La seconda Sezione civile della Suprema Corte di Cassazione, con la sentenza n. 188 del 9 gennaio 2017, si è pronunciata sul ricorso del Garante della privacy contro la sentenza di un Tribunale di Ravenna che ha annullato l’ordinanza di ingiunzione al pagamento della sanzione amministrativa di € 40.000 comminata ad una struttura sanitaria, nel caso di specie privata, per omessa ed inidonea notificazione del trattamento di dati sensibili di pazienti.
La notificazione è una dichiarazione con la quale un soggetto pubblico o privato deve rendere nota al Garante per la protezione dei dati personali l'esistenza di un'attività di raccolta e di utilizzazione dei dati personali svolta quale autonomo titolare del trattamento.
Essa deve essere trasmessa al Garante, in via telematica, una sola volta indipendentemente dalla durata, dal tipo e dal numero delle operazioni di trattamento, sia che si effettui un solo trattamento, sia che si curino più attività di trattamento con finalità correlate tra loro. Le notificazioni successivamente inserite in un registro pubblico che è, dunque, consultabile gratuitamente da tutti online.
L’omessa notificazione è pesantemente punita con una sanzione amministrativa da € 20.000 a € 120.000.
Nel caso di specie, la Suprema Corte, nel confermare la sanzione del Garante privacy, ha sancito che la notificazione allo stesso costituisce un obbligo il cui omesso adempimento è sanzionato anche nel caso di mera rilevazione delle patologie relative a malattie mentali, infettive e diffusive dei propri pazienti.
A tale deduzione si perviene, secondo la sentenza in commento, dalla mera lettura dell’art. 37, comma 1, lett. b), del Decreto legislativo 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali”, il quale prevede l’obbligo di notificare i trattamenti dei "dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria".
Una diversa interpretazione restrittiva in cui si vuol leggere la parola "rilevazione" riportata nel testo normativo come "indagine conoscitiva", è chiaramente arbitraria.
Secondo il Giudice di legittimità, dunque, nell’elenco delle finalità dei trattamenti dei dati idonei a rivelare lo stato di salute e la vita sessuale, a cui l’art. 37 del d.lgs. 196/2003 collega l’obbligo di notifica al Garante, è inclusa anche la semplice finalità delle indagini epidemiologiche a prescindere quali siano in concreto le patologie oggetto delle indagini stesse. ●
