Trattamento dati sensibili: ultime sentenze
Obbligo di trasmissione dei dati sensibili al Garante; prestazione di servizi sanitari per via telematica relativi a banche di dati.
Indice
Dati personali e trattamento dei dati sensibili
In tema di dati personali, il trattamento di dati sensibili non richiede il consenso dell’interessato quando sia necessario per adempiere ad un obbligo imposto dalla legge, come nel caso di svolgimento di attività istituzionali da parte di soggetti pubblici, nelle quali rientrano i compiti connessi all’esercizio del potere disciplinare da parte della Pubblica Amministrazione nei confronti dei propri dipendenti.
Cassazione civile sez. I, 31/05/2021, n.15161
Dati sensibili contenuti in cartelle cliniche
È legittima la comunicazione da parte di un’azienda sanitaria, su richiesta dell’autorità di pubblica sicurezza,in relazione ad un procedimento per la revoca del porto d’armi, di dati sensibili contenuti in una cartella clinica relativa al ricovero di un paziente nel reparto psichiatrico di un ospedale, trattandosi di dati indispensabili per lo svolgimento di attività istituzionali a cura di soggetti pubblici, previste dalla legge e non esercitabili “mediante il trattamento di dati anonimi o di dati personali di natura diversa”, purchè il trattamento avvenga in modo corretto e riservato, secondo le modalità fissate dalla legge e senza una indiscriminata diffusione dei medesimi verso “soggetti inderminati”, atteso che, in materia di porto d’armi l’assenza di alterazioni neurologiche” e di “disturbi mentali di personalità o comportamentali” rientra tra i “requisiti psicofisici minimi” richiesti per il rilascio e il rinnovo, tanto che, ai sensi dell’art. 43 TULPS la licenza di porto d’armi “può essere revocata non solo in relazione a pregresse condanne per fatti penalmente rilevanti, ma anche quando la persona “non dà affidamento di non abusare delle armi”.
Cassazione civile sez. I, 05/05/2021, n.11800
Accesso ai dati sensibili
Non esiste un divieto assoluto all’accesso ai dati sensibili. Il bilanciamento tra la tutela del diritto di accesso, da un lato, e la tutela dei dati sensibili a rivelare lo stato di salute del terzo, dall’altro, trova la propria disciplina nell’art. 24, comma 7, l. n. 241/1990 che richiama a sua volta l’art. 60, d.lgs. n. 196/2003, richiamato dalla legge sul procedimento amministrativo, alla cui stregua « … il trattamento è consentito se la situazione giuridicamente rilevante che si intende tutelare con la richiesta di accesso ai documenti amministrativi, è di rango almeno pari ai diritti dell’interessato, ovvero consiste in un diritto della personalità o in un altro diritto o libertà fondamentale ».
T.A.R. Roma, (Lazio) sez. II, 09/10/2020, n.10284
Informazioni contenenti i dati sensibili di un dipendente
Il Comune deve rimuovere dall’albo pretorio online, dopo 15 giorni dalla pubblicazione delle sue deliberazioni, le informazioni in esse contenute che non attengono all’organizzazione degli uffici o al funzionamento dell’ente, ma che riguardano dati sensibili di un soggetto. Ad affermarlo è la Cassazione che conferma la legittimità dell’ordinanza ingiunzione con la quale il Garante per la protezione dei dati personali irrogava la sanzione di 4mila euro nei confronti di un comune, a causa di un trattamento di dati personali effettuato in violazione dell’articolo 124 del Codice della privacy. Nello specifico, l’ente locale era colpevole di aver mantenuto visibile sul proprio albo pretorio online, per oltre un anno, alcune determinazioni dirigenziali dalle quali risultavano dati personali di un dipendente, non attinenti al profilo organizzativo dell’amministrazione, i quali avrebbero dovuto essere rimossi dopo 15 giorni.
Cassazione civile sez. II, 03/09/2020, n.18292
L’indicazione dell’assenza dal lavoro per malattia
Anche l’indicazione della circostanza dell’assenza dal lavoro per malattia o per convalescenza può dare luogo al trattamento di dati sensibili, pur in assenza di riferimenti a patologie specifiche, in quanto suscettibile di rivelare lo stato di salute dell’interessato (art. 4, comma 1, lett. d), ricostruendo la salute quale stato di benessere fisico e di equilibrio psichico dell’organismo in quanto esente da malattie, da imperfezioni e disturbi organici o funzionali.
