Trattamento dati personali: attività pericolosa!

  • Giovedì, 02 Dicembre 2010
Trattamento dati personali: attività pericolosa!
Articolo a cura di Avv. Luigi Foglia e Avv. Francesca Giannuzzi

"Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile". (art. 15 Codice Privacy)

La responsabilità per l'illecito trattamento dei dati personali è, ai sensi dell'art. 15 del d.lgs 30 giugno 2003 n 196 (Codice Privacy), un'attività pericolosa che impone a chi l'effettua di adottare particolari cautele. La previsione di tale articolo, richiamando espressamente l'art. 2050 del Codice Civile, stabilisce quindi che chiunque cagionerà un danno per effetto del trattamento di dati personali sarà tenuto al risarcimento, se non proverà di avere adottato tutte le misure idonee ad evitare il danno. Si attua, così, un'inversione dell'onere della prova e non sarà necessario, per il danneggiato, provare il dolo o la colpa nella condotta che ha cagionato il danno, bensì sarà la parte chiamata in causa a dover provare di aver adottato tutte le misure idonee a evitare il danno.

Si tratterebbe, addirittura, secondo parte della dottrina e della giurisprudenza, di una vera e propria ipotesi di responsabilità oggettiva, essendo sufficiente che il danneggiato provi il fatto della lesione, il danno ed il nesso di causalità, potendo liberarsi la resistente solo escludendo tale nesso causale.

In tale contesto, si colloca la sentenza del Tribunale di Pordenone (G.u. B. Lenisa) che, depositata il 16 aprile scorso, ha previsto la condanna di un Azienda Ospedaliera per l'illecita comunicazione di dati inerenti lo stato di salute di una paziente.

I fatti alla base del ricorso risalgono al febbraio del 2007, quando una paziente, in ospedale per accertamenti ginecologici, aveva richiesto espressamente al personale ospedaliero che il proprio stato di ex tossicodipendente in terapia con metadone non venisse rivelato ai propri parenti. Ma, nonostante detta esplicita richiesta, durante una visita da parte di una sorella, le veniva chiesto in presenza di quest'ultima dalla caposala quando voleva che le portasse il metadone. Tale rivelazione aveva portato i parenti della paziente a cessare i loro rapporti con quest'ultima a tal punto da non presentarsi neanche al suo matrimonio.

Gli indubbi danni non patrimoniali subiti dalla ricorrente sono stati alla base della condanna dell'Azienda Ospedaliera per la mancata adozione di misure di sicurezza idonee ad evitare la illecita comunicazione di dati personali inerenti lo stato di salute della paziente stessa. Il giudice, infatti, ha riconosciuto che non solo il codice della privacy all'art. 83 c. 1 e 2 lett. c) e d) impone l'adozione di misure di sicurezza in grado di  prevenire, durante i colloqui, l'indebita conoscenza da parte di terzi di informazioni idonee a rivelare lo stato di salute e tali da evitare che le prestazioni sanitarie avvengano in situazioni di promiscuità derivanti dalle modalità o dai locali prescelti, ma anche il codice deontologico di medici e infermieri sanziona tali condotte.

Il Giudice si è, quindi, soffermato sulla natura della responsabilità derivante da tale illecito trattamento aderendo all'interpretazione dottrinale secondo la quale, in tali casi, non vi sia solo una semplice inversione dell'onere della prova ma si realizzi una forma di vera e propria responsabilità oggettiva. In ogni caso, sottolinea il Giudice, l'Azienda Ospedaliera non aveva comunque fornito alcuna prova di aver adottato tutte le misure possibili onde evitare il fatto oggetto di accertamento.

Successivamente, il Giudice si è soffermato sull'individuazione dei soggetti tenuti al risarcimento ai sensi del Codice Privacy,  individuando, come soggetti responsabili, il titolare del trattamento ex art. 28, il responsabile del trattamento ex art. 29 se diverso dal primo, l'incaricato del trattamento ex art. 30 ed eventuali soggetti terzi anche se non rivestenti alcuna delle predette qualifiche.

