REPUBBLICA ITALIANA
LA CORTE SUPREMA DI CASSAZIONE
PRIMA SEZIONE CIVILE
Composta dagli Ill.mi Sigg.ri Magistrati:
FRANCESCO ANTONIO GENOVESE -Presidente
LAURA TRICOMI -Consigliere
LOREDANA NAZZICONE -Consigliere-Rel.
ROSARIO CAIAZZO -Consigliere
EDUARDO CAMPESE -Consigliere
ha pronunciato la seguente
ORDINANZA
sul ricorso iscritto al n. 26128/2022 R.G. proposto da:
GARANTE PROTEZIONE DATI PERSONALI, elettivamente domiciliato in ROMA VIA DEI PORTOGHESI 12, presso AVVOCATURA GENERALE DELLO STATO (Avv. (omissis) (omissis) che lo rappresenta e difende);
-ricorrente-
contro
AZIENDA (omissis) elettivamente domiciliata in (omissis) presso lo studio dell’avv. (omissis) (omissis) che la rappresenta e difende;
-controricorrente-
Avverso la SENTENZA del TRIBUNALE RAVENNA n. 188/2022 depositata il 31/03/2022.
Udita la relazione svolta nella camera di consiglio del 06/10/2023 dal Consigliere dott.ssa LOREDANA NAZZICONE.
FATTI DI CAUSA
La Azienda (omissis) propose opposizione innanzi al Tribunale di Ravenna, chiedendo che fosse dichiarata illegittima l’ordinanza ingiunzione per il pagamento della sanzione di € 50.000,00, emessa in data 27 gennaio 2021, n. 36, dal Garante per la protezione dei dati personali, con la quale era stato dichiarato l’illecito trattamento dei dati personali di una paziente, sottopostasi ad interruzione volontaria della gravidanza.
Con sentenza del 31 marzo 2022, n. 188, il Tribunale di Ravenna ha accolto l’opposizione, annullando l’ordinanza ingiunzione.
La sentenza impugnata, in punto di fatto, sulla base delle prove prodotte ed espletate ha accertato che in (omissis) la paziente fu ricoverata presso il reparto di ginecologia per l’intervento di interruzione volontaria della gravidanza, fornendo un numero telefonico di sua pertinenza da utilizzare per i successivi contatti; mentre erano in corso le procedure di dimissione, l’infermiera fu chiamata per un’urgenza e chiese alla paziente di attenderla, ma questa si allontanò ugualmente di sua iniziativa; quindi l’infermiera, dovendo fornire necessarie indicazioni con riguardo al farmaco da assumere, tentava immediatamente di contattare la paziente utilizzando il numero scritto sul frontespizio della cartella clinica, senza notare che all’interno era ritenuto l’ulteriore recapito telefonico, ed al marito, che aveva risposto, riferì di essere infermiera presso l’Ospedale di (omissis) che doveva parlare con la moglie per una terapia, senza altro aggiungere.
Sulla base di tali fatti, il Tribunale ha ritenuto che non sia stata integrata la fattispecie dell’addebito, individuata dal Garante negli artt. 5, par. 1, lett. a), e 9 reg. UE n. 2016/679 del 27 aprile 2016, per avere l’azienda sanitaria rivelato uno specifico stato di salute, comunicando a terzi dati idonei a rivelarlo, senza idonea base giuridica ed in violazione del diniego della stessa a consentirne la conoscenza da parte di soggetti terzi, in violazione del principio di correttezza: ciò, in quanto il considerando 35 del regolamento prevede che per “dati personali relativi alla salute” si intendono quelli contenenti informazioni sulla salute fisica o mentale, come sui dati di registrazione a servizi di assistenza o prestazioni sanitarie, nonché un codice che identifichi il paziente a fini sanitari, quelle su esami e controlli effettuati su una parte del corpo e qualsiasi informazione concernente, ad esempio, una malattia, una disabilità, il rischio di malattie, l’anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell’interessato.
Nella specie, invece, ha ritenuto che nessuna di tali informazioni sia stata fornita dall’infermiera, in quanto le uniche informazioni derivate dalla telefonata attengono al reparto ed il generico riferimento ad una “terapia”: ma il reparto di ginecologia non è necessariamente di degenza, né compie solo interventi di interruzione volontaria della gravidanza; del pari, le terapie prescritte in un simile reparto sono le più varie, non necessariamente quelle post-operatorie di una interruzione di gravidanza volontaria.
Ha concluso che la telefonata non configura una comunicazione contenente dati concernenti la salute giuridicamente rilevanti ai fini sanzionatori, in violazione del principio di correttezza.
