Costituisce “comunicazione di un dato sulla salute” di una persona la semplice informazione ad un terzo che una data persona ha esigenza di ricevere un trattamento sanitario, indipendentemente dall’indicazione o meno di qualsiasi dettaglio, cioè di quale trattamento o di quale malattia; in altri termini, basta la generica comunicazione di una situazione che renda necessario un trattamento sanitario, e cioè dell’esistenza di una “malattia” in senso lato, per una potenziale violazione del diritto alla riservatezza dell’interessato.

Qualche lettore forse ricorderà il caso, già trattato in un precedente post del blog, di irrogazione di una sanziona da parte del Garante Privacy ad una AUSL dell’Emilia-Romagna per violazione della riservatezza di una paziente.

Il caso arriva ora al giudizio della Cassazione, con l’ordinanza n. 28417 dell’11.10.2023 che oggi commentiamo, e non è finita qui…

Il caso

Richiamiamo brevemente la vicenda: una signora, ricoverata presso il reparto di ginecologia di un ospedale per un intervento di interruzione volontaria di gravidanza, fornisce al personale il numero telefonico da utilizzare per i successivi contatti, chiedendo esplicitamente che nessun soggetto terzo, neppure i familiari, venga informato in merito al suo stato di salute.

Mentre sono in corso le procedure di dimissione, l’infermiera incaricata viene chiamata per gestire un’urgenza e chiede alla paziente di attenderla, ma questa si allontana di sua iniziativa; quindi l’infermiera, dovendo fornire urgentemente alla paziente le indicazioni con riguardo alla terapia farmacologica da assumere, tenta di contattarla utilizzando il numero scritto sul frontespizio della cartella clinica – senza notare che all’interno è indicato altro recapito telefonico – e parla con il marito della paziente, riferendogli la sua qualifica di infermiera, il reparto ospedaliero di appartenenza e di dover parlare con la moglie per una terapia, senz’altro aggiungere.

Il procedimento avanti al Garante della Privacy…

Nel procedimento successivamente instaurato dalla paziente avanti al Garante Privacy, l’AUSL:

• ha riconosciuto gli errori organizzativi che hanno causato la violazione del diritto alla riservatezza della paziente
• si è impegnata ad implementare un sistema informatizzato di gestione dei numeri di telefono dei pazienti ricoverati ed a predisporre una modulistica unica, con la quale i pazienti possano esprimere la loro eventuale volontà di comunicare informazioni sul proprio stato di salute ai terzi, introducendo una specifica policy aziendale.

Considerata la gravità della violazione e l’impatto dannoso, valutato come particolarmente elevato, causato alla vita privata dell’interessata, il Garante ha comminato alla AUSL una sanzione di Euro 50.000,00 per la violazione del Regolamento UE n. 679/2016 (cd. “GDPR”).

… e la decisione del Tribunale

Contro la sanzione l’AUSL ha incardinato un giudizio di opposizione avanti all’Autorità Giudiziaria, all’esito del quale il Tribunale ha giudicato insussistente l’illecito contestato e ritenuto che nessun “dato personale relativo alla salute” della paziente (ai sensi del considerando 35 del Regolamento) fosse stato illecitamente comunicato a terzi nel caso in commento,

“in quanto le uniche informazioni derivate dalla telefonata attengono al reparto ed il generico riferimento ad una “terapia”.

Secondo il Giudice, in particolare, è irrilevante il fatto che sia stata indicato il reparto ospedaliero, posto che il reparto di ginecologia non è necessariamente un reparto di degenza, né compie solo interventi di interruzione volontaria della gravidanza; inoltre, le terapie prescritte in reparto sono le più varie e non necessariamente quelle post-operatorie di una interruzione di gravidanza volontaria.

Vediamo qual è l’esito del ricorso del Garante avanti alla Corte di Cassazione.

Cosa deve intendersi per dato personale relativo alla salute?

Secondo la Cassazione,

“il fatto stesso di comunicare l’esigenza di un trattamento sanitario e, quindi, l’esistenza di una “malattia” in senso lato – intesa dunque come situazione che renda necessario un trattamento sanitario – attiene a dato sulla salute: non occorre cioè, a tal fine, che sia specificato di quale trattamento o di quale malattia si tratti”.

