Roma, 17 mag. - La struttura sanitaria che avvalendosi di banche dati cartacee ed elettroniche contenenti dati idonei a rivelare lo stato di salute e la vita sessuale (tra cui quelli concernenti la rilevazione attraverso le normali indagini su campioni ematici, di malattie infettive e diffusive e sieropositività) deve effettuare la dichiarazione di trattamento al Garante per la protezione dei dati personali ai sensi dell'articolo 37, comma 1, lettera b).
Con tale motivazione, la Corte di cassazione, Sezione II civile, nella sentenza del 21 aprile, n. 8105/2016, che non trova precedenti specifici, ha confermato il precedente del Tribunale di Ancona che rigettò l'opposizione, ex articolo 152 del Dlgs 196/2003 (codice della privacy), avverso l'ordinanza ingiunzione del medesimo Garante che l'aveva sanzionata, ai sensi dell'articolo 163 del Codice della privacy, per omessa notifica del trattamento dei dati personali relativi alla diagnosi e cura di patologie medico-chirurgiche concernenti la rilevazione di malattie infettive e diffusive e sieropositività.
Si ricorda che l'articolo 37, comma 1, lettera b), del Codice della privacy, stabilisce che vanno notificati al Garante i trattamenti dei "dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria".
L'omissione della notifica, comporta le sanzioni amministrativa, previste l'articolo 163 del codice (ventimila a centoventimila euro). Secondo la struttura sanitaria, l'obbligo non era sussistente in quanto non riguarda gli "esercenti le professioni sanitarie". Inoltre, il trattamento effettuato si limitava al trattamento di dati "inerenti la rilevazione di malattie infettive e diffusive e sieropositività attraverso le normali indagini su campioni ematici", ossia di dati da cui "è possibile rilevare la sussistenza di malattie infettive e diffusive e sieropositività".
Il termine "rilevare", secondo la struttura, si deve intendere solo "l'attività di indagine conoscitiva che può essere finalizzata a diversi scopi (dalla tutela della salute alla ricerca scientifica o statistica)"; la "rilevazione" a cui deve essere finalizzato il trattamento dei dati deve, di conseguenza, essere destinata alla formazione e all'implementazione di banche dati specificamente realizzate per la raccolta e l'organizzazione di dati relativi a quelle specifiche patologie.
Tesi respinta dalla Cassazione, secondo la quale l'espressione "esercenti le professioni sanitarie" non si riferisce solo a persone fisiche e non anche alle strutture sanitarie, pubbliche o private. Inoltre la locuzione "insiemi organizzati di informazioni su tali aspetti" ben può essere riferita alle banche dati dei pazienti delle strutture sanitarie in cui confluiscano, con gli altri dati idonei a rivelare lo stato di salute, anche quelli trattati per rilevare la presenza di malattie infettive e diffusive o la sieropositività. In relazione al dato letterale, di conseguenza l'obbligo non grava solo sulle "strutture specializzate" in una determinata branca, ma a tutte le strutture e che pratichino tali attività senza essere specializzate esclusivamente in una di esse.
Una sentenza senza dubbio criticabile perché se è vero che la notifica al Garante ha come finalità la verifica di situazioni "a rischio" non può, come nel caso specifico, dilatarne il concetto fino a includere qualunque società con finalità sanitaria in quanto a "rischio trattamento". Si tratta di un elemento critico destinato a essere superato dal regolamento europeo che eliminerà per il futuro un orpello burocratico ormai anacronistico e, a mio avviso, assolutamente inutile.
Articolo tratto da Il Sole 24 Ore Sanità (Wel/ Dire)