Azienda sanitaria classificava i pazienti riguardo al rischio di complicanze da Covid-19, la Cassazione ha accolto il ricorso del Garante
La Cassazione ha accolto il ricorso del Garante dopo la sanzione irrogata a un ente pubblico sanitario regionale per illecito trattamento di dati personali “in chiaro” di pazienti in violazione degli artt. 5, 9, 14 e 35 del GDPR e dell’art. 2 sexies del Dlgs. n.196/2003 per classificare gli assistiti in relazione al rischio di avere o meno complicanze in caso di infezione da Covid-19.
Nel periodo della pandemia, l’autorità aveva contestato l'illiceità del trattamento di dati personali "in chiaro" di pazienti effettuato dall'Azienda Sanitaria Friuli Centrale in esecuzione della delibera della Giunta della Regione Friuli Venezia Giulia n. 1737 del 20 novembre 2020.
Nella fattispecie, l’attività di trattamento veniva effettuata mediante l’utilizzo di un algoritmo fornito dall’Agenzia Regionale di Coordinamento per la Salute (ARCS) che avrebbe pseudonomizzato i dati attraverso l’apposizione di codici numerici casuali elaborati da ARCS con l’obiettivo di perseguire la predisposizione di un elenco di soggetti in condizioni di complessità e comorbilità da trasmettere ai medici di medicina generale allo scopo di consentire una migliore gestione del contesto epidemiologico Covid-19, per predisporre nel caso interventi preventivi di presa in carico del paziente.
Attività che però era stata considerata illecita dal Garante, dal momento che nelle finalità di programmazione, valutazione e controllo (cd. "governo sanitario") non sono ricomprese le finalità di medicina d’iniziativa, né la stratificazione della popolazione assistita sulla base del rischio sanitario individuale.
All’epoca dei fatti, l’Autorità aveva infatti ordinato all'azienda sanitaria di procedere entro novanta giorni alla cancellazione dei dati risultati dall'elaborazione delle informazioni presenti nelle banche dati aziendali e di pagare una sanzione amministrativa di 55.000 euro per violazione della privacy degli assistiti, rimarcando che la profilazione dell’utente effettata dal servizio sanitario, sia regionale o nazionale, determinando un trattamento automatizzato di dati personali volto ad analizzare e prevedere l’evoluzione della situazione sanitaria del singolo assistito e l’eventuale correlazione con altri elementi di rischio clinico, può essere effettuata solo in presenza di un idoneo presupposto normativo e garanzie adeguate per i diritti e le libertà degli interessati, requisiti specifici ritenuti mancanti nel caso dell’Azienda Sanitaria del Friuli Centrale, la quale aveva però aveva fatto ricorso dinanzi al Tribunale di Udine ottenendo in primo grado l'annullamento del provvedimento del Garante.
Adesso però la Corte di Cassazione, Sezione 1 Civile, con ordinanza n. 6067 del 6 marzo 2025 ha accolto il ricorso del Garante con rinvio della causa al Tribunale di Udine, ribadendo che l'emergenza pandemica e il richiamo della normativa adottata in tale circostanza nel preambolo della delibera di Giunta “non è sufficiente a qualificare il trattamento di stratificazione statica come trattamento necessario", accogliendo così le tesi dell’Authority.
(Download sentenza riservato agli associati)
Nota: In data 14 aprile 2025 l'Azienda Sanitaria Universitaria del Friuli Centrale ha inviato a Federprivacy una richiesta di rettifica ai sensi dell’articolo 8 Legge 8 febbraio 1948, n. 47, contenente alcune precisazioni e integrazioni che per chiarezza sono state inserite direttamente nel suddetto articolo. Nella stessa richiesta, l'ASUFC afferma inoltre che "la Corte di Cassazione – con ordinanza n. 6067/2025 – non ha ritenuto ‘giusta’ né ‘legittima’ la sanzione irrogata all’Azienda Sanitaria Friuli Centrale, ma ha accolto il ricorso dell’Autorità Garante, disponendo il rinvio al Tribunale di Udine per la necessità di ulteriori accertamenti di fatto. La fondatezza nel merito della sanzione, dunque, è tuttora sub iudice e non è stata oggetto di decisione definitiva da parte della Suprema Corte."
