Trattamento dati sanitari: i limiti del consenso

La Corte di Cassazione ha stabilito l’illegittimità del trattamento dati sanitari effettuato da un’azienda sanitaria locale. L’azienda aveva elaborato, tramite un algoritmo, i dati di migliaia di pazienti estratti dal Fascicolo Sanitario Elettronico per creare elenchi di soggetti vulnerabili. La Corte ha chiarito che il consenso prestato dal paziente per la consultazione del proprio FSE a fini di cura è strettamente individuale e non può essere esteso a operazioni di ‘stratificazione statistica’ su larga scala. Tale trattamento dati sanitari, che esula dalla finalità originaria, richiede una base giuridica autonoma e specifica, non ravvisabile nel semplice stato di emergenza pandemica. La Corte ha inoltre ribadito l’obbligo di effettuare una valutazione d’impatto (DPIA) per trattamenti così rischiosi.

A cura di Carmine Paul Alexander TEDESCO - Avvocato

Prenota un appuntamento

Per una consulenza legale o per valutare una possibile strategia difensiva prenota un appuntamento.

La consultazione può avvenire in studio a Milano, Pesaro, Benevento, oppure in videoconferenza.

PRENOTA

02.37901052

8:00 – 20:00
(Lun - Sab)

Pubblicato il 8 settembre 2025 in Diritto Civile, Giurisprudenza Civile

Trattamento Dati Sanitari: la Cassazione Fissa i Paletti per l’Uso del FSE

Il trattamento dati sanitari rappresenta uno degli ambiti più delicati della normativa sulla privacy. Una recente ordinanza della Corte di Cassazione ha fornito chiarimenti cruciali sui limiti all’utilizzo del Fascicolo Sanitario Elettronico (FSE), stabilendo che il consenso del paziente per la cura non abilita le aziende sanitarie a condurre analisi massive sui dati per finalità diverse, come la stratificazione della popolazione a rischio. Questa decisione riafferma la centralità del principio di finalità e la responsabilità del titolare del trattamento.

I Fatti di Causa

Il caso ha origine da un provvedimento sanzionatorio emesso dall’Autorità Garante per la Protezione dei Dati Personali nei confronti di un’Azienda Sanitaria. Quest’ultima, in attuazione di una delibera regionale emanata durante l’emergenza pandemica, aveva effettuato un’operazione di trattamento dati sanitari su vasta scala.

Utilizzando un algoritmo, l’Azienda aveva estratto e rielaborato dati personali “in chiaro” (identificativi) di oltre 17.000 assistiti, provenienti sia dalle banche dati aziendali sia dai loro Fascicoli Sanitari Elettronici. L’obiettivo era creare elenchi di pazienti con particolari condizioni di complessità e comorbilità da fornire ai medici di medicina generale per consentire una gestione preventiva più efficiente, in particolare nel contesto della campagna vaccinale.

Il Garante aveva ritenuto tale trattamento illecito per mancanza di un’idonea base giuridica. Tuttavia, il Tribunale di primo grado aveva annullato la sanzione, qualificando l’operazione come un legittimo “trattamento secondario” compatibile con le finalità di cura e giustificato dallo stato di emergenza. L’Autorità Garante ha quindi proposto ricorso in Cassazione.

La Decisione della Cassazione sul Trattamento Dati Sanitari

La Corte di Cassazione ha accolto il ricorso del Garante, cassando la sentenza del Tribunale e affermando principi fondamentali in materia di trattamento dati sanitari.

I Limiti del Consenso nel Fascicolo Sanitario Elettronico

Il punto centrale della decisione riguarda la natura del consenso per il FSE. La Corte ha ribadito che la liceità del trattamento dei dati contenuti nel FSE si fonda su un duplice e specifico consenso dell’assistito:
1. Il primo, per l’alimentazione del FSE con i propri dati.
2. Il secondo, per la consultazione dei dati e dei documenti da parte degli operatori sanitari per finalità di prevenzione, diagnosi e cura.

Questo secondo consenso, ha specificato la Corte, è strettamente legato alla cura del singolo individuo. Non può essere interpretato estensivamente per autorizzare un’elaborazione massiva e generalizzata dei dati di una pluralità di assistiti, finalizzata a creare nuovi elenchi tramite meccanismi di “stratificazione statistica”. Si tratta di una finalità nuova e diversa, non coperta dal consenso originario.

L’Errata Applicazione del “Trattamento Secondario”

La Cassazione ha giudicato errata la tesi del Tribunale secondo cui tale operazione fosse un lecito “trattamento secondario”. Mentre il GDPR consente, a certe condizioni, un ulteriore trattamento per fini di ricerca o statistica, nel caso del FSE la normativa nazionale e regolamentare è chiara: le finalità di governo e programmazione sanitaria devono essere perseguite utilizzando dati anonimi o pseudonimizzati, non dati identificativi “in chiaro”. L’operazione svolta dall’Azienda Sanitaria esulava completamente dai limiti imposti dalla legge.

Trattamento Dati Sanitari e Obbligo di Valutazione d’Impatto (DPIA)

Un altro punto qualificante della sentenza riguarda la Valutazione d’Impatto sulla Protezione dei Dati (DPIA), prevista dall’art. 35 del GDPR. La Corte ha stabilito che era obbligatoria prima di avviare questo tipo di trattamento dati sanitari. I criteri erano tutti presenti: si trattava di dati sensibili (sanitari), trattati su larga scala (oltre 17.000 persone) e con l’uso di nuove tecnologie (algoritmi per la stratificazione). Queste caratteristiche configurano un trattamento a rischio elevato per i diritti e le libertà delle persone, per il quale la DPIA è un adempimento preventivo indispensabile a carico del titolare.

