La tutela dei dati sanitari
In primo piano la tutela dei dati sanitari
Sul tema si sono recentemente pronunciati sia il Garante della Privacy sia la Corte di Cassazione.
Il primo, con Provvedimento n. 665 del 17.12.2015, è intervenuto d’urgenza a bloccare accessi illeciti al portale di una Azienda sanitaria locale.
All’esito delle verifiche effettuate, il Garante ha accertato che stante l’assenza di una procedura di identificazione informatica era possibile accedere indiscriminatamente ai dati sanitari dall’Azienda per l’erogazione di servizi on-line e che, addirittura, potevano essere modificati detti dati o cancellati gli account degli utenti registrati sul sito.
Nel provvedimento citato il Garante ha rammentato l’obbligatorietà delle misure di sicurezza per ridurre al minimo i rischi di accesso non autorizzato, imponendo all’Azienda sanitaria locale di intervenire entro 48 ore dalla ricezione del provvedimento per bloccare l’accesso indiscriminato ai dati.
La prescrizione è stata prontamente adempiuta; pur tuttavia, il Garante si è riservato di approfondire il caso, avviando un autonomo procedimento sanzionatorio per le violazioni riscontrate.
Sempre riguardo ad un caso di indebita diffusione di dati sanitari si è pure espressa la Corte di Cassazione, sez. VI Civile – 1, soffermandosi sui profili risarcitori.
Precisamente, con l’ordinanza 2 dicembre 2015 – 11 gennaio 2016, n. 222, la Corte ha affermato che la richiesta di risarcimento del danno da indebita diffusione dei dati relativi alla salute, va rigettata quando non venga dimostrata la gravità della lesione subìta.
È stato ribadito il principio, già espresso in materia di trattamento dei dati personali, in base al quale il danno non patrimoniale risarcibile, ai sensi dell’art. 15 del d.lgs. 30 giugno 2003, n. 196 (cosiddetto codice della privacy), anche se causato da una violazione del diritto fondamentale alla protezione dei dati personali tutelato dagli artt. 2 e 21 Cost. e dall’art. 8 della CEDU, deve essere accertato in base alla gravità della lesione ed alla serietà del danno (quale perdita di natura personale effettivamente patita dall’interessato) (cfr. Cass. Civ., Sez. III, n. 16133 del 15/07/2014).
Ai fini risarcitori, occorre quindi operare un bilanciamento con il principio di solidarietà ex art. 2 Cost., in cui rientra il principio di tolleranza della lesione minima, con la conseguenza che è ritenuta ingiustificabile la lesione del diritto nell’ipotesi non della mera violazione delle prescrizioni di cui all’art. 11 Codice della Privacy (Modalità del trattamento e requisiti dei dati), ma solo quella che ne offenda in modo sensibile la sua portata effettiva.
L’accertamento di fatto è comunque rimesso al giudice di merito, restando ancorato alle caratteristiche specifiche (quali il contesto sociale e temporale) del caso concreto.
Se da un lato, quindi, il nostro ordinamento garantisce tutela ai dati sanitari prevedendo uno specifico apparato sanzionatorio, dall’altro lato, resta difficoltoso per l’interessato al trattamento vedersi riconoscere il giusto ristoro in caso di lesione del proprio diritto, a fronte di un regime probatorio che necessita la dimostrazione della gravità e serietà del danno.
Ma è corretto considerare la lesione del diritto alla privacy (strettamente legato alla personalità) alla stregua di una qualsiasi lesione di tipo bagatellare?
Iscriviti alla Newsletter