Corte di Cassazione, Sez. I Civile, ordinanza 6 marzo 2025, n. 6067
PRINCIPIO DI DIRITTO
La liceità del trattamento dei dati del fascicolo sanitario personale si fonda su un duplice consenso, specifico, libero ed informato da parte dell’assistito: il primo è costituito dal consenso all’ alimentazione del fascicolo sanitario personale con i dati; il secondo è costituito dal consenso alla consultazione dei dati e dei documenti (in chiaro) contenuti nel fascicolo sanitario personale per le finalità di prevenzione, diagnosi, cura e riabilitazione.
L’utilizzo da parte della PA dei dati personali contenuti nel fascicolo sanitario personale può ritenersi ammissibile, previa anonimizzazione, per finalità di prevenzione, diagnosi, cura e riabilitazione ed è subordinato al previo ottenimento dello specifico consenso dell’interessato, non essendo sussumibile tale fattispecie nell’ambito applicativo dell’art.5, lett. b), seconda parte, del regolamento 2016/679.
Il trattamento dei dati personali ed identificativi non può esorbitare i limiti del trattamento espressamente consentito, deve quindi ritenersi illecito l’incrocio e la rielaborazione di dati propri di una pluralità di assistiti con l’utilizzo di un algoritmo di modo da dar luogo ad una c.d. “stratificazione statistica” degli assistiti in condizione di complessità e comorbilità da segnalare ai Medici di Medicina Generale (MMG).
Va imputato all’azienda sanitaria ospedaliera l’illecito trattamento dei dati contenuti all’interno del fascicolo sanitario personale non avendo rilievo che il trattamento in questione era stato deliberato dalla Giunta Regionale che ne aveva definito tutte le modalità di esecuzione e che i pazienti avevano già espresso il consenso alla consultazione dei loro dati, atteso che il titolare del trattamento è l’azienda sanitaria ospedaliera.
Il trattamento di stratificazione statistica degli assistiti non è un trattamento necessario, che, come tale, può prescindere dal consenso dell’interessato, non essendo sufficiente il richiamo nella delibera della Giunta Regionale che lo prevede all’emergenza pandemica ed alla relativa normativa di attuazione.
Spetta al titolare del trattamento, e non al Garante, l’obbligo di effettuare la valutazione di impatto del trattamento in ordine ai rischi elevati per i diritti e le libertà delle persone fisiche, dovendo il titolare del trattamento – su cui grava l’onere preventivo di procedere all’analisi dei rischi – dimostrare, a fronte della contestazione del Garante, la corretta implementazione delle norme e delle prassi in materia di protezione dei dati personali.
TESTO RILEVANTE DELLA DECISIONE
1.- Il ricorso è fondato e va accolto.
1.1.- In via preliminare è opportuno precisare che al caso in esame si applica il d.lgs. n. 196 del 30 giugno 2003 (codice della privacy) nella stesura successiva alle modifiche introdotte con il d.lgs. n.101 del 10 agosto 2018 di adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, entrato in vigore il 25 maggio 2018 (art.99, comma 2, del regolamento), oltre che il regolamento medesimo.
1.2.- La controversia concerne i dati personali che confluiscono nel Fascicolo sanitario elettronico, tra i quali rientrano i dati relativi alla salute (art.4, par. 1 nn.1 e 15 del regolamento) ed il loro trattamento.
1.3.- In via generale, per quanto di rilievo nel presente processo, è necessario ricordare che i dati personali sono «raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che il trattamento non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali» (art.5, par. 1, lett. b) del regolamento); che il trattamento è lecito ove l’interessato abbia espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità, a meno che non ricorra una delle ipotesi di trattamento necessario (art.6 del regolamento); che, ove il trattamento per una finalità diversa da quella per la quale i dati personali sono stati raccolti non sia basato sul consenso dell’interessato o su un atto legislativo dell’Unione o degli Stati membri, il titolare del trattamento deve tenere conto, tra l’altro « c) della natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali ai sensi dell’articolo 9…»; che i dati relativi alla salute rientrano in una categoria di dati personali per i quali il trattamento è vietato, a mano che non ricorra il consenso esplicito dell’interessato, ovvero ricorra una delle specifiche ipotesi in cui il trattamento è qualificato come necessario dal regolamento (art.9 del regolamento). In sintesi, il trattamento dei dati personali che concernono la salute è lecito a condizione che ricorra il consenso esplicito dell’interessato, a meno che non si rientri in una delle fattispecie di trattamento necessario previste dal regolamento.