Tribunale Roma sez. XVIII, 22/01/2020, n.445
Consenso al trattamento dei dati personali sensibili
È nulla, per violazione di norme imperative, la clausola contrattuale con cui la banca subordina l’esecuzione delle proprie prestazioni al previo rilascio da parte del cliente del consenso al trattamento dei dati personali sensibili in quanto tale previsione contrasta con i principi informatori della legge sulla “privacy” ed in particolare con il principio di minimizzazione nell’uso dei dati, ex art. 3 del d.lgs. n. 196 del 2003 che contiene precetti non derogabili dall’autonomia privata, essendo posti a tutela di interessi generali e di valori morali e sociali riconosciuti dall’ordinamento.
(Nella specie, la banca aveva bloccato l’operatività del conto e del deposito titoli del cliente che non aveva autorizzato il trattamento dei dati, peraltro non necessari per le operazioni, richiesti dalla banca adducendo genericamente la “policy” aziendale e ragioni di cautela).
Cassazione civile sez. I, 21/10/2019, n.26778
La tutela della privacy dei dati sanitari
La privacy dei dati sanitari prevale sulla trasparenza amministrativa. È legittima perciò la sanzione contro l’ente pubblico che diffonde notizie sullo stato di salute di un suo dipendente. Ad affermarlo è la Cassazione che ha accolto il ricorso del Garante della privacy contro la sentenza del tribunale che aveva accolto il ricorso della provincia di Foggia, sanzionata dalla stessa Authority per 20mila euro per illecito trattamento di dati sensibili.
Per la Corte “la tutela del dato sensibile prevale su una generica esigenza di trasparenza amministrativa, sia sotto il profilo costituzionalmente rilevante della valutazione degli interessi in discussione, sia sotto quello della sostanziale elusione della normativa sulla protezione di dati personali, accentuata nel caso di dati sensibili, ove si dovesse far prevalere una generica esigenza di trasparenza amministrativa”.
Cassazione civile sez. II, 04/04/2019, n.9382
La finalità delle indagini epidemiologiche
Nell’elenco delle finalità dei trattamenti dei dati idonei a rivelare lo stato di salute e la vita sessuale a cui l’art. 37 del d.lg. 196 del 2003 collega l’obbligo di notifica al Garante è inclusa anche la finalità delle “indagini epidemiologiche”, come finalità diversa – ed autonomamente idonea a far insorgere l’obbligo della notifica al Garante, quali che siano le patologie oggetto delle indagini stesse – rispetto a quella della “rilevazione di malattie mentali, infettive e diffusione, sieropositività” (confermata la sanzione irrogata ad una Casa di Cura per omessa notificazione al Garante del trattamento di dati sensibili).
Cassazione civile sez. II, 09/01/2017, n.188
Il trattamento di dati sensibili da parte di una casa di cura
Ricorrono i presupposti dell’obbligo di notificazione del trattamento al garante, ai sensi dell’art. 37 d.lg. n. 196 del 2003, da parte della casa di cura che, nell’ambito dell’attività di diagnosi e cura, tratta, avvalendosi di banche dati sia cartacee che elettroniche, dati idonei a rivelare lo stato di salute e la vita sessuale, tra cui quelli concernenti la rilevazione, attraverso le normali indagini su campioni ematici, di malattie infettive e diffusive di sieropositività.
Cassazione civile sez. II, 21/04/2016, n.8105
Trattamento di dati sensibili riguardanti la salute
In tema di protezione dei dati personali, costituisce illecito trattamento di dati sensibili l’avvenuta comunicazione, benché effettuata in maniera riservata, da un soggetto pubblico ad un altro, della copia integrale del verbale relativo all’accertamento sanitario eseguito dalla Commissione medica di verifica, in relazione alla richiesta della parte interessata volta ad ottenere il riconoscimento della pensione di inabilità, recante, oltre alla necessaria valutazione medico legale circa l’idoneità all’impiego, altri suoi dati personali che, in quanto relativi alla diagnosi, agli esami obbiettivi ed agli accertamenti clinici e strumentali svolti, nonché ad informazioni anamnestiche, tra cui quelle relative all’infezione da HIV dalla stessa precedentemente contratta, debbono considerarsi irrilevanti ai fini del buon esito del procedimento e, pertanto, da omettere.