Né risulta violato l’obbligo di riservatezza, imposto dalla l. n. 194 del 1978 con riguardo a tale intervento, in quanto non fu fornita nessuna informazione riconducibile ad esso, avendo oltretutto il marito del tutto ignorato, come è stato provato, lo stato di gravidanza.
Il Garante per la protezione dei dati personali ha proposto ricorso, sulla base di due motivi, cui resiste l’Azienda (omissis) con controricorso, depositando anche la memoria.
RAGIONI DELLA DECISIONE
- – Con il primo motivo si denuncia la violazione e falsa applicazione degli 32 Cost., 9, par. 4, e considerando 10, 35 e 51 reg. UE n. 679/2016, 83 Codice dei dati personali e dei principi di correttezza e riservatezza ex l. n. 196 del 1993, in quanto si trattava incontestatamente di dati relativi alla salute, né il considerando contiene precetti normativi in sé, ma è solo esplicativo e non reca indicazioni tassative.
L’art. 83, lett. h), del Codice predetto, ancora in vigore in virtù dell’art. 22 d.lgs. n. 101 del 2018, prevede che le strutture pubbliche, che erogano prestazioni sanitarie, debbano adottare misure idonee a garantire il rispetto dei diritti ed il segreto professionale, ferme restando le regole sul trattamento dei dati sensibili; e, tra le misure di sicurezza, debbono prevedere procedure, anche di formazione del personale, dirette a prevenire «un’esplicita correlazione tra l’interessato e reparti o strutture, indicativa dell’esistenza di un particolare stato di salute». Ne deriva che la mera correlazione tra la paziente e il reparto di degenza abbia costituito illecito trattamento dei dati sulla salute della stessa.
Con il secondo motivo, deduce la violazione o falsa applicazione del principio di riservatezza, di cui alla l. n. 194 del 1978, atteso che il legislatore ha attribuito tutela alle donne che ricorrono ad intervento di interruzione volontaria della gravidanza, ed il richiamato principio fu violato, sebbene non furono fornite informazioni che potessero rivelare il trattamento di c.d. IVG.
- – I due motivi, da trattare congiuntamente in quanto intimamente connessi, sono fondati, nei limiti di seguito esposti.
2.1- Secondo l’art. 4, 15, reg. UE n, 679/2016, i «dati relativi alla salute» sono definiti «i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute», e, ai sensi del n. 12, per «violazione dei dati personali» si intende «la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati».
La sanzione del Garante è stata comminata per violazione degli artt. 5, par. 1, lett. a), d) e f), 9 e 32, par. 1, lett. b) del Regolamento.
L’art. 5, sui principi applicabili al trattamento di dati personali, richiede che essi siano:
a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);
(…)
d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati (<esattezza»);
(…);
f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).
L’art. 32, sulla «sicurezza del trattamento», prevede che – tenuto conto dello «stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche» – il titolare del trattamento e il responsabile del trattamento siano tenuti a predisporre «misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio», comprendenti, ad esempio, la cifratura dei dati personali, la riservatezza ed integrità dei sistemi di trattamento, il ripristino tempestivo della disponibilità dei dati personali in caso di incidente fisico o tecnico, una procedura per verificare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
2.2.- Nella specie, all’Azienda sanitaria, nel caso in esame, è stata contestata la violazione dell’art. 32, 1, lett. b), concernente specificamente «la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento».
Reputa il Collegio, alla stregua delle parole usate, che il fatto stesso di comunicare l’esigenza di un trattamento sanitario e, quindi, l’esistenza di una “malattia” in senso lato – intesa dunque come situazione che renda necessario un trattamento sanitario – attiene a dato sulla salute: non occorre cioè, a tal fine, che sia specificato di quale trattamento o di quale malattia si tratti.
Invero, questa Corte ha già ritenuto che anche il semplice riferimento ad un’assenza dal lavoro “per malattia” costituisca un dato personale «relativo alla salute» del soggetto cui l’informazione si riferisce (Cass. 8 agosto 2013, n. 18980, in motiv.), così come l’ostensione di una situazione di invalidità sia pur genericamente indicata (Cass. 26 giugno 2018, n. 16816), la necessità del lavoratore di sottoporsi a “consulenza psichiatrica” (Cass. 31 gennaio 2018, n. 2367, non massimata), la indicazione della causale del bonifico richiesto in favore di un beneficiario dell’indennizzo previsto dalla l. 210 del 1992 in favore di coloro che hanno patito una infezione per effetto di trasfusione o vaccinazione e dei ai prossimi congiunti di persone venute meno a causa dell’infezione da trasfusione o vaccinazione (Cass., sez. un., 27-12- 2017, n. 30981).