Le Motivazioni

La Corte ha motivato la sua decisione sottolineando che il principio di finalità è un pilastro del GDPR. Il consenso raccolto per uno scopo specifico – la cura individuale – non può essere utilizzato come una “carta bianca” per altri trattamenti, anche se mossi da intenzioni lodevoli come la salute pubblica. Ogni finalità deve avere la sua base giuridica appropriata. Inoltre, il contesto emergenziale della pandemia, sebbene rilevante, non sospende l’applicazione delle norme fondamentali sulla protezione dei dati. Le deroghe devono essere previste dalla legge e interpretate restrittivamente. Infine, l’Azienda Sanitaria, in qualità di titolare del trattamento, non poteva esimersi dalle proprie responsabilità semplicemente eseguendo una direttiva regionale, ma aveva il dovere di verificare la conformità del trattamento alla normativa europea e nazionale.

Le Conclusioni

La sentenza della Cassazione rappresenta un monito importante per tutte le entità del settore sanitario. Il trattamento dati sanitari, specialmente quelli provenienti dal FSE, deve avvenire nel rispetto più rigoroso dei principi di finalità, liceità e minimizzazione. Le operazioni di analisi su larga scala, anche se finalizzate a migliorare l’efficienza del sistema sanitario, non possono basarsi sul generico consenso alla cura, ma richiedono basi giuridiche specifiche e, nei casi di rischio elevato, devono essere precedute da una scrupolosa valutazione d’impatto. La tutela della privacy del paziente rimane un diritto fondamentale anche, e soprattutto, quando si utilizzano strumenti tecnologici avanzati.

Il consenso che un paziente dà per la consultazione del suo Fascicolo Sanitario Elettronico (FSE) a fini di cura permette all’azienda sanitaria di usare quei dati per analisi su larga scala?
No. La Corte di Cassazione ha chiarito che il consenso alla consultazione del FSE è strettamente limitato alla finalità di cura del singolo assistito. Non autorizza trattamenti diversi e ulteriori, come l’elaborazione dei dati di migliaia di pazienti per creare elenchi di soggetti a rischio tramite algoritmi.

Lo stato di emergenza pandemica può giustificare un trattamento di dati sanitari altrimenti non consentito?
Non automaticamente. La Corte ha affermato che lo stato di emergenza non è di per sé sufficiente a qualificare un trattamento come ‘necessario’ e a derogare ai principi fondamentali della privacy. Qualsiasi trattamento deve avere una base normativa chiara e specifica che ne definisca i presupposti, anche in un contesto emergenziale.

È obbligatorio effettuare una Valutazione d’Impatto sulla Protezione dei Dati (DPIA) quando si usano algoritmi per analizzare dati sanitari di molti pazienti?
Sì. Secondo la Corte, un trattamento che riguarda dati sanitari (dati sensibili) su larga scala e che impiega nuove tecnologie come gli algoritmi per la stratificazione della popolazione, presenta un rischio elevato per i diritti e le libertà delle persone. Di conseguenza, è obbligatorio per il titolare del trattamento effettuare una DPIA prima di iniziare tali operazioni, come previsto dall’art. 35 del GDPR.

Testo del provvedimento

Ordinanza di Cassazione Civile Sez. 1 Num. 6067 Anno 2025

Civile Ord. Sez. 1 Num. 6067 Anno 2025

Presidente: COGNOME NOME

Relatore: COGNOME NOME

Data pubblicazione: 06/03/2025

ORDINANZA

sul ricorso iscritto al n. 2988/2024 R.G. proposto da :

AUTORITA’ GARANTE PER LA PROTEZIONE DEI DATI PERSONALI, in persona del legale rapp. p.t., domiciliato in ROMA INDIRIZZO presso l’AVVOCATURA GENERALE DELLO STATO che lo rappresenta e difende ex lege.

-ricorrente-

contro

AZIENDA RAGIONE_SOCIALE, in persona del legale rapp. p.t., elettivamente domiciliato in ROVERETO INDIRIZZO presso lo studio dell’avvocato COGNOME che lo rappresenta e difende unitamente all’avvocato COGNOME NOME COGNOME come da procura speciale in atti.

-controricorrente-

Avverso la SENTENZA del TRIBUNALE di UDINE n. 641/2023 depositata il 05/12/2023.

Udita la relazione svolta nella camera di consiglio del 19/11/2024 dal Consigliere NOME COGNOME

FATTI DI CAUSA

1.1.- Con ordinanza ingiunzione n. 416 del 15 dicembre 2022, emessa ai sensi dell’art. 18 della legge n. 689/1981 e notificata in data 30 dicembre 2022, l’Autorità Garante per la Protezione dei Dati Personali (di seguito, anche Garante) aveva contestato l’illiceità del trattamento di dati personali ‘in chiaro’ (cioè associati ai dati identificativi degli interessati) di pazienti contenuti nelle banche dati aziendali e nel fascicolo sanitario elettronico (di seguito, anche FSE) effettuato dall’Azienda Sanitaria Friuli Centrale (di seguito, anche ASUFC) in esecuzione della delibera della Giunta della Regione Friuli Venezia Giulia n. 1737 del 20 novembre 2020, in violazione degli artt. 5, 9, 14 e 35 del Regolamento(UE) 2016/679 e dell’art. 2 sexies del d.lgs. n.196/2003 (Codice in materia di protezione di dati personali); aveva, pertanto, ordinato all’Azienda Sanitaria Friuli Centrale di procedere, entro novanta giorni dalla notifica del provvedimento, alla cancellazione dei dati risultati dall’elaborazione delle informazioni presenti nelle banche dati aziendali e di pagare la sanzione amministrativa di euro 55.000,00=.
L’ attività di trattamento era stata effettuata per il tramite di RAGIONE_SOCIALE Società in house della Regione, nominata formalmente da RAGIONE_SOCIALE Responsabile del trattamento – mediante l’utilizzo di un algoritmo fornito dall’Agenzia Regionale di Coordinamento per la Salute (di seguito, anche ‘ARCS’), denominato ACG ( Adjusted Clinical Groups )1, che avrebbe pseudonomizzato i dati attraverso l’apposizione di codici numerici casuali elaborati da ARCS. L’obiettivo perseguito era la predisposizione di una lista di soggetti in condizioni di complessità e comorbilità da trasmettere ai medici di medicina generale (MMG) allo scopo di consentire una migliore gestione del
contesto epidemiologico Covid-19, al fine di predisporre interventi preventivi di presa in carico del paziente; la selezione degli assistiti era limitata ad alcune classi di pazienti.

