L'obbligo di notifica al Garante in presenza di dati idonei a rivelare lo stato di salute o la vita sessuale.

1. Premessa

La Corte di Cassazione, con la sentenza n. 188 del 3 marzo 2016, depositata il 9 gennaio 2017, si è occupata dell’art. 37 del Codice in materia di protezione dei dati personali (Codice della privacy) di cui al D.lgs. 30 giugno 2003, n. 196, il quale stabilisce l’obbligo di notifica al Garante del trattamento dei dati personali (1), chiarendo alcuni aspetti di indubbio rilievo, relativi alla corretta interpretazione della norma.

Prima di soffermarsi su questi aspetti di indubbio interesse, sembra utile, tuttavia, fare brevi cenni al "percorso" storico, oltre che socio - culturale, che ha portato il legislatore italiano a riconoscere e garantire una minuziosa disciplina del diritto alla riservatezza.

Le origini del diritto alla riservatezza risalgono al “right to privacy”, per la prima volta menzionato in un saggio del 1890 pubblicato negli Stati Uniti (2), concernente la vicenda di un avvocato di Boston che, dopo aver sposato la figlia di un ricco e noto uomo politico ed aver "attirato l'attenzione" dei giornali scandalistici per la sua "movimentata" e sfarzosa vita mondana, aveva deciso di tutelare il proprio diritto ad "essere lasciato solo" (right to be let alone) e libero dall'invadenza nella propria dimensione privata, affermando l'esistenza di un nuovo "tort", diretto ad affermare la responsabilità di chi avesse violato l'intimità e la riservatezza altrui, proteggendo questi valori alla stessa stregua del diritto di proprietà. (3)

La vita privata diventa così un "luogo ideale", da proteggere contro l'altrui invasione.

Negli anni sessanta, la dottrina ha cominciato ad interpretare il “diritto di essere lasciati soli” come diritto concepito al fine di fornire tutela ad una duplice esigenza individuale: da un lato, la protezione della sfera privata dall’altrui curiosità (4), e dall’altrui interesse a conoscere (5); dall’altro, il controllo del flusso delle informazioni in uscita dalla sfera privata verso l’esterno.

Invero, con lo sviluppo delle nuove tecnologie, e il ricorso, sempre piú massiccio, all’utilizzo di trattamenti, specie automatizzati, di dati di carattere personale, le esigenze connesse alla riservatezza mutano ulteriormente, atteso che la stragrande maggioranza delle azioni compiute e delle scelte individuali consentono la mappatura e con essa la ricostruzione dell’ identikit della persona.

In tale situazione, la tutela del domicilio è totalmente inidonea a garantire la riservatezza individuale, dal momento che le informazioni “in uscita” non sono solamente quelle acquisite attraverso l’accesso al luogo in cui si manifesta piú immediatamente la personalità, né diramate consapevolmente attraverso i mezzi di comunicazione del pensiero, bensí, fornite inconsapevolmente attraverso i dati personali seminati nell’ambiente, i quali, acquisiti e catalogati, permettono di ricostruire con precisione la personalità del singolo, violandone la segretezza. (6)

Alla luce di queste esigenze, la giurisprudenza di legittimità comincia ad accogliere una concezione lata di riservatezza, non più intesa come riserbo dell’intimità domestica, del decoro e della reputazione, ma come interesse a sottrarre alla conoscenza altrui le vicende private, verificatesi dentro e fuori del domicilio domestico, che non abbiano per i terzi un interesse socialmente rilevante. (7)  Tale significato viene accolto anche dalla Corte costituzionale, la quale include la fattispecie nell’ambito dei diritti inviolabili dell’uomo. (8)

Il diritto alla riservatezza, dunque, tutela le situazioni e vicende strettamente personali e familiari contro le ingerenze che, sia pure compiuti con mezzi leciti, per scopi non esclusivamente speculativi e senza offesa per l’onore, la reputazione e il decoro, non siano tuttavia giustificate da interessi pubblici preminenti. (9)

Tale diritto è stato sugellato prima dalla Legge 31 dicembre 1996, n. 675 (abrogata dal codice della privacy) e poi dal Codice in materia dei dati personali, di cui al D. Lgs. 30 giugno 2003, n. 196, il quale ha disciplinato il fenomeno del trattamento dei dati personali, al fine di garantire le finalità di cui all’articolo 2 (10) e di assicuare il rispetto dei principi comunitari cui si ispirava e degli accordi e convenzioni internazionali nel frattempo intervenuti.

Invero, il fondamento normativo di tale situazione giuridica soggettiva è da rinvenirsi in varie convenzioni internazionali, tra cui la Dichiarazione Universale dei diritti dell’uomo, la Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali (CEDU) e la Carta dei diritti fondamentali dell’Unione Europea.

