Privacy Vs. trasparenza amministrativa 1-0

Il Garante della Privacy ha sempre tenuto a ribadire che i dati sanitari sono oggetto di una tutela rafforzata e, fatte salve le eccezioni previste dalla norma, ne è vietata la diffusione. 

L’esigenza di un’auspicata “trasparenza amministrativa” non permette  la violazione della privacy personale. È in questo ambito interpretativo che recentemente il Garante Privacy ha sanzionato un’importante Azienda Sanitaria locale della Capitale per aver “pubblicato in chiaro sul proprio sito web  tutti i nominativi e i dati relativi alla salute dei soggetti che avevano fatto richiesta di accesso civico nel 2017 e 2018.”

La documentazione riguardava “la documentazione sanitaria degli interessati, fra cui cartelle cliniche, accertamenti di invalidità, test, relazioni tecniche, ecc.” L’Autorità rilevava  infatti, in primis, la “diffusione dei dati sulla salute dei soggetti interessati, informazioni relative sia allo stato fisico che mentale, compresa la prestazione di servizi di assistenza sanitaria.” e in secondo luogo la violazione del principio di “minimizzazione”  circa i dati personali “che non sono risultati limitati a quanto necessario rispetto alle finalità di trasparenza amministrativa, per le quali sono trattati, e le disposizioni della disciplina in materia di trasparenza e delle Linee guida Anac sull’accesso civico, che stabiliscono di oscurare i datipersonali eventualmente presenti”.

VIOLAZIONE DELLA PRIVACY

La violazione della Privacy così richiamata nel provvedimento del Garante risponde all’esigenza di tutela del dato sensibile prevalente rispetto ad una generica necessità di trasparenza amministrativa.

Questo è quanto affermato dalla Corte di Cassazione (Cass.Civ. sez. II, 04/04/2019, n.9382)  che ha aggiunto come “sia sotto il profilo costituzionalmente rilevante della valutazione degli interessi in discussione sia sotto quello della sostanziale elusione della normativa sulla protezione dei dati personali, accentuata nel caso dei dati sensibili, ove si dovesse far prevalere una generica esigenza di trasparenza amministrativa nemmeno concretamente argomentata e provata.”

Si conclude, pertanto, che le attività di raccolta dati in materia sanitaria “se non precedute da idonea informativa sul trattamento dei dati personali e dalla acquisizione del consenso del titolare, integrano due illeciti amministrativi previsti dagli artt.13,23,130 e 161, art. 162, comma 2 bis, e art. 167 del codice della privacy, riferiti alla omessa informativa ed alla non assentita comunicazione automatizzata (Cass. 24.6.2014 n. 14326).”

PRINCIPIO DI MINIMIZZAZIONE

L’art. 5 del GDPR regola il principio di minimizzazione preso in considerazione dal provvedimento analizzato. Nella norma si assume la condizione, secondo cui il trattamento dei “dati personali” per essere lecito, e quindi consentito, deve essere limitato ai soli dati indispensabili, pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui sono raccolti e trattati.

Proprio l’accertamento delle medesime finalità che il Titolare di volta in volta si prefigge nella raccolta dei dati  è essenziale in quanto il consenso degli interessati è proprio precipuamente legato a tale unico fine, ed un utilizzo per obiettivi diversi risulterebbe eccedente e non pertinente.

Il carattere di eccedenza risiede nella circostanza in cui la raccolta di dati risulta eccessiva, esagerata in termini numerici, troppo vasta rispetto all'intenzione di chi raccoglie le informazioni; è non pertinente quando non si lega all'obiettivo da raggiungere, non serve per la finalità che si prestabilisce, in sintesi è superflua. Unicamente avendo “lo scopo” della raccolta del dato come solo parametro, è possibile stabilire se i dati raccolti rispettino le condizioni di liceità di cui all'art. 6 del GDPR (cioè se rispettino finalità determinate ed esplicite).

Secondo tale principio, il titolare del trattamento può raccogliere dati personali per finalità determinate, esplicite e legittime, dettagliatamente illustrate nell'informativa messa a disposizione degli interessati, in quanto ogni successivo trattamento dovrà risultare compatibile con tali finalità («limitazione della finalità»). I dati dovranno risultare adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»).

CONCLUSIONI

Questa brevissima disamina del rapporto fra trasparenza amministrativa e regolamentazione a tutela della riservatezza dei nostri dati personali mostra come sia difficile, talvolta arduo, armonizzare diverse “esigenze” rispetto ai nostri diritti. Quello che si può trarre come utile accorgimento è sempre considerare ed analizzare le varie questioni legate alla privacy con un’attitudine volta alla risoluzione ad hoc delle varie problematiche di volta in volta creatisi.