x

x

Privacy - Cassazione Civile: trattamento di dati sanitari online deve essere sempre notificato al Garante

Privacy - Cassazione Civile: trattamento di dati sanitari online deve essere sempre notificato al Garante
Privacy - Cassazione Civile: trattamento di dati sanitari online deve essere sempre notificato al Garante

A seguito del ricorso presentato dall’Autorità Garante per la Protezione dei Dati Personali contro un istituto di cura romano, la Suprema Corte ha ribadito il carattere obbligatorio della notificazione relativa al trattamento di dati sanitari per via telematica.

Il trattamento di dati sensibili per garantire l’erogazione di servizi sanitari ai pazienti, in assenza di sistematizzazione e organizzazione informatica degli stessi in banche dati digitali, qualifica una possibile deroga all’obbligo di notificazione al Garante Privacy ai sensi dell’articolo 37 del Decreto Legislativo 196 del 2003? A quanto pare no, almeno secondo i giudici della Cassazione e specialmente, come nel caso di specie, nel caso della prestazione di servizi sanitari di stampo “tradizionale” forniti tuttavia mediante strumenti telematici per finalità di diagnosi e analisi delle problematiche di salute dei pazienti.

Alle argomentazioni dell’istituto di cura resistente, che oltre a contestare la legittimità della sanzione irrogata dal Garante deduceva altresì la “sussistenza di una fattispecie di errore scusabile” da legarsi all’ipotesi dei cosiddetti “Casi di minore gravità” di cui all’articolo 164-bis del Codice, la Cassazione rispondeva sottolineando che nonostante la portata generica della norma ex articolo 37, “detta notifica generalmente imposta dalla legge per i dati trattati con tali modalità [poteva] piuttosto essere esclusa [solo] per effetto di un provvedimento dell’Autorità Garante” come ad esempio quello del 31 marzo 2004 destinato ai trattamenti effettuati da esercenti le professioni sanitarie in maniera non sistematica.

A tal proposito, dunque, anche alla stregua di tale dato normativo, i giudici della Corte hanno rilevato come “la prestazione per via telematica di servizi sanitari relativi ad una banca dati o alla fornitura di beni, effettuata da una struttura sanitaria, pubblica o privata, consistente indicativamente, nella raccolta di schede o di cartelle cliniche per ogni paziente, accessibile a diversi soggetti, consultabile in rete telematica oppure online”, non era da ricomprendere nella categoria esente dall’onere di notificazione e, pertanto, hanno respinto il ricorso giudicandolo infondato.

Infine, a latere della questione principale, la Corte ha specificato nuovamente la necessità di tenere in considerazione che solo i “trattamenti di dati sanitari effettuati manualmente mediante archivi cartacei, o eseguiti nell’ambito di servizi di assistenza o consultazione sanitaria per via telefonica, o comunque inseriti in banche dati non collegate a reti telematiche” possono essere considerati passibili di esenzione dalla notificazione ai sensi dell’articolo 37 del Codice Privacy.

In tutti gli altri casi, ivi compresi quelli analoghi alla questione sollevata dalla resistente, l’obbligo di tempestiva notificazione deve sempre e comunque essere rispettato.

 (Corte di Cassazione - Sezione Seconda Civile, Sentenza 29 luglio 2016, n. 15908)

A seguito del ricorso presentato dall’Autorità Garante per la Protezione dei Dati Personali contro un istituto di cura romano, la Suprema Corte ha ribadito il carattere obbligatorio della notificazione relativa al trattamento di dati sanitari per via telematica.

Il trattamento di dati sensibili per garantire l’erogazione di servizi sanitari ai pazienti, in assenza di sistematizzazione e organizzazione informatica degli stessi in banche dati digitali, qualifica una possibile deroga all’obbligo di notificazione al Garante Privacy ai sensi dell’articolo 37 del Decreto Legislativo 196 del 2003? A quanto pare no, almeno secondo i giudici della Cassazione e specialmente, come nel caso di specie, nel caso della prestazione di servizi sanitari di stampo “tradizionale” forniti tuttavia mediante strumenti telematici per finalità di diagnosi e analisi delle problematiche di salute dei pazienti.

Alle argomentazioni dell’istituto di cura resistente, che oltre a contestare la legittimità della sanzione irrogata dal Garante deduceva altresì la “sussistenza di una fattispecie di errore scusabile” da legarsi all’ipotesi dei cosiddetti “Casi di minore gravità” di cui all’articolo 164-bis del Codice, la Cassazione rispondeva sottolineando che nonostante la portata generica della norma ex articolo 37, “detta notifica generalmente imposta dalla legge per i dati trattati con tali modalità [poteva] piuttosto essere esclusa [solo] per effetto di un provvedimento dell’Autorità Garante” come ad esempio quello del 31 marzo 2004 destinato ai trattamenti effettuati da esercenti le professioni sanitarie in maniera non sistematica.

A tal proposito, dunque, anche alla stregua di tale dato normativo, i giudici della Corte hanno rilevato come “la prestazione per via telematica di servizi sanitari relativi ad una banca dati o alla fornitura di beni, effettuata da una struttura sanitaria, pubblica o privata, consistente indicativamente, nella raccolta di schede o di cartelle cliniche per ogni paziente, accessibile a diversi soggetti, consultabile in rete telematica oppure online”, non era da ricomprendere nella categoria esente dall’onere di notificazione e, pertanto, hanno respinto il ricorso giudicandolo infondato.

Infine, a latere della questione principale, la Corte ha specificato nuovamente la necessità di tenere in considerazione che solo i “trattamenti di dati sanitari effettuati manualmente mediante archivi cartacei, o eseguiti nell’ambito di servizi di assistenza o consultazione sanitaria per via telefonica, o comunque inseriti in banche dati non collegate a reti telematiche” possono essere considerati passibili di esenzione dalla notificazione ai sensi dell’articolo 37 del Codice Privacy.

In tutti gli altri casi, ivi compresi quelli analoghi alla questione sollevata dalla resistente, l’obbligo di tempestiva notificazione deve sempre e comunque essere rispettato.

 (Corte di Cassazione - Sezione Seconda Civile, Sentenza 29 luglio 2016, n. 15908)