Secondo la Suprema Corte, costituisce dunque un dato personale «relativo alla salute» del soggetto cui l’informazione si riferisce, per esempio:

• il semplice riferimento ad un’assenza dal lavoro “per malattia”
• l’ostensione di una situazione di invalidità, sia pur genericamente indicata
• la necessità di un lavoratore di sottoporsi a “consulenza psichiatrica”
• l’indicazione della causale di un bonifico ai sensi della L. 210 del 1992 (che prevede l’indennizzo in favore di coloro che hanno patito una infezione per effetto di trasfusione o vaccinazione, e dei prossimi congiunti di persone venute meno a causa dell’infezione da trasfusione o vaccinazioni, ne abbiamo parlato qui)

I parametri da applicare al caso concreto

Alla luce di quanto precede, la Cassazione ha dunque annullato la sentenza del Tribunale e rinviato ad altra sezione dello stesso Tribunale per un nuovo giudizio sul caso.

Tuttavia, il rigore della posizione sopra espressa dalla Suprema Corte viene stemperato dai parametri indicati per la commisurazione della sanzione da parte del giudice del merito (ai sensi dell’art. 83 del Regolamento), che dovranno tenere conto di plurimi elementi di fatto (già accertati nel primo grado del giudizio) rilevanti sotto il profilo dell’induzione in errore dell’Azienda, quali:

1. la condotta della paziente, che non soltanto ha spontaneamente fornito due numeri di telefono per il contatto (compreso quello poi utilizzato dall’infermiera) ma soprattutto non ha atteso, come le era stato chiesto espressamente, il ritorno dell’infermiera per ottenere la corretta terapia;
2. la condotta diligente dell’infermiera nel preoccuparsi di reperire la paziente, sebbene questa si fosse inopportunamente e volontariamente allontanata prima del permesso di congedo medico dalla struttura;
3. il fatto che la notizia comunicata, pur attinente genericamente alla salute della paziente, è rimasta del tutto indeterminata, potendo ben riguardare una mera visita ordinaria di controllo, sia pure in quel reparto, senza alcuna lesione della “dignità” dell’interessata (che avrebbe potuto essere in gioco solo qualora fosse stata comunicata l’effettiva ragione dell’intervento terapeutico richiesto);
4. il conseguente impatto limitato della notizia di una visita in un dato reparto sulla sfera giuridica dell’interessata;
5. la condotta tenuta dalla AUSL, che ha immediatamente notificato il Garante ed adottato misure interne per limitare la possibile reiterazione di incidenti analoghi;
6. il fatto che l’incidente sia occorso durante l’emergenza Covid, che richiedeva uno sforzo straordinario del sistema sanitario per far fronte a ben altre criticità e pericoli per la vita dei pazienti.

Il Giudice del rinvio dovrà altresì, in generale, considerare che le sanzioni amministrative, ove comminate, devono essere «in ogni singolo caso effettive, proporzionate e dissuasive»: dovrà quindi rilevare se la condotta che ha portato alla diffusione dei dati sia tale da essere efficacemente contrastata da una sanzione amministrativa, oppure sia dipesa da una situazione di concomitanza di circostanze del tutto peculiari e difficilmente in sé ripetibili.

In sintesi, il Tribunale dovrà rivalutare tutte le circostanze del caso incluso l’errore umano, anche considerando se lo stesso fu circoscritto ed indotto dalla condotta della stessa paziente interessata.

Attendiamo dunque la nuova decisione del Tribunale, auspicando un’applicazione equa dei sopra elencati parametri.

Ti servono maggiori informazioni sui temi sopra trattati, oppure hai necessità di supporto in materia? Trovi qui i miei riferimenti di contatto.

Ci aggiorniamo presto con un nuovo, interessante argomento!

Nel frattempo, resta collegato ed iscriviti alla newsletter per non perdere i prossimi aggiornamenti.

A presto!

LEGGI L’ORDINANZA

Cassazione Civile, Sez. I, n. 28417 dell’11.10.2023