Appare strano ma è vero; questa notizia, di notevole importanza, non è mai stata riportata dalla stampa locale e tanto meno, almeno da quanto da noi appurato, dal Messaggero Veneto. Ci domandiamo se il vice direttore Paolo Mosanghini, a questo punto, pubblicherà la sentenza della Cassazione.
Con la pronuncia della Corte di Cassazione (Ordinanza n. 6067 del 6 marzo 2025) è stata cancellata la sentenza del Tribunale di Udine, riaffermando la posizione del Garante in merito all’illiceità del trattamento di dati sanitari sensibili effettuato dall’Azienda Sanitaria Friuli Centrale (ASUFC) per la stratificazione statistica dei pazienti a rischio complicanze da Covid-19. La vicenda, che ha avuto origine da un provvedimento sanzionatorio del Garante del 15 dicembre 2022, sottolinea principi fondamentali del GDPR e del Codice della Privacy in tema di trattamenti di dati sanitari, in particolare riguardo a titolarità del trattamento, necessità del consenso esplicito e obbligo di DPIA anche in contesti emergenziali. Le conclusioni della Cassazione riguardano anche altri due provvedimenti simili, relativi a diverse Aziende Sanitarie e ordinanze di pagamento delle sanzioni (provv. n. 415 e 417).
Fatti di Causa
Il Garante aveva emesso l’ordinanza ingiunzione n. 416 del 15 dicembre 2022 nei confronti dell’Azienda Sanitaria Friuli Centrale (ASUFC). L’oggetto della contestazione era il trattamento di dati personali “in chiaro” (cioè, associati a dati identificativi degli interessati) di pazienti, estrapolati dalle banche dati aziendali e dal fascicolo sanitario elettronico (FSE). Tale trattamento era stato condotto da ASUFC in esecuzione di una delibera della Giunta della Regione Friuli Venezia Giulia. L’attività era stata realizzata tramite INSIEL SPA, società in-house della Regione formalmente designata da ASUFC come Responsabile del trattamento, e si avvaleva di un algoritmo denominato ACG (Adjusted Clinical Groups), fornito dall’Agenzia Regionale di Coordinamento per la Salute (ARCS). L’algoritmo avrebbe dovuto pseudonimizzare i dati tramite codici numerici casuali, ma i dati estratti erano direttamente identificativi degli assistiti. L’obiettivo dichiarato del progetto era la predisposizione di una lista di soggetti in condizioni di complessità e comorbilità da trasmettere ai Medici di Medicina Generale (MMG) per una migliore gestione del contesto epidemiologico Covid-19 e per predisporre interventi preventivi di presa in carico del paziente.
Contestazioni del Garante
All’esito della propria istruttoria, il Garante aveva ravvisato l’illiceità del trattamento per le seguenti violazioni:
- Assenza di idonea base normativa specifica: Il trattamento era avvenuto senza una base giuridica appropriata, in violazione degli artt. 5, par. 1 lett. a) e 9 del GDPR e degli artt. 2-ter e 2-sexies del codice privacy. Il Garante esclude che le finalità di programmazione sanitaria includano la medicina d’iniziativa o la stratificazione del rischio individuale, pertanto queste non rientrano nella disciplina speciale.
- Assenza di preventivo consenso: Le operazioni di trattamento non rientravano tra quelle “necessarie” alla cura del paziente ai sensi dell’Art. 9, paragrafo 2, lettera h) del Regolamento, rendendo necessario il consenso informato ed esplicito dell’interessato ai sensi dell’Art. 9, paragrafo 2, lettera a) GDPR. Il consenso generico fornito per il FSE non era ritenuto sufficiente.
- Violazione dell’obbligo di informativa preventiva: L’ASUFC non aveva fornito un’informativa specifica agli assistiti sul trattamento dei loro dati per la creazione di un profilo di rischio sanitario. L’informativa del FSE era considerata troppo generica e non inclusiva di tali finalità.
- Violazione dell’obbligo di DPIA: Il trattamento di dati personali su larga scala e di categorie particolari di dati (dati sanitari), tipico della stratificazione del rischio, peraltro riferito a soggetti vulnerabili, avrebbe dovuto essere oggetto di DPIA obbligatoria, come previsto dall’Art. 35 del Regolamento.
Per tali violazioni, il Garante aveva ordinato ad ASUFC la cancellazione dei dati risultanti dall’elaborazione e il pagamento di una sanzione amministrativa di 55.000 euro.