1.4.- In questo quadro normativo si colloca l’istituzione del fascicolo sanitario elettronico, che trova la sua disciplina nell’art.12 del d.l. 18 ottobre 2012, n.179, conv. con mod. dalla legge 17 dicembre 2012, n.221, e nel DPCM 29 settembre 2015, n.178, recante il Regolamento in materia di fascicolo sanitario elettronico. Il fascicolo sanitario elettronico (in breve FSE) è individuale e riguarda il singolo assistito; è costituito dall’insieme dei dati e documenti digitali di tipo sanitario e sociosanitario generati da eventi clinici presenti e trascorsi che riguardano l’assistito, riferiti anche alle prestazioni erogate al di fuori del Servizio sanitario nazionale. É istituito dalle regioni e province autonome nel rispetto della normativa vigente in materia di protezione dei dati personali, secondo le previsioni di cui all’art.12 cit. Il FSN persegue plurime e specifiche finalità, come individuate al comma 2 dell’art.12 (nel testo applicabile ratione temporis al caso in esame, secondo quanto previsto dall’art.12 del d.l. 18 ottobre 2012, n.179, vigente fino al 26 gennaio 2022 – prima delle modifiche introdotte dal d.l. 27 gennaio 2002, n.4, conv. con mod. dalla legge 28 marzo 2022, n.25). Le finalità sono: a) prevenzione, diagnosi, cura e riabilitazione; b) studio e ricerca scientifica in campo medico, biomedico ed epidemiologico; c) programmazione sanitaria, verifica delle qualità delle cure e valutazione dell’assistenza sanitaria. I soggetti che possono utilizzare il FSE mutano a seconda della finalità perseguite, così come mutano la qualità dei dati accessibili per il trattamento e le condizioni per il trattamento. Le finalità di prevenzione, diagnosi, cura e riabilitazione (lettera a) sono perseguite dai soggetti del Servizio sanitario nazionale e dei servizi sociosanitari regionali e da tutti gli esercenti le professioni sanitarie che prendono in cura l’assistito secondo le modalità di accesso da parte di ciascuno dei predetti soggetti e da parte degli esercenti le professioni sanitarie, nonché nel rispetto delle misure di sicurezza definite ai sensi del comma 7. La consultazione dei dati e dei documenti per le finalità di cui alla lettera a) avviene in chiaro (e cioè con il nominativo dell’assistito): la consultazione può essere realizzata dai soggetti prima indicati soltanto con il consenso dell’assistito e sempre nel rispetto del segreto professionale, salvo i casi di emergenza sanitaria secondo modalità individuate a riguardo. Peraltro, il mancato consenso da parte dell’assistito non pregiudica il diritto all’erogazione della prestazione. Anche l’assistito può consultare il proprio FSE, in forma protetta e riservata. Le finalità di studio e ricerca scientifica in campo medico, biomedico ed epidemiologico (lettera b) e programmazione sanitaria, verifica delle qualità delle cure e valutazione dell’assistenza sanitaria (lettera c) sono perseguite dalle regioni e dalle province autonome, nonché dal Ministero del lavoro e delle politiche sociali e dal Ministero della salute nei limiti delle rispettive competenze attribuite dalla legge, senza l’utilizzo dei dati identificativi degli assistiti presenti nel FSE, secondo livelli di accesso, modalità e logiche di organizzazione ed elaborazione dei dati definiti con il decreto di cui al comma 7, in conformità ai principi di proporzionalità, necessità e indispensabilità nel trattamento dei dati personali. Come si evince dal DPCM 29 settembre 2015, n.178, recante il Regolamento in materia di fascicolo sanitario elettronico (secondo quanto previsto dall’art.12, comma 7, del d.l. 18 ottobre 2012, n.179), la completa informativa ai sensi dell’art.13 del Codice in materia di protezione dei dati personali (art. 6) costituisce presupposto di liceità del trattamento. I dati che confluiscono nel FSE sono relativi allo stato di salute attuale ed eventualmente pregresso dell’assistito e vengono in rilievo in quanto dati personali, costituiti da «qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale, ai sensi del Codice in materia di protezione dei dati personali;», e dati identificativi, costituiti dai «dati personali che permettono l’identificazione diretta dell’interessato, ai sensi del Codice in materia di protezione dei dati personali;» (art.1, lett. s) e t), del DPCM 29 settembre 2015, n.178). Il trattamento di questi dati mediante l’istituzione del FSE individuale è basato, per previsione normativa, sul consenso libero e informato da parte dell’assistito e non rientra, quindi, nelle fattispecie di trattamento necessario. In particolare, all’assistito è richiesto un suo primo consenso specifico che rende possibile l’alimentazione del FSE (art.6, comma 1, lett. d) e art.7 del DPCM). É inoltre richiesto «un ulteriore specifico consenso limitatamente alla consultazione dei dati e dei documenti presenti nel FSE, per le finalità di cui alla lettera a) del comma 2 dell’art.12…» (art.6, comma 1, lett. e) e art.7 del DPCM). Entrambi i consensi sono revocabili. Come specificato dal Capo II del DPCM 29 settembre 2015, n.178, i titolari dei trattamenti per finalità di cura, per i quali è previsto il secondo consenso, sono i soggetti del SSN e dei servizi sociosanitari che prendono in cura l’assistito(art.10); per la finalità di cura si possono prevedere anche servizi di elaborazione di dati, relativi a percorsi diagnostici-terapeutici, per supportare i processi di prevenzione, diagnosi e cura, ma limitatamente all’assistito preso in cura (art.11). Viene, inoltre precisato (art.13 – Accesso alle informazioni del FSE per finalità di cura) che: il FSE è uno strumento a disposizione dell’assistito che può consentirne l’accesso ai soggetti del SSN e dei servizi socio-sanitari regionali che lo prendono in cura; l’accesso alle informazioni del FSE da parte di questi soggetti è consentito solo se si verificano tutte le seguenti condizioni: a) l’assistito ha espresso esplicito consenso all’accesso al FSE; b) le informazioni da trattare sono esclusivamente quelle pertinenti al processo di cura in atto; c) i soggetti che accedono alle informazioni rientrano nelle categorie di soggetti abilitati alla consultazione del FSE indicate dall’assistito e sono effettivamente coinvolti nel processo di cura. Le regioni e province autonome e il Ministero della Salute sono titolari dei trattamenti per finalità di ricerca (art.12 lett. b, d.l. n.179/2012) e dei trattamenti per finalità di governo (art.12, lett. c) d.l. n.179/2012). Per queste finalità il trattamento dei dati presenti nel FSE è consentito purché privati dei dati identificativi diretti dell’assistito e nel rispetto del principio di indispensabilità, necessità, pertinenza e non eccedenza in relazione alle suddette finalità e dei dati personali ivi elencati (artt. 15-20 del DPCM 29 settembre 2015, n.178). – 2. – Così ricostruito il quadro normativo, le censure appaiono fondate.
2.1 – Innanzi tutto, va rimarcato che la liceità del trattamento dei dati del FSE si fonda su un duplice consenso, specifico, libero ed informato da parte dell’assistito: il primo è costituito dal consenso all’ alimentazione del FSE con i dati; il secondo è costituito dal consenso alla consultazione dei dati e dei documenti (in chiaro) contenuti nel FSE per le finalità di prevenzione, diagnosi, cura e riabilitazione (lett. a). I titolari del trattamento per le finalità di prevenzione, diagnosi, cura e riabilitazione (che richiede il secondo consenso) sono i soggetti del Servizio sanitario nazionale e dei servizi sociosanitari regionali e gli esercenti le professioni sanitarie che prendono in cura l’assistito secondo le modalità di accesso da parte di ciascuno dei predetti soggetti e da parte degli esercenti le professioni sanitarie secondo le modalità consentite; le informazioni da trattare sono esclusivamente quelle pertinenti al processo di cura in atto dell’assistito; per la finalità di cura si possono prevedere anche servizi di elaborazione di dati, relativi a percorsi diagnostici-terapeutici, per supportare i processi di prevenzione, diagnosi e cura, ma limitatamente all’assistito preso in cura. Non è previsto alcun trattamento dei dati in chiaro che esorbiti dalla posizione e dall’interesse terapeutico del singolo assistito a cui si riferisce il FSE.
2.2.- Ne consegue che esattamente il Tribunale ha affermato che l’ASUFC è titolare del trattamento dei dati personali degli assistiti confluiti nei FSE individuali, sulla base del duplice consenso, anche se non si possono condividere le conclusioni del Tribunale sulla non imputabilità della condotta all’ASUFC, per le ragioni che verranno esposte più avanti (v. 2.4.).