2.3.- Questa Corte ha anche chiarito che, in tema di sanzioni amministrative, l’opposizione all’ordinanza-ingiunzione non configura un’impugnazione dell’atto, ed introduce, piuttosto, un ordinario giudizio sul fondamento della pretesa dell’autorità amministrativa, devolvendo al giudice adito la piena cognizione circa la legittimità e la fondatezza della stessa, con l’ulteriore conseguenza che il giudice ha il potere-dovere di esaminare l’intero rapporto, con cognizione non limitata alla verifica della legittimità formale del provvedimento, ma estesa – nell’ambito delle deduzioni delle parti – all’esame completo nel merito della fondatezza dell’ingiunzione, ivi compresa la determinazione dell’entità della sanzione sulla base di un apprezzamento discrezionale (e multis, 15 giugno 2020, n. 11481; Cass. 27 dicembre 2018, n. 33373, non mass.; Cass. 10 aprile 2018, n. 8792, non mass.; Cass. 9 gennaio 2017, n. 192; Cass. 17 agosto 2016, n. 17143; Cass. 2 aprile 2015, n. 6778, in relazione all’art. 23 l. 24 novembre 1981, n. 689; e già Cass. 17 aprile 2013, n. 9255; Cass. 24 marzo 2004, n. 5877; Cass. 10 dicembre 1996, n. 10976).
Invero, in tema di sanzioni amministrative pecuniarie, spetta al potere discrezionale del giudice determinarne l’entità, entro i limiti previsti dalla legge, allo scopo di commisurarla alla gravità del fatto concreto, globalmente desunta dai suoi elementi oggettivi e soggettivi.
Infatti, il giudizio di opposizione non ha ad oggetto l’atto, ma il rapporto, con conseguente cognizione piena del giudice, che potrà e dovrà valutare le deduzioni difensive proposte in sede amministrativa (eventualmente non esaminate o non motivatamente respinte), in quanto riproposte nei motivi di opposizione, decidendo su di esse con pienezza di poteri, sia che le stesse investano questioni di diritto che di fatto (Cass., sez. un., 28 gennaio 2010, n. 1786).
Per quanto specificamente attiene alle sanzioni comminate dal Garante per la protezione dei dati personali, per il disposto dell’art. 166, comma 7, d.lgs. n. 196 del 2003, nell’adozione dei provvedimenti sanzionatori si osservano, in quanto applicabili, gli artt. da 1 a 9, da 18 a 22 e da 24 a 28 della legge 24 novembre 1981, n. 689.
Tra essi, l’art. 22 l. n. 689 del 1981 dispone che l’opposizione è regolata dall’art. 6 d.lgs. 1° settembre 2011, n. 150.
L’art. 6 d.lgs. n. 150 del 2011 prevede, al comma 11, che il giudice accoglie l’opposizione quando non vi sono prove sufficienti della responsabilità dell’opponente; al comma 12, che il giudice possa, con la sentenza che accoglie l’opposizione, anche modificare l’ordinanza-ingiunzione limitatamente all’entità della sanzione dovuta, che è determinata in una misura in ogni caso non inferiore al minimo edittale.
Il giudizio di commisurazione della sanzione deve tenere conto, a norma dell’art. 83 del regolamento, concernente le “Condizioni generali per infliggere sanzioni amministrative pecuniarie”, del precetto generale secondo cui le sanzioni amministrative «siano in ogni singolo caso effettive, proporzionate e dissuasive», e che, al momento di fissare l’ammontare della sanzione, si tenga debito conto dei seguenti elementi:
a) la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;
b) il carattere doloso o colposo della violazione;
c) le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;
d) il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32;
e) eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;
f) il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
g) le categorie di dati personali interessate dalla violazione;
h) la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;
i) qualora siano stati precedentemente disposti provvedimenti di cui all’articolo 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti;
j) l’adesione ai codici di condotta approvati ai sensi dell’articolo 40 o ai meccanismi di certificazione approvati ai sensi dell’articolo 42;
k) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della
Ai sensi del comma 4 e 5 dell’art. 83, non vi è una misura minima della sanzione, per i casi di minore gravità complessiva.