All’esito della complessa istruttoria, l’Autorità Garante aveva ravvisato l’illegittimità del trattamento, alla stregua della normativa rilevante in materia di tutela dei dati personali prima indicata, dal momento che nelle finalità di programmazione, valutazione e controllo (cd. di governo sanitario) non sono ricomprese le finalità di medicina d’iniziativa, né la stratificazione della popolazione assistita sulla base del rischio sanitario individuale.

Secondo l’ordinanza ingiunzione, il trattamento dei dati sanitari da parte dell’ASUFC era avvenuto: i) in assenza di una idonea, specifica, base normativa (e, dunque, in violazione degli artt. 5, par. 1 lett. a) e 9 del Regolamento europeo n. 679/2016, nonché dell’art. 2 ter e sexies del d.lgs. n.196/2003 (Codice in materia di protezione di dati personali); ii) in assenza di preventivo consenso e, pertanto, illegittimamente, non rientrando le operazioni di trattamento oggetto di causa nel novero di quelle ‘necessarie’ alla cura del paziente, ai sensi dell’art. 9 paragrafo 2 lettera h) del Regolamento n. 679/2016; iii) con violazione da parte dell’Azienda Sanitaria dell’obbligo sia di informativa preventiva (artt. 13 e 14 del Regolamento), sia di valutazione di impatto sulla protezione dei dati personali (art. 35 del Regolamento cit.).
1.2.- L’Azienda Sanitaria Friuli Centrale, con ricorso iscritto il 30 gennaio 2023, ha promosso opposizione dinanzi al Tribunale di Udine avverso l’ordinanza n. 416/2022, a cui ha resistito l’Autorità Garante.

In particolare, l’ASUFC ricorrente ha contestato l’ordinanza dell’Autorità Garante per la protezione dei dati personali sotto molteplici profili, eccependo preliminarmente la non imputabilità ad ASUFC delle condotte contestate, per non essere l’Azienda qualificabile come ‘titolare’ del trattamento dei dati sanitari, deducendo che il trattamento era stato definito, nelle sue finalità e

modalità, dalla Regione tramite la delibera della Giunta n. 1737/2020 e la stratificazione di assistiti attraverso l’applicazione dell’algoritmo e che la conseguente elaborazione di elenchi di pazienti rientranti nelle categorie richieste erano stati realizzati da ARCS (Agenzia regionale per il coordinamento alla salute) e dalla società in house RAGIONE_SOCIALE su espresso mandato regionale, con conseguente impossibilità per ASUFC di esercitare alcun effettivo controllo e potere dispositivo sui dati dei propri assistiti.
In ogni caso, il trattamento dei dati, secondo parte ricorrente, sarebbe avvenuto nel pieno rispetto della normativa nazionale ed europea.

L’Autorità Garante per la Protezione dei dati personali ha resistito, chiedendo la conferma integrale del provvedimento sanzionatorio.

All’esito dell’istruttoria, il Tribunale di Udine, dopo avere sospeso inaudita altera parte l’efficacia esecutiva dell’ordinanza ingiunzione n. 416/2022 , ha accolto il ricorso e ha annullato l’ordinanza; ha ordinato all’Autorità Garante per la Protezione dei Dati Personali di provvedere alla pubblicazione della sentenza in forma integrale (dispositivo e motivazione), a propria cura e a proprie spese, mediante comunicazione sul proprio sito web istituzionale; ha condannato l’Autorità Garante per la Protezione dei Dati Personali alle spese processuali.
Il Tribunale ha affermato che non comporta illecito trattamento di dati personali l’estrazione dei dati dal datawarehouse regionale e l’elaborazione delle liste di pazienti che sono invece essere ricondotte alla nozione giuridica di ‘trattamento secondario’ di dati sensibili già raccolti dall’Azienda Sanitaria, previo consenso dei pazienti, e già a disposizione degli stessi medici di medicina generale, ancorché non ancora organizzati in liste di più immediata percezione. Ha affermato, inoltre, che la condotta non era imputabile all’ASUFC, pure riconosciuta come titolare del trattamento, perché questa
aveva messo a disposizione i dati su richiesta della Giunta Regionale; ha, quindi, affermato che la deliberazione di Giunta si inquadrava nello stato di emergenza pandemica, di guisa che il trattamento poteva ritenersi necessario e cioè tale da non dover richiedere il consenso; ha, infine, escluso che fosse necessaria la valutazione di impatto ambientale per la fattispecie in esame.

1.3.- L’Autorità Garante per la Protezione dei Darti Personali ha proposto ricorso con un unico, articolato, motivo, chiedendo la Cassazione della sentenza in epigrafe indicata. L’Azienda Sanitaria Friuli Centrale ha replicato con controricorso.

L’Autorità Garante ha depositato memoria.

È stata disposta la trattazione camerale.

RAGIONI DELLA DECISIONE

2.- Sono infondate le eccezioni di inammissibilità/improcedibilità del ricorso sollevate dalla controricorrente. L’impugnazione espone in maniera chiara ed esauriente le vicende di causa, le contestazioni sollevate e le questioni in diritto sottoposte all’esame di questa Corte e non sollecita una diversa valutazione del merito.

3.- Con un unico motivo, articolato in sei punti, si denuncia la violazione o falsa applicazione dell’art. 12 (Fascicolo sanitario elettronico, sistemi di sorveglianza nel settore sanitario e governo della sanità digitale) del d.l. n.179 del 2012 (Ulteriori misure urgenti per la crescita del Paese) convertito con modificazioni dalla legge 17 dicembre 2012, n. 221 e d.p.c.m. n. 178 del 2015 (Regolamento in materia di fascicolo sanitario elettronico) – art. 2ter del d.lgs. n.196/2003 (Codice in materia di protezione di dati personali)- artt. 5, 14, par. 5, lett. d), e 35 del Regolamento (CE) 27/04/2016, n. 2016/679/UE [Regolamento del Parlamento Europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla
protezione dei dati) Pubblicato nella G.U.U.E. 4 maggio 2016, n. L 119.], in relazione all’art. 360, comma 1, n. 3, cod. proc. civ.

