Giusta la sanzione per violazione della privacy all’azienda sanitaria che classificava i pazienti riguardo al rischio di complicanze da Covid-19
È legittima la sanzione del Garante della privacy irrogata nei confronti di un ente pubblico sanitario regionale per illecito trattamento di dati personali “in chiaro” (cioè associati ai dati identificativi degli interessati) di pazienti contenuti nelle banche dati aziendali e nel fascicolo sanitario elettronico (FSE) in violazione degli artt. 5, 9, 14 e 35 del Regolamento UE 2016/679 (GDPR) e dell’art. 2 sexies del Dlgs. n.196/2003 (Codice in materia di protezione di dati personali) per fini di stratificazione della popolazione sulla base del rischio sanitario individuale, per classificare gli assistiti in relazione al rischio di avere o meno complicanze in caso di infezione da Covid-19.
Nel periodo della pandemia, l’autorità aveva contestato l'illiceità del trattamento di dati personali "in chiaro" di pazienti effettuato dall'Azienda Sanitaria Friuli Centrale in esecuzione della delibera della Giunta della Regione Friuli Venezia Giulia n. 1737 del 20 novembre 2020.
Nella fattispecie, l’attività di trattamento veniva effettuata mediante l’utilizzo di un algoritmo fornito dall’Agenzia Regionale di Coordinamento per la Salute (ARCS) che avrebbe pseudonomizzato i dati attraverso l’apposizione di codici numerici casuali elaborati da ARCS con l’obiettivo di perseguire la predisposizione di un elenco di soggetti in condizioni di complessità e comorbilità da trasmettere ai medici di medicina generale allo scopo di consentire una migliore gestione del contesto epidemiologico Covid-19, per predisporre nel caso interventi preventivi di presa in carico del paziente.
Attività che però era stata considerata illecita dal Garante, dal momento che nelle finalità di programmazione, valutazione e controllo (cd. "governo sanitario") non sono ricomprese le finalità di medicina d’iniziativa, né la stratificazione della popolazione assistita sulla base del rischio sanitario individuale.
All’epoca dei fatti, l’Autorità aveva infatti ribadito che la profilazione dell’utente effettata dal servizio sanitario, sia regionale o nazionale, determinando un trattamento automatizzato di dati personali volto ad analizzare e prevedere l’evoluzione della situazione sanitaria del singolo assistito e l’eventuale correlazione con altri elementi di rischio clinico, può essere effettuata solo in presenza di un idoneo presupposto normativo, nel rispetto di requisiti specifici e garanzie adeguate per i diritti e le libertà degli interessati, mancanti nel caso di specie dell’azienda sanitaria friulana, motivo per cui la sanzione del Garante è stata ritenuta legittima.
Lo ha stabilito la Corte di Cassazione, Sezione 1 Civile, con ordinanza n. 6067 del 6 marzo 2025, ribadendo che l'emergenza pandemica e il richiamo della normativa adottata in tale circostanza nel preambolo della delibera di Giunta “non è sufficiente a qualificare il trattamento di stratificazione statica come trattamento necessario", dando così ragione all’Authority dopo che l'azienda sanitaria del Friuli Centrale aveva fatto ricorso dinanzi al Tribunale di Udine per opporsi al provvedimento dell'Autorità, che aveva giustamente ordinato all'azienda sanitaria di procedere entro novanta giorni alla cancellazione dei dati risultati dall'elaborazione delle informazioni presenti nelle banche dati aziendali e di pagare una sanzione amministrativa di 55.000 euro per violazione della privacy degli assistiti.
(Download sentenza riservato agli associati)
