Premessa
La Suprema Corte, con la sentenza in commento, ribadisce alcuni importanti principi in materia di trattamento dei dati personali, anche di natura sensibile, effettuato nell’ambito di un procedimento giudiziario da parte del consulente tecnico di ufficio.
Volume consigliato
La tutela della privacy in ambito sanitario
L’opera mira a fornire agli operatori del settore sanitario, pubblico e privato, gli strumenti per comprendere in modo chiaro e semplice la copiosa normativa relativa al trattamento dei dati sanitari, in modo che gli stessi possano adempiere con tranquillità agli obblighi su di loro gravanti, volti alla cura e alla protezione dei dati personali dei loro assistiti. In particolare, l’Autore, dopo aver illustrato le caratteristiche principali dei dati sanitari, necessarie per poter individuare quali informazioni rientrano in detta categoria, si dedica all’esame di tutte le disposizioni che incidono sul loro trattamento: dal codice privacy fino al GDPR, passando per le linee guida adottate dal Garante nel corso degli anni in tema di dossier sanitario, siti web dedicati alla salute, referti on-line, indagini di customer satisfaction nonché per la normativa in tema di fascicolo sanitario elettronico. Il trattamento dei dati in ambito sanitario, in considerazione della delicatezza delle informazioni che riguardano lo stato di salute degli interessati, è sempre stato estremamente pericoloso. L’opera si rende ancor più utile oggi, in un mondo in cui anche nell’ambito sanitario i dati personali assumono un’importanza fondamentale e vengono trattati attraverso diversi strumenti tecnologici ed elettronici, rientrando la protezione di tali dati tra i principali adempimenti che i professionisti e le strutture sanitarie debbono curare per poter fornire le proprie prestazioni senza preoccupazioni di incorrere in responsabilità.Pier Paolo Muià Si è laureato in Giurisprudenza presso l’Università degli Studi di Firenze. Esercita la professione di avvocato tra Firenze, Prato e Pistoia, occupandosi in particolare di responsabilità medica, diritto di internet, privacy e IP. È autore di numerose pubblicazioni sulle principali riviste giuridiche nazionali e collabora stabilmente con il portale giuridico Diritto.it. È stato relatore in diversi convegni, anche per ordini professionali medici.
Pier Paolo Muià | 2018
20.00 € 19.00 €
La vicenda
Nel corso di un giudizio di primo grado volto all’accertamento dello status di figlio naturale dell’attore, veniva disposta dal giudice una consulenza tecnica di ufficio che, tramite l’utilizzo di dati personali sensibili appartenenti al presunto padre (nello specifico si trattava di campioni di sostanze biologiche da cui erano stati ricavati dati genetici), nel frattempo deceduto, attestava una compatibilità genetica pari al 99,99%, sulla cui scorta veniva emessa la sentenza dichiarativa di paternità.
Nello specifico, il CTU acquisiva i suddetti dati tramite una struttura ospedaliera presso la quale, qualche tempo prima, era stato ricoverato il presunto padre dell’attore.
Tale circostanza si poneva alla base di uno dei motivi di impugnazione della sentenza di primo grado, in quanto il ricorrente eccepiva, tra l’altro, che la struttura ospedaliera, ai sensi del D.Lgs. n. 196/03, non avrebbe potuto cedere dati sensibili di un paziente al CTU, configurandosi quindi una cessione illecita.
Secondo la tesi dell’appellante, la struttura ospedaliera, una volta dimesso il paziente e cessato il trattamento dei dati necessari alle cure, avrebbe dovuto procedere alla loro distruzione.
Conseguentemente, non sarebbe stato possibile utilizzare i suddetti dati all’interno del procedimento giudiziario, in quanto ai sensi dell’art. 191 c.p.p. “[l]e prove acquisite in violazione dei divieti stabiliti dalla legge non possono essere utilizzate”.
La Corte di Appello, tuttavia, conferma la legittimità delle operazioni peritali, sulla base del fatto che non vi sarebbe nell’ordinamento “una espressa previsione normativa che vieti l’impiego nell’ambito processuale di raccolta di materiale in modo illecito”.
