Dopo la sentenza del Tribunale di Pordenone anche il Tribunale di Udine annulla il Provvedimento del Garante Privacy 15 dicembre 2022 contro Azienda Sanitaria Friuli Centrale in materia di medicina di iniziativa.
Ed in questa sentenza le argomentazioni del Giudice Elisabetta Sartor sono ancor più articolate e puntuali. Vediamo i fatti, per poi analizzare le argomentazioni giuridiche in sentenza.
L’antefatto
Nell’autunno del 2020 (in piena pandemia), la Regione Friuli assumeva una delibera finalizzata a sviluppare un progetto di stratificazione statistica di pazienti fragili in relazione alle complicanze in caso di infezione da Covid-19.
Il progetto regionale era così strutturato.
- I MMG erano chiamati ad accedere ai dati personali dei propri assistiti – contenuti nelle banche dati delle ASL, facenti parte del datawarehouse regionale – allo scopo di validare gli assistiti che si trovavano in condizioni di fragilità e comorbidità;
- a seguito di tale indicazione, tali dati venivano estratti dal data warehouse regionale ed elaborati da due società in-house della stessa regione Friuli attraverso un algoritmo di classificazione denominato ACG System;
- a valle di tale elaborazione era possibile avere una lista dei nominativi dei pazienti a rischio, finalizzata alla presa in carico preventiva alla contrazione del virus.
A seguito della segnalazione di un medico di base, il Garante apriva una procedura con la quale chiedeva spiegazioni sia alla Regione Friuli che alle Aziende regionali, titolari delle banche dati utilizzate per creare le liste di pazienti.
Le sanzioni del Garante
Il Garante sanzionava le 3 Aziende Sanitarie Locali in qualità di titolari, in ragione dei seguenti profili:
- Il trattamento posto in essere doveva considerarsi privo di base giuridica in quanto
- non poteva farsi rientrare nell’art. 9 lett. h) GDPR che trova applicazione solo ai trattamenti per il singolo evento di cura
- non era stata assunto alcun consenso informato,
- la Legge Regione Friuli 22/2019 e la DGR n. 2195/2019 non rispettavano quanto richiesto dall’art. 2 sexies del Codice Privacy
- il trattamento, pur posto in essere in forza di una legge e di una delibera regionale, non faceva venire meno la responsabilità dei titolari dei dati (in questo caso le Aziende Locali) tenute comunque ad impedire il trattamento o chiederne la cessazione in caso di illegittimità;
- mancava la valutazione d’impatto;
- non era stata fornita alcuna informativa ai pazienti.
Al termine dell’istruttoria le sanzioni comminate alle Aziende friulane sono state, oltre ai 55.000 euro, anche la cancellazione di tutti i dati elaborati a seguito di questo processo.
Nessun provvedimento veniva assunto nei confronti della Regione Friuli.
Tutti i provvedimenti venivano impugnati davanti ai Tribunali di Pordenone, Udine e Trieste, secondo competenza.
La decisione del Tribunale di Udine
La sentenza del tribunale di Udine oltre ad affermare (come già il Tribunale di Pordenone) che l’azienda Sanitaria non può essere considerata titolare, risponde ai singoli punti contestati dal Garante sviluppando anche ragionamenti giuridici di estremo interesse.
Vediamoli.
La titolarità del trattamento
Circa la titolarità il Giudice di Udine afferma che il Garante ha errato nel considerare l’azienda Sanitaria quale titolare del trattamento, tenuto conto che – sotto il profilo di fatto – l’Azienda stessa non ha assunto alcuna decisione in relazione ai dati trattati.
Più esattamente invece il Giudice afferma che:
- i dati trattati sono solo relativi a pazienti che avevano rilasciato il consenso al FSE
- tale trattamento è stato effettuato da Insiel spa su incarico della Regione a seguito di accordo con la FIMMG (associazione dei medici di base)
- ed inoltre (soprattutto) che la creazione delle liste dei pazienti in situazione di fragilità avrebbe ben potuto essere svolto anche manualmente da parte degli stessi medici di base che hanno in carico i pazienti; la circostanza dunque che sia stato utilizzato un software e che tale creazione di liste sia stato fatto accedendo direttamente alle banche dati delle ASL non può cambiare la titolarità del trattamento
In sostanza sembra di capire – seppure il giudice questo non lo dica espressamente – che il titolare di questo trattamento potrebbe essere la Regione o i MMG, ma non certamente la Azienda Sanitaria sanzionata.
