HOME

/

DIRITTO

/

PRIVACY 2024

/

TRATTAMENTO DEI DATI SANITARI ON-LINE: OCCORRE LA NOTIFICA AL GARANTE

Trattamento dei dati sanitari on-line: occorre la notifica al Garante

Obbligo di notificazione al Garante in caso di trattamento dei dati personali sanitari

Ascolta la versione audio dell'articolo

Una recente sentenza emessa dalla Corte di Cassazione – Sezione Seconda Civile, 29 luglio 2016, n. 15908 ha puntualizzato in merito alla corretta applicazione dell’art. 37, d.lgs. n. 196/2003 e s.m.i. riguardante l’obbligo di notificazione al Garante in caso di trattamento dei dati personali.

L'articolo continua dopo la pubblicità

Per rimanere sempre aggiornato segui il nostro Dossier Privacy e protezione dei dati personali.

Inoltre ti potrebbe interessare il nostro ebook di recente pubblicazione "Commento breve al Regolamento europeo per la privacy".

1) Il caso di una struttura sanitaria che non ha effettuato la notifica al Garante

A seguito di una ispezione condotta dalla Guardia di Finanza (Nucleo ispettivo Privacy) si era determinata una ordinanza-ingiunzione contro una struttura sanitaria privata, rea di non avere proceduto alla notificazione al Garante, ai sensi di quanto disposto dall’art. 37, c. 1, lett. B).

La struttura in questione aveva proposto ricorso al Tribunale rilevando che tali dati venivano trattati solo in funzione delle prestazioni sanitarie erogate, in assenza di sistematizzazione e/o organizzazione di banche dati. Inoltre, fondava la legittimità della propria condotta richiamando la circolare dell’Associazione italiana ospedalità privata (AIOP) con la quale erano state acquisite informazioni in merito a suddetti obblighi.

Il Tribunale accoglieva il ricorso ritenendo che l’articolo in questione non prevede un obbligo generale di notificazione, ma debba applicarsi solo in relazione a specifiche fattispecie, quali:

“b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria”. (Art. 37, c. 2, lett. B)

Ad avviso del giudice di primo grado il trattamento di dati a fini di prestazione di servizi sanitari non è assoggettato a tale obbligo.
Contro la sentenza del Tribunale, ha prodotto ricorso in Cassazione il Garante per la protezione dei dati personali, rimarcando come la struttura sanitaria privata svolgeva attività di raccolta di dati anche telematici relativi allo stato di salute dei pazienti, con finalità di diagnosi, cura, terapia e per adempimenti di natura amministrativa, oltre che, di legge.

Il Garante ha, altresì, dedotto come l’art. 37 (c. 1-bis. “La notificazione relativa al trattamento dei dati di cui al comma 1 non è dovuta se relativa all'attività dei medici di famiglia e dei pediatri di libera scelta, in quanto tale funzione è tipica del loro rapporto professionale con il Servizio sanitario nazionale”. Comma inserito dall'art. 2-quinquies, comma 1, lett. a), del decreto legge 29 marzo 2004, n. 81, convertito, con modificazioni, dalla legge 26 maggio 2004, n. 138) – a differenza di quanto erroneamente affermato dal Tribunale – ha una portata generica e che, inoltre, la Circolare richiamata dalla resistente prevede che siano sottratti all’obbligo di notifica i trattamenti di dati idonei a rivelare lo stato di salute effettuati da “esercenti le professioni sanitarie” e non da “strutture sanitarie”, che rappresenta la categoria alla quale appartiene la ricorrente.

L’art. 37, ad avviso del ricorrente, prescrive la notifica per il trattamento di dati sanitari a fini di prestazione di servizi sanitari per via telematica, senza che sia necessaria una successiva rielaborazione.

Pertanto, la notificazione al Garante dei dati idonei a rivelare lo stato di salute, trattati a fini di servizi sanitari per via telematica e relativi a banche dati o alla fornitura di beni, rientra fra quelle indicate specificamente nell’art. 37.

Dalla lettura dell’art. 37, secondo il Garante, vanno notificati le prestazioni per via telematica di servizi sanitari relativi ad una banca di dati o alla fornitura di beni, effettuata da una struttura sanitaria, pubblica o privata, consistente, indicativamente, nella raccolta di schede o di cartelle cliniche per ogni paziente, accessibile a diversi soggetti e consultabile in rete telematica oppure on line.

