Corte di Cassazione, sezione II civile, sentenza 9 gennaio 2017, n. 188

12

Legittima la sanzione comminata alla clinica privata che non comunica al Garante per la protezione dei dati personali i dati sensibili dei pazienti relativi a malattie mentali, infettive e diffusive inseriti nella propria banca dati

Suprema Corte di Cassazione

sezione II civile

sentenza 9 gennaio 2017, n. 188

REPUBBLICA ITALIANA

IN NOME DEL POPOLO ITALIANO

LA CORTE SUPREMA DI CASSAZIONE

SEZIONE SECONDA CIVILE

Composta dagli Ill.mi Sigg.ri Magistrati:

Dott. PETITTI Stefano – Presidente

Dott. ORILIA Lorenzo – Consigliere

Dott. ORICCHIO Antonio – rel. Consigliere

Dott. COSENTINO Antonello – Consigliere

Dott. ABETE Luigi – Consigliere

ha pronunciato la seguente:

SENTENZA

sul ricorso 12395/2013 proposto da:

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI, (OMISSIS), elettivamente domiciliato in ROMA, VIA DEI PORTOGHESI 12, presso l’AVVOCATURA GENERALE DELLO STATO, che lo rappresenta e difende;

– ricorrente –

contro

(OMISSIS) SRL, in persona del legale rappresentante pro tempore, elettivamente domiciliato in (OMISSIS), presso lo studio dell’avvocato (OMISSIS), che lo rappresenta e difende unitamente agli avvocati (OMISSIS);

– controricorrente –

avverso la sentenza n. 214/2012 del TRIBUNALE DI RAVENNA sezione distaccata di LUGO, depositata il 08/11/2012;

udita la relazione della causa svolta nella pubblica udienza del 03/03/2016 dal Consigliere Dott. ANTONIO ORICCHIO;

udito l’Avvocato (OMISSIS) Avvocatura dello Stato, difensore del ricorrente che ha chiesto l’accoglimento del ricorso;

udito l’Avvocato (OMISSIS), difensore del resistente che ha chiesto di riportarsi al controricorso;

udito il P.M., in persona del Sostituto Procuratore Generale Dott. CAPASSO Lucio, che ha concluso per il rigetto del ricorso.

CONSIDERATO IN FATTO

La (OMISSIS) S.r.l. (gia’ (OMISSIS) S.r.l.) ricorreva al Tribunale di Ravenna – Sezione Distaccata di Lugo proponendo opposizione, ai sensi del Decreto Legislativo n. 196 del 2003, articolo 152 e Decreto Legislativo n. 150 del 2011, articolo 10, avverso l’ordinanza ingiunzione in data 2 febbraio 2012 del Garante per la protezione dei dati personali, con la quale era stato ingiunto il pagamento della somma di Euro 40 mila a titolo di sanzione amministrativa per omessa notificazione del trattamento di dati sensibili Decreto Legislativo n. 196 del 2003, ex articolo 37, lettera b).

Costituitosi in giudizio il detto Garante chiedeva il rigetto della promossa opposizione.

L’adito Giudice di prime cure, con sentenza n. 214/2012, accoglieva l’opposizione svolta, annullando – per l’effetto – l’ordinanza impugnata.

Per la cassazione della suddetta decisione ricorre il Garante con atto affidato ad un unico motivo.

Resiste con controricorso la societa’ intimata, che ha depositato memoria ai sensi dell’articolo 378 c.p.c..

RITENUTO IN DIRITTO

1.- Con l’unico motivo del ricorso si censura il vizio di “violazione e falsa applicazione del Decreto Legislativo n. 196 del 2003, articolo 37, comma 1, lettera b), in relazione all’articolo 360 c.p.c., comma 1, n. 3.

Viene, nella sostanza contestata la gravata decisione, in particolare con riferimento al suo decisivo profilo motivazionale per cui “l’articolo 37 L. privacy stabilisce obbligo notifica non con generico riferimento al trattamento dei dati a fini di prestazioni di servizi sanitari, bensi’ in modo puntuale” e, quindi, col conseguente effetto che non sarebbero dovute notifiche per trattamenti dati fuori elencazione precisa data dalla legge ovvero, come nell’ipotesi per cui e’ giudizio.

Ovvero, ancora, secondo la prospettazione della impugnata sentenza contestata col motivo del ricorso, allorche’ “la rilevazione dei dati sarebbe attivita’ accessoria a obbligazione sanitaria vera e propria”, con obbligo della notifica solo per rilevazione dati svolta in via principale e per scopi evidentemente scientifici.

Gli assunti di cui alla decisione gravata non possono essere, in quanto erronei, condivisi.

Il motivo in esame appare, al riguardo, fondato.