3.1.- Il primo profilo denuncia la violazione e falsa applicazione dell’art. 12 del d.l. n.179 del 2012.

La ricorrente si duole che il Tribunale abbia fondato l’accoglimento del ricorso di ASUFC sull’equivoco presupposto che l’Azienda non fosse titolare del trattamento dei dati che sono stati estratti, sulla base della delibera della Giunta regionale n. 1737/2020 dal FSE, per finalità estranee a quelle di competenza di ASUFC, ossia formare una c.d. “stratificazione statistica” degli assistiti in condizione di complessità e comorbilità da segnalare ai Medici di Medicina Generale (MMG).

Sostiene che tale assunto si basa su una interpretazione palesemente erronea, anche in quanto incompatibile con il dato letterale, delle norme di cui agli artt. 4, par . 1, n. 7 (Titolare del trattamento) e 24 (Responsabilità del titolare del trattamento) del RGPD, da leggersi in combinato disposto con l’art. 12 (Fascicolo sanitario elettronico, sistemi di sorveglianza nel settore sanitario e governo della sanità digitale) del d.l. n.179 del 2012 (Ulteriori misure urgenti per la crescita del Paese) ed il d.p.c.m. n. 178 del 2015 (Regolamento in materia di fascicolo sanitario elettronico).
Rimarca che la base informativa da cui sono stati estratti i dati personali degli assistiti per effettuare la stratificazione ‘statistica’ non è stata e non avrebbe potuto essere la partizione del FSE, di cui è titolare la Regione. Infatti – come del resto riconosciuto anche nella sentenza impugnata – per espressa disposizione di legge, la Regione può avere a disposizione, tramite il FSE, soltanto informazioni prive dei dati identificativi diretti dell’assistito e pseudonimizzate, tipici delle elaborazioni statistiche.
Invece, come emerge dalle evidenze istruttorie, i dati estratti erano direttamente identificativi degli assistiti, in quanto riferiti a soggetti individuati con nome, cognome e codice fiscale, e, pertanto,

potevano essere estratti esclusivamente dalla partizione del FSE di titolarità dell’Azienda, tanto è vero che la Regione aveva disposto che l’attività di stratificazione in esame fosse effettuata con le banche dati aziendali, e non regionali, e gestita dai MMG.

3.2.- Il secondo profilo denuncia la violazione e falsa applicazione dell’art. 5 del Regolamento n. 2016/679/UE, che enuclea i principi applicabili al trattamento di dati personali. L’Autorità deduce che il Tribunale perviene ad una erronea ricostruzione interpretativa del concetto dell’uso c.d. ‘secondario’ dei dati e della sua pratica applicazione laddove afferma che ‘l a selezione e gestione delle informazioni sensibili inerenti ai soli pazienti che già avevano espresso il loro consenso alla divulgazione dei dati ai propri medici’ integrerebbe un ‘trattamento secondario’ ( ex art. 5 del Regolamento) dei dati contenuti nel FSE compatibile con lo scopo della raccolta.
3.3.- Il terzo profilo denuncia la violazione e falsa applicazione dell’art. 2ter del d.lgs. n. 196/2003 e succ. mod. (Codice in materia di protezione di dati personali).

L’Autorità lamenta che erroneamente il Tribunale ha identificato nell’ art. 2ter del Codice la base giuridica dei trattamenti dei dati in esame, mentre dallo spettro di applicabilità di questa disposizione esula la categoria dei dati sanitari per i quali, a causa della natura sensibile degli interessi coinvolti e in relazione ai trattamenti effettuati in esecuzione di un compito di interesse pubblico, deve farsi necessariamente riferimento all’art. 2 -sexies del Codice.

Prospetta, inoltre, l’erroneità della decisione impugnata laddove il Tribunale ha ritenuto che l’Azienda non avrebbe potuto opporsi alla delibera regionale, e non ha tenuto conto del principio di disapplicazione della norma interna contrastante con la disciplina comunitaria consistente, nel caso di specie, nel Regolamento sulla protezione dei dati e nel Codice nella parte in cui, sulla base di

quanto previsto dall’art. 9, par. 2, lett. g) e 4 del Regolamento, ne completa le disposizioni.

3.4.- Il quarto profilo denuncia la violazione e falsa applicazione dell’art. 17 -bis del d.l. n. 18/2020.

L’Autorità Garante lamenta che il testo degli articoli 1 e 17 -bis del d.l. n. 18/2020, adottato nel periodo pandemico, sia oggetto nella sentenza di un richiamo soltanto parziale, circostanza che avrebbe condotto ad una non corretta ricostruzione normativa anche sotto questo punto.

Rimarca, in proposito che l’art. 1 del d.l. n. 18/2020 attribuiva alle Regioni e alle Province autonome funzioni soltanto di programmazione (adozione di piani di potenziamento e riorganizzazione della rete assistenziale), mentre il richiamato art. 17-bis s tabiliva che i ‘trattamenti di dati personali di cui ai commi 1 e 2 (fossero)(sono) effettuati nel rispetto dei princìpi di cui all’ articolo 5 del citato Regolamento (UE) 2016/679, adottando misure appropriate a tutela dei diritti e delle libertà degli in teressati’.
A suo parere, pertanto, le disposizioni adottate nel periodo emergenziale, non hanno e non avrebbero potuto comunque derogare ai princìpi di protezione dei dati dettati dal Regolamento, ivi compreso quello di liceità indicato nel provvedimento impugnato.