In particolare, l’art. 8, comma 1, della CEDU, riconosce ad ogni persona il "diritto al rispetto della sua vita privata e familiare, del suo domicilio e della sua corrispondenza”. Sulla base di tale previsione, la Corte europea dei diritti dell’uomo ha determinato, e progressivamente ampliato, il significato da ascrivere ai concetti di “vita privata” e “corrispondenza”, gettando le basi della positivizzazione di un diritto al controllo consapevole su ogni forma di circolazione delle proprie informazioni personali. (11)

Parimenti, la Carta dei diritti fondamentali dell’Unione europea  reca nel capo secondo, dedicato ai diritti di libertà, l’esplicito riconoscimento del diritto alla protezione dei dati di carattere personale (art. 8, 1° comma), distinguendolo tanto dal diritto di ogni individuo al rispetto della propria vita privata e familiare, del proprio domicilio e delle sue comunicazioni (sancito all’art. 7), quanto dal chiarimento posto dall’art. 11, a mente del quale la libertà di espressione e d’informazione include la libertà di opinione e la libertà di ricevere e di comunicare informazioni o idee senza che vi possa essere ingerenza da parte delle autorità pubbliche e senza limiti di frontiera.

Tali fonti internazionali e sopranazionali europee hanno dato impulso alla protezione giuridica della “privacy”, intendendosi per tale l’esigenza personale sottesa al diritto alla riservatezza, e al diritto alla protezione dei dati di carattere personale.

A questo quadro normativo il nostro legislatore si è allineato con il D. Lgs. n. 196 del 2003, che introduce, appunto, nel nostro ordinamento, accanto al diritto alla riservatezza, un autonomo diritto alla protezione dei dati personali, come diritto avente ad oggetto la protezione del dato personale, a prescindere dalla tutela della sfera intima della persona e della famiglia, nonché della sua immagine sociale.

2. La disciplina dei dati personali in ambito sanitario.

Quando si parla di dati personali si fa riferimento a qualsiasi informazione che riguardi persone fisiche identificate o che possono essere identificate anche attraverso altre informazioni, ad esempio, attraverso un numero o un codice identificativo (art. 4, comma 1, lett. b), D.lgs. 196/2003).

Rispetto al regime ordinario concernente i dati personali non sensibili, per il trattamento dei dati sensibili il D.lgs. n. 196 del 2003 prevede un rafforzamento delle garanzie. Ciò in quanto le informazioni concernenti l’origine etnica e razziale, le convinzioni religiose e filosofiche, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché lo stato di salute e la vita sessuale, oltre a rivelare con maggiore immediatezza l’identità e la personalità del soggetto a cui si riferiscono, hanno storicamente rappresentato la chiave di volta per realizzare condotte lesive dei diritti, e per perpetrare ai danni dell’interessato comportamenti discriminatori.

In particolare, ai sensi dell’art. 20 del testo unico, il trattamento di tali dati da parte dei soggetti pubblici è consentito solo se autorizzato da espressa disposizione di legge, nella quale siano specificati i tipi di dati che possono essere trattati, i tipi di operazioni che su di essi possono essere eseguite, e le finalità di rilevante interesse pubblico perseguite. (12)

Tuttavia, per i dati idonei a rivelare lo stato di salute il legislatore prevede ulteriori cautele rispetto a quelle prescritte in relazione alla generalità dei dati sensibili, attinenti principalmente al regime dell’informativa e del consenso.

In particolare, oltre al divieto di diffusione (art. 22, 8° comma) e all’obbligo di conservazione separata (art. 22, 7° comma), il testo unico dispone l’utilizzo di codici o altre soluzioni che permettano di identificare gli interessati solo in caso di necessità (art. 22, 6° e 7° comma), e soprattutto, ad integrazione della previsione legislativa di cui all’art. 20, la necessità, in relazione ai dati necessari per perseguire finalità di tutela della salute dell’interessato o di terzi, di acquisire il consenso del soggetto a cui i dati stessi si riferiscono, ovvero l’autorizzazione del Garante.

Più nel dettaglio, in ambito sanitario, il Codice prevede due distinti regimi giuridici: il primo applicabile ai trattamenti effettuati per realizzare le finalità del servizio sanitario nazionale, attraverso “le attività diverse da quelle di cura”, ed identificate all’art. 85, 1° comma, lett. a-g; il secondo adottabile, invece, nei casi di trattamenti dei dati idonei a rivelare lo stato di salute effettuati dagli esercenti le professioni sanitarie o da organismi sanitari pubblici, per “finalità di tutela della salute o dell’incolumità fisica dell’interessato, di un terzo o della collettività”.

