Vuoi ricevere i nostri aggiornamenti?
Contagi in famiglia, deroga ai paletti della privacy
Per gentile concessione dell'editore pubblichiamo integralmente l'articolo apparso su Il Sole 24ore- Sanità
La recentissima sentenza della Cassazione civile 16 maggio 2017, n. 11994, relativa alla responsabilità di una struttura sanitaria nel trattamento dei dati di salute di una paziente, richiama l’attenzione su una materia (quella della privacy) da sempre oggetto di scarsa attenzione da parte degli operatori sanitari. Un tema su cui bisogna invece puntare i fari e maturare una crescita di consapevolezza, in vista della scadenza del 25 maggio 2018, termine entro cui sarà implementato il nuovo Regolamento Ue 679/2016.
I fatti. Una signora sottoposta a continue trasfusioni presso l’ospedale di Crotone, contrae l’epatite C, per colpa di una trasmissione infetta. I medici comunicano l’infezione alla paziente, ma non al marito della stessa.
Dopo qualche tempo al marito viene diagnostica la stessa malattia contratta a suo tempo dalla consorte. L’uomo chiede allora il risarcimento danni all’ospedale, sostenendo che, se gli avessero comunicato la patologia delle moglie, avrebbe potuto curarsi in maniera più tempestiva. Il marito sostiene che, a tutela della sua salute, i sanitari dell’ospedale avrebbero dovuto comunicargli la patologia delle moglie, anche in ragione del fatto che la donna aveva rilasciato un consenso firmato alla comunicazione dei suoi dati sanitari al marito e alle figlie.
La tesi difensiva dell’ospedale attiene alla circostanza che la moglie avrebbe dovuto comunicare al marito la sua patologia, mentre non sussisteva in capo ai sanitari alcun obbligo di comunicazione nei confronti del congiunto, essendo la paziente in grado di intendere e di volere (seppure affetta da disturbi bipolari).
La Cassazione conferma la decisione della Corte di appello di Catanzaro e condanna l’ospedale al risarcimento dei danni a favore degli eredi (essendo nel frattempo morto anche il marito), ritenendo che i sanitari avrebbero dovuto dare comunicazione allo stesso della patologia delle moglie.
Limiti privacy? La decisione della Cassazione sembra andare contro l’atteggiamento comune che porta a «non comunicare nulla a terzi», ma trova il suo fondamento giuridico nell’articolo 23 della legge privacy 675/1996 (vigente all’epoca dei fatti, ma il cui testo è ripreso dall’attuale codice Privacy, D.lgs 196/2003, articolo 76) che così stabilisce: «Gli esercenti le professioni sanitarie e gli organismi sanitari pubblici possono, anche senza l’autorizzazione del Garante, trattare i dati personali idonei a rivelare lo stato di salute, limitatamente ai dati e alle operazioni indispensabili per il perseguimento di finalità di tutela dell’incolumità fisica e della salute dell’interessato. Se le medesime finalità riguardano un terzo o la collettività, in mancanza del consenso dell’interessato, il trattamento può avvenire previa autorizzazione del Garante. In sostanza secondo la Cassazione se sussistono finalità di salute di terzi (nel caso de quo il marito), i dati possono essere trattati previa autorizzazione del Garante; nel caso specifico poi, la Cassazione ha considerato che l’autorizzazione del Garante non era necessaria per la comunicazione al marito, in quanto esisteva un consenso della moglie a comunicare i suoi dati di salute al marito stesso e ai figli».
Interessi da pesare. La sentenza - peraltro molto complessa - alza il livello di attenzione su un tema: il bilanciamento di interessi nel trattamento dei dati. Cioè non è sempre vero l’assunto comune che «è sempre meglio non comunicare nulla», ma a volte invece (e su questo occorre sviluppare maggiore cultura e consapevolezza della materia) esiste un principio cardine che è la valutazione degli interessi in gioco e la scelta più idonea a salvaguardare tutte le parti in campo.
La decisione della Cassazione sarebbe stata la medesima anche se si fosse già applicato il nuovo regolamento europeo 569/2016 (in vigore dal prossimo annoi, come detto) che all’articolo 6, lettera d) o lettera f), stabilisce: «Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni: (...)d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato di un’altra persona fisica;f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore».