Il caso
In piena crisi pandemica da Covid-19 il Direttore Sanitario di un’AUSL decise di disabilitare i filtri privacy nel sistema informativo aziendale che gestiva i dossier sanitari dei pazienti[ref]V. Linee guida del Garante per la protezione dei dati personali del 4 giugno 2015, disponibili al seguente link https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/4084632.[/ref], allo scopo di agevolare la gestione dei trattamenti durante l’emergenza. Tale abbassamento del livello di sicurezza rese possibile la consultazione dei dati relativi alla salute di una paziente da parte di personale medico non coinvolto nel processo di cura.
A fronte della lesione del suo diritto alla riservatezza, l’interessata propose reclamo innanzi al Garante, il quale, dopo aver accertato la contestata violazione, sanzionò la struttura sanitaria. Il Tribunale, cui quest’ultima si era rivolta per opporsi al provvedimento emesso dall’Autorità, confermò la debenza della sanzione, riducendone, tuttavia, l’ammontare in ragione della particolarità delle circostanze e dell’assenza di precedenti infrazioni.
La questione fu allora rimessa alla Corte di Cassazione, alla quale si domandò se, nel caso di specie, potesse, in effetti, ravvisarsi una responsabilità a carico della struttura sanitaria, tenuto anche conto della necessità di adottare in tempi brevi misure idonee a far fronte ad una situazione eccezionale.
Le questioni principali
Due sono le questioni principali su cui verte la pronuncia in commento:
- la prima riguarda la base giuridica idonea a legittimare il trattamento dei dati relativi alla salute raccolti nel dossier sanitario. Ad avviso del giudice di merito, quest’ultimo sarebbe uno strumento di cui la struttura sanitaria non è obbligata ad avvalersi, con la conseguenza che non potrebbe essere utilizzato senza il consenso del paziente, ai sensi dell’art. 9, par. 2, lett. a), del Reg. (Ue) 2016/679 (GDPR). Secondo l’AUSL, al contrario, il trattamento di dati sanitari effettuato attraverso il dossier potrebbe fondarsi sulla necessità di procedervi per finalità di cura, in conformità all’art. 9, par. 2, lett. h), dello stesso GDPR. E ciò – aggiunge la struttura sanitaria – a maggior ragione in un contesto emergenziale caratterizzato da esigenze organizzative del tutto peculiari.
- la seconda attiene, invece, alla valutazione della sicurezza del trattamento nel giudizio di responsabilità. La struttura sanitaria aveva, infatti, sostenuto che la consultazione dei dati della paziente da parte di personale non autorizzato dovesse considerarsi un fatto anomalo, non riconducibile ad una sua omissione nella progettazione e/o implementazione del dossier.
La decisione della Cassazione
Con l’ordinanza n. 12034/2025, la Cassazione ha dichiarato inammissibile il ricorso della struttura sanitaria sulla base di ragioni procedurali, affermando in particolare che entrambe le questioni avrebbero postulato accertamenti di natura fattuale «sull’adeguatezza complessiva del sistema informatico utilizzato dalla AUSL in rapporto alle finalità che la stessa intendeva perseguire con la […] disabilitazione dei filtri privacy». Accertamenti, questi, che non possono essere posti in essere nel contesto di un giudizio come quello di legittimità.
Cionondimeno, nel decidere il caso, la Cassazione ha affermato taluni principi d’interesse per la materia del trattamento dei dati sanitari nel contesto del rapporto di cura, ponendo l’accento soprattutto sui principi applicabili al trattamento e, in particolare, sul principio di liceità, correttezza e trasparenza e sul principio della privacy by design e by default di cui agli artt. 5 e, rispettivamente, 25 e 32 del GDPR[ref]Sulla cui applicazione ai certificati medici si vedano le statuizioni del Garante per la protezione dei dati personali oggetto di un precedente commento.[/ref].
In particolare, dall’ordinanza della Corte possiamo dedurre che:
- il titolare del trattamento è tenuto ad adottare misure effettive, e non meramente formali, a tutela dei diritti fondamentali dell’interessato;
- tali principi non sono derogabili neppure in contesti emergenziali come quello della pandemia da Covid-19. Sicché, nel giudizio di responsabilità, è imprescindibile verificarne il puntuale rispetto da parte della struttura sanitaria;
- l’utilizzo del dossier per finalità di cura sarebbe di per sé legittimo anche senza il consenso dell’interessato laddove risulti necessario e garantisca un adeguato livello di sicurezza.