Fascicolo sanitario e tutela dei dati personali post covid, propaganda elettorale e altro

La disciplina di protezione dei dati personali prevede che i soggetti pubblici possono trattare i dati personali degli interessati (ex art. 4, n. 1, del Regolamento UE 2016/679, Regolamento Generale sulla Protezione dei Dati, RGPD/GDPR) se il trattamento è necessario «per adempiere un obbligo legale al quale è soggetto il titolare del trattamento», oppure «per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento» (ex art. 6, par. 1, lett. c) ed e) del Regolamento e art. 2 – ter del Codice).

Trattamento e diffusione dei dati

Il trattamento deve, comunque, trovare fondamento nel diritto dell’Unione o dello Stato membro che deve perseguire un obiettivo di interesse pubblico ed essere proporzionato al perseguimento dello stesso, stabilendo che la finalità del trattamento deve essere necessaria per l’esecuzione di un compito svolto nel pubblico interesse o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento.

Il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione”, in base ai quali i dati personali devono essere «trattati in modo lecito, corretto e trasparente nei confronti dell’interessato» e devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (ex art. 5, paragrafo 1, lett. a) e c) del Regolamento), dovendo apprestare misure specifiche (valutazione di impatto sulla protezione dei dati personali), cautele e tutele per la loro diffusione[1].

Le disposizioni in materia di trasparenza amministrativa prevedono (per la PPAA) specifici obblighi di pubblicazione dei dati personali che devono sempre avvenire in base ad una fonte normativa primaria, trovando un loro limite all’accesso civico generalizzato, precluso quando l’accesso possa incidere sulla tutela individuale[2].

Il titolare del trattamento è sempre tenuto a risarcire il danno cagionato ad un interessato da un trattamento non conforme al GDPR, e può essere esonerato solo se dimostra che l’evento dannoso non gli è alcun modo imputabile (inversione dell’onere della prova)[3].

Accesso e tutela dei dati personali

L’art. 60 del d.lgs. n. 196 del 30 giugno 2003 precisa che «Quando il trattamento concerne dati idonei a rivelare lo stato di salute o la vita sessuale, il trattamento è consentito se la situazione giuridicamente rilevante che si intende tutelare con la richiesta di accesso ai documenti amministrativi è di rango almeno pari ai diritti dell’interessato, ovvero consiste in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile».

L’approdo comporta che quando l’accesso si riferisce a dati sensibili, ovvero dati sensibilissimi (idonei a rivelare lo stato di salute o la vita sessuale), l’accesso può essere esercitato soltanto se, in seguito ad una delicata operazione di bilanciamento di interessi, la situazione giuridica rilevante sottesa al diritto di accesso viene considerata di rango almeno pari al diritto alla riservatezza riferito alla sfera della salute dell’interessato: tale comparazione va effettuata in concreto, sulla base dei principi di proporzionalità, pertinenza e non eccedenza[4].

Questa particolarità comporta che l’accesso possa ritenersi, comunque possibile, previo oscuramento dei dati sensibili e sensibilissimi contenuti negli atti in ostensione[5].

Diffusione on line di dati personali (ipotesi particolari)

Si vuole segnalare l’obbligo dell’oscuramento dei dati identificativi, in presenza di situazioni “sensibili”, prima di procedere allo loro diffusione on line, ipotesi che opera anche con riferimento alla pubblicazione delle sentenze nella banche dati istituzionali: nei procedimenti coinvolgenti rapporti di famiglia, di stato delle persone, ovvero minorenni è direttamente la legge a vietare la diffusione dei dati personali (fattispecie regolate dall’art. 52, commi 1 e 2 del d.lgs. n. 196/2003), rimettano, altresì, all’Autorità giudiziaria procedente la decisione sull’oscuramento o meno dei dati personali, su richiesta dell’interessato, o allorquando ciò risulti necessario per tutelare i diritti e la dignità dell’interessato[6].

