La privacy secondo il diritto eurounitario: dati personali e sanitari, illecito e tutela giurisdizionale

Corte giust. Ue, Grande sezione, 30.1.24, causa 118/22/ Corte giust. Ue 1^, 26-10-23, causa C-307/22/ Corte giust. Ue 3^, 21,12,23, causa C-667/21/ Corte giust. Ue, Grande sezione, 5.12.23, cause C-683/21 e C-807/21/ Corte giust. Ue 3^, 14.12.23, causa C-340/21/ Corte giust Ue 5^, 16.11.23, causa C-333/22

I dati personali conservati nel registro di polizia in Bulgaria sono le impronte digitali, una fotografia e un prelievo a fini di profilazione del DNA; il registro contiene anche informazioni sui reati commessi dall’interessato e le condanne relative. Queste “notizie” sono indispensabili per verificare se l’interessato è coinvolto in reati diversi da quello per cui è stato condannato con decisione definitiva; tuttavia, non tutti i condannati presentano lo stesso grado di rischio di essere coinvolti in altri delitti, che giustifichi un periodo uniforme di conservazione dei dati che li riguardano. Fattori quali la natura e la gravità del reato commesso o l’assenza di recidiva possono infatti denotare che il pericolo rappresentato dal condannato non necessariamente giustifica la conservazione nel registro di polizia, fino al suo decesso, dei dati che la riguardano. Un termine di tal genere è adeguato solo in circostanze particolari, per cui il diritto Ue esige che la normativa nazionale preveda l’obbligo, per il titolare del trattamento, di verificare periodicamente se tale conservazione sia ancora necessaria e riconosce all’interessato il diritto alla cancellazione di tali dati ove tale necessità venga meno.

Una paziente tedesca contestava dinanzi alla Corte federale competente di dover pagare alcunché per la propria cartella medica, di cui aveva chiesto copia alla sua dentista per farne valere la responsabilità per errori che essa avrebbe commesso nel prestarle le cure. Il Giudice nazionale sollevava la questione presso la Corte di Giustizia, trattandosi di diritto afferente alla gestione dei dati sanitari.

Il Giudice eurounitario ha sancito che il medico era tenuto a fornire alla paziente gratuitamente una copia dei suoi dati, in quanