Sentenza Sentenza Cassazione Civile n. 15908 del 29/07/2016

Cassazione civile sez. II, 29/07/2016, (ud. 19/04/2016, dep. 29/07/2016), n.15908

LA CORTE SUPREMA DI CASSAZIONE

SEZIONE SECONDA CIVILE

Composta dagli Ill.mi Sigg.ri Magistrati:

Dott. PETITTI Stefano – Presidente –

Dott. PARZIALE Ippolisto – Consigliere –

Dott. ABETE Luigi – Consigliere –

Dott. SCARPA Antonio – rel. Consigliere –

Dott. FALABELLA Massimo – Consigliere –

ha pronunciato la seguente:

SENTENZA

sul ricorso 3280-2013 proposto da:

GARANTE PROTEZIONE DATI PERSONALI, (OMISSIS), elettivamente

domiciliato in ROMA, VIA DEI PORTOGHESI 12, presso AVVOCATURA

GENERALE DELLO STATO, che lo rappresenta e difende;

– ricorrente –

contro

ICLAS ISTITUTO CLINICO LIGURE ALTA SPECIALITA’ SRL, elettivamente

domiciliato in ROMA, VIA G. BAZZONI 3, presso lo studio

dell’avvocato FABRIZIO PAOLETTI, che lo rappresenta e difende

unitamente agli avvocati ANDREA MASSIMO ASTOLFI, SONIA SELLETTI;

– controricorrente –

avverso la sentenza n. 426/2012 del TRIBUNALE di CHIAVARI, depositata

il 12/06/2012;

udita la relazione della causa svolta nella pubblica udienza del

19/04/2016 dal Consigliere Dott. ANTONIO SCARPA;

udito l’Avvocato Corsini per l’Avvocatura Generale dello Stato e

l’Avvocato Melpignano per delega dell’Avvocato Astolfi;

udito il P.M. in persona del Sostituto Procuratore Generale Dott.

CAPASSO Lucio, che ha concluso per il rigetto del ricorso.

Fatto

SVOLGIMENTO DEL PROCESSO

Con ricorso D.Lgs. 1 settembre 2011, n. 150, ex art. 10, e D.Lgs. 30 giugno 2003, n. 196, art. 152, la ICLAS ISTITUTO CLINICO LIGURE ALTA SPECIALITA’ SRL ha proposto opposizione avverso l’ordinanza – ingiunzione n. 367 del 4.10.2011 emessa dall’Autorità Garante per la protezione dei dati personali, conseguente ad accertamento operato da personale della Guardia di Finanza in data 17.11.2009 presso la struttura sanitaria all’epoca denominata “(OMISSIS)”, ed al verbale di contestazione del 19.11.2009, nel quale si affermava che erano stati trattati dati D.Lgs. n. 196 del 2003, ex art. 37, comma 1, lett. b, (“Codice della privacy”) senza la prescritta notificazione. L’opponente deduceva che tali dati venissero rilevati solo in funzione delle prestazioni sanitarie erogate, in assenza di sistematizzazione e/o organizzazione in banche dati; che non sussisteva l’omissione contestata, attese le finalità per le quali erano stati raccolti i dati medesimi, diverse da quelle previste dall’art. 37 citato, ciò anche alla luce delle informazioni acquisite mediante circolare dall’Associazione italiana ospedalità privata (AIOP). La ICLAS S.R.L. ha perciò contestato la legittimità della sanzione irrogata, deducendo altresì la sussistenza di una fattispecie di errore scusabile, attese le peculiarità del quadro normativo, ed allegando comunque l’inesatta quantificazione, dovendo trovare applicazione l’art. 164 bis del codice della privacy. Il GARANTE PROTEZIONE DATI PERSONALI si costituiva contestando l’opposizione.

Con sentenza n. 426/2012 del 12/06/2012, il TRIBUNALE di CHIAVARI accoglieva l’opposizione e annullava l’ordinanza ingiunzione.

