Privacy ieri, oggi e domani: un interessante caso di dati sulla salute
Indice:
1. La violazione del trattamento dei dati contestata dall’infermiere
2. La decisione del Garante e la sentenza del Tribunale di Roma
3. Il ricorso in Cassazione e l’esito
4. La vicenda e la violazione del trattamento dei dati alla luce della normativa attuale
1. La violazione del trattamento dei dati contestata dall’infermiere
La Corte di Cassazione ha recentemente pronunciato un’ordinanza di inammissibilità (n. 16560/2020) in materia di comunicazioni di dati sanitari del dipendente se già resi noti dallo stesso.
Risalente al 2010, dunque sotto la vigenza della disciplina privacy ante GDPR, la vicenda riguarda un infermiere che lamentava l’illecita diffusione, a opera del datore di lavoro (Azienda sanitaria), di taluni dati inerenti alle proprie condizioni di salute, le quali erano già state rese note dallo stesso dipendente ad alcuni colleghi.
Nello specifico, la caposala del suo reparto aveva inviato una nota alla dirigente dell’ufficio infermieristico, alla coordinatrice del dipartimento di psichiatria e alla referente per le aree esterne, evidenziando l’opportunità della sottoposizione dell’infermiere a visita straordinaria, ai sensi dell’articolo 41 comma 2 Decreto Legislativo 81/2008, presso il medico competente del servizio di prevenzione e protezione di medicina del lavoro, per “problemi di iperglicemia” e per la correlata periodica sottoposizione “a trattamenti di plasmaferesi in regime di Day-Hospital”.
2. La decisione del Garante e del Tribunale di Roma
Il Garante, su ricorso dell’infermiere, si pronunciava con decisione di rigetto, argomentando che la nota della caposala dovesse essere inquadrata come mera richiesta interna, inoltrabile ai superiori ex articolo 5 comma 3 Legge 300/70, disposizione in forza della quale “Il datore di lavoro ha facoltà di far controllare l’idoneità fisica del lavoratore da parte di enti pubblici ed istituti specializzati di diritto pubblico”.
Il dipendente ricorreva così avverso tale decisione al Tribunale di Roma, ex articolo 152 del previgente Codice Privacy, lamentando quali motivi di doglianza:
- la violazione del principio di pertinenza e necessità del trattamento (oggi noto come principio di minimizzazione ex articolo 5 GDPR), ritenendo che la comunicazione della malattia e delle relative terapie non si rendesse indispensabile per il perseguimento dei fini di sorveglianza sanitaria;
- la trasmissione a uffici o a soggetti diversi dal medico competente, condotta che non dovrebbe ritenersi compatibile col principio di necessità nell’esercizio della facoltà ex articolo 5 Legge 300/70.
Il Tribunale respingeva la domanda del ricorrente sulla base dei seguenti argomenti:
- in concordanza con quanto già deciso dal Garante, la nota della caposala doveva ritenersi una segnalazione di carattere interno, rivolta ai diretti superiori della coordinatrice, e quindi, in senso tecnico, non poteva parlarsi di comunicazione;
- i principi di pertinenza e necessità non risultavano violati nel caso di specie, vista la “esigenza superiore di tutela della salute, dell’interessato prestatore di lavoro e dei terzi utenti del servizio”;
- la condotta di pubblica ostensione di dati sensibili da parte dell’interessato integrava “una forma di consenso implicito al loro trattamento”, comportando dunque un affievolimento della tutela privacy.
3. Il ricorso in Cassazione e l’esito
L’infermiere ricorreva in Cassazione sulla base dei seguenti motivi:
- illegittimità della decisione ai sensi del Decreto Legislativo 196/2003, articoli 1, 4, 11, 15, 18, 20 e 22. Per quel che qui interessa, il ricorrente sottolineava come:
- sia la normativa che la giurisprudenza non fanno distinzione tra “comunicazione interna” e “comunicazione esterna”;
- il giudice a quo, non considerando opportunamente la natura giuridica dei dati oggetto della vicenda (dati sensibili), ha mancato di rilevare come si rendeva necessaria l’esistenza di una specifica norma di legge che ne autorizzasse i poteri, i limiti e le finalità, ma anche la persona che tratta i dati, la quale deve a sua volta essere legittimata da una nomina proveniente dal titolare del trattamento;
- il fatto che il ricorrente medesimo avesse parlato con i propri colleghi di lavoro della propria patologia non esentava in alcun modo l’osservanza dei principi di necessità e pertinenza nel trattamento;
- l’omessa valutazione della finalità ritorsiva perseguita dall’Azienda sanitaria mediante la diffusione del dato sensibile, l’omessa valutazione della lesione dei diritti di opposizione al trattamento, il travisamento dei fatti, l’esclusione della prova per testi all’uopo dedotta, l’immotivata ed eccessiva condanna alle spese processuali.
La Corte ha dichiarato inammissibile il ricorso poiché:
- con riferimento al primo ordine di motivi, essi riflettono tutti una ridondante critica di merito nella misura in cui fanno riferimento alla ricostruzione della modalità di gestione del dato secondo i canoni di necessità e pertinenza, ritenuta dalla Cassazione una questione di fatto; cosicché il motivo di ricorso viene a risolversi in un tentativo di sovvertimento della ricostruzione in fatto della vicenda, esorbitando i confini del giudizio di legittimità;
- in relazione al secondo ordine di punti, viene ravvisata una violazione dei canoni di specificità e di chiarezza nella formulazione dei motivi di doglianza dovuta alla “mescolanza o la sovrapposizione di mezzi d’impugnazione eterogenei, facenti promiscuo e indecifrabile riferimento a diversi e non specificati errori”.