Suddetto obbligo di notificazione non vige, invece, per i trattamenti di dati sanitari effettuati:

1) manualmente mediante archivi cartacei, o
2) eseguiti nell’ambito di servizi di assistenza o consultazione sanitaria per via telefonica, o comunque
3) inseriti in banche dati non collegate a reti telematiche.

La Cassazione ha cassato la sentenza impugnata chiedendo al giudice del rinvio di uniformarsi al seguente principio di diritto:

“Agli effetti del Decreto Legislativo n. 196 del 2003, articolo 37, comma 1, lettera b, va notificato al Garante il trattamento di dati idonei aa rivelare lo stato di salute a fini di prestazione per via telematica di servizi sanitari relativi ad una banca di dati o alla fornitura di beni, effettuata da una struttura sanitaria pubblica o privata, e consistente, indicativamente, nella raccolta di schede o di cartelle cliniche per ogni paziente, accessibile a diversi soggetti e consultabile in rete telematica oppure online”.

2) Riferimenti normativi

Rif. Corte di Cassazione – Sezione Seconda Civile, 29 luglio 2016, n. 15908

Per rimanere sempre aggiornato segui il nostro Dossier gratuito sulla Privacy

La tua opinione ci interessa

Accedi per poter inserire un commento

Sei già utente di FISCOeTASSE.com?
ENTRA

Registrarsi, conviene.

Tanti vantaggi subito accessibili.
1

Download gratuito dei tuoi articoli preferiti in formato pdf

2

Possibilità di scaricare tutti i prodotti gratuiti, modulistica compresa

3

Possibilità di sospendere la pubblicità dagli articoli del portale

4

Iscrizione al network dei professionisti di Fisco e Tasse

5

Ricevi le newsletter con le nostre Rassegne fiscali

I nostri PODCAST

Le novità della settimana in formato audio. Un approfondimento indispensabile per commercialisti e professionisti del fisco

Leggi anche

LA RUBRICA DEL LAVORO · 29/10/2024 Fascicolo informatico d'impresa: pubblicate le linee guida

Le linee guida per la creazione, gestione e accesso al fascicolo informatico d'impresa presso i SUAP . Cos'è, a cosa serve, modalità di accesso

Fascicolo informatico d'impresa: pubblicate le linee guida

Le linee guida per la creazione, gestione e accesso al fascicolo informatico d'impresa presso i SUAP . Cos'è, a cosa serve, modalità di accesso

Controllo mail dipendenti: nuove sanzioni dal Garante

Ancora una sanzione significativa dal Garante per la privacy per utilizzo di un software di controllo e back up delle mail dei dipendenti

Cybersicurezza: Direttiva UE 2022/2557 CER e decreto attuativo

Cos'è la direttiva UE 2022/2557 CER (Critical entities resilience) per la sicurezza fisica e cibernetica dell'Unione europea da attuare entro il 18 ottobre. Il decreto attuativo

L'abbonamento adatto
alla tua professione

L'abbonamento adatto alla tua professione

Fisco e Tasse ti offre una vasta scelta di abbonamenti, pensati per figure professionali diverse, subito accessibili e facili da consultare per ottimizzare i tempi di ricerca ed essere sempre aggiornati.

L'abbonamento adatto alla tua professione

Fisco e Tasse ti offre una vasta scelta di abbonamenti, pensati per figure professionali diverse, subito accessibili e facili da consultare per ottimizzare i tempi di ricerca ed essere sempre aggiornati.

Maggioli Editore

Copyright 2000-2024 FiscoeTasse è un marchio Maggioli SPA - Galleria del Pincio 1, Bologna - P.Iva 02066400405 - Iscritta al R.E.A. di Rimini al n. 219107- Periodico Telematico Tribunale di Rimini numero R.G. 2179/2020 Registro stampa n. 12 - Direttore responsabile: Luigia Lumia.

Pagamenti via: Pagamenti Follow us on:

Follow us on:

Pagamenti via: Pagamenti

Maggioli Editore

Copyright 2000-2021 FiscoeTasse è un marchio Maggioli SPA - Galleria del Pincio 1, Bologna - P.Iva 02066400405 - Iscritta al R.E.A. di Rimini al n. 219107- Periodico Telematico Tribunale di Rimini numero R.G. 2179/2020 Registro stampa n. 12 - Direttore responsabile: Luigia Lumia.