Fulcro della decisione e’, senza dubbio, la corretta interpretazione del citato articolo 37.

E’ opportuno, per comodita’ di discorso, trascrivere integralmente il testo dell’articolo 37, comma 1, lettera b), del codice della privacy, alla cui stregua vanno notificati al Garante i trattamenti dei “dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositivita’, trapianto di organi e tessuti e monitoraggio della spesa sanitaria”.

La semplice lettura del testo ora riportato rende palese che la corretta interpretazione della norma, giustamente invocata dalla parte ricorrente, ma disattesa dalla impugnata sentenza, giustifica -nella fattispecie – la dovuta giustifica del trattamento dei dati.

In altre parole ed a differenza di quanto sostenuto con la gravata decisione la doverosita’, nell’ipotesi, della dovuta notifica del trattamento dei dati non puo’ ritenersi onere conseguente ad una interpretazione estensiva, ma, al contrario, ad una corretta interpretazione letterale, fondata, come prescritto dall’articolo 12 preleggi, sul significato proprio delle parole e, precisamente, della parola “rilevazione”, ossia atto (e risultato dell’atto) del rilevare.

E’ del tutto arbitraria, insomma, la pretesa di operare una interpretazione restrittiva leggendo la parola “rilevazione”, nel testo sopra trascritto, come “indagine conoscitiva”, quasi che la stessa fosse seguita dall’aggettivo “epidemiologica” o dall’aggettivo “statistica”.

Manifesta riprova di quanto qui si sostiene e’, del resto, la circostanza che nell’elenco delle finalita’ dei trattamenti dei dati idonei a rivelare lo stato di salute e la vita sessuale a cui la norma collega l’obbligo di notifica al Garante e’ inclusa anche la finalita’ delle “indagini epidemiologiche”, come finalita’ diversa – ed autonomamente idonea a far insorgere l’obbligo della notifica al Garante, quali che siano le patologie oggetto delle indagini stesse – rispetto a quella della “rilevazione di malattie mentali, infettive e diffusive, sieropositivita'”.

Puo’ ancora osservarsi che non si rinvengono motivi ostativi a quanto innanzi affermato nelle precisazioni sulle notificazioni in ambito sanitario diffuse dal Garante con documento del 26.4.04, laddove, a commento dell’esonero dall’ obbligo di notificazione disposto con la Delib. Garante 31 marzo 2004, n. 1, in relazione ai trattamenti di dati effettuati da esercenti le professioni sanitarie, si legge: “Per quanto riguarda poi le malattie mentali, infettive e diffusive, il trattamento da notificare e’ solo quello effettuato “a fini di.. rilevazione…” di tali patologie. Questa circostanza ricorre nel caso di insiemi organizzati di informazioni, su tali aspetti – di cui sono spesso gestori strutture, anziche’ persone fisiche – e non anche in caso di episodi occasionali di diagnosi e cura che riguardano un singolo professionista (oppure nei casi in cui, presso un comune, occorre adottare in conformita’ alla legge un provvedimento che dispone un trattamento sanitario obbligatorio)”.

Al riguardo il Collegio rileva che tale testo supporta ulteriormente quanto innanzi affermato e ritenuto.

Da un lato, infatti, la nozione, ivi enunciata, di “insiemi organizzati di informazioni su tali aspetti” ben puo’ essere riferita alle banche dati dei pazienti delle strutture sanitarie in cui confluiscano, con gli altri dati idonei a rivelare lo stato di salute, anche quelli trattati per rilevare la presenza di malattie infettive e diffusive o la sieropositivita’;

d’altro lato, il rilievo testuale che la circostanza della finalizzazione del trattamento alla rilevazione non ricorre “in caso di episodi occasionali di diagnosi e cura che riguardano un singolo professionista” conferma che essa invece ricorre, anche nell’interpretazione della legge seguita dal Garante, nel caso “di insiemi organizzati di informazioni su tali aspetti – di cui sono spesso gestori strutture, anziche’ persone fisiche”; caso in cui rientra quello delle banche dati delle cliniche in cui confluiscano dati trattati per rilevare malattie mentali, infettive e diffusive.

2.- In conclusione, alla stregua di quanto innanzi esposto e ritenuto, l’affermata fondatezza del motivo comporta accoglimento del ricorso con conseguente cassazione dell’impugnata sentenza.

Decidendo nel merito, ai sensi dell’articolo 384 c.p.c., va, quindi, rigettata la proposta opposizione.

3.- Sussistono validi motivi per compensare integralmente le spese, attesa la controvertibilita’ ed il carattere innovativo della questione esaminata.

P.Q.M.

La Corte:

accoglie il ricorso, cassa l’impugnata sentenza e decidendo nel merito, rigetta l’opposizione