Non imputabilità dei fatti in capo alla ASL
Partendo dal corretto presupposto giuridico che le sanzioni sono applicabili ove sussista l’imputabilità del soggetto sanzionato, il Giudice afferma che alla ASL non può essere imputata alcuna sanzione in quanto la ASL stessa non aveva possibilità giuridica di opporsi alla delibera regionale.
Attraverso infatti una corretta ricostruzione di diritto amministrativo circa compiti e poteri dei vari soggetti, si afferma in sentenza che le delibere della giunta hanno natura di atto regolamentare, formalmente amministrativo ma sostanzialmente normativo, dunque vincolante e cogente.
Ferma poi la potestà legislativa regionale in punto pianificazione e programmazione sanitaria e sociosanitaria (l. n. 22/2019, n. 6/2006, n. 26/2015), il potere regolamentare esercitato dalla Regione Friuli Venezia Giulia nel caso di specie era espressamente previsto da fonti normative primarie, quali il d.l. n. 18/2020 (art. 17 bis) e, soprattutto, il d.l. n. 34/2020.
Quindi, anche ammesso e non concesso che la ASL fosse considerata titolare, la condotta della Azienda andrebbe comunque scriminata, sussistendo il presupposto dell’adempimento ad un dovere giuridico imposto da una fonte regolamentare regionale, emanata sulla base di una copertura legislativa di rango primario.
Il trattamento secondario
Molto interessanti le considerazioni sul tema del secondary use (praticamente inutilizzato in sanità, per una diffusa “credenza” che sia vietato).
Il giudice ribadisce infatti che il trattamento effettuato consista in una mera rielaborazione di dati già raccolti e a disposizione dei MMG, compiuta con l’obiettivo di agevolare gli stessi MMG nell’individuazione dei pazienti in condizioni di complessità e comorbilità, al fine di consentire loro una più tempestiva ed efficiente gestione, in termini di prevenzione, pianificazione e programmazione, della vaccinazione nel contesto pandemico: in sostanza un trattamento con finalità di prevenzione.
Ora, dato atto che l’art. 5 GDPR ammette il trattamento secondario dei dati personali ove compatibile (e che non vi sono esclusioni per i dati relativi alla salute) ed tenuto altresì conto che tra le finalità del FSE vi è espressamente elencata l’attività di prevenzione (cfr. art. 12 d.l. n. 179/2018, convertito con modificazioni in legge 17 dicembre 2012, n. 221 e dpcm 29 settembre 2015, n. 178 e oggi DM 7 settembre 2023), il Giudice ritiene che il trattamento per finalità di prevenzione possa considerarsi del tutto “compatibile” con la finalità primaria di diagnosi e cura. Ciò a maggior ragione in epoca Covid.
Pertanto la base giuridica sarebbe l’art. 9 lett. h) (diagnosi e cura) e il trattamento effettuato sarebbe un secondary use del tutto compatibile con il trattamento primario.
L’interesse pubblico
Il Giudice evidenza poi come il trattamento potrebbe comunque trovare la sua base giuridica nell’art. 9 lett. i) relativo ai motivi di interesse pubblico.
Sul punto il considerando 54 del Regolamento precisa che
“il trattamento di categorie particolari di dati personali può essere necessario per motivi di interesse pubblico nei settori della sanità pubblica, senza il consenso dell’interessato…In tale contesto, la nozione di sanità pubblica dovrebbe essere interpretata secondo la definizione del regolamento (CE) n. 1338/2008 del Parlamento europeo e del Consiglio: tutti gli elementi relativi alla salute, ossia lo stato di salute, morbilità e disabilità incluse, i determinanti aventi un effetto su tale stato di salute, le necessità in materia di assistenza sanitaria, le risorse destinate all’assistenza sanitaria, la prestazione di assistenza sanitaria e l’accesso universale a essa, la spesa sanitaria e il relativo finanziamento e le cause di mortalità.”.
