L’esperto | Articoli

Trattamento dati sensibili: ultime sentenze

3 Maggio 2020
Trattamento dati sensibili: ultime sentenze

Leggi le ultime sentenze su: trattamento di dati sensibili; obbligo di trasmissione dei dati sensibili al Garante; attività di diagnosi e cura; mancata esclusione di dati clinici irrilevanti per il buon esito del procedimento; prestazione di servizi sanitari per via telematica relativi a banche di dati.

La tutela della privacy dei dati sanitari 

La privacy dei dati sanitari prevale sulla trasparenza amministrativa. È legittima perciò la sanzione contro l’ente pubblico che diffonde notizie sullo stato di salute di un suo dipendente. Ad affermarlo è la Cassazione che ha accolto il ricorso del Garante della privacy contro la sentenza del tribunale che aveva accolto il ricorso della provincia di Foggia, sanzionata dalla stessa Authority per 20mila euro per illecito trattamento di dati sensibili.

Per la Corte “la tutela del dato sensibile prevale su una generica esigenza di trasparenza amministrativa, sia sotto il profilo costituzionalmente rilevante della valutazione degli interessi in discussione, sia sotto quello della sostanziale elusione della normativa sulla protezione di dati personali, accentuata nel caso di dati sensibili, ove si dovesse far prevalere una generica esigenza di trasparenza amministrativa”.

Cassazione civile sez. II, 04/04/2019, n.9382

La finalità delle indagini epidemiologiche 

Nell’elenco delle finalità dei trattamenti dei dati idonei a rivelare lo stato di salute e la vita sessuale a cui l’art. 37 del d.lg. 196 del 2003 collega l’obbligo di notifica al Garante è inclusa anche la finalità delle “indagini epidemiologiche”, come finalità diversa – ed autonomamente idonea a far insorgere l’obbligo della notifica al Garante, quali che siano le patologie oggetto delle indagini stesse – rispetto a quella della “rilevazione di malattie mentali, infettive e diffusione, sieropositività” (confermata la sanzione irrogata ad una Casa di Cura per omessa notificazione al Garante del trattamento di dati sensibili).

Cassazione civile sez. II, 09/01/2017, n.188

L’indicazione dell’assenza dal lavoro per malattia

Anche l’indicazione della circostanza dell’assenza dal lavoro per malattia o per convalescenza può dare luogo al trattamento di dati sensibili, pur in assenza di riferimenti a patologie specifiche, in quanto suscettibile di rivelare lo stato di salute dell’interessato (art. 4, comma 1, lett. d), ricostruendo la salute quale stato di benessere fisico e di equilibrio psichico dell’organismo in quanto esente da malattie, da imperfezioni e disturbi organici o funzionali.

Tribunale Roma sez. XVIII, 22/01/2020, n.445

Il trattamento di dati sensibili da parte di una casa di cura

Ricorrono i presupposti dell’obbligo di notificazione del trattamento al garante, ai sensi dell’art. 37 d.lg. n. 196 del 2003, da parte della casa di cura che, nell’ambito dell’attività di diagnosi e cura, tratta, avvalendosi di banche dati sia cartacee che elettroniche, dati idonei a rivelare lo stato di salute e la vita sessuale, tra cui quelli concernenti la rilevazione, attraverso le normali indagini su campioni ematici, di malattie infettive e diffusive di sieropositività.

Cassazione civile sez. II, 21/04/2016, n.8105

Trattamento di dati sensibili riguardanti la salute 

In tema di protezione dei dati personali, costituisce illecito trattamento di dati sensibili l’avvenuta comunicazione, benché effettuata in maniera riservata, da un soggetto pubblico ad un altro, della copia integrale del verbale relativo all’accertamento sanitario eseguito dalla Commissione medica di verifica, in relazione alla richiesta della parte interessata volta ad ottenere il riconoscimento della pensione di inabilità, recante, oltre alla necessaria valutazione medico legale circa l’idoneità all’impiego, altri suoi dati personali che, in quanto relativi alla diagnosi, agli esami obbiettivi ed agli accertamenti clinici e strumentali svolti, nonché ad informazioni anamnestiche, tra cui quelle relative all’infezione da HIV dalla stessa precedentemente contratta, debbono considerarsi irrilevanti ai fini del buon esito del procedimento e, pertanto, da omettere.

