Acquisto struttura sanitaria o cessione ramo d’azienda: cosa succede dei dati dei pazienti?

È tempo di grandi movimenti nell’area della sanità privata. Fondi di investimento stranieri stanno acquistando strutture sanitarie in Italia e anche all’interno del territorio sono in corso diversi accorpamenti, tramite acquisti o fusioni societarie.

Cosa succede in questi casi relativamente ai dati dei pazienti?

Al momento della cessione di una struttura sanitaria, i dati dei pazienti di cui il soggetto cedente era titolare originario passano in capo al soggetto acquirente (che diventa quindi titolare, proprio in quando acquirente).

Dal punto di vista della disciplina privacy, occorre chiedersi se questo passaggio richiede da parte dell’acquirente

• l’obbligo di inviare una nuova informativa ed

• l’obbligo di acquisire una nuovo consenso (trattandosi peraltro di dati sensibili)

In via preliminare si precisa che il nostro ordinamento non contiene alcune disciplina specifica circa il trattamento dei dati nel caso di acquisto o cessione d’azienda o di ramo d’azienda.

Occorrerà quindi svolgere un ragionamento giudico, partendo dai principi generali, dall’analisi dei provvedimenti del Garante Privacy intervenuti sul tema ed altresì dalla recente giurisprudenza in materia.

a) relativamente all’obbligo di rendere una informativa successiva da parte dell’acquirente

Circa l’obbligo in capo all’acquirente (nuovo titolare) di inviare agli interessati (pazienti) una nuova informativa nella quale si comunica il subentro di titolarità, rilevano i contenuti del provvedimento del Garante Privacy n. 664 del 17 dicembre 2015.

In tale provvedimento, relativo alla cessione di ramo d’azienda tra due imprese, il Garante ha così affermato

essendosi verificata una cessione di ramo di azienda, trovano applicazione gli artt. 2558 (successione nei contratti), 2559 (crediti relativi all'azienda ceduta), 2560 (debiti relativi all'azienda ceduta) e 2112 (mantenimento dei diritti dei lavoratori in caso di trasferimento d'azienda) del codice civile. In ragione di tale peculiare disciplina, sul piano sostanziale si determina una successione legale del nuovo imprenditore in tutti i rapporti giuridici e in tutte le posizioni attive e passive facenti capo al cedente (salvo, riguardo ai contratti, i rapporti aventi carattere personale), sicché, subentrando l'acquirente –per legge– nella stessa posizione dell'alienante, il trattamento dei dati personali di dipendenti, fornitori, rivenditori e clienti …….connessi alla gestione del ramo di azienda ceduto, non necessita di alcun consenso, trovando applicazione il presupposto equipollente di cui all'art. 24, comma 1, lett. b) del Codice, che consente di prescindere da esso nel caso in cui il trattamento sia necessario per eseguire obblighi derivanti da un contratto di cui sia parte lo stesso interessato.

Entrando poi nello specifico dell’obbligo di rendere una nuova informativa si afferma che

………, resta comunque doveroso il rispetto dell'obbligo posto dall'art. 13 del Codice che, nell'ipotesi in cui –come quella in questione– i dati personali non siano raccolti direttamente presso l'interessato, impone al titolare del trattamento di rendere l'informativa al predetto "all'atto della registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima comunicazione" (art. 13, comma 4 del Codice).

Pare pertanto che - esclusi i casi in cui rendere una nuova informativa richieda mezzi sproporzionati ( art. 13 comma lett. 5 c) - l’acquirente ( nuovo titolare del trattamento dei dati) sia tenuto ad inviare una nuova informativa a soggetti interessati (i pazienti della struttura acquistata).

Stesse considerazioni pare possa essere svolte per le cessioni che avverranno dopo il 25 maggio 2018, quando sarà pienamente vigente il nuovo Reg. 2016/679.

Il Regolamento infatti, pur non contenendo disciplina specifica per l’ipotesi di “trasferimento" dati a seguito cessione di azienda, prevede espressamente all’art. 14 - in maniera peraltro molto più dettagliata di quanto non fosse nella direttiva 95/46/CEE e nel Codice Privacy - l’obbligo di inviare una informativa successiva nei casi (come questo) in cui i dati non siano stati raccolti presso l’interessato.

b) relativamente all’obbligo di acquisire un nuovo consenso

Molto più delicata la questione dell’acquisizione di un ulteriore consenso degli interessati bea parte dell’acquirente (nuovo titolare) trattandosi altresì di dati sensibili.

Sul punto si è di recente pronunciato il Tribunale di Cagliari con la sentenza 6 giugno 2017 n. 1569 che ha annullato il provvedimento del Garante Privacy n. 389 del 6 ottobre 2016.

La complessa vicenda era relativa all’acquisto da parte di una soggetto inglese di società italiana fallita che trattava dati genetici ai fini di ricerca: in relazione a tale subentro in Garante Privacy era intervenuto con provvedimento n. 389 del 6 ottobre 2016 bloccando il trattamento della banca dati contenente dati genetici sul presupposto che il consenso al trattamento dei dai sensibili è caratterizzato da intuitus personae e che quindi nel caso di cambio di titolarità occorra acquisire un nuovo consenso.

Al contrario il Tribunale Cagliari, nella sentenza sopra citata, ha affermato che il consenso non è legato all’intuitus personae e che quindi, ove non cambino le finalità del trattamento, non occorre acquisire un nuovo consenso (obbligo peraltro che non risulta non previsto da nessun previsione legislativa). Inoltre il Tribunale evidenzia che la posizione giuridica del soggetti a cui appartengono i dati genetici non è lesa in ragione del fatto che il soggetto stesso può sempre manifestare la revoca del proprio consenso al trattamento dei dati.

Alla luce della sentenza di cui sopra si ritiene di poter sostenere che l’acquisizione di un nuovo consenso in caso di acquisto di struttura sanitaria non sia obbligatoria.

In via prudenziale tuttavia - vista la complessità della materia ed altresì la diversa posizione assunta dal Garante Privacy sul tema - appare opportuno nel momento in cui si rende la nuova informativa acquisire comunque nuovo consenso (seppur non obbligatorio secondo il Tribunale di Cagliari) o comunque palesare al paziente stesso il pieno diritto a ritirate il consenso al trattamento dei dati sanitari.