Sul punto, il ricorrente adisce la Corte di Cassazione insistendo per l’illegittimità della consulenza tecnica d’ufficio, stante l’inutilizzabilità dei dati personali posti a fondamento dei risultati peritali.
La decisione della Corte di Cassazione
La Suprema Corte innanzitutto precisa che nel processo civile non è applicabile l’art. 191 c.p.p., che come detto vieta l’utilizzo di mezzi di prova acquisiti in modo illecito, in quanto tale norma è stata specificamente prevista dal legislatore per il processo penale.
Infatti, il particolare bene giuridico in gioco nel procedimento penale, ovvero lo status libertatis, impone l’adozione di una serie di disposizioni che garantiscano al massimo livello il diritto di difesa dell’imputato, anche con riferimento alla raccolta e all’utilizzo dei mezzi di prova.
Sotto tale visuale prospettica si giustificano, oltre al citato art. 191 c.p.p., norme quali l’art. 197-bis, comma 5, c.p.p., che prevede il divieto di utilizzabilità delle dichiarazioni rese da persone imputate in un procedimento connesso che assumono la veste di testimone, l’art. 203 c.p.p., che prevede l’inutilizzabilità delle dichiarazioni rese dagli informatori della polizia giudiziaria che non assumono la veste di testimoni, l’art. 240 c.p.p., che prevede il divieto di utilizzo dei documenti anonimi o di dati derivanti da intercettazioni illegali, e gli artt. 270, 271 e 350 c.p.p., che sanciscono il divieto di utilizzare intercettazioni al di fuori dei casi consentiti dalla legge o sommarie informazioni in assenza di determinate garanzie procedimentali.
Invece nel processo civile, spiega la Cassazione, non sono previsti i medesimi limiti applicabili nel processo penale, in quanto oggetto del contendere sono normalmente diritti di natura privatistica, che trovano la loro fonte in rapporti iure privatorum. Questa differenza rispetto alla materia penale fa sì che nel processo civile non sussistano ostacoli all’ammissibilità di mezzi di prova “atipici”, fatta eccezione di quelli che producono ex se lesione di un diritto fondamentale della persona.
La Cassazione ricorda che tanto l’art. 4, comma 1, lett. a) del D.Lgs. n. 196/03, nel testo applicabile ratione temporis alla fattispecie oggetto del giudizio[1], quanto il vigente art. 4, par. 1, n. 2 del Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 (c.d. GDPR), individuano una serie di operazioni costituenti “trattamenti” di dati personali che, se effettuati in violazione delle prescrizioni indicate dalla normativa in materia privacy, danno vita ad un’illecita acquisizione di dati oggetto del “diritto assoluto alla protezione dei dati personali”, che assurge a diritto fondamentale della persona, appartenente al novero dei “diritti personalissimi”.
Da ciò ne consegue che la raccolta dei dati personali in violazione delle norme in materia di privacy comporta l’illiceità del trattamento e l’inutilizzabilità dei dati medesimi[2].
Una simile condotta, infatti, comporta non tanto l’infrazione di norme processuali relative al quomodo dell’acquisizione della prova, quanto piuttosto la violazione a monte di norme sostanziali, attinenti all’an dei mezzi di prova fatti valere in giudizio.
La Corte sottolinea come il principio che stabilisce l’estraneità dalle fonti di prova di quelle acquisite con modalità lesive delle libertà fondamentali e costituzionalmente garantite, quali ad esempio la libertà personale, il diritto alla segretezza della corrispondenza e l’inviolabilità del domicilio, è stato ripetutamente affermato dalla sua stessa giurisprudenza[3].
Quindi, a differenza di quanto statuito dalla Corte di Appello, è rilevante distinguere “le ipotesi in cui le norme processuali violate, preordinate alle modalità di acquisizione probatoria, abbiano determinato una lesione dei diritti costituzionalmente tutelati del soggetto contro cui la prova si intende far valere, da quelle in cui non si verifica tale lesione, essendo diretta la norma violata a tutelare un bene diverso non riferibile direttamente alla sfera giuridica dell’interessato”[4].
Tanto chiarito, la Suprema Corte rigetta comunque il ricorso, confermando l’esito della decisione del giudice di secondo grado, non ravvisando l’esistenza di alcuna violazione in concreto di norme in materia di protezione dei dati personali.