Cassazione civile sez. I, 29/05/2015, n.11223

Trasmissione dei dati da parte della PA

L’obbligo per la P.A. di procedere alla cifratura dei dati sensibili contenuti in banche dati, sancito dall’art. 22, comma 6, del d.lgs. 30 giugno 2003, n. 196, è finalizzato esclusivamente a prevenire abusi nella gestione e nell’accesso a queste ultime, sicché esso non sussiste per quei dati, anche sensibili, che la stessa, in adempimento di obblighi di legge, trasmetta al titolare o al soggetto da questi indicato. Ne consegue che non costituisce illegittimo trattamento di dati sensibili, da parte della P.A., l’indicazione della causale di un pagamento effettuato per ragioni di assistenza o previdenza pubbliche, a nulla rilevando che quella causale possa, in astratto, rivelare le condizioni di salute del percettore.

(Nella specie, la S.C. ha cassato la sentenza impugnata che aveva ritenuto illegittima la condotta tenuta dalla Regione e dalla banca per aver trasmesso e indicato un dato sensibile, costituito dal riferimento alla legge 25 febbraio 1992, n. 210, la prima inoltrandolo e la seconda riportandolo nell’estratto conto quale causale del bonifico disposto in favore della sua cliente).

Cassazione civile sez. III, 20/05/2015, n.10280

Risarcimento dei danni

Ai sensi del combinato disposto di cui agli art. 24, comma 1, lett. j), e 26, comma 4, lett. c), d.lg. n. 196 del 2003, il trattamento di dati sensibili può essere effettuato in sede giudiziaria, in assenza del consenso dell’interessato, solamente qualora lo stesso sia necessario ai fini difensivi, avvenga esclusivamente per tali finalità e per il periodo necessario; pertanto, sono tenuti in solido al risarcimento dei danni, ai sensi dell’art. 15 d.lg. n. 196 del 2003, il medico e il legale dello stesso, che abbiano prodotto in sede giudiziaria le fotografie di una paziente relative ad un intervento di mastoplastica dalla stessa subito, atteso che quest’ultima ne aveva autorizzato la pubblicazione ai soli fini scientifici, e che la divulgazione in sede processuale di tali immagini non era utile, né finalizzata alla strategia difensiva del medico (citato in giudizio per responsabilità professionale con riferimento al diverso intervento di addominoplastica subito dalla stessa paziente).

Cassazione civile sez. III, 11/09/2014, n.19172

Prestazione di servizi sanitari

Poiché l’art. 37 comma 1 lett. b) d.lg. n. 196 del 2003, individua in positivo i casi in cui l’obbligo di notificazione del trattamento sussiste, deve ritenersi che la norma non assoggetti all’onere medesimo il trattamento a fini di prestazione di servizi sanitari generalmente inteso, bensì il solo trattamento che presenti specifiche finalità (quali prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti), cosicché è da escludere che l’adempimento della notifica sia connesso al trattamento di dati sensibili per lo svolgimento di attività generali di diagnosi e cura del paziente (tipiche, peraltro, di ogni struttura sanitaria).

Tribunale Chiavari, 12/06/2012, n.426

L’illegittimo trattamento di dati sensibili

L’illegittimo trattamento di dati sensibili ex art. 4 del d.lg. 30 giugno 2003, n. 193, configurabile come illecito ai sensi dell’art. 2043 c.c., non determina un’automatica risarcibilità del danno, dovendo il pregiudizio (morale e/o patrimoniale) essere provato secondo le regole ordinarie, quale ne sia l’entità e quale che sia la difficoltà di assolvere l’onere probatorio, trattandosi di un danno-conseguenza e non di un danno-evento, non rilevando in senso contrario neppure il suo eventuale inquadramento quale pregiudizio non patrimoniale da lesione di diritti costituzionalmente garantiti.