2.4. – Ne deriva che, nel caso di specie, il giudice del merito dovrà prendere in considerazione, sotto il profilo dell’induzione in errore dell’Azienda, plurimi elementi di fatto, come già accertati dal giudice del merito, quali:
a) la condotta della paziente stessa, che non soltanto fornì entrambi i numeri di telefono per il contatto, ivi compreso quello utilizzato, ma, soprattutto, non attese, come le era stato chiesto ed indicato, il ritorno dell’infermiera per ottenere la corretta terapia;
b) la condotta di estrema diligenza dell’infermiera nel preoccuparsi di reperire la paziente, sebbene questa si fosse inopportunamente e volontariamente allontanata prima del permesso di congedo medico dalla struttura;
c) l’essere la notizia comunicata, pur attinente genericamente la salute, rimasta del tutto indeterminata, potendo ben riguardare una mera visita ordinaria di controllo, sia pure in quel reparto, senza nessuna lesione della “dignità” dell’interessata, che avrebbe potuto essere in gioco solo ove fosse stata comunicata l’effettiva ragione dell’intervento terapeutico richiesto (di “dignità” della donna e della persona indicata come padre del concepito parla invero proprio l’art. 5 della l. 194 del 1978, secondo cui la struttura sanitaria deve, specialmente quando la richiesta di interruzione della gravidanza sia motivata dall’incidenza delle condizioni economiche, o sociali, o familiari sulla salute della gestante, esaminare con la donna e con il padre, ove la donna lo consenta, nel rispetto della dignità e della riservatezza della donna e della persona indicata come padre del concepito, le possibili soluzioni dei problemi proposti, di aiutarla a rimuovere le cause che la porterebbero alla interruzione della gravidanza, di metterla in grado di far valere i suoi diritti di lavoratrice e di madre, di promuovere ogni opportuno intervento atto a sostenere la donna, offrendole tutti gli aiuti necessari sia durante la gravidanza sia dopo il parto);
d) il conseguente impatto limitato della notizia di una visita in un reparto sulla sfera giuridica dell’interessata;
e) pure rileva la condotta della Asl, che immediatamente ritenne di notificare al Garante ed attuare altresì ulteriori misure interne;
f) infine, potrà il giudice del merito considerare l’emergenza indotta da epidemia Covid in corso, che richiedeva uno sforzo straordinario del sistema sanitario per far fronte a ben altre criticità e pericoli per la vita dei pazienti.
Occorrerà altresì in generale considerare l’art. 83 del regolamento, sopra menzionato, con il principio relativo alle sanzioni amministrative, che, ove, comminate, devono essere «in ogni singolo caso effettive, proporzionate e dissuasive»: dovendo, quindi, rilevare se il tipo di condotta, che ha portato all’illegittima diffusione dei dati, sia tale da essere efficacemente contrastata da una sanzione amministrativa o non sia dipesa da una situazione di concomitanza di circostanze del tutto peculiari e difficilmente in sé ripetibili.
Infine, ai sensi dell’art. 22, comma 13, d.lgs. 10 agosto 2018, 101, è prevista in via generale una ulteriore limitazione dell’entità della sanzione, nei primi mesi di entrata in vigore del decreto, come nella specie.
In definitiva, il giudice del merito dovrà rivalutare tutte le circostanze del caso e l’errore umano, anche sotto il profilo se fu circoscritto ed indotto dal soggetto i cui dati furono comunicati.
- – La sentenza impugnata è cassata, con rinvio innanzi al Tribunale di Ravenna, in diversa composizione, perché rivaluti la controversia, alla stregua dei principi sopra esposti.
P.Q.M.
La Corte accoglie il ricorso, cassa la sentenza impugnata e rinvia la causa innanzi al Tribunale di Ravenna, in diversa composizione, anche per la liquidazione delle spese di legittimità.
Così deciso in Roma, nella camera di consiglio del 6 ottobre 2023.
Il Presidente
Dott. Francesco Antonio Genovese
Depositato in Cancelleria l’11 ottobre 2023.
SENTENZA – copia non ufficiale -.
_____//
Sentenza ingiusta, l’infermiera non ha fornito alcun dato attinente all’interruzione della gravidanza della paziente (avrebbe dovuto aspettare l’infermiera per le ulteriori informazioni a lei utili, senza scappare via); in ginecologia, la donna, può recarsi per tanti altri motivi e non esclusivamente per interrompere la gravidanza; il problema, semmai, é da ricondurre alla coppia che non ha saputo (o voluto) parlarne. Insomma tra i due non vi é stato dialogo.
A voler essere professionali (l’infermiera) cercando di fare al meglio il proprio lavoro, si rischia anche questo senza averne, poi, le colpe.