Nel caso di specie, dunque, il giudice ritiene che il trattamento oggetto del provvedimento poteva trovare la sua base giuridica nell’interesse interesse pubblico e nello specifico nei diversi provvedimenti legislativi emanati durante l’epoca Covid che legittimavano gli enti pubblici ad utilizzare i dati sanitari per gestire al meglio l’emergenza (O.C.D.P.C. n. 630 del 3 febbraio 2020; il DL 18/2020, il d.l. 34/2020).
Due ultime considerazioni interessanti in sentenza.
Circa l’informativa il giudice richiama l’art. 14 par. 5 lett. d) in forza del quale l’obbligo di informativa viene mano “…d) qualora i dati personali debbano rimanere riservati conformemente ad un obbligo di segreto professionale disciplinato dal diritto dell’Unione o degli Stati membri, compreso un obbligo di segretezza previsto per legge”.
Essendo le liste composte da dati già in possesso dei MMG e essendo gli stessi tenuti all’obbligo di segretezza professionale rispetto alle informazioni acquisite nell’espletamento della loro attività di diagnosi e cura (cfr. artt. 10-11 cod. deontologico), può dirsi integrata l’ipotesi derogatoria all’obbligo di preventiva informazione del trattamento.
Circa poi la contestata carenza della Valutazione d’Impatto ex art. 35 GDPR il Giudice evidenzia due aspetti:
- in primo luogo nel trattamento oggetto del provvedimento non erano state utilizzate nuove tecnologie (requisito richiesto dall’art. 35 GDPR) in quanto “è notorio che l’uso dell’algoritmo costituisca, ormai, una tecnica largamente diffusa nelle operazioni di rielaborazione dei dati, soprattutto in ambito medico-scientifico”.
- in secondo luogo, secondo il Giudice il Garante della Privacy non aveva allegato né richiesto di dimostrare quale fosse il “rischio elevato per i diritti e le libertà delle persone fisiche” potenzialmente derivante dall’elaborazione dei dati sanitari da parte di Insiel S.p.a.; anzi secondo il Giudice “non sussiste alcun pregiudizio per i diritti e le libertà dei pazienti che possa derivare dalla predisposizione di elenchi di assistiti in condizioni di maggiore vulnerabilità, in base ad informazioni già presenti nei database delle Aziende Sanitarie e già noti ai medici di base, tenuto conto della finalità, già più volte ribadite, di tale trattamento (potenziamento e programmazione degli interventi di prevenzione e cura nell’ambito del contesto emergenziale pandemico)”.
- Infine, secondo il Giudice non si vede in che modo la disponibilità, da parte dei medici di medicina generale, delle informazioni sanitarie rielaborate in modo automatizzato, secondo gli obiettivi di programmazione e pianificazione della Regione, avrebbe potuto o potrebbe incidere sulla sfera giuridica dei pazienti.
Considerazioni finali
Non è escluso che la sentenza venga impugnata dal Garante in Cassazione. Ciò, però, non ne fa venir meno la portata innovativa. Va dato atto infatti che l’approccio del Giudice nel valutare il provvedimento del Garante è – del tutto correttamente – un approccio concreto e non formale.
Sulla titolarità del trattamento si analizza la situazione di fatto, evidenziando anche che la Asl non avrebbe potuto (in forza del diritto sanitario) opporsi a tale trattamento deciso dalla Regione che detiene poteri decisionali in materia.
Sulla base giuridica si aprono le porte al secondary use (che in sanità è considerato un “tabù” ) evidenziando che non ci sono divieti assoluti in tale senso.
Ed infine sulla carenza di DPIA ci si chiede quale mai possa essere l’impatto sulla sfera giuridica degli interessati se vengono create liste di pazienti fragili con l’obiettivo di alzare il livello di prevenzione.
Tale approccio concreto va appoggiato: la sanità in particolar modo né ha un grande bisogno. Il che non significa violare il GDPR, ma applicarlo tenendo conto della peculiarità di un sistema così complesso e del peso sociale della sanità. Applicare, cioè, un sano principio di proporzionalità.