Nell'ipotesi in cui l'attività del trattamento sia riconducibile in concreto ad alcuni o a tutti i succitati soggetti, "la responsabilità ex art. 15 Codice della Privacy deve essere valutata in concreto, in base all'attività dagli stessi effettivamente esercitata nella fattispecie reale, alla luce dei poteri decisionali e all'autonomia posseduta da ciascuno, essendo concorde la dottrina nel rigettare la possibilità di applicare a tali fattispecie la figura della responsabilità ex art. 2049 cc in capo al soggetto titolare del trattamento".

Sulla base di tale interpretazione, il Giudice di Pordenone, valutati i poteri di direzione del titolare e di imposizione delle misure di sicurezza che dovevano ritenersi necessarie nel caso di specie, ma delle quali non è stata fornita alcuna prova e valutata la posizione della capo sala, incaricata del trattamento, che ben poteva e doveva valutare la singola situazione prima di comunicare tali dati personali, ha ritenuto che la responsabilità andasse suddivisa al 50% tra l'Azienda ospedaliera, quale titolare e responsabile del trattamento e la caposala, incaricata del trattamento.

Una sentenza, quindi, che sottolinea ancora una volta la pericolosità intrinseca al trattamento dei dati personali, specie quelli di natura sanitaria e riafferma la necessità di pianificare e organizzare il loro corretto trattamento da parte dei soggetti Titolari. Nessuno è esentato dall'applicazione di tale normativa, neppure la Pubblica Amministrazione che, mostrandosi nuovamente sorda alla sua corretta e puntuale attuazione,  viene ancora una volta sanzionata.

Il rispetto del codice Privacy non può essere considerato un orpello o un peso ulteriore di cui tutti, privati e amministrazioni pubbliche, sono gravati. Se si recuperasse la sua funzione garantista e, conseguentemente la sua importanza in ogni tipo di rapporto civile e con gli enti esponenziali, si eviterebbero dannose violazioni che, oltre a incarnare una fattispecie risarcitoria e in alcuni casi criminosa, può ledere in maniera a volte profonda la dignità umana, come nel caso innanzi prospettato. Quanto sin qui evidenziato vale ancor più in quei settori, come la Sanità, dove costantemente sono in gioco dati ultrasensibili che, in quanto tali, necessitano di maggior cautela nel trattamento. Ecco che si rende indispensabile un maggior interessamento, delle PPAA in generale e delle Aziende Sanitarie in particolare, in ordine all'attuazione più corretta e diligente possibile del codice Privacy: tale auspicabile scrupolosità nell'adeguamento alla normativa in vigore non deve riguardare solo l'Azienda Sanitaria intesa nel suo complesso quale soggetto giuridico a cui è imputabile la possibile violazione, ma necessariamente interessa anche i lavoratori alle sue dipendenze (come, in questo caso, il personale infermieristico), che, approcciandosi quotidianamente con i dati ultrasensibili di ogni paziente, devono essere messi necessariamente nelle condizioni di agire in totale legittimità. Da qui la necessità di una costante formazione del personale ASL con particolare riguardo al rispetto delle norme sulla privacy, non risultando in alcun modo sufficienti i codici deontologici di cui ogni ordine professionale è dotato. L'investimento nell'aggiornamento dei dipendenti ha finalità non solo deflattive, per le Aziende Sanitarie di appartenenza, del contenzioso, ma anche cautelative per i pazienti (ed, in quanto tali,  titolari di dati ultrasensibili), che vedrebbero progressivamente diminuire le ipotesi di lesione del proprio diritto alla riservatezza.


D&L Communication è segreteria organizzativa delle Associazioni:

CONTATTI

D&L Department - Studio Legale Lisi
Via M. Stampacchia, 21 - 73100 LECCE - Tel e fax: +39.0832.25.60.65 

segreteria@studiolegalelisi.it 

Digital & Law Department S.r.l.
Via M. Stampacchia, 21 - 73100 LECCE - Tel e fax: +39.0832.25.60.65

P.IVA: 04372810756 - info@digitalaw.it - digitalaw@pec.it 

Studio Legale Lisi
Via V. M. Stampacchia, 21 - Piano Terra - 73100 Lecce - Tel /Fax: +39.0832.24.48.02 

info@studiolegalelisi.it 

Segreteria di Milano
Piazza IV Novembre, 4 - 20124 - Milano - Tel 02.671658188 Fax 02.67165266

Domicilio a Roma