In assenza di determinazione del giudice, la legge ammette espressamente la diffusione del contenuto integrale delle pronunce giurisdizionali (ex art. 51, comma 2 e art. 52, comma 7, del d.lgs. n. 196/2003), rendendole accessibili a tutti mediante un sistema informativo istituzionale: è possibile rendere disponibili i provvedimenti giurisdizionali in forma integrale, salvo i casi in cui sia la legge oppure l’Autorità giudiziaria disponga l’anonimizzazione dei dati personali contenuti nella pronuncia (o nei termini descritti).

Il bilanciamento delle opposte esigenze, tutela della privacy dei soggetti coinvolti da un lato, e libero accesso alle pronunce giurisdizionali dall’altro, è rimesso all’Autorità giudiziaria (salvo l’ipotesi di cui all’art. 52, comma 5 d.lgs. n. 196/2003): conseguentemente, l’oscuramento generalizzato disposto dalla Pubblica Amministrazione non appare legittimo, considerato come essa appare interferire in parte anche con una decisione attribuita all’Autorità giudiziaria[7].

Designazione

Sull’obbligatorietà di rispettare la disciplina sul trattamento dei dati, si osserva che l’impossibilità della parte lavoratrice a rendere la prestazione lavorativa a causa della mancata sottoscrizione per accettazione dell’atto di designazione a “incaricato” per le persone autorizzate al trattamento i dati personali, ai sensi della disciplina nazionale e comunitaria, comporta una grave violazione agli obblighi negoziali con il proprio datore di lavoro.

La nomina, quale persona “designata” al trattamento dei dati personali, ha natura unilaterale essendo un atto che promana dalla parte datoriale, la mancata accettazione – da parte del lavoratore – porta come conseguenza la violazione del generale dovere di lealtà e correttezza nell’esecuzione del rapporto (ex art. 2105 c.c.), inadempimento dei doveri contrattuali, integrazione di condotta disciplinarmente rilevante, impedendo al “titolare” del trattamento di erogare il servizio (di cui alla prestazione del lavoratore).

Più esplicitamente, la mancata accettazione impedisce il trattamento lecito dei dati, a riprova dei dovuti presidi da approntare nella gestione dei dati personali, esponendosi all’inevitabile rischio di incorrere in responsabilità sia di natura civilistica verso i soggetti interessati da eventuali trattamenti illegittimi (cfr. art. 82 GDPR), sia di natura amministrativa (cfr. artt. 83 e 84 GDPR)[8].

Pronunciamento

La sez. I della Cassazione, con l’ordinanza 6 marzo 2025, n. 6067, chiarisce che il trattamento dei dati personali (relativi alla salute) inseriti nel FSE (Fascicolo Sanitario Elettronico) può avvenire “in chiaro”, ovverosia con l’indicazione del nominativo dell’interessato, solo per finalità di prevenzione, diagnosi, cura e riabilitazione dell’assistito, ma non è consentito per finalità di stratificazione statistica non necessaria, rendendo indisponibili (non trattabili) i dati identificativi dei pazienti contenuti nelle banche dati aziendali e nel FSE, effettuato dall’ASL, allo scopo di predisporre una lista di soggetti in condizioni di complessità e comorbilità, da trasmettere ai medici di medicina generale, per una migliore gestione del contesto epidemiologico da Covid – 19.

Fatti

L’Autorità Garante per la Protezione dei Dati Personali, provvedeva (con ordinanza ingiunzione) a contestare ad una Azienda Sanitaria l’illiceità del trattamento di dati personali identificativi di pazienti (alcune classi di pazienti), senza anonimizzazione, contenuti nelle banche dati aziendali e nel fascicolo sanitario elettronico.

Si accertava la violazione degli artt. 5, 9, 14 e 35 del Regolamento (UE) 2016/679 e dell’art. 2 sexies del d.lgs. n. 196/2003 (Codice in materia di protezione di dati personali), ordinando all’Azienda di procedere, entro novanta giorni dalla notifica del provvedimento, alla cancellazione dei dati risultati dall’elaborazione delle informazioni presenti nelle banche dati aziendali e di pagare la sanzione amministrativa.

Lo scopo del trattamento effettuato (pseudonomizzando i dati attraverso l’apposizione di codici numerici casuali elaborati) avevo l’obiettivo di predisporre una lista di soggetti in condizioni di complessità e comorbilità da trasmettere ai medici di medicina generale (MMG) allo scopo di consentire una migliore gestione del contesto epidemiologico Covid-19, al fine di predisporre interventi preventivi di presa in carico del paziente.