Infatti, il trattamento dei dati effettuato nel caso in esame dal CTU è sussumibile all’interno della fattispecie di cui all’art. 47 del D.Lgs. n. 196/03 (applicabile ratione temporis), che implica una prevalenza del trattamento di dati personali effettuato per ragioni di giustizia, per tali intendendosi “i trattamenti di dati personali direttamente correlati alla trattazione giudiziaria di affari e di controversie“, rispetto al jus arcendi dell’interessato.
Prevalenza che trova conferma anche nelle vigenti disposizioni del GDPR, il cui art. 9, paragrafi 1 e 2 lett. f) stabiliscono che è “vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”, salvo che il trattamento non sia “necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali”.
Allo stesso modo, anche diritti normalmente riconosciuti all’interessato, come quello alla cancellazione dei dati, alla limitazione del trattamento o di opposizione al trattamento trovano un limite nelle ipotesi di accertamento, di esercizio o di difesa di un diritto in sede giudiziaria[5].
Ancora, ai sensi dell’art. 23, par. 1, lettere i) e j) del Regolamento UE 2016/679, ciascuno Stato membro può, attraverso la propria legge nazionale, introdurre ulteriori limitazioni ai diritti previsti dalle disposizioni regolamentari (di cui agli articoli da 12 a 22 e 34) a favore dell’interessato, purché costituiscano misure necessarie e proporzionate alla “tutela dell’interessato o dei diritti e delle libertà altrui”, nonché alla “esecuzione delle azioni civili”.
In modo conforme, la Corte di Cassazione a Sezioni Unite, nella sentenza n. 3034 del 8/02/2011, aveva già sancito che l’utilizzo dei dati personali all’interno di un processo non costituisce violazione della disciplina privacy, stante la peculiare rilevanza attribuita al legislatore al diritto di agire e difendersi in giudizio.
Tale rilevanza si traduce nel fatto che, in caso di contrasto tra le norme a tutela della privacy e norme processuali a tutela del diritto di difesa o di azione, sarebbero queste ultime a prevalere in quanto lex specialis, benché antecedenti rispetto alle prime. Inoltre, la titolarità del trattamento in ambito processuale spetterebbe all’autorità giudiziaria.
Ribadita, quindi, l’astratta liceità del trattamento dei dati personali all’interno del processo, la Corte analizza l’eccezione difensiva secondo cui l’utilizzo dei campioni biologici utilizzati all’interno della consulenza tecnica sarebbe comunque illecito, in quanto la struttura ospedaliera che li ha raccolti durante il ricovero dell’accertando padre avrebbe dovuto distruggerli al termine del ricovero, una volta terminato il trattamento dei dati medesimi, ai sensi dell’art. 16 del D.Lgs. n. 196/03[6], e non, come invece è avvenuto, cederli al CTU.
Ebbene, rileva la Corte che la stessa norma invocata dal ricorrente, al comma 1, lettere b) e c), prevedeva la possibilità di cessione dei dati ad altro titolare per un trattamento conforme allo scopo per cui è stato raccolto, od anche conservato o ceduto ad altro titolare “per scopi storici, statistici o scientifici, in conformità alla legge, ai regolamenti alla normativa comunitaria ed ai codici di deontologia […] “.
Inoltre, la suddetta disposizione deve essere letta in coordinamento con le altre norme del medesimo decreto all’epoca dei fatti vigenti, tra le quali l’art. 22, comma 5, secondo cui i “dati che, anche a seguito delle verifiche, risultano eccedenti o non pertinenti o non indispensabili non possono essere utilizzati, salvo che per l’eventuale conservazione, a norma di legge, dell’atto o del documento che li contiene”.
Di conseguenza, spiega la Cassazione, anche la “conservazione” del dato personale (ovvero, nel caso in esame, del vetrino contenente il campione biologico) può trovare giustificazione rispetto alle finalità istituzionali dell’ente pubblico, “laddove queste prevedano, appunto, forme obbligatorie ex lege di archiviazione dei dati in funzione del perseguimento di interessi pubblici prevalenti, quali – ad esempio – l’impiego giudiziario del campione biologico, ovvero qualora la conservazione venga effettuata per fini scientifici o statistici”.