2.3.- Non risulta, invece, conforme alla disciplina esaminata la ricostruzione compiuta dal Tribunale come trattamento secondario, «non incompatibile con le finalità originarie per le quali le medesime informazioni erano state raccolte» del trattamento di cui si discute, consistito nella elaborazione di elenchi di pazienti rientranti in particolari categorie vulnerabili mediante un meccanismo di cd. stratificazione sulla base dell’esame di dati rivenienti da plurimi FSE, perché – secondo il Tribunale – «in definitiva, l’attività compiuta da Insiel S.p.a., su espresso mandato regionale, è consistita quindi in una mera rielaborazione di dati già raccolti e a disposizione anche dei medici di base, compiuta con l’obiettivo precipuo di agevolare i medici di medicina generale del territorio nell’individuazione dei pazienti in condizioni di complessità e comorbilità, al fine di consentire loro una più tempestiva ed efficiente gestione, in termini di prevenzione, pianificazione e programmazione, della vaccinazione nel contesto pandemico.» (fol.5). Invero, l’art.5, lett. b), seconda parte, del regolamento, che prevede «un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»), al quale fa riferimento il giudice del merito, non è applicabile nel caso in esame. Il presente caso non è sussumibile nella fattispecie disciplinata dall’art.5 di cui sopra, sia perché il consenso richiesto nel caso specifico, per legge, è circoscritto ad uno specifico trattamento, e cioè la consultazione, sia perché le finalità di ricerca e di governo sono espressamente ed autonomamente disciplinate e prevedono l’uso di dati anonimizzati. Va premesso che la finalità perseguita, pur ove meritevole di apprezzamento, non esonera dal rispetto della normativa in materia di tutela dei dati personali, assistita da un elevato grado di cautela e rigore in relazione ai dati afferenti alla salute. Nel caso del FSE, per le finalità di cura, il consenso è richiesto in relazione ad uno specifico trattamento dei dati personali, costituito dalla consultazione dei dati e dei documenti (art.12 del d.l. n.179/2012 e art.7, comma 2, del DPCM 29 settembre 2015, n.178) e dai servizi di elaborazione di dati, relativi a percorsi diagnostici-terapeutici, per supportare i processi di prevenzione, diagnosi e cura, ma limitatamente all’assistito preso in cura (art.11, comma2, del DPCM 29 settembre 2015, n.178). Il trattamento dei dati contenuti nel FSE per finalità di cura è, quindi, puntualmente circoscritto ai dati direttamente collegati all’assistito preso in cura e non prevede alcuna rielaborazione generale dai dati appartenenti ad una pluralità di assistiti volta alla realizzazione di un documento di sintesi in funzione di programmazione sanitaria; per altro verso, le diverse finalità previste dalla lett. b) e c) dell’art.12, comma 2, del d.l. n.179/2012 di ricerca e di governo, sono anch’esse espressamente disciplinate e vanno perseguite senza l’utilizzo dei dati identificativi degli assistiti. Ha, quindi, errato il Tribunale a ritenere che il trattamento dei dati personali ed identificativi in questione integrasse un trattamento cd. secondario e potesse esorbitare dai limiti del trattamento espressamente consentito e, addirittura, attuarsi oltre l’ambito del FSE individuale, mediante l’incrocio e la rielaborazione di dati propri di una pluralità di assistiti con l’utilizzo di un algoritmo di modo da dar luogo ad una c.d. “stratificazione statistica” degli assistiti in condizione di complessità e comorbilità da segnalare ai Medici di Medicina Generale (MMG).
2.4.- La decisione impugnata risulta errata e va cassata anche laddove ha escluso l’imputabilità delle condotte all’ASUFC sul rilievo che il trattamento in questione era stato deliberato dalla Giunta Regionale che ne aveva definito tutte le modalità di esecuzione e che i pazienti avevano già espresso il consenso alla consultazione dei loro dati. Non risulta decisivo il richiamo all’art. 2-ter del regolamento n. 2016/679/UE (Base giuridica per il trattamento di dati personali effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri) perché l’estensione normativa della base giuridica anche ad un atto amministrativo generale è avvenuta a seguito della modifica introdotta dal d.l. n.139/2021 e non trova applicazione retroattiva in relazione all’attività posta in essere antecedentemente, a seguito della deliberazione della Giunta risalente al 2020. Inoltre, per il trattamento di categorie particolari di dati personali, tra cui rientrano i dati relativi alla salute, trova applicazione l’art.2 – sexies del regolamento, che concerne il trattamento di categorie particolari di dati personali, trattamento necessario per motivi di interesse pubblico rilevante e, nel caso in esame, non è stato accertato che il trattamento sia stato disposto perché necessario, per le ragioni di seguito illustrate (v. 2.5.). L’ASUFC, quale titolare del trattamento aveva pertanto il dovere di esercitare tutte le sue prerogative a tutela dell’utilizzo dei dati custoditi dei FSE e non ricorre alcuna causa di esenzione da responsabilità da parte del titolare del trattamento.