Il Garante privacy, al termine di un’apposita istruttoria, rilevava dal una parte, la mancanza di una base giuridica (ergo illecito trattamento dei dati), dall’altra parte, il mancato rilascio del preventivo consenso, nonché dell’informativa sul trattamento: nelle finalità di programmazione, valutazione e controllo (c.d. di governo sanitario) non sono ricomprese le finalità di medicina d’iniziativa, né la stratificazione della popolazione assistita sulla base del rischio sanitario individuale (una effettiva schedatura).

L’Azienda si giustificava, agendo in esecuzione di un espresso mandato regionale e, comunque, nel pieno rispetto della disciplina nazionale e comunitaria.

In primo grado veniva accolto il ricorso e annullata l’ordinanza, rilevando che l’attività avveniva durante il regime dell’emergenza pandemico (quasi a significare una moratoria dei diritti, come avvenuto di fatto e di diritto); seguiva impugnazione della decisione.

Merito

Il ricorso viene accolto (decisione del Tribunale cassata, annullata) nei seguenti termini:

• i dati estratti erano direttamente identificativi degli assistiti, in quanto riferiti a soggetti individuati con nome, cognome e codice fiscale, mancando il preventivo “consenso esplicito” sulle finalità (specie con riferimento a dati particolari);
• l’Azienda ben poteva opporsi alle decisioni regionali (che non ammettevano alcuna deroga all’articolo 5 del Regolamento (UE) 2016/679, dovendo – in ogni caso – assicurare l’adozione di misure appropriate a tutela dei diritti e delle libertà degli interessati), in base al principio di disapplicazione della norma interna contrastante con la disciplina comunitaria, anche in epoca pandemica;
• le finalità del FSN sono: a) prevenzione, diagnosi, cura e riabilitazione; b) studio e ricerca scientifica in campo medico, biomedico ed epidemiologico; c) programmazione sanitaria, verifica delle qualità delle cure e valutazione dell’assistenza sanitaria, contemplando (si evince dal DPCM 29 settembre 2015, n.178, recante il Regolamento in materia di fascicolo sanitario), l’obbligo dell’informativa, ai sensi dell’art.13 del Codice in materia di protezione dei dati personali, che costituisce presupposto di liceità del trattamento;
• i dati che confluiscono nel FSE (una modalità, peraltro, di accesso dell’assistito ai propri dati sanitari che vi confluiscono) sono relativi allo stato di salute attuale ed eventualmente pregresso dell’assistito e vengono in rilievo in quanto “dati personali”, dove il trattamento (all’interno del FSE) è basato, per previsione normativa, sul “consenso libero e informato” da parte dell’assistito e non rientra, quindi, nelle fattispecie di “trattamento necessario”;
• inoltre, è richiesto «un ulteriore specifico consenso limitatamente alla consultazione dei dati e dei documenti presenti nel FSE, per le finalità d cui alla lettera a) del comma 2 dell’art. 12» (ex 6, comma 1, lett. e) e art. 7 del DPCM), non potendo integrare un trattamento c.d. secondario, esorbitando dai limiti del trattamento espressamente consentito;
• nessun carattere “necessario” del trattamento dovuto all’emergenza pandemica, in assenza di una puntuale disamina della esplicazione in concreto che specifici i presupposti del “trattamento necessario”, come richiesti dagli artt. 1 e 17 bis del DL n. 18/2020, e dalle altre disposizioni emergenziali, sia in termini di competenza al trattamento, sia in termini di concreto rispetto dell’art. 9, par. 2, lett. g), h) e i) e dell’art. 10 del Regolamento n. 2016/679/UE, sia in termini di apprezzamento dell’effettiva adozione o meno delle misure appropriate a tutela dei diritti e delle libertà degli interessati (ex17 bis, comma 2, DL n. 18/2020);
• è mancata, altresì, la doverosa analisi preventiva sui rischi.