3.5.- Il quinto profilo denuncia la violazione e falsa applicazione dell’art. 14, par. 5, lett. d), del Regolamento n. 2016/679/UE, l’Autorità Garante deduce che non è corretta l’interpretazione del Tribunale secondo la quale, nella fattispecie in esame, l ‘informativa non era dovuta ai sensi dell’art. 14, par. 5, lett. d), in quanto il trattamento dei dati sarebbe stato effettuato da parte di medici, soggetti sottoposti al segreto professionale.

3.6.- Il sesto profilo denuncia la violazione e falsa applicazione dell’art. 35 del Regolamento n. 2016/679/UE, l’Autorità Garante deduce che la fattispecie in esame rientra tra quelle per le quali il titolare è tenuto ad effettuare, ‘prima di procedere al trattamento,

una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali’ (art. 35 del Regolamento), come evincibile in base ai criteri individuati dal Gruppo art. 29 nelle « Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato”» , adottate il 4 aprile 2017 e modificate il 4 ottobre 2017, nonché dei numerosi precedenti provvedimenti del Garante.

Ciò perché ricorrono certamente due dei criteri indicati dal Comitato Europeo: a. sussiste il trattamento di ‘dati sensibili o aventi carattere altamente personale’; b. sussiste il trattamento di ‘dati relativi ad interessati vulnerabili’ tra i quali si annoverano quelli relativi alla salute.

Ritiene, poi, che, con riferimento al caso di specie, possano essere soddisfatti anche i criteri relativi al ‘trattamento di dati su larga scala ‘ considerato che, secondo quanto dichiarato dall’Azienda medesima, il trattamento ha riguardato oltre 17.000 interessati.

Evidenzia la ricorrente Autorità, pertanto, che il criterio dell’uso di tecnologie innovative (algoritmi) indicato dal Tribunale non è l’unico criterio rilevante in tema di valutazione di impatto e, in ogni caso, allo stato, l’utilizzo di algoritmi per la stratificazione della popolazione assistita, a dispetto di quanto ritenuto dal Tribunale, non è ‘una tecnica largamente diffusa nelle operazioni di rielaborazione dei dati, soprattutto in ambito medico-scientifico’.

4.- Il ricorso è fondato e va accolto.

4.1.- In via preliminare è opportuno precisare che al caso in esame si applica il d.lgs. n. 196 del 30 giugno 2003 (codice della privacy) nella stesura successiva alle modifiche introdotte con il d.lgs. n.101 del 10 agosto 2018 di adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, entrato in vigore il 25 maggio 2018 (art.99, comma 2, del regolamento), oltre che il regolamento medesimo.

4.2.- La controversia concerne i dati personali che confluiscono nel Fascicolo sanitario elettronico, tra i quali rientrano ‘i dati relativi alla salute’ (art.4, par. 1 nn.1 e 15 del regolamento) ed il loro trattamento.

4.3.- In via generale, per quanto di rilievo nel presente processo, è necessario ricordare che i dati personali sono «raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali» (art.5, par. 1, lett. b) del regolamento); che il trattamento è lecito ove l’interessato abbia espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità, a meno che non ricorra una delle ipotesi di trattamento necessario (art.6 del regolamento); che, ove il trattamento per una finalità diversa da quella per la quale i dati personali sono stati raccolti non sia basato sul consenso dell’interessato o su un atto legislativo dell’Unione o degli Stati membri, il titolare del trattamento deve tenere conto, tra l’altro « c) della natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali ai sensi dell’articolo 9…»; che i dati relativi alla salute rientrano in una categoria di dati personali per i quali il trattamento è vietato, a mano che non ricorra il ‘consenso esplicito’ dell’interessato, ovvero ricorra una delle specifiche ipotesi in cui il trattamento è qualificato come necessario dal regolamento (art.9 del regolamento).
In sintesi, il trattamento dei dati personali che concernono la salute è lecito a condizione che ricorra il consenso esplicito dell’interessato, a meno che non si rientri in una delle fattispecie di trattamento necessario previste dal regolamento.

4.4.- In questo quadro normativo si colloca l’istituzione del fascicolo sanitario elettronico, che trova la sua disciplina nell’art.12 del d.l. 18 ottobre 2012, n.179, conv. con mod. dalla legge 17 dicembre 2012, n.221, e nel DPCM 29 settembre 2015, n.178, recante il Regolamento in materia di fascicolo sanitario elettronico.

Il fascicolo sanitario elettronico (in breve FSE) è individuale e riguarda il singolo assistito; è costituito dall’insieme dei dati e documenti digitali di tipo sanitario e socio-sanitario generati da eventi clinici presenti e trascorsi che riguardano l’assistito, riferiti anche alle prestazioni erogate al di fuori del Servizio sanitario nazionale. É istituito dalle regioni e province autonome nel rispetto della normativa vigente in materia di protezione dei dati personali, secondo le previsioni di cui all’art.12 cit.
Il FSN persegue plurime e specifiche finalità, come individuate al comma 2 dell’art.12 (nel testo applicabile ratione temporis al caso in esame, secondo quanto previsto dall’art.12 del d.l. 18 ottobre 2012, n.179, vigente fino al 26 gennaio 2022 – prima delle modifiche introdotte dal d.l. 27 gennaio 2002, n.4, conv. con mod. dalla legge 28 marzo 2022, n.25).

Le finalità sono: a) prevenzione, diagnosi, cura e riabilitazione; b) studio e ricerca scientifica in campo medico, biomedico ed epidemiologico; c) programmazione sanitaria, verifica delle qualità delle cure e valutazione dell’assistenza sanitaria.

I soggetti che possono utilizzare il FSE mutano a seconda della finalità perseguite, così come mutano la qualità dei dati accessibili per il trattamento e le condizioni per il trattamento.

Le finalità di prevenzione, diagnosi, cura e riabilitazione (lettera a) sono perseguite dai soggetti del Servizio sanitario nazionale e dei servizi socio-sanitari regionali e da tutti gli esercenti le professioni sanitarie che prendono in cura l’assistito secondo le modalità di accesso da parte di ciascuno dei predetti soggetti e da parte degli

esercenti le professioni sanitarie, nonché nel rispetto delle misure di sicurezza definite ai sensi del comma 7.