4. La vicenda e la violazione del trattamento dei dati alla luce della normativa attuale
Il caso esaminato è di notevole interesse se rapportato allo sviluppo normativo della materia. Che cosa potrebbe accadere se la stessa vicenda avvenisse sotto l’attuale disciplina privacy (GDPR e Decreto Legislativo 196/03, così come modificato dal Decreto Legislativo 101/18)?
Innanzitutto, occorre mettere a fuoco la base legale in cui inquadrare il trattamento. Tre le possibili soluzioni:
- la prima (la più opportuna) è ravvisabile nell’articolo 9 comma 2 lettera h del GDPR, che autorizza al trattamento dei dati personali se esso è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3, il quale prevede a sua volta come condizione per il trattamento che tali dati siano trattati da o sotto la responsabilità di un professionista o altra persona soggetto al segreto professionale;
Il paragrafo 4 del medesimo articolo consente alla normativa dei singoli Stati di mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute. Sul punto, il legislatore italiano è intervenuto con l’adozione dell’articolo 2 septies, il quale consente il trattamento dei tipi di dati citati solo nel rispetto di specifica legge (o regolamento delegato) e delle misure di garanzia predisposte dal Garante.
L’articolo 41 del Decreto Legislativo 81/08 è quindi centrale per la valutazione di conformità del trattamento rispetto alla normativa attuale.
Vengono qui in soccorso sia le FAQ Covid – 19 sul Trattamento dei dati nel contesto lavorativo pubblico e privato nell’ambito dell’emergenza sanitaria, mediante le quali il Garante ha ricordato che “In base alle norme in materia di sorveglianza sanitaria, non derogate da quelle dell’emergenza, il datore di lavoro non può, inoltre, conoscere l’esito degli esami diagnostici disposti dal medico competente” nonché l’Interpello del Ministero del Lavoro n. 4/2019, il quale ha evidenziato come sia necessario di adottare “soluzioni concordate tra datore di lavoro e medico competente che, nel rispetto del segreto professionale e della tutela della privacy, garantiscano l’accessibilità ai suddetti dati soltanto al medico competente e non permettano né al datore di lavoro né all’amministratore di sistema informatico di potervi accedere”.
Tali indicazioni permettono di concludere che l’unico legittimato a trattare i dati in materia di sorveglianza sanitaria, in forza della specifica norma di legge (articolo 41 Decreto Legislativo 81/08), è il medico competente, dovendo quindi ritenersi fondato il motivo di doglianza del ricorrente.
- Se, in forza di quella che il Tribunale ha definito come “esigenza superiore di tutela della salute, dell’interessato prestatore di lavoro e dei terzi utenti del servizio”, si volesse far riferimento alla base ex articolo 9 comma 2 lettera g GDPR, ovverosia al “trattamento per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri”, tradotta nell’ordinamento interno con l’articolo 2sexies comma 2 (nel caso di specie, lett. O), risulterebbe complesso poter ritenere che, in relazione alla vicenda qui considerata, siano state rispettate le condizioni di proporzionalità alla finalità perseguita, rispetto dell’essenza del diritto alla protezione dei dati e previsione delle misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.
In altre parole, la tutela del diritto alla salute degli utenti del servizio ospedaliero non si ritiene possa giustificare le condizioni con cui il dato è stato trattato, ovverosia mettendolo a disposizione di incaricati diversi dal medico competente alla sorveglianza sanitaria. Ben avrebbe potuto (e dovuto) la nota interna non specificare né le malattie né le terapie a cui l’infermiere avesse a sottoporsi.
- Ultima possibilità, quella di fare riferimento all’articolo 9 comma 2 lettera E GDPR, che consente il trattamento dei dati personali qualora essi siano resi manifestamente pubblici dall’interessato.
In questa circostanza, risulta abbastanza agevole dimostrare l’impossibilità del datore di servirsi di tale base. L’articolo 2ter Decreto Legislativo 196/2003 chiarisce infatti che la diffusione, a differenza della comunicazione, consiste nel dare conoscenza dei dati personali a soggetti indeterminati. Nella vicenda qui analizzata, è ragionevole pensare che l’operatore abbia dato notizia delle sue condizioni di salute solo a specifici colleghi, dunque in via di comunicazione. In ogni caso, la condotta dell’infermiere non avrebbe in alcun modo legittimato ad una diffusione dei dati relativi alla sua salute, dato che:
- l’articolo 2septies comma 8 vieta espressamente la diffusione di tali dati, fatto comunque non realizzatosi nel caso di specie. Il datore si è infatti “limitato” a rendere disponibili tali dati a soggetti determinati (nello specifico: caposala, dirigente dell’ufficio infermieristico, coordinatrice del dipartimento di psichiatria e referente per le aree esterne) e non già a diffonderli ad una cerchia indeterminata di soggetti. Di conseguenza, a parere di chi scrive, deve ritenersi che la nota interna utilizzata per rendere le informazioni ai soggetti sopra riportati, sia da includere in una delle “qualunque forme” che la comunicazione può assumere (articolo 2ter comma 4 lettera A);
- non può condividersi la tesi del giudice di prime cure secondo la quale “la condotta di pubblica ostensione di dati sensibili da parte dell’interessato integrava una forma di consenso implicito al loro trattamento", imponendo l’attuale normativa un consenso esplicito ex articolo 9 comma 2 lettera A GDPR.
Concludendo, alla luce dello spirito del GDPR e dei relativi principi (in primis accountability e minimizzazione) si concorda con quanti ritengono che le amministrazioni debbano attivarsi nel definire procedure interne che non violino l’essenza dei diritti privacy dei propri dipendenti, potendo presumersi che l’evoluzione della futura giurisprudenza su casi simili potrebbe avere esiti diversi rispetto alla vicenda qui analizzata.