Cassazione civile sez. III, 03/07/2014, n.15240

Trattamento dei dati sensibili attinenti alla salute o alla vita sessuale

In tema di trattamento dei dati sensibili attinenti alla salute o alla vita sessuale, quando sia l’interessato a comunicarli ad uno o più soggetti determinati, in qualunque forma, anche mediante la loro messa a disposizione, ne è consentita l’elaborazione da parte dei predetti destinatari, dal momento che, in tale ipotesi, cessa di essere applicabile la normativa speciale sulla protezione dei dati sensibili, di cui alla l. n. 675 del 1996 (all’epoca in vigore) e rivive pienamente il diritto di difesa, tutelato dall’art. 24 cost., che può esplicarsi anche mediante la produzione nella controversia di una perizia stragiudiziale, contenente i dati comunicati da un’altra parte in lite ai soggetti del rapporto processuale (parti, difensori, giudice, ausiliari, consulenti delle parti), i quali, se del caso, possono utilizzarli per trarne argomenti difensivi.

Cassazione civile sez. I, 02/08/2012, n.13914



7 Commenti

  1. È importante non fare confusione tra dati personali, dati sensibili e dati giudiziari. Qual è la differenza?

    1. I dati personali sono quelli in grado di identificare o di rendere identificabile una persona attraverso le sue caratteristiche, le sue abitudini, il suo stile di vita, ecc.; i dati sensibili sono, invece, quelli che possono svelare la sua origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro tipo, le opinioni politiche, l’adesione ad un partito, ad un sindacato o ad un’organizzazione o associazione di qualsiasi genere, nonché lo stato di salute e la vita sessuale del cittadino; i dati giudiziari, infine, sono quelli relativi al casellario giudiziale, cioè ai precedenti amministrativi o penali del cittadino. In sostanza, possono svelare se ha avuto delle sanzioni amministrative che dipendono da reato, se ha dei carichi pendenti, se è indagato o imputato in qualche processo civile o penale.

    1. Secondo il Codice della privacy, i dati personali devono essere:
      esatti ed aggiornati quando è il caso;
      raccolti e registrati per un determinato scopo, esplicito e legittimo, ed utilizzati in altre operazioni che rientrano nel trattamento compatibili con tali scopi. Ad esempio: se faccio la tessera del supermercato su cui si registra settimanalmente la mia spesa, il titolare del trattamento (cioè l’addetto del supermercato che si occupa di queste operazioni) potrà confrontare la mia spesa con quella degli altri clienti per sapere quali prodotti hanno più successo in certe fasce di età, tra uomini e donne, tra impiegati o autonomi, ecc.;
      trattati in modo lecito e corretto;
      pertinenti alle finalità della raccolta e del successivo trattamento;
      conservati per un periodo di tempo limitato e, comunque, non superiore al periodo necessario allo scopo per cui sono stati raccolti.

  2. I dati sensibili sono quei dati personali che riguardano la sfera più intima dell’individuo e, pertanto, necessitano di una speciale protezione

  3. Nell’era del digitale la tutela della privacy è divenuto uno degli obiettivi più importanti da raggiungere. Riprese in pubblico, fotografie, abbonamenti a riviste, iscrizioni a piattaforme online: tutto viaggia velocemente nella rete, rendendo di dominio pubblico (o quasi) i dati personali. Per porre un argine alla diffusione esagerata delle informazioni, la legge italiana ha previsto che alcune di esse possano essere trattate solamente con il consenso espresso dell’interessato ovvero con l’autorizzazione preventiva del Garante della privacy. Si tratta dei cosiddetti dati sensibili.

  4. Il codice della privacy prevede che i dati sensibili, così come quelli giudiziari, quando sono contenuti in elenchi, registri o banche dati, tenuti con l’ausilio di strumenti elettronici, devono essere trattati con tecniche di cifratura o impiegando codici identificativi o altre soluzioni che li rendano temporaneamente incomprensibili anche a chi è autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessità. Per quanto riguarda il trattamento dei dati sensibili da parte di soggetti privati, il codice prevede che possano essere trattati solo con il consenso scritto dell’interessato e previa autorizzazione del Garante. Per quanto riguarda invece il trattamento dei dati sensibili da parte di soggetti pubblici, la legge prevede che il trattamento dei dati sensibili è consentito solo se autorizzato da espressa disposizione di legge nella quale sono specificati i tipi di dati che possono essere trattati, le operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite.

Lascia un commento

Usa il form per discutere sul tema (max 1000 caratteri). Per richiedere una consulenza vai all’apposito modulo.

 


NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI

CERCA SENTENZA

Canale video Questa è La Legge

Segui il nostro direttore su Youtube