La ‘consultazione dei dati e dei documenti’ per le finalità di cui alla lettera a) avviene ‘in chiaro’ (e cioè con il nominativo dell’assistito): la consultazione può essere realizzata dai soggetti prima indicati soltanto con il ‘consenso dell’assistito’ e sempre nel rispetto del segreto professionale, salvo i casi di emergenza sanitaria secondo modalità individuate a riguardo. Peraltro, il mancato consenso da parte dell’assistito non pregiudica il diritto all’erogazione della prestazione. Anche l’assistito può consultare il proprio FSE, in forma protetta e riservata.
Le finalità di studio e ricerca scientifica in campo medico, biomedico ed epidemiologico (lettera b) e programmazione sanitaria, verifica delle qualità delle cure e valutazione dell’assistenza sanitaria (lettera c) sono perseguite dalle regioni e dalle province autonome, nonché dal Ministero del lavoro e delle politiche sociali e dal Ministero della salute nei limiti delle rispettive competenze attribuite dalla legge, senza l’utilizzo dei dati identificativi degli assistiti presenti nel FSE, secondo livelli di accesso, modalità e logiche di organizzazione ed elaborazione dei dati definiti con il decreto di cui al comma 7, in conformità ai principi di proporzionalità, necessità e indispensabilità nel trattamento dei dati personali.
Come si evince dal DPCM 29 settembre 2015, n.178, recante il Regolamento in materia di fascicolo sanitario elettronico (secondo quanto previsto dall’art.12, comma 7, del d.l. 18 ottobre 2012, n.179), la completa informativa ai sensi dell’art.13 del Codice in materia di protezione dei dati personali (art. 6) costituisce presupposto di liceità del trattamento.

I dati che confluiscono nel FSE sono relativi allo stato di salute attuale ed eventualmente pregresso dell’assistito e vengono in rilievo in quanto ‘dati personali’, costituiti da «qualunque informazione relativa a persona fisica, identificata o identificabile, anche

indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale, ai sensi del Codice in materia di protezione dei dati personali;», e ‘dati identificativi’, costituiti dai «dati personali che permettono l’identificazione diretta dell’interessato, ai sensi del Codice in materia di protezione dei dati personali;» (art.1, lett. s) e t), del DPCM 29 settembre 2015, n.178).

Il trattamento di questi dati mediante la istituzione del FSE individuale è basato, per previsione normativa, sul ‘consenso libero e informato’ da parte dell’assistito e non rientra, quindi, nelle fattispecie di ‘trattamento necessario’.

In particolare, all’assistito è richiesto un suo primo consenso specifico che rende possibile ‘l’alimentazione del FSE’ (art.6, comma 1, lett. d) e art.7 del DPCM).

É inoltre richiesto «un ulteriore specifico consenso limitatamente alla consultazione dei dati e dei documenti presenti nel FSE, per le finalità d cui alla lettera a) del comma 2 dell’art.12…» (art.6, comma 1, lett. e) e art.7 del DPCM).

Entrambi i consensi sono revocabili.

Come specificato dal Capo II del DPCM 29 settembre 2015, n.178, i ‘titolari’ dei ‘trattamenti per finalità di cura’, per i quali è previsto il secondo consenso, sono ‘i soggetti del SSN e dei servizi socio-sanitari che prendono in cura l’assistito'(art.10); per la finalità di cura si possono prevedere anche servizi di elaborazione di dati, relativi a percorsi diagnostici-terapeutici, per supportare i processi di prevenzione, diagnosi e cura, ma ‘limitatamente all’assistito preso in cura’ (art.11).

Viene, inoltre precisato (art.13 – Accesso alle informazioni del FSE per finalità di cura) che:

il FSE è uno strumento a disposizione dell’assistito che può consentirne l’accesso ai soggetti del SSN e dei servizi socio-sanitari regionali che lo prendono in cura;

l’accesso alle informazioni del FSE da parte di questi soggetti è consentito solo se si verificano tutte le seguenti condizioni:

l’assistito ha espresso esplicito consenso all’accesso al FSE;

le informazioni da trattare sono esclusivamente quelle pertinenti al processo di cura in atto;

i soggetti che accedono alle informazioni rientrano nelle categorie di soggetti abilitati alla consultazione del FSE indicate dall’assistito e sono effettivamente coinvolti nel processo di cura.

Le regioni e province autonome e il Ministero della Salute sono titolari dei ‘trattamenti per finalità di ricerca’ (art.12 lett. b, d.l. n.179/2012) e dei ‘trattamenti per finalità di governo’ (art.12, lett. c) d.l. n.179/2012).

Per queste finalità il trattamento dei dati presenti nel FSE è consentito ‘purché privati dei dati identificativi diretti dell’assistito e nel rispetto del principio di indispensabilità, necessità, pertinenza e non eccedenza in relazione alle suddette fina lità’ e dei ‘dati personali’ ivi elencati (artt. 15 -20 del DPCM 29 settembre 2015, n.178 ).

5.1.- Così ricostruito il quadro normativo, le censure appaiono fondate.

5.2.- Innanzi tutto, va rimarcato che la liceità del trattamento dei dati del FSE si fonda su un duplice consenso, specifico, libero ed informato da parte dell’assistito: il primo è costituito dal consenso all’ ‘alimentazione del FSE con i dati’; il secondo è costituito dal consenso alla ‘consultazione dei dati e dei documenti (in chiaro) contenuti nel FSE’ per le finalità di prevenzione, diagnosi, cura e riabilitazione (lett. a).

I titolari del trattamento per le finalità di prevenzione, diagnosi, cura e riabilitazione (che richiede il secondo consenso) sono i soggetti del Servizio sanitario nazionale e dei servizi socio-sanitari regionali e gli esercenti le professioni sanitarie che prendono in cura l’assistito secondo le modalità di accesso da parte di ciascuno dei

predetti soggetti e da parte degli esercenti le professioni sanitarie secondo le modalità consentite; le informazioni da trattare sono esclusivamente quelle pertinenti al processo di cura in atto dell’assistito; per la finalità di cura si possono prevedere anche servizi di elaborazione di dati, relativi a percorsi diagnosticiterapeutici, per supportare i processi di prevenzione, diagnosi e cura, ma ‘limitatamente all’assistito preso in cura’ .