Il consenso informato

L’insieme delle fonti portano a ritenere legittima l’ordinanza ingiunzione, avendo l’Azienda Sanitaria trattato illecitamente i dati del FSE in assenza del duplice consenso, specifico, libero ed informato da parte dell’assistito:

• il primo è costituito dal consenso all’“alimentazione del FSE con i dati”[9];
• il secondo è costituito dal consenso alla “consultazione dei dati e dei documenti (in chiaro) contenuti nel FSE” per le finalità di prevenzione, diagnosi, cura e riabilitazione, e comunque le finalità di ricerca e di governo, sono anch’esse espressamente disciplinate e vanno perseguite «senza l’utilizzo dei dati identificativi degli assistiti».

Propaganda elettorale e diffusione dati dei pazienti

Il consenso informato vale anche nella propaganda elettorale[10], non potendo utilizzare i dati forniti dai pazienti (dati raccolti nell’ambito dell’attività di cura della salute da parte dei sanitari) per altri fini, senza uno specifico consenso degli interessati: tale condotta costituisce un trattamento illecito dei dati personali.

Nel caso specie, un medico:

• aveva contattato diverse persone con le quali si era creato un rapporto “più stretto e personale”, inviando loro lettere di propaganda elettorale, il contenuto del messaggio elettorale richiamava espressamente la loro malattia; il Garante, sul punto, precisa che le garanzie e gli adempimenti che partiti, organismi politici, sostenitori di liste e candidati devono osservare per raccogliere ed utilizzare correttamente i dati personali dei cittadini che intendono contattare a fini di comunicazione e propaganda elettorale, raccolti nell’ambito dell’attività di tutela della salute da parte di esercenti la professione sanitaria e di organismi sanitari, non possono essere utilizzabili per fini di propaganda elettorale e connessa comunicazione politica: tale finalità non è infatti riconducibile agli scopi legittimi per i quali i dati sono stati raccolti[11];
• aveva inviato una mail di promozione elettorale a diversi pazienti, i cui indirizzi erano stati messi contestualmente in chiaro e non in copia conoscenza nascosta, rivelando a tutti la condizione di malati di ciascuno di loro[12].

Osservazioni

Ancora una volta assistiamo a trattamenti illeciti dei dati personali, pensando utilizzare le informazioni ben al di là del consenso informato, ossia, pensare che la gestione dell’emergenza sanitaria poteva svolgersi senza assicurate i diritti di libertà del singolo.

Invero, l’apparato di norme costituzionali, nazionali e comunitarie doveva presidiare tali eccessi, riaffermando (ora) il primato dei diritti a presidio del principio di legalità.

Dunque, le emergenze, anche sanitarie, devono assicurare la tutela dei dati personali, che significa rispetto della disciplina vigente in materia di protezione dei dati personali e, in particolare, dei principi e dei limiti applicabili al trattamento, di cui all’art. 5 del Regolamento, secondo cui i dati devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»), “raccolti per finalità determinate, esplicite e legittime” («limitazione della finalità») e, comunque, “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (principio di minimizzazione dei dati).

Tutti diritti dimenticati (allegramente violati) in epoca Covid – 19 all’altare della “vigile attesa”, in nome della scienza (quale?)[13].

Note

[1]L’articolo 82, paragrafo 1, del RGPD va interpretato nel senso che esso osta a una norma o a una prassi nazionale che subordina il risarcimento di un danno immateriale, sull’illecito trattamento dei dati, alla condizione che il danno subito dall’interessato abbia raggiunto un certo grado di gravità, Corte di giustizia europea, sez. III, 4/5/2023 n. C-300/21.

[2] Cfr. Garante privacy, provv. n. 243 del 15 maggio 2014, doc. web n. 3134436, Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati, nonché le Linee guida per il trattamento di dati personali effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web, del 2 marzo 2011, doc. web n. 1793203.

[3] Cfr. Cass. civ., sez. I, ord. 12 maggio 2023, n. 13073. I danni cagionati per effetto del trattamento dei dati personali in base all’art. 15 del d.lgs. 30 giugno 2003, n. 196, sono assoggettati alla disciplina di cui all’art. 2050 c.c., con la conseguenza che il danneggiato è tenuto solo a provare il danno e il nesso di causalità con l’attività di trattamento dei dati, mentre spetta al convenuto la prova di aver adottato tutte le misure idonee ad evitare il danno, Cass. civ., sez. I, ord. 4 giugno 2018, n. 14242.

