizio della cartella clinica, senza accorgersi che all’interno era riportato l’ulteriore recapito telefonico.
Alla chiamata rispondeva il marito, e l’infermiera riferiva che la chiamata era dal Reparto di Ginecologia di Faenza e che aveva necessità di parlare con la signora per una “terapia”, senza altro aggiungere. Chiedendo anzi, di poter parlare direttamente, e solo, con la paziente.
La signora denunciava il fatto al Garante Privacy che qualificava il contenuto della telefonata quale “dato relativo alla salute”, dichiarava illecita la comunicazione ad un terzo (il marito) e applicava la sanzione di 50 mila euro.
L’Azienda USL decideva di impugnare davanti al Tribunale di Ravenna sostenendo che la mera indicazione del reparto e il riferimento generico a una “terapia” non rientrava nella nozione di “dato relativo alla salute”, chiedendo quindi l’annullamento della sanzione.
Il Tribunale di Ravenna accoglieva il ricorso, ritenendo che nessun dato “relativo alla salute” fosse stato rivelato dall’infermiera, in quanto le uniche informazioni derivate dalla telefonata attenevano al reparto e al generico riferimento a una “terapia”.
Si allarga la nozione di “dato relativo alla salute”
Diversa, invece, è stata l’interpretazione della Cassazione. La Suprema Corte ha, infatti, ritenuto che il fatto stesso di comunicare l’esigenza di un trattamento sanitario e, quindi, l’esistenza di una “malattia” in senso lato – intesa come situazione che rende necessario un trattamento sanitario – rappresenta un dato relativo alla salute, anche se non è specificato di quale trattamento o di quale malattia si tratti.
Si allarga quindi – molto – la nozione di “dato relativo alla salute”.
È la stessa Corte, infatti, che riconosce che la notizia comunicata, pur attinente genericamente alla salute, è “rimasta del tutto indeterminata, potendo ben riguardare una mera visita ordinaria di controllo, sia pure in quel reparto, senza nessuna lesione della “dignità” dell’interessata, che avrebbe potuto essere in gioco solo ove fosse stata comunicata l’effettiva ragione dell’intervento terapeutico richiesto”.
Se da una parte, però, la Corte allarga, dall’altra, rinviando al Tribunale, precisa bene quali elementi (a favore della ASL) il giudice del rinvio dovrà tenere in considerazione nel riformulare il quantum della sanzione.
Nello specifico:
- la condotta della paziente stessa, che non soltanto fornì entrambi i numeri di telefono per il contatto, ivi compreso quello utilizzato, ma, soprattutto, non attese, come le era stato chiesto ed indicato, il ritorno dell’infermiera per ottenere la corretta terapia;
- la condotta di estrema diligenza dell’infermiera nel preoccuparsi di reperire la paziente, sebbene questa si fosse inopportunamente e volontariamente allontanata prima del permesso di congedo medico dalla struttura;
- il conseguente impatto limitato della notizia di una visita in un reparto sulla sfera giuridica dell’interessata;
- la condotta della Asl, che immediatamente ritenne di notificare al Garante ed attuare altresì ulteriori misure interne;
- l’emergenza indotta da epidemia Covid in corso, che richiedeva uno sforzo straordinario del sistema sanitario per far fronte a ben altre criticità e pericoli per la vita dei pazienti.
Tra le righe si dice, dunque, che la sanzione comminata dal Garante non solo è sproporzionata (50 mila euro) ma che il Garante stesso non ha tenuto in considerazione nessuno degli elementi sopra indicati.
Come andrebbero calcolate le sanzioni privacy
Queste precisazioni dalla Cassazione – così puntuali – aprono la strada ad alcune considerazioni su “come” il Garante dovrebbe calcolare le sanzioni.
Gli strumenti, infatti, ci sono tutti:
- i parametri dell’art. 83;
- le linee guida EDPB 04/2022 proprio sul calcolo delle sanzioni (ad integrazione di quanto previsto dalle linee guida WP 29 n.253 3 ottobre 2017);
- la recente Corte di Cassazione 22 settembre 2023 n. 27189 considerata una sorta di decalogo su quanto possono “costare” le sanzioni per violazione del GDPR indicando alcuni principi per la quantificazione.
E anche la Cassazione che qui si commenta va in quella direzione.
Seppure, infatti, la categoria dei “dati relativi alla salute” non è al suo interno “diversificata” è pur vero che comunicare a terzi di dover parlare con una paziente per una (non precisata) terapia ginecologica è ben diverso dal comunicare (ad esempio) che quella stessa paziente ha interrotto volontariamente una gravidanza (ove forse una sanzione così alta poteva avere un senso).
Tale carenza di analisi e di diversificazioni delle situazioni di fatto nel calcolo delle sanzioni da parte del Garante appare poi evidente dall’analisi delle sanzioni stesse.
Dai 50 mila euro del provvedimento di cui sopra si passa ai 3 mila euro per la perdita di un’intera cartella clinica (Provv. n. 263 del 21 luglio 2022), ai 6 mila euro per la diffusione tramite sito web di dati relativi alla salute (Provv. n. 404 del 1° dicembre 2022) fino ai 1 mille euro nel caso di un’operatrice dell’UPR, che temendo di non riuscire a contattare un paziente, aveva comunicato a un familiare i dati di salute dell’interessato (Provv. n. 84 del 10 marzo 2022).
Conclusioni
I parametri da valutare per giudicare una violazione sono numerosi e l’elaborazione del quantum di una sanzione pecuniaria è attività complessa.
È però innegabile che all’autorità di controllo così come al giudice adito – la cui cognizione è estesa alla determinazione dell’entità della sanzione – la normativa richieda di conformarsi in maniera uniforme ai criteri volti a stabilirne gli importi, per assicurare il rispetto dell’obbligo di proporzionalità imposto dal GDPR.
E anche di evitare disparità di trattamento.
Non è un mistero, infatti, che, al lievitare degli importi delle sanzioni (qualche volta illogiche), corrisponda una risposta sempre più frequente da parte dei destinatari dei provvedimenti.
E infatti i ricorsi contro le decisioni del Garante stanno progressivamente aumentando.
