Sanzione del Garante Privacy all’Azienda ULS

Dott.sa Eleonora Donadio

Infermiere Legale Forense

Consiglio Direttivo APSILEF

Coord. Ufficio stampa e Comunicazione APSILEF

Il Garante per la Protezione dei Dati con l’ Ordinanza n. 9544504 del 27 gennaio 2021 ingiungeva nei confronti della Azienda USL la sanzione amministrativa pecuniaria di euro 50.000 (cinquantamila), per la violazione degli artt. 5, par. 1, lett. a) d) f), 9 e 32, par. 1 lett. b) del Regolamento.

La sanzione, comminata all’ esito dell’istruttoria, originava dal fatto che l’Azienda aveva rappresentato all ’Autorità Garante che, in data XX, era stata ricoverata, presso il reparto di ginecologia, per sottoporsi ad IVG, una paziente che aveva chiesto non fossero date informazioni sul suo stato di salute a soggetti terzi e a tal fine aveva fornito il suo numero di telefono personale, da utilizzare per successivi contatti da parte della Azienda.

Successivamente alla dimissione della paziente (avvenuta in data 3 marzo 2020), l’infermiera di reparto, nel tentare di contattare la paziente al fine di fornirle indicazioni circa le specifiche terapie da seguire, si trovava a parlare col marito delle stessa.

L’Infermiera aveva, infatti, utilizzato il numero di telefono indicato sul frontespizio della cartella clinica dell’interessata, registrato nell’ anagrafica informatizzata della Azienda, fornito dalla stessa in occasione di un precedente contatto con la struttura sanitaria e non corrispondente con quello indicato dalla paziente nel corso dell’evento del 1° marzo 2019, riportato all ’interno della cartella clinica.

Le informazioni disvelate al marito della paziente, che aveva risposto al telefono, riguardavano solo la tipologia di reparto presso cui l’interessata era stata ricoverata e non sarebbero state date ulteriori indicazioni sullo stato di salute della stessa

L’Azienda, in riferimento alla violazione, aveva specificato “che l’infermiera era stata incaricata dal medico presente, impegnato in pronto soccorso, a consegnare la lettera di dimissione all’ interessata e che “consegnata la lettera in mano alla signora, l’infermiera si è assentata per rispondere a una chiamata (campanello) di un’altra degente, invitando la signora (…) ad attenderla. La signora invece si era allontanata senza avvisare. L’infermiera allora, verificata la circostanza che alla paziente era stato prescritto un farmaco e non avendo avuto modo di fornire indicazioni in ordine all’ assunzione dello stesso, tentava di contattare la paziente, componendo il numero di telefono presente nell’ anagrafica aziendale anziché ricorrere a quello fornito dalla stessa nella fase di pre-ricovero”

La Azienda USL proponeva opposizione innanzi al Tribunale chiedendo che fosse dichiarata illegittima l’ordinanza ingiunzione per il pagamento della sanzione di € 50.000.

Il Tribunale con la sentenza n. 188/2022 depositata il 31 marzo 2022 annullava la sanzione ritenendo non integrata la fattispecie dell’addebito individuata dal Garante per la protezione dei dati.

Il Tribunale giungeva a tale conclusione sulla base del fatto che durante la telefonata non erano stati forniti comunicazioni contenenti dati relativi alla salute. Inoltre, secondo il tribunale, nessun dato sanitario era stato comunicato, posto che le uniche informazioni fornite al marito della paziente facevano riferimento ad una generica terapia e che il reparto di ginecologia, in senso lato, non indicava una specifica patologia o ricovero o terapie da cui potesse individuarsi la tipologia di malattia di cui era affetta la paziente.

Il Garante per la protezione dei dati propose ricorso per cassazione.

La Sezione I Civile della Cassazione con sentenza n. 28471 dell’11.10.2023 accoglieva il ricorso del Garante avverso la sentenza di primo grado che annullava la sanzione di 50.000 euro comminata nei confronti della Azienda Sanitaria.

