Dati sanitari consultabili on line, occorre previa notifica al Garante
Il trattamento di dati idonei a rivelare lo stato di salute è consultabile per via telematica purché il Garante per la Protezione dei Dati Personali venga preventivamente avvisato.
Per la Seconda Sezione Civile della Corte di Cassazione (Sentenza 29 luglio 2016 , n. 15908), agli effetti dell’art. 37, comma 1, lett. b, D.Lgs. n. 196/2003, deve essere notificato al Garante il trattamento di dati idonei a rivelare lo stato di salute a fini di prestazione per via telematica di servizi sanitari relativi ad una banca di dati o alla fornitura di beni, effettuata da una struttura sanitaria, pubblica o privata, e consistente, indicativamente, nella raccolta di schede o di cartelle cliniche per ogni paziente, accessibile a diversi soggetti e consultabile in rete telematica oppure on-line.
Dati sanitari, le prescrizioni del decreto
Precisamente, L’art. 37, comma 1, lett. b, D.Lgs. n. 196/2003, prescrive che:
“Il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguarda:
(….)
b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria”.
Il comma 1-bis, aggiunge, peraltro:
“La notificazione relativa al trattamento dei dati di cui al comma 1 non è dovuta se relativa all’attività dei medici di famiglia e dei pediatri di libera scelta, in quanto tale funzione è tipica del loro rapporto professionale con il Servizio sanitario nazionale”.
Il comma 2 specifica che:
“Il Garante può individuare altri trattamenti suscettibili di recare pregiudizio ai diritti e alle libertà dell’interessato, in ragione delle relative modalità o della natura dei dati personali, con proprio provvedimento adottato anche ai sensi dell’articolo 17. Con analogo provvedimento pubblicato sulla Gazzetta ufficiale della Repubblica italiana il Garante può anche individuare, nell’ambito dei trattamenti di cui al comma 1, eventuali trattamenti non suscettibili di recare detto pregiudizio e pertanto sottratti all’obbligo di notificazione”.
Dati sanitari, la notificazione al Garante
La notificazione al Garante dei dati idonei a rivelare lo stato di salute, trattati a fini di servizi sanitari per via telematica e relativi a banche di dati o alla fornitura di beni, a ben vedere rientra certamente fra quelle indicate specificamente nell’art. 37 del Codice privacy. Tale notifica, generalmente imposta dalla legge per tali dati trattati con tali modalità, può, piuttosto, essere esclusa per effetto di un provvedimento dell’Autorità garante.
Invero, ad avviso dei Giudici di legittimità, alla stregua di tale dato normativo, occorre notificare la prestazione per via telematica di servizi sanitari relativi ad una banca di dati o alla fornitura di beni, effettuata da una struttura sanitaria, pubblica o privata, consistente, indicativamente, nella raccolta di schede o di cartelle cliniche per ogni paziente, accessibile a diversi soggetti e consultabile in rete telematica oppure on-line.
Restano sottratti all’obbligo di notificazione i trattamenti di dati sanitari effettuati manualmente, mediante archivi cartacei, o eseguiti nell’ambito di servizi di assistenza o consultazione sanitaria per via telefonica, o comunque inseriti in banche dati non collegate a reti telematiche.
16/09/2016