[4] Cons. Stato, sez. III, 11 gennaio 2018, n. 139.

[5] TAR Sicilia, Catania, sez. IV, 27 febbraio 2025, n. 755.

[6] Cfr. Cass. civ., sez. V, 7 agosto 2020, n. 16807.

[7]TAR Lazio, Roma, sez. I, 17 aprile 2025, n. 7625.

[8]Tribunale di Udine, sez. lav., ord. n. 504, seduta del 1° agosto 2024.

[9]Cfr. Garante privacy, Provvedimento del 27 febbraio 2025, Registro dei provvedimenti n. 114 del 27 febbraio 2025, doc. web n. 10114967, ove si censura un consenso c.d. omnibus, dove l’utilizzo di formule generiche che non permettano di selezionare la singola categoria merceologica delle offerte commerciali desiderate (p.e. telefonia, forniture energetiche, servizi assicurativi, moda, auto ecc.), non è quindi in linea con la normativa privacy e non può far venir meno gli effetti della opposizione manifestata con l’iscrizione al Registro Pubblico delle Opposizioni. Lo stesso principio vale per form e informative che ostacolino l’esercizio dei diritti riconosciuti all’interessato in ordine alla scelta degli strumenti attraverso cui ricevere le comunicazioni promozionali.

[10]Cass., sentenza n. 18619 depositata il 27 luglio 2017.

[11]Garante privacy, Provvedimento del 13 febbraio 2025, Registro dei provvedimenti n. 81 del 13 febbraio 2025, doc. web n. 10107219, la lettera con la quale, «dopo aver ricordato il percorso diagnostico e terapeutico effettuato dalla destinataria del messaggio, le sue competenze in materia e i ruoli professionali ricoperti», poneva l’invito: «Le chiedo pertanto, come quando ha avuto fiducia in me per la malattia, di averla anche su questa scelta che, le assicuro, nasce da motivazioni assolutamente legate alla volontà di essere ancora una volta utile» al Comune di elezione.

[12] Cfr. Garante privacy, Provvedimento del 13 febbraio 2025, Registro dei provvedimenti n. 82 del 13 febbraio 2025, doc. web n. 10107246, l’invio della e – mail «per mettervi a conoscenza della mia candidatura come consigliere comunale alle prossime elezioni», sono informazione di propaganda politica: gli indirizzi e-mail dei pazienti devono qualificarsi come dati personali, e in particolare, dati sulla salute in quanto si tratta di un dato di contatto di un paziente direttamente o indirettamente identificabile.

Si riconferma che i dati personali devono essere trattati in modo lecito corretto e trasparente e raccolti per finalità determinate esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità (principi di “liceità, correttezza e trasparenza” e di “limitazione della finalità”, art. 5, par. 1, lett. a) e b) del Regolamento): i dati personali raccolti nell’ambito dell’attività di tutela della salute non possono essere utilizzabili per fini di propaganda elettorale e connessa comunicazione politica: la finalità non è infatti riconducibile agli scopi legittimi per i quali i dati sono stati raccolti, salvo che il titolare acquisisca uno specifico e informato consenso dell’interessato (manca la base giuridica).

[13] Vedi, LUCCA, Dalle Idi di marzo (fase zero punto zero) al contagio dei DPCM (fase quattro punto zero), comedonchisciotte.org, 14 novembre 2020, ove si concludeva nel ritenere che le «disposizioni emanate con tecniche di drafting legislativo alquanto discutibili, senza alcuna analisi d’impatto o di regolamentazione (Air, Vir, Atn), se possono essere comprensibili nell’immediato a distanza di tempo (come vediamo) celano un evidente disegno di rafforzamento del Governo.it a scapito del Parlamento, o forse più concretamente dimostrano il fallimento dei sistemi rappresentativi a favore di organismi nominati o di sovrastrutture che, non devono rispondere all’investitura del popolo elettore (al diritto di voto), dal governo parlamentare al governo social e, più oltre, alla dittatura COVID-19».

Articolo a cura di Maurizio Maria Lucca, Segretario Generale Enti Locali e Development Manager