Non è previsto alcun trattamento dei dati in chiaro che esorbiti dalla posizione e dall’interesse terapeutico del singolo assistito a cui si riferisce il FSE.

5.3.- Ne consegue che esattamente il Tribunale ha affermato che l’ASUFC è titolare del trattamento dei dati personali degli assistiti confluiti nei FSE individuali, sulla base del duplice consenso, anche se non si possono condividere le conclusioni del Tribunale sulla non imputabilità della condotta all’ASUFC, per le ragioni che verranno esposte più avanti (v. 5.5.).

5.4.- Non risulta, invece, conforme alla disciplina esaminata la ricostruzione compiuta dal Tribunale come ‘trattamento secondario’, «non incompatibile con le finalità originarie per le quali le medesime informazioni erano state raccolte» del trattamento di cui si discute, consistito nella elaborazione di elenchi di pazienti rientranti in particolari categorie vulnerabili mediante un meccanismo di cd. ‘stratificazione’ sulla base dell’esame di dati rivenienti da plurimi FSE, perché – secondo il Tribunale – « In definitiva, l’attività compiuta da RAGIONE_SOCIALE, su espresso mandato regionale, è consistita quindi in una mera rielaborazione di dati già raccolti e a disposizione anche dei medici di base, compiuta con l’obiettivo precipuo di agevolare i medici di medicina generale del territorio nell’individuazione dei pazienti in condizioni di complessità e comorbilità, al fine di consentire loro una più tempestiva ed efficiente gestione, in termini di prevenzione, pianificazione e programmazione, della vaccinazione nel contesto pandemico.» (fol.5).
Invero, l’art.5, lett. b), seconda parte, del regolamento, che prevede «un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);», al quale fa riferimento il giudice del merito, non è applicabile nel caso in esame.

Il presente caso non è sussumibile nella fattispecie disciplinata dall’art.5 di cui sopra, sia perché il consenso richiesto nel caso specifico, per legge, è circoscritto ad uno specifico trattamento, e cioè la ‘consultazione’, sia perché le finalità di ricerca e di governo sono espressamente ed autonomamente disciplinate e prevedono l’uso di dati anonimizzati.

Va premesso che la finalità perseguita, pur ove meritevole di apprezzamento, non esonera dal rispetto della normativa in materia di tutela dei dati personali, assistita da un elevato grado di cautela e rigore in relazione ai dati afferenti alla salute.

Nel caso del FSE, per le finalità di cura, il consenso è richiesto in relazione ad uno specifico trattamento dei dati personali, costituito dalla ‘consultazione dei dati e dei documenti’ (art.12 del d.l. n.179/2012 e art.7, comma 2, del DPCM 29 settembre 2015, n.178) e dai ‘servizi di elaborazione di dati’, relativi a percorsi diagnosticiterapeutici, per supportare i processi di prevenzione, diagnosi e cura, ma ‘limitatamente all’assistito preso in cura’ (art.11, comma2, del DPCM 29 settembre 2015, n.178).
Il trattamento dei dati contenuti nel FSE per finalità di cura è, quindi, puntualmente circoscritto ai dati direttamente collegati all’assistito preso in cura e non prevede alcuna rielaborazione generale dai dati appartenenti ad una pluralità di assistiti volta alla realizzazione di un documento di sintesi in funzione di programmazione sanitaria; per altro verso, le diverse finalità previste dalla lett. b) e c) dell’art.12, comma 2, del d.l. n.179/2012

di ricerca e di governo, sono anch’esse espressamente disciplinate e vanno perseguite ‘senza l’utilizzo dei dati identificativi degli assistiti’.

Ha, quindi, errato il Tribunale a ritenere che il trattamento dei dati personali ed identificativi in questione integrasse un trattamento cd. ‘secondario’ e potesse esorbitare dai limiti del trattamento espressamente consentito e, addirittura, attuarsi oltre l’ambito del FSE individuale, mediante l’incrocio e la rielaborazione di dati propri di una pluralità di assistiti con l’utilizzo di un algoritmo di modo da dar luogo ad una c.d. “stratificazione statistica” degli assistiti in condizione di complessità e comorbilità da segnalare ai Medici di Medicina Generale (MMG).
5.5.- La decisione impugnata risulta errata e va cassata anche laddove ha escluso l’imputabilità delle condotte all’ASUFC sul rilievo che il trattamento in questione era stato deliberato dalla Giunta Reginale che ne aveva definito tutte le modalità di esecuzione e che i pazienti avevano già espresso il consenso alla consultazione dei loro dati .

Non risulta decisivo il richiamo all’art. 2-ter del regolamento n. 2016/679/UE (Base giuridica per il trattamento di dati personali effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri) perché l’estensione normativa della base giuridica anche ad un atto amministrativo generale è avvenuta a seguito della modifica introdotta dal d.l. n.139/2021 e non trova applicazione retroattiva in relazione all’attività posta in essere antecedentemente, a seguito della deliberazione della Giunta risalente al 2020.
Inoltre, per il trattamento di categorie particolari di dati personali, tra cui rientrano i dati relativi alla salute, trova applicazione l’art.2 – sexies del regolamento, che concerne il trattamento di categorie particolari di dati personali, trattamento ‘necessario’ per motivi di interesse pubblico rilevante e, nel caso in

esame, non è stato accertato che il trattamento sia stato disposto perché ‘necessario’, per le ragioni di seguito illustrate (v. 5.6.).

L’ASUFC, quale titolare del trattamento aveva pertanto il dovere di esercitare tutte le sue prerogative a tutela dell’utilizzo dei dati custoditi dei FSE e non ricorre alcuna causa di esenzione da responsabilità da parte del titolare del trattamento.