2.5.- Quanto al carattere necessario o meno del trattamento in questione, va osservato che il Tribunale, dopo avere richiamato il considerando 54 e l’art.9 del regolamento, nel contesto dello stato di emergenza pandemica deliberata dal Consiglio dei Ministri in data 31 gennaio 2020 e poi prorogato fino al 31 marzo 2022, dell’Ordinanza del Capo del Dipartimento della Protezione Civile (OCDPC) n.630 del 3 febbraio 2020, dell’art.17 bis del d.l. n.18/2020 e dell’art.1 del d.l. n.34/2020, sembra dedurre che il trattamento in questione fosse da qualificare come necessario, tanto da poter prescindere dal consenso dell’assistito, sulla scorta della circostanza che i decreti erano stati espressamente richiamati nel Preambolo al Verbale di Intesa tra la Regione FVG e le OO.SS. dei MMG per la disciplina dei rapporti biennio 2020-2021 e delle attività connesse all’emergenza epidemiologica da Covid-19 e costituivano il fondamento normativo, di rango primario, del trattamento dei dati sanitari prescritti dalla delibera della Giunta regionale n. 1737/2020, nell’ambito delle competenze legislative e regolamentari attribuite alla Regione stessa. Tale conclusione non può essere condivisa. L’emergenza pandemica e il richiamo della normativa adottata in tale circostanza nel Preambolo della delibera di Giunta non è sufficiente a qualificare il trattamento di stratificazione statistica come trattamento necessario, in assenza della puntuale disamina della esplicazione in concreto nella delibera di Giunta degli specifici presupposti del trattamento necessario, come richiesti dagli artt. 1 e 17 bis del d.l. sia in termini di competenza al trattamento, sia in termini di concreto rispetto dell’art.9, par.2, lett. g), h) e i) e dell’art.10 del regolamento n. 2016/679/UE, sia in termini di apprezzamento dell’effettiva adozione o meno delle misure appropriate a tutela dei diritti e delle libertà degli interessati (art.17 bis, comma 2, d.l. 18/2020).
2.6.- Non risulta pertinente al presente caso il richiamo contenuto in sentenza alla disciplina del segreto professionale cui sono soggetti i medici ed all’ipotesi derogatoria dell’obbligo di preventiva informazione prevista dall’art.14, par. 5, lett. d) del regolamento n. 2016/679/UE ed anche sul punto la decisione risulta errata: ciò che viene in esame nell’ordinanza ingiunzione è, infatti, la condotta dell’ASUFC e non quella dei medici di riferimento di ciascun paziente, soggetti al segreto professionale.
2.7.- Infine, va accolta anche la censura riguardante la statuizione di insussistenza della violazione dell’art.35 del regolamento n. 2016/679/UE, relativa alla contestazione di omessa valutazione dell’impatto del trattamento dei dati personali. Ai sensi dell’art.35 del Regolamento n. 2016/679/UE «1. Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali…» ed inoltre «3. La valutazione d’impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti. … b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10». La valutazione di impatto, dunque, va effettuata dal titolare del trattamento, prima dell’inizio del trattamento ed è proprio il titolare a dover decidere – alla luce dei criteri indicati dall’art.35 del regolamento – se procedere o meno all’incombente. A differenza di quanto assume il Tribunale – la novità delle tecnologie utilizzate non va valutata in astratto, ma in relazione alle specifiche tecniche dello strumento utilizzato, in quanto, altrimenti, il termine algoritmo risulterebbe un mero nomen tendenzialmente neutro. Inoltre, quando ricorre un trattamento con caratteristiche riconducibili alla previsione di cui all’art.35 del Regolamento, è il titolare del trattamento – su cui grava l’onere preventivo di procedere all’analisi dei rischi – a dover dimostrare, a fronte della contestazione del Garante, la corretta implementazione delle norme e delle prassi in materia di protezione dei dati personali e non già il Garante, come sembra ritenere il Tribunale laddove fa carico al Garante di non avere allegato, né chiesto di dimostrare quale fosse il rischio elevato per i diritti e le libertà delle persone fisiche.
3.- In conclusione, il ricorso va accolto; la sentenza impugnata va cassata con rinvio della causa, anche per la statuizione sulle spese del presente giudizio, al Tribunale di Udine in persona di diverso magistrato.