Osservava il Tribunale come: 1) l’art. 37, lett. b, del codice della privacy, a differenza della L. n. 675 del 1996, non preveda un obbligo generale di notificazione, individuando, invece, in positivo i casi tipici in cui tale obbligo sussiste; 2) il trattamento a fini di prestazione di servizi sanitari non sia, pertanto, generalmente assoggettato a tale obbligo, facendo la norma riferimento a specifici requisiti, ovvero che i dati siano trattati a fini di “…. prestazioni di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni.. “, per poi prevedere autonomamente le fattispecie di trattamento ai fini di “… indagini epidemiologiche… “, ed ancora il trattamento ai fini di: “… rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti… “; 3) la citata norma del Codice della privacy ha riguardo unicamente ad un’attività di rilevazione di dati, in termini di insiemi organizzati di informazioni, che non è propria di ogni struttura sanitaria; 4) la circolare n. 1 del 31.3.2004 dell’Autorità Garante avrebbe esercitato la prerogativa riservatale dalla legge di ridurre, e non certo di ampliare, l’ambito applicativo dell’obbligo di notificazione; 5) in definitiva, il trattamento dei dati non organizzati in una banca dati accessibile a terzi per via telematica (fattispecie non emergente nel caso in esame), con riferimento alle esigenze di tutela e salute degli interessati e di terzi, non rimane soggetto all’obbligo di notifica ex art. 37 cit., a prescindere dalla distinzione fra esercenti le professioni sanitarie e strutture di cura. La fondatezza del ricorso in opposizione della ICLAS S.R.L. veniva affermata dal Tribunale di Chiavari, dunque, per il fatto che l’opponente non svolgesse attività scientifica e di acquisizione dati se non in rapporto alle esigenze strettamente connesse alla prestazioni offerte.

Avverso la sentenza del Tribunale di Chiavari il GARANTE per la PROTEZIONE dei DATI PERSONALI ha proposto ricorso in unico motivo. La ICLAS ISTITUTO CLINICO LIGURE ALTA SPECIALITA’ S.R.L. resiste con controricorso. Le parti hanno presentato memorie ai sensi dell’art. 378 c.p.c..

Diritto

MOTIVI DELLA DECISIONE

Il primo motivo del ricorso del Garante per la Protezione dei Dati Personali deduce violazione di legge con riguardo al D.Lgs. n. 196 del 2003, art. 37, comma 1, lett. b. Assume il ricorrente come sia incontroverso che la ICLAS S.R.L. svolgesse attività di raccolta di dati anche telematici relativi allo stato di salute dei pazienti, con finalità di diagnosi, cura, terapia, oltre che per adempimenti amministrativi e di legge. Deduce ancora che il Tribunale ha malamente interpretato la norma in esame, affermando che essa individua in positivo i casi in cui sussiste un obbligo di notificazione, laddove la stessa disposizione ha una portata generica, che, alla stregua del comma 2, viene dettagliata dal Garante. In tal senso, la Circolare del 31.3.2004 prevede che siano sottratti all’obbligo di notifica i trattamenti di dati idonei a rivelare lo stato di salute effettuati da “esercenti le professioni sanitarie”, laddove, essendo la ICLAS S.R.L. una “struttura sanitaria”, essa non poteva andare esente da tale obbligo. L’art. 37 cit. sarebbe anche chiaro nel prescrivere la notifica per il mero trattamento di dati sanitari “a fini di…prestazione di servizi sanitari per via telematica”, senza che sia necessaria una successiva rielaborazione. Si chiede dal ricorrente, in definitiva, di affermare che l’obbligo di notifica D.Lgs. n. 196 del 2003, ex art. 37, comma 1, lett. b, sussiste con riferimento al trattamento, da parte di strutture sanitarie, di dati idonei a rilevare lo stato di salute.

La controricorrente eccepisce in via pregiudiziale l’inammissibilità del riferimento fatto in ricorso dal Garante alla Circolare del 26.04.2004, non prodotta nel corso del giudizio davanti al Tribunale. Trattasi, in realtà, di atto avente natura non normativa, quanto amministrativa, sicchè la relativa violazione non è denunciabile in cassazione ai sensi dell’art. 360 c.p.c., n. 3. Peraltro, non essendovi cenno a tale circolare nella sentenza impugnata, era onere della parte ricorrente, al fine di evitare una statuizione di inammissibilità per novità della questione, di allegare l’avvenuta allegazione di essa innanzi al giudice di merito, e di indicare in quale specifico atto del giudizio precedente lo avesse fatto.

Per il resto, il ricorso risulta fondato.

Il D.Lgs. n. 196 del 2003, art. 37, comma 1, lett. b, prescrive che:

“Il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguarda:

(…) b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria”.

Il comma 1-bis, aggiunge, peraltro:

“La notificazione relativa al trattamento dei dati di cui al comma 1 non è dovuta se relativa all’attività dei medici di famiglia e dei pediatri di libera scelta, in quanto tale funzione è tipica del loro rapporto professionale con il Servizio sanitario nazionale”.

Il comma 2 specifica che:

“Il Garante può individuare altri trattamenti suscettibili di recare pregiudizio ai diritti e alle libertà dell’interessato, in ragione delle relative modalità o della natura dei dati personali, con proprio provvedimento adottato anche ai sensi dell’art. 17. Con analogo provvedimento pubblicato sulla Gazzetta ufficiale della Repubblica italiana il Garante può anche individuare, nell’ambito dei trattamenti di cui al comma 1, eventuali trattamenti non suscettibili di recare detto pregiudizio e pertanto sottratti all’obbligo di notificazione”.

Il Tribunale di Chiavari ha affermato che la ICLAS S.R.L. fosse esonerata, dunque, per il fatto che l’opponente non svolgesse attività scientifica e di acquisizione dati se non in rapporto alle esigenze strettamente connesse alla prestazioni offerte, ma tale interpretazione della norma applicata risulta generica e non convincente.

La notificazione al Garante dei dati idonei a rivelare lo stato di salute, trattati a fini di servizi sanitari per via telematica e relativi a banche di dati o alla fornitura di beni, rientra fra quelle indicate specificamente nell’art. 37 del Codice privacy. Detta notifica, generalmente imposta dalla legge per tali dati trattati con tali modalità, può, piuttosto, essere esclusa per effetto di un provvedimento dell’Autorità garante (nella specie, adottato il 31 marzo 2004, pubblicato sulla Gazzetta ufficiale 6 aprile 2004, n. 81 e sul sito web www.garanteprivacy.it).

In forza di tale delibera n. 1 del 31 marzo 2004, rimangono sottratti all’obbligo di notificazione al Garante, con riferimento ai casi di cui al comma 1, lett. b) dell’art. 37, Codice privacy, “i trattamenti di dati idonei a rivelare lo stato di salute e la vita sessuale effettuati da esercenti le professioni sanitarie, anche unitamente ad altri esercenti titolari dei medesimi trattamenti:

a) a fini di procreazione assistita, di trapianto di organi e tessuti, indagine epidemiologica, rilevazione di malattie mentali, infettive, diffusive o di sieropositività. Ciò sempre che i trattamenti siano effettuati non sistematicamente, rispetto a dati non organizzati in una banca di dati accessibile a terzi per via telematica e limitatamente ai dati e alle operazioni indispensabili per la tutela della salute o dell’incolumità fisica dell’interessato o di un terzo;

b) ad esclusivi fini di monitoraggio della spesa sanitaria o di adempimento di obblighi normativi in materia di igiene e sicurezza del lavoro e della popolazione”.

Alla stregua di tale dato normativo, va notificata la prestazione per via telematica di servizi sanitari relativi ad una banca di dati o alla fornitura di beni, effettuata da una struttura sanitaria, pubblica o privata, consistente, indicativamente, nella raccolta di schede o di cartelle cliniche per ogni paziente, accessibile a diversi soggetti e consultabile in rete telematica oppure on-line.

Rimangono sottratti all’obbligo di notificazione i trattamenti di dati sanitari effettuati manualmente mediante archivi cartacei, o eseguiti nell’ambito di servizi di assistenza o consultazione sanitaria per via telefonica, o comunque inseriti in banche dati non collegate a reti telematiche.

La fondatezza dell’unico motivo del ricorso del Garante per la protezione dei dati personali induce, in definitiva, all’accoglimento dello stesso.

La sentenza impugnata va pertanto cassata, con rinvio al Tribunale di Genova diverso composizione, il quale procederà a nuovo esame della causa, svolgendo i necessari accertamenti di fatto in ordine alle modalità di trattamento dei dati sanitari da parte della ICLAS S.R.L., uniformandosi al seguente principio di diritto:

“Agli effetti del D.Lgs. n. 196 del 2003, art. 37, comma 1, lett. b, va notificato al Garante il trattamento di dati idonei a rivelare lo stato di salute a fini di prestazione per via telematica di servizi sanitari relativi ad una banca di dati o alla fornitura di beni, effettuata da una struttura sanitaria, pubblica o privata, e consistente, indicativamente, nella raccolta di schede o di cartelle cliniche per ogni paziente, accessibile a diversi soggetti e consultabile in rete telematica oppure on-line”.

Il giudice del rinvio provvederà anche sulle spese del giudizio di cassazione.

PQM

La Corte accoglie il ricorso proposto dal Garante per la Protezione dei Dati Personali, cassa la sentenza impugnata in relazione alle censure accolte e rinvia la causa, anche per le spese del giudizio di cassazione, al Tribunale di Genova.

Così deciso in Roma, nella Camera di consiglio della Seconda sezione civile della Corte Suprema di Cassazione, il 19 aprile 2016.

Depositato in Cancelleria il 29 luglio 2016