Cassazione civile sez. I, 29/05/2015, n.11223
Trasmissione dei dati da parte della PA
L’obbligo per la P.A. di procedere alla cifratura dei dati sensibili contenuti in banche dati, sancito dall’art. 22, comma 6, del d.lgs. 30 giugno 2003, n. 196, è finalizzato esclusivamente a prevenire abusi nella gestione e nell’accesso a queste ultime, sicché esso non sussiste per quei dati, anche sensibili, che la stessa, in adempimento di obblighi di legge, trasmetta al titolare o al soggetto da questi indicato. Ne consegue che non costituisce illegittimo trattamento di dati sensibili, da parte della P.A., l’indicazione della causale di un pagamento effettuato per ragioni di assistenza o previdenza pubbliche, a nulla rilevando che quella causale possa, in astratto, rivelare le condizioni di salute del percettore.
(Nella specie, la S.C. ha cassato la sentenza impugnata che aveva ritenuto illegittima la condotta tenuta dalla Regione e dalla banca per aver trasmesso e indicato un dato sensibile, costituito dal riferimento alla legge 25 febbraio 1992, n. 210, la prima inoltrandolo e la seconda riportandolo nell’estratto conto quale causale del bonifico disposto in favore della sua cliente).
Cassazione civile sez. III, 20/05/2015, n.10280
Risarcimento dei danni
Ai sensi del combinato disposto di cui agli art. 24, comma 1, lett. j), e 26, comma 4, lett. c), d.lg. n. 196 del 2003, il trattamento di dati sensibili può essere effettuato in sede giudiziaria, in assenza del consenso dell’interessato, solamente qualora lo stesso sia necessario ai fini difensivi, avvenga esclusivamente per tali finalità e per il periodo necessario; pertanto, sono tenuti in solido al risarcimento dei danni, ai sensi dell’art. 15 d.lg. n. 196 del 2003, il medico e il legale dello stesso, che abbiano prodotto in sede giudiziaria le fotografie di una paziente relative ad un intervento di mastoplastica dalla stessa subito, atteso che quest’ultima ne aveva autorizzato la pubblicazione ai soli fini scientifici, e che la divulgazione in sede processuale di tali immagini non era utile, né finalizzata alla strategia difensiva del medico (citato in giudizio per responsabilità professionale con riferimento al diverso intervento di addominoplastica subito dalla stessa paziente).
Cassazione civile sez. III, 11/09/2014, n.19172
L’illegittimo trattamento di dati sensibili
L’illegittimo trattamento di dati sensibili ex art. 4 del d.lg. 30 giugno 2003, n. 193, configurabile come illecito ai sensi dell’art. 2043 c.c., non determina un’automatica risarcibilità del danno, dovendo il pregiudizio (morale e/o patrimoniale) essere provato secondo le regole ordinarie, quale ne sia l’entità e quale che sia la difficoltà di assolvere l’onere probatorio, trattandosi di un danno-conseguenza e non di un danno-evento, non rilevando in senso contrario neppure il suo eventuale inquadramento quale pregiudizio non patrimoniale da lesione di diritti costituzionalmente garantiti.
Cassazione civile sez. III, 03/07/2014, n.15240
Prestazione di servizi sanitari
Poiché l’art. 37 comma 1 lett. b) d.lg. n. 196 del 2003, individua in positivo i casi in cui l’obbligo di notificazione del trattamento sussiste, deve ritenersi che la norma non assoggetti all’onere medesimo il trattamento a fini di prestazione di servizi sanitari generalmente inteso, bensì il solo trattamento che presenti specifiche finalità (quali prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti), cosicché è da escludere che l’adempimento della notifica sia connesso al trattamento di dati sensibili per lo svolgimento di attività generali di diagnosi e cura del paziente (tipiche, peraltro, di ogni struttura sanitaria).
Tribunale Chiavari, 12/06/2012, n.426
Trattamento dei dati sensibili attinenti alla salute o alla vita sessuale
In tema di trattamento dei dati sensibili attinenti alla salute o alla vita sessuale, quando sia l’interessato a comunicarli ad uno o più soggetti determinati, in qualunque forma, anche mediante la loro messa a disposizione, ne è consentita l’elaborazione da parte dei predetti destinatari, dal momento che, in tale ipotesi, cessa di essere applicabile la normativa speciale sulla protezione dei dati sensibili, di cui alla l. n. 675 del 1996 (all’epoca in vigore) e rivive pienamente il diritto di difesa, tutelato dall’art. 24 cost., che può esplicarsi anche mediante la produzione nella controversia di una perizia stragiudiziale, contenente i dati comunicati da un’altra parte in lite ai soggetti del rapporto processuale (parti, difensori, giudice, ausiliari, consulenti delle parti), i quali, se del caso, possono utilizzarli per trarne argomenti difensivi.