Mentre i trattamenti del primo tipo possono essere effettuati nel rispetto della regola generale e gli accorgimenti indicati negli artt. artt. 22, e 85, 3° e 4° comma, per i trattamenti connessi ad esigenze di tutela della salute, l’art. 76 stabilisce che essi possono aver luogo, se si tratta di tutelare la salute e l’incolumità fisica dell’interessato, solo se vi è in tal senso il consenso dell’interessato; se, invece, sussiste l’esigenza di tutelare la salute e l’incolumità fisica di un terzo o della collettività, il consenso dell’interessato non è necessario ma occorre, comunque, la previa autorizzazione del Garante. (13)

Questa disciplina speciale risponde all’esigenza di bilanciare il diritto alla riservatezza sulle informazioni personali, di carattere piú intimo e delicato, con il diritto alla salute, riconosciuto, ai sensi dell’art. 32 Cost., quale fondamentale diritto dell’inidividuo e interesse della collettività sia nei confronti dello Stato che nella generalità dei consociati.

3. Vicenda processuale e quaestio juris.

La seconda Sezione civile della Suprema Corte di Cassazione, con la sentenza in commento, si pronuncia sul ricorso del Garante per la protezione dei dati personali contro la sentenza emessa dal Tribunale di primo grado con la quale veniva annullata l’ordinanza di ingiunzione al pagamento della sanzione amministrativa per omessa ed inidonea notificazione del trattamento di dati sensibili di pazienti nei confronti di una clinica privata.

Con l’unico motivo di ricorso, il ricorrente lamenta il vizio di “violazione e falsa applicazione dell’art. 37, comma 1, lett. b) del D.lgs. 196/2003”, il quale stabilisce l’obbligo di notifica al Garante del trattamento dei dati personali.

Più nel dettaglio, la notificazione è la comunicazione preventiva alle autorità riguardo specifici trattamenti di dati effettuati.

Si tratta di una dichiarazione con la quale il Titolare del trattamento, prima di iniziarlo, rende nota al Garante privacy l'esistenza di un'attività di raccolta e utilizzazione di dati di qualsiasi tipo. La fattispecie è ricondotta nell'alveo della tutela amministrativa, conformemente alla natura di adempimento strumentale allo svolgimento dei poteri di vigilanza dell'Authority. Lo scopo della notificazione è, infatti, quello di ottenere l'autorizzazione ad effettuare il trattamento.

Secondo il Codice, la notificazione deve essere inviata esclusivamente per via telematica, utilizzando l'apposito modello messo a disposizione dal Garante (art. 38 cod. priv).

 Il Garante, inoltre, può individuare, con proprio provvedimento, altri trattamenti suscettibili di recare pregiudizio ai diritti e alle libertà dell'interessato, in ragione della natura dei dati personali o delle modalità di raccolta e trattamento.

Una volta ricevuta la notificazione, il Garante inserisce la stessa in un apposito registro dei trattamenti, accessibile al pubblico, anche on-line e per finalità di applicazione della disciplina in materia di protezione dei dati personali.

Orbene, ad avviso del ricorrente, la norma sarebbe stata interpretata in maniera scorretta dal Giudice di merito, per il quale l'art. 37 del testo unico stabilisce l'obbligo di notifica "non con generico riferimento al trattamento dei dati a fini di prestazioni di servizi sanitari, bensì in modo puntuale e, quindi, col conseguente effetto che non sarebbero dovute notifiche per trattamenti dati fuori l'elencazione precisa data dalla legge". 

Ancora, secondo la prospettazione della sentenza impugnata, “allorché la rilevazione dei dati sarebbe attività accessoria a obbligazione sanitaria vera a propria, l’obbligo della notifica al Garante sussiste solo per rilevazione dei dati svolta in via principale e per scopi evidentemente scientifici”.

Il fulcro della questione sottoposta all’attenzione della Suprema Corte di Cassazione è, quindi, la corretta interpretazione del citato art. 37.

5. Soluzione accolta dalla Suprema Corte di Cassazione.

La soluzione accolta dai giudici di legittimità è preceduta dal richiamo integrale all’art. 37, comma 1, lettera b), del codice della privacy, a tenore del quale vanno notificati al Garante i trattamenti dei “dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositivita’, trapianto di organi e tessuti e monitoraggio della spesa sanitaria”.

Di qui la decisione della Cassazione di confermare l'ordinanza ingiunzione al pagamento emessa dal Garante per sanzionare l'omissione, concretandosi la fattispecie in un trattamento sproporzionato di dati.

In conclusione, secondo gli ermellini, la notificazione al Garante è obbligo richiesto anche nel caso di semplice rilevazione delle patologie relative a malattie mentali, infettive e diffusive.

Pertanto, prima di avviare il trattamento dei dati, il relativo titolare è tenuto a consentire l’intervento preventivo del Garante in funzione di controllo, il quale si sostanzia in un'indagine verso valutazioni di natura tecnica e giuridica, per accertare le quali devono essere compiuti adempimenti di diversa natura.