A fronte delle suddette finalità, non sarebbe configurabile un automatico obbligo di distruzione del dato, in particolare tenendo conto che nella fattispecie al vaglio della Corte esiste uno specifico obbligo per le aziende ospedaliere di conservazione dei referti e delle cartelle cliniche, nonché della conservazione, per un arco temporale di dieci anni, dei campioni biologici di pazienti deceduti[7].
I medesimi principi sopra illustrati trovano conferma anche nel vigente Regolamento UE 2016/679, che mentre da un lato attribuisce all’interessato il diritto di ottenere dal titolare del trattamento la cancellazione dei dati che lo riguardano, senza ingiustificato ritardo[8], dall’altro limita tale diritto nella misura in cui il trattamento è necessario “per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria”[9].
Lo stesso obbligo del titolare del trattamento di procedere alla cancellazione dei dati non necessari trova una limitazione nell’ipotesi in cui l’interessato richieda la prosecuzione del trattamento, nella forma della conservazione, quando i dati risultino indispensabili all’interessato medesimo “per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria“[10].
Ne consegue che, nel caso di specie, la struttura ospedaliera non era tenuta a distruggere i dati biologici raccolti durante il ricovero del presunto padre, al termine delle attività di cura.
Al contempo, sottolinea la Corte, la cessione dei suddetti dati al CTU costituisce atto di adempimento delle prescrizioni contenute nel provvedimento giudiziario di conferimento dell’incarico del consulente medesimo, il quale, nella sua veste di ausiliario del giudice, è autorizzato anche ad acquisire “informazioni” presso terzi ex art. 194 c.p.c.
La cessione dei dati, da parte della struttura ospedaliera al CTU è pertanto legittima.
Considerazioni finali
La soluzione della Suprema Corte, a parere di chi scrive, appare condivisibile, in quanto fa applicazione di regole e di eccezioni previste dalla stessa normativa in materia di protezione dei dati.
I limiti al trattamento dei dati previsti dalla normativa privacy, infatti devono sempre dialogare con l’eventuale diritto contrapposto al trattamento stesso.
Una delle peculiarità del diritto alla protezione dei dati è rappresentata proprio dalla sua attitudine al bilanciamento con gli altri diritti riconosciuti dall’ordinamento, in un costante e continuo rapporto di tensione che può allentarsi o acuirsi in base alle fattispecie concrete e al rango dei diritti coinvolti.
Tale “conflitto”, però, non deve essere inteso come un ostacolo all’esercizio di diritti, ma piuttosto come uno strumento per il potenziamento delle tutele riconosciute dall’ordinamento. Infatti, il conflitto non si risolve necessariamente con la prevalenza di un interesse a scapito di un altro, ma può comportare la coesistenza di tutti gli interessi in gioco, unitamente all’adozione di misure volte a limitare l’impatto sui dati personali coinvolti (si pensi ai principi di minimizzazione, di proporzionalità, di pertinenza dei dati, etc.).
Un conflitto, quindi, inevitabile ma indispensabile, come quello raccontato da Hemingway ne “Il vecchio e il mare”, tra Santiago e il grande marlin.
Volume consigliato
La tutela della privacy in ambito sanitario
L’opera mira a fornire agli operatori del settore sanitario, pubblico e privato, gli strumenti per comprendere in modo chiaro e semplice la copiosa normativa relativa al trattamento dei dati sanitari, in modo che gli stessi possano adempiere con tranquillità agli obblighi su di loro gravanti, volti alla cura e alla protezione dei dati personali dei loro assistiti. In particolare, l’Autore, dopo aver illustrato le caratteristiche principali dei dati sanitari, necessarie per poter individuare quali informazioni rientrano in detta categoria, si dedica all’esame di tutte le disposizioni che incidono sul loro trattamento: dal codice privacy fino al GDPR, passando per le linee guida adottate dal Garante nel corso degli anni in tema di dossier sanitario, siti web dedicati alla salute, referti on-line, indagini di customer satisfaction nonché per la normativa in tema di fascicolo sanitario elettronico. Il trattamento dei dati in ambito sanitario, in considerazione della delicatezza delle informazioni che riguardano lo stato di salute degli interessati, è sempre stato estremamente pericoloso. L’opera si rende ancor più utile oggi, in un mondo in cui anche nell’ambito sanitario i dati personali assumono un’importanza fondamentale e vengono trattati attraverso diversi strumenti tecnologici ed elettronici, rientrando la protezione di tali dati tra i principali adempimenti che i professionisti e le strutture sanitarie debbono curare per poter fornire le proprie prestazioni senza preoccupazioni di incorrere in responsabilità.Pier Paolo Muià Si è laureato in Giurisprudenza presso l’Università degli Studi di Firenze. Esercita la professione di avvocato tra Firenze, Prato e Pistoia, occupandosi in particolare di responsabilità medica, diritto di internet, privacy e IP. È autore di numerose pubblicazioni sulle principali riviste giuridiche nazionali e collabora stabilmente con il portale giuridico Diritto.it. È stato relatore in diversi convegni, anche per ordini professionali medici.
