Diffusione on line di dati relativi alla salute sul sito del comune
di Mauro Alovisio – Avvocato
La Provincia di Foggia aveva pubblicato on line sul proprio sito istituzionale i dati relativi allo stato di salute di una dipendente contenuti in una determina.
Il Garante a seguito di una segnalazione di una cittadina aveva effettuato degli accertamenti e aveva verificato la presenza dei dati sensibili relativo alla salute consultabili sia sul sito istituzionale della Provincia sia attraverso il motore di ricerca Google. Il Garante aveva ordinato con un primo provvedimento 25 giugno 2009 ai sensi dell’art. 154, comma 1, lett. d), del Codice, nei confronti della Provincia di Foggia o di altro soggetto che risulti titolare, contitolare o responsabile del trattamento dei dati il blocco del trattamento dei dati idonei a rivelare lo stato di salute della dipendente conoscibili sia mediante il motore di ricerca.
Il Garante aveva successivamente contestato con verbale del 25 luglio 2009 alla Provincia la violazione prevista dall’art. 162, comma 2-bis del Codice in relazione all’art. 22, comma 8, Codice della privacy informandola della facoltà di effettuare il pagamento in misura ridotta ai sensi dell’art. 16, L. n. 689 del 1981.
L’art. 22, comma 8, Codice della Privacy prevedeva il divieto di diffusione dei dati relativi alla salute.
La Provincia nelle memorie difensive, aveva rappresentato al Garante che “(…) la causa del fatto giuridico pubblicazione” era da ricercarsi nella circostanza che la segnalante, in quanto affetta da una delle patologie previste dalla norma, vanta un diritto che deve essere sottoposto a un controllo di legittimità, nell’ottica della trasparenza dell’attività amministrativa che si pone come “(…) strumento irrinunciabile e imprescindibile (…)”.
Secondo la Provincia nel caso in esame “(…) si era di fronte (…) non ad un dato vero e proprio bensì davanti a un meta-dato”, atteso che lo stato di salute della segnalante non era riportato in alcun modo, non essendo possibile comprendere di quale patologia questa soffrisse.
La Provincia aveva sostenuto che alcun vulnus era stato arrecato al diritto alla riservatezza della denunciante e di avere rispettato anche le indicazioni di cui al provvedimento del Garante n. 17 del 19 aprile 2007 ad oggetto: “Linee guida in materia di trattamento di dati personali per finalità di pubblicazione e diffusione di atti e documenti di enti locali – 19 aprile 2007”.
Il Garante ha ritenuto che le argomentazioni addotte non risultassero idonee ad escludere la responsabilità in ordine a quanto contestato poiché, la necessità di garantire un elevato livello di tutela dei diritti e delle libertà fondamentali rispetto al trattamento dei dati personali, non ostacola una piena trasparenza dell’attività amministrativa così come riportato anche al punto 2 del sopra citato provvedimento del Garante datato 19 aprile 2007: “Linee guida in materia di trattamento di dati personali per finalità di pubblicazione e diffusione di atti e documenti di enti locali -“.
Il Garante ha ribadito nel proprio provvedimento che l’indicazione in un documento, accanto al nome e cognome dell’interessato, anche del giudizio medico-legale circa l’ascrivibilità alla “Tab. “A” cat. 8^ max” dell’infermità accertata, deve ritenersi un’informazione idonea a rivelare lo stato di salute dell’interessato che quindi, come tale, rientra nel divieto di diffusione previsto dall’art. 22, comma 8, del Codice.
Il Garante ha richiamato sul punto il principio, già stabilito nel provvedimento 25 giugno 2009 e ha condannato con provvedimento la Provincia al pagamento della sanzione amministrativa di 20.000 euro.
La Provincia ha presentato opposizione al provvedimento entro 30 giorni davanti al Tribunale.
Il Tribunale con sentenza del 19 novembre 2013 ha sancito la fondatezza dell’opposizione e ha ritenuto che la sola diffusione della determina non fosse lesiva della privacy.
Il Garante ha proposto ricorso per cassazione attraverso la sentenza del Tribunale di Foggia e ha evidenziato la violazione dell’art. 22, comma 8, Codice della privacy, art. 65, comma 5, 68, comma 3, per essere stata ritenuta illegittima la sanzione in ordine alla diffusione di un dato sensibile.
La Cassazione ha accolto il ricorso del Garante e ha rinviato, anche per le spese al Tribunale di Foggia.
La Cassazione ha affermato che la tutela del dato sensibile prevale su una generica esigenza di trasparenza amministrativa sia sotto il profilo costituzionalmente rilevante della valutazione degli interessi in discussione sia sotto quello della sostanziale elusione della normativa sulla protezione dei dati personali, accentuata nel caso dei dati sensibili, ove si dovesse far prevalere una generica esigenza di trasparenza amministrativa nemmeno concretamente argomentata e provata.
La Cassazione ha sottolineato come la nozione di trattamento ricomprenda, come affermato dalla stessa corte anche l’estrazione dei dati ed il successivo utilizzo dei dati.
La Cassazione ha osservato che le operazioni di trattamento di dati se non precedute da idonea informativa e dalla acquisizione del consenso del titolare integrano due illeciti amministrativi previsti dagli art. 13 e 23 del Codice della privacy. La Cassazione non approfondisce il profilo del consenso (che non è richiesto per i trattamenti degli enti pubblici per fini istituzionali).
La Cassazione richiama l’attenzione sull’impatto organizzativo della protezione dei dati personali in materia di dati sensibili e precisa che gli enti pubblici possono trattare lo stato di salute soltanto mediante modalità organizzative che rendano non identificabile il soggetto.
La sentenza in esame è di interesse in quanto aiuta a comprendere come sia ancora in ritardo nel nostro paese la conoscenza e la cultura in materia di protezione dei dati personali e come sia ancora difficile da parte delle pubbliche amministrazioni il bilanciamento tra protezione dei dati personali e la trasparenza amministrativa.
Il divieto di diffusione di dati idonei a rivelare la salute era previsto già dall’art. 22, comma 8, Codice della privacy (D.Lgs. n. 196 del 2003) ed è stato recentemente confermato anche dal D.Lgs. n. 101 del 2018 che ha introdotto l’art. 2-septies del Codice della privacy.
La sentenza in esame si riferisce ad un caso del 2009 (periodo antecedente alla diretta applicazione del regolamento privacy europeo) non approfondisce il profilo della nuova definizione di trattamenti di categorie particolari di dati (ex dati sensibili) prevista dall’art. 9, regolamento privacy n. 679 del 2016, della pseudonimizzazione, anonimizzazione e la definizione di diffusione del trattamento dei dati ” il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione” come indicato dall’art. 2-ter del Codice della privacy novellato dal D.Lgs. 101 del 2018.
La sentenza inoltre non richiama in materia di protezione dei dati personali l’importante precedente orientamento delle Sezioni Unite sul trattamento dei dati sensibili (Cass. civ., Sez. Unite, sentenza 27 dicembre 2017 n. 30981), sentenza che aveva approfondito le misure di cifratura a protezione dei dei dati idonei a rivelare lo stato di salute delle persone.