5.6.- Quanto al carattere ‘necessario’ o meno del trattamento in questione, va osservato che il Tribunale, dopo avere richiamato il considerando 54 e l’art.9 del regolamento, nel contesto dello stato di emergenza pandemica deliberata dal Consiglio dei Ministri in data 31 gennaio 2020 e poi prorogato fino al 31 marzo 2022, dell’Ordinanza del Capo del Dipartimento della Protezione Civile (OCDPC) n.630 del 3 febbraio 2020, dell’art.17 bis del d.l. n.18/2020 e dell’art.1 del d.l. n.34/2020, sembra dedurre che il trattamento in questione fosse da qualificare come ‘necessario’, tanto da poter prescindere dal ‘consenso’ dell’assistito, sulla scorta della circostanza che i decreti erano stati espressamente richiamati nel Preambolo al ‘ Verbale di Intesa tra la Regione FVG e le OO.SS. dei MMG per la disciplina dei rapporti biennio 2020-2021 e delle attività connesse all’emergenza epidemiologica da Covid-19 ‘ e costituivano il fondamento normativo, di rango primario, del trattamento dei dati sanitari prescritti dalla delibera della Giunta regionale n. 1737/2020, nell’ambito delle competenze legislative e regolamentari attribuite alla Regione stessa.
Tale conclusione non può essere condivisa.

L’emergenza pandemica e il richiamo della normativa adottata in tale circostanza nel Preambolo della delibera di Giunta non è sufficiente a qualificare il trattamento di ‘stratificazione statica’ come trattamento ‘necessario’, in assenza della puntuale disamina della esplicazione in concreto nella delibera di Giunta degli specifici presupposti del ‘trattamento necessario’, come richiesti dagli artt. 1 e 17 bis del d.l. n.18/2020, e dalle altre disposizioni emergenziali,

sia in termini di competenza al trattamento, sia in termini di concreto rispetto dell’art.9, par.2, lett. g), h) e i) e dell’art.10 del regolamento n. 2016/679/UE, sia in termini di apprezzamento dell’effettiva adozione o meno delle misure appropriate a tutela dei diritti e delle libertà degli interessati (art.17 bis, comma 2, d.l. 18/2020).

5.7.Non risulta pertinente al presente caso il richiamo contenuto in sentenza alla disciplina del segreto professionale cui sono soggetti i medici ed all’ipotesi derogatoria dell’obbligo di preventiva informazione prevista dall’art.14, par. 5, lett. d) del regolamento n. 2016/679/UE ed anche sul punto la decisione risulta errata: ciò che viene in esame nell’ordinanza ingiunzione è, infatti, la condotta dell’ASUFC e non quella dei medici di riferimento di ciascun paziente, soggetti al segreto professionale.
5.8.Infine, va accolta anche la censura riguardante la statuizione di insussistenza della violazione dell’art.35 del regolamento n. 2016/679/UE, relativa alla contestazione di omessa valutazione dell’impatto del trattamento dei dati personali.

Ai sensi dell’art.35 del Regolamento n. 2016/679/UE «1. Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali…» ed inoltre «3. La valutazione d’impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti. … b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10» . La valutazione di impatto, dunque, va effettuata dal titolare del trattamento, prima dell’inizio del trattamento ed è proprio il titolare a dover decidere – alla luce dei
criteri indicati dall’art.35 del regolamento – se procedere o meno all’incombente.

A differenza di quanto assume il Tribunale – la novità delle tecnologie utilizzate non va valutata in astratto, ma in relazione alle specifiche tecniche dello strumento utilizzato, in quanto, altrimenti, il termine ‘algoritmo’ risulterebbe un mero nomen tendenzialmente neutro.

Inoltre, quando ricorre un trattamento con caratteristiche riconducibili alla previsione di cui all’art.35 del Regolamento, è il titolare del trattamento – su cui grava l’onere preventivo di procedere all’analisi dei rischi – a dover dimostrare, a fronte della contestazione del Garante, la corretta implementazione delle norme e delle prassi in materia di protezione dei dati personali e non già il Garante, come sembra ritenere il Tribunale laddove fa carico al Garante di non avere allegato, né chiesto di dimostrare quale fosse il rischio elevato per i diritti e le libertà delle persone fisiche.
6.- In conclusione, il ricorso va accolto; la sentenza impugnata va cassata con rinvio della causa, anche per la statuizione sulle spese del presente giudizio, al Tribunale di Udine in persona di diverso magistrato.

P.Q.M.

Accoglie il ricorso e cassa la sentenza impugnata con rinvio della causa al Tribunale di Udine, in persona di diverso magistrato, cui demanda di provvedere anche sulle spese del giudizio di legittimità.

Così deciso in Roma, nella Camera di Consiglio della Prima

La selezione delle sentenze e la raccolta delle massime di giurisprudenza è a cura di Carmine Paul Alexander TEDESCO, Avvocato a Milano, Pesaro e Benevento.

Desideri approfondire l'argomento ed avere una consulenza legale?

Prenota un appuntamento. La consultazione può avvenire in studio a Milano, Pesaro, Benevento, oppure in videoconferenza / conference call e si svolge in tre fasi.

Prima dell'appuntamento: analisi del caso prospettato. Si tratta della fase più delicata, perché dalla esatta comprensione del caso sottoposto dipendono il corretto inquadramento giuridico dello stesso, la ricerca del materiale e la soluzione finale.

Durante l’appuntamento: disponibilità all’ascolto e capacità a tenere distinti i dati essenziali del caso dalle componenti psicologiche ed emozionali.

Al termine dell’appuntamento: ti verranno forniti gli elementi di valutazione necessari e i suggerimenti opportuni al fine di porre in essere azioni consapevoli a seguito di un apprezzamento riflessivo di rischi e vantaggi. Il contenuto della prestazione di consulenza stragiudiziale comprende, difatti, il preciso dovere di informare compiutamente il cliente di ogni rischio di causa. A detto obbligo di informazione, si accompagnano specifici doveri di dissuasione e di sollecitazione.

Il costo della consulenza legale è di € 150,00.