Pier Paolo Muià | 2018
20.00 € 19.00 €
Note
[1] Successivamente abrogato dal D.Lgs. 10 agosto 2018, n. 101.
[2] Il divieto di utilizzabilità era espressamente previsto dall’art. 11, comma 2, del D.Lgs. n. 196/03 ed è attualmente desumibile dal contenuto degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento UE 2016/679.
[3] cfr. Corte Cass. Sez. 5, Sentenza n. 20253 del 19/10/2005, con riferimento, nel giudizio tributario, alle prove acquisite nel corso di una perquisizione domiciliare illegittima, in quanto eseguita in assenza di preventiva autorizzazione del PM; Corte Cass. Sez. U, Sentenza n. 3271 del 12/02/2013; id. Sez. 1, Sentenza n. 1948 del 02/02/2016; id. Sez. L, Sentenza n. 10017 del 16/05/2016; id. Sez. U -, Sentenza n. 14552 del 12/06/2017, che affermano tutte la utilizzabilità, nel procedimento disciplinare, di intercettazioni telefoniche ed ambientali, disposte in un diverso procedimento penale, “purché siano state legittimamente disposte nel rispetto delle norme costituzionali e procedimentali, non ostandovi i limiti previsti dall’art. 270 c.p.p., riferibili al solo procedimento penale“; Corte Cass. Sez. 5, Sentenza n. 2916 del 07/02/2013 che ritiene legittima la utilizzabilità nel giudizio tributario di sommarie informazioni testimoniali ed intercettazioni telefoniche, acquisite nel corso di indagini penali, qualora le modalità di formazione della prova non abbiano determinato lesioni degli artt. 15 e 24 Cost.
[4] cfr. Corte Cass. Sez. U., Sentenza n. 3727 del 25/02/2016; id. Sez. 2 -, Sentenza n. 28905 del 12/11/2018, con riferimento all’utilizzo probatorio di atti coperti dal segreto istruttorio ed acquisiti in violazione dei limiti imposti dal segreto, in quanto dettati dall’art. 329 c.p.p., non a tutela del “diritto alla riservatezza dei soggetti coinvolti nelle indagini penali, ma delle indagini stesse.
[5] Si vedano l’art. 17, par. 3, lett. e), l’art. 18, par. 2, e l’art. 21, par. 1, del Regolamento UE 2016/679.
[6] La disposizione, ora abrogata, prevedeva al comma 1 che: ” In caso di cessazione, per qualsiasi causa, di un trattamento i dati sono: a) distrutti; […]”.
[7] cfr. L. 30 marzo 2001, n. 130, art. 3, comma 1, lett. h), che, fissando i principi direttivi da attuare nella modifica del regolamento di polizia mortuaria, approvato con D.P.R. 10 settembre 1990, n. 285, prescrive l’”obbligo per il medico necroscopo di raccogliere dal cadavere, e conservare per un periodo minimo di dieci anni, campioni di liquidi biologici ed annessi cutanei, a prescindere dalla pratica funeraria prescelta, per eventuali indagini per causa di giustizia“.
[8] Art. 17, par. 1, Regolamento UE 2016/679.
[9] Art. 17, par. 2, lett. e), Regolamento UE 2016/679.
[10] Art. 18, par. 1, lett. c), Regolamento UE 2016/679.
Scrivi un commento
Accedi per poter inserire un commento