Cassazione civile sez. I, 02/08/2012, n.13914
8 Commenti
Lascia un commento
NEWSLETTER
Iscriviti per rimanere sempre informato e aggiornato.
Hai bisogno di una consulenza? Contattaci subito
Oppure iscriviti alla nostra newsletter per rimanere sempre aggiornato.
È importante non fare confusione tra dati personali, dati sensibili e dati giudiziari. Qual è la differenza?
I dati personali sono quelli in grado di identificare o di rendere identificabile una persona attraverso le sue caratteristiche, le sue abitudini, il suo stile di vita, ecc.; i dati sensibili sono, invece, quelli che possono svelare la sua origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro tipo, le opinioni politiche, l’adesione ad un partito, ad un sindacato o ad un’organizzazione o associazione di qualsiasi genere, nonché lo stato di salute e la vita sessuale del cittadino; i dati giudiziari, infine, sono quelli relativi al casellario giudiziale, cioè ai precedenti amministrativi o penali del cittadino. In sostanza, possono svelare se ha avuto delle sanzioni amministrative che dipendono da reato, se ha dei carichi pendenti, se è indagato o imputato in qualche processo civile o penale.
che cosa dice la normativa riguardo il trattamento dei dati personali? Cioè, come deve essere fatto?
Secondo il Codice della privacy, i dati personali devono essere:
esatti ed aggiornati quando è il caso;
raccolti e registrati per un determinato scopo, esplicito e legittimo, ed utilizzati in altre operazioni che rientrano nel trattamento compatibili con tali scopi. Ad esempio: se faccio la tessera del supermercato su cui si registra settimanalmente la mia spesa, il titolare del trattamento (cioè l’addetto del supermercato che si occupa di queste operazioni) potrà confrontare la mia spesa con quella degli altri clienti per sapere quali prodotti hanno più successo in certe fasce di età, tra uomini e donne, tra impiegati o autonomi, ecc.;
trattati in modo lecito e corretto;
pertinenti alle finalità della raccolta e del successivo trattamento;
conservati per un periodo di tempo limitato e, comunque, non superiore al periodo necessario allo scopo per cui sono stati raccolti.
I dati sensibili sono quei dati personali che riguardano la sfera più intima dell’individuo e, pertanto, necessitano di una speciale protezione
Nell’era del digitale la tutela della privacy è divenuto uno degli obiettivi più importanti da raggiungere. Riprese in pubblico, fotografie, abbonamenti a riviste, iscrizioni a piattaforme online: tutto viaggia velocemente nella rete, rendendo di dominio pubblico (o quasi) i dati personali. Per porre un argine alla diffusione esagerata delle informazioni, la legge italiana ha previsto che alcune di esse possano essere trattate solamente con il consenso espresso dell’interessato ovvero con l’autorizzazione preventiva del Garante della privacy. Si tratta dei cosiddetti dati sensibili.
Il codice della privacy prevede che i dati sensibili, così come quelli giudiziari, quando sono contenuti in elenchi, registri o banche dati, tenuti con l’ausilio di strumenti elettronici, devono essere trattati con tecniche di cifratura o impiegando codici identificativi o altre soluzioni che li rendano temporaneamente incomprensibili anche a chi è autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessità. Per quanto riguarda il trattamento dei dati sensibili da parte di soggetti privati, il codice prevede che possano essere trattati solo con il consenso scritto dell’interessato e previa autorizzazione del Garante. Per quanto riguarda invece il trattamento dei dati sensibili da parte di soggetti pubblici, la legge prevede che il trattamento dei dati sensibili è consentito solo se autorizzato da espressa disposizione di legge nella quale sono specificati i tipi di dati che possono essere trattati, le operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite.
Buonasera,
Una domanda:
Per la legge italiana, nel caso di
1) procedimenti penali prescritti o assolti (quindi mai passati n giudicato) e nel caso di
2) passati Trattanmenti Sanitari Obbligatori eseguiti sempre da piu di 10 anni.
Per questi due casi, possono rimanere dei dati fruibili a qualcuno? quali limitazioni, questi dati possono causare ad un soggetto? Ed eventualmente, si possono cancellare?
Grazie