La Suprema Corte di Cassazione ha reputato che la mera correlazione tra la paziente e il reparto di degenza costituisce illecito trattamento dei dati sulla salute.

Infatti, specifica la Corte: “il fatto stesso di comunicare l’esigenza di un trattamento sanitario e, quindi, l’esistenza di una “malattia” in senso lato – intesa dunque come situazione che renda necessario un trattamento sanitario – attiene a dato sulla salute: non occorre cioè, a tal fine, che sia specificato di quale trattamento o di quale malattia si tratti.”

Gli Ermellini, tuttavia, cassata la sentenza, hanno specificato al Tribunale di rimando di rivalutare la controversia alla stregua dei principi sotto esposti

  • a) la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;
  • b) il carattere doloso o colposo della violazione;
  • c) le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;
  • d) il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32;
  • e) eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;
  • f) il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
  • g) le categorie di dati personali interessate dalla violazione;
  • h) la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;
  • i) qualora siano stati precedentemente disposti provvedimenti di cui all’articolo 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti;
  • j) l’adesione ai codici di condotta approvati ai sensi dell’articolo 40 o ai meccanismi di certificazione approvati ai sensi dell’articolo 42;
  • k) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso. Ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione.

Il Collegio nel caso specifico ha indicato altresì gli elementi che il giudice di merito dovrà prendere in considerazione:

  1. la condotta della paziente stessa, che non soltanto fornì entrambi i numeri di telefono per il contatto, ivi compreso quello utilizzato, ma, soprattutto, non attese, come le era stato chiesto ed indicato, il ritorno dell’infermiera per ottenere la corretta terapia;
  2. la condotta di estrema diligenza dell’infermiera nel preoccuparsi di reperire la paziente: come si è visto questa si allontanò volontariamente prima del permesso di congedo medico dalla struttura;
  3. l’essere la notizia comunicata, pur attinente genericamente la salute, rimasta del tutto indeterminata, potendo ben riguardare una mera visita ordinaria di controllo, sia pure in quel reparto, senza nessuna lesione della “dignità” dell’interessata, che avrebbe potuto essere in gioco solo ove fosse stata comunicata l’effettiva ragione dell’intervento terapeutico richiesto. Infatti, di “dignità” della donna e della persona indicata come padre del concepito, parla invero proprio l’art. 5 della I. 194 del 1978, secondo cui la struttura sanitaria deve, specialmente quando la richiesta di interruzione della gravidanza sia motivata dall’incidenza delle condizioni economiche, o sociali, o familiari sulla salute della gestante, esaminare con la donna e con il padre, ove la donna lo consenta, nel rispetto della dignità e della riservatezza della donna e della persona indicata come padre del concepito, le possibili soluzioni dei problemi proposti, di aiutarla a rimuovere le cause che la porterebbero alla interruzione della gravidanza, di metterla in grado di far valere i suoi diritti di lavoratrice e di madre e di promuovere ogni opportuno intervento atto a sostenere la donna, offrendole tutti gli aiuti necessari sia durante la gravidanza sia dopo il parto);
  4. il conseguente impatto limitato della notizia di una visita in un reparto sulla sfera giuridica dell’interessata;
  5. pure rileva la condotta della Asl, che immediatamente ritenne di notificare al Garante ed attuare altresì ulteriori misure interne;
  6. infine, potrà il giudice del merito considerare l’emergenza indotta da epidemia Covid in corso, che richiedeva uno sforzo straordinario del sistema sanitario per far fronte a ben altre criticità e pericoli per la vita dei pazienti

In sintesi il giudice del merito dovrà dunque rivalutare tutte le circostanze del caso, considerare l’art. 83 del regolamento con il principio relativo alle sanzioni amministrative, che, ove, comminate, devono essere «in ogni singolo caso effettive, proporzionate e dissuasive», dovendo, quindi, rilevare se il tipo di condotta, che ha portato all’illegittima diffusione dei dati, sia tale da essere efficacemente contrastata da una sanzione amministrativa o non sia dipesa da una situazione di concomitanza di circostanze del tutto peculiari e difficilmente in sé ripetibili.

Share this post