home / Archivio / Diritto Civile raccolta del 2025 / È legittima la sanzione irrogata dall'Autorità Garante della privacy nei confronti di un ..

indietro stampa contenuto


È legittima la sanzione irrogata dall'Autorità Garante della privacy nei confronti di un ente pubblico sanitario regionale per l'illecito trattamento dei dati personali di pazienti contenuti nelle banche dati aziendali e nel Fascicolo Sanitario Elettronico in violazione degli artt. 5,9,14 e 35 del GDPR. Il trattamento dei dati inseriti nel FSE può avvenire “in chiaro”, ovverosia con l'indicazione del nominativo dell'interessato, solo per finalità di prevenzione, diagnosi, cura e riabilitazione dell'assistito, ma non è consentito per finalità di stratificazione statistica non necessaria

Argomento: Della tutela della privacy
Sezione: Sezione Semplice

(Cass. Civ., Sez. I, 06 marzo 2025, n. 6067)

Stralcio a cura di Ciro Maria Ruocco

Articoli Correlati: privacy - trattamento dati personali - titolare del trattamento - GDPR

“(…) 1.1. - Con ordinanza ingiunzione n. 416 del 15 dicembre 2022 (…) l’Autorità Garante per la Protezione dei Dati Personali (…) aveva contestato l’illiceità del trattamento di dati personali in chiaro (…) effettuato dall’Azienda Sanitaria F. C. (…) in violazione degli artt. 5, 9, 14 e 35 del Regolamento(UE) 2016/679 e dell’art. 2 sexies del d.lgs. n.196/2003 (…); aveva, pertanto, ordinato (…) la cancellazione dei dati (…) e di pagare la sanzione amministrativa di euro 55.000,00. L’obiettivo perseguito era la predisposizione di una lista di soggetti in condizioni di complessità e comorbilità da trasmettere ai medici di medicina generale (MMG) (…) l’Autorità Garante aveva ravvisato l’illegittimità del trattamento (…) dal momento che nelle finalità di programmazione, valutazione e controllo (…) non sono ricomprese le finalità di medicina d’iniziativa, né la stratificazione della popolazione assistita sulla base del rischio sanitario individuale. Secondo l’ordinanza ingiunzione, il trattamento dei dati sanitari da parte dell’A. era avvenuto: i) in assenza di una idonea, specifica, base normativa (…); ii) in assenza di preventivo consenso e, pertanto, illegittimamente (…); iii) con violazione (…) dell’obbligo sia di informativa preventiva (...), sia di valutazione di impatto sulla protezione dei dati personali (...). 1.2. - Il Tribunale ha affermato che non comporta illecito trattamento di dati personali l’estrazione dei dati dal datawarehouse regionale e l’elaborazione delle liste di pazienti che sono invece essere ricondotte alla nozione giuridica di trattamento secondario di dati sensibili già raccolti dall’Azienda Sanitaria (…). (…) la condotta non era imputabile all’A., pure riconosciuta come titolare del trattamento, perché questa aveva messo a disposizione i dati su richiesta della Giunta Regionale. (…) ha, infine, escluso che fosse necessaria la valutazione di impatto ambientale per la fattispecie in esame. 4.3. - (…) i dati relativi alla salute rientrano in una categoria di dati personali per i quali il trattamento è vietato, a meno che non ricorra il consenso esplicito dell’interessato, ovvero ricorra una delle specifiche ipotesi in cui il [continua ..]

» Per l'intero contenuto effettuare il login inizio