La definizione di dato sanitario al vaglio della Cassazione
Cass. Civ., Sez. I , 11 ottobre 2023, n. 28417
Scarica il provvedimento qui:
Durante un procedimento che vedeva contrapposti l'Autorità Garante per la protezione dei dati personali e un'Azienda sanitaria, la Corte di Cassazione – con l'ordinanza n. 28417 dello scorso 11 ottobre - ha ribadito il principio secondo il quale il semplice richiamo ad una condizione di "malattia" configura un dato personale relativo alla salute.
A seguito del ricovero presso il reparto di ginecologia per un intervento di interruzione volontaria di gravidanza, una paziente forniva il proprio numero di telefono per eventuali contatti successivi.
Durante la procedura di dimissioni, l'infermiera, dovendo fornire alla paziente informazioni cruciali sull'uso del farmaco post-operatorio, si allontanava temporaneamente per un'urgenza. Successivamente, non notando il contatto telefonico lasciato dalla paziente all'interno della cartella clinica, chiamava quest'ultimo al numero indicato sul frontespizio, che era quello del marito.
Durante la chiamata, l'infermiera si identificava come appartenente all'Ospedale e comunicava al marito che doveva parlare con la moglie riguardo a una terapia, senza fornire ulteriori dettagli. L'Azienda sanitaria, dopo aver ricevuto un'ordinanza di ingiunzione al pagamento di una sanzione pecuniaria comminata dal Garante Privacy per il trattamento illecito dei dati personali della paziente, proponeva opposizione presso il Tribunale.
Quest'ultimo accoglieva l'opposizione, sostenendo che la chiamata effettuata dall'operatrice sanitaria non costituiva una comunicazione contenente dati rilevanti sulla salute ai fini di sanzioni, né violava i principi di correttezza e riservatezza. Avverso la decisione del Tribunale, l'Autorità Garante presentava ricorso in Cassazione, contestando una presunta violazione e erronea applicazione dell'art. 32 della Costituzione e delle norme sulla protezione dei dati e della riservatezza.
Con il provvedimento in esame, la Corte di Cassazione ha sostanzialmente ribaltato l'interpretazione del tribunale di merito sottolineando come l'art. 4, comma 1 del GDPR precisa che sono dati sanitari quelli "attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute".
Il Considerando 35 del GDPR, poi, fornisce una lista esemplificativa (non tassativa) di dato personale, da intendersi "qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie, l'anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell'interessato".
Alla luce della succitata normativa, la Cassazione, adito sulla natura propria delle informazioni illegittimamente condivise, ha ribadito come anche dalla comunicazione dell'esigenza di un trattamento sanitario generico emerga l'esistenza di una "malattia" in senso lato – quale condizione che richiede un trattamento sanitario –, a prescindere da una rivelazione del trattamento o della patologia specifica.
Pertanto – ha sancito la Suprema Corte - le informazioni rivelate dall'operatrice sanitaria, per quanto indeterminate nel contenuto, sono da intendersi comunque come "dati sanitari", i quali per orientamento ormai consolidato sono da intendersi come qualsiasi informazione riferibile ad uno status dell'interessato da cui emerga la necessità di cure mediche, a prescindere dalla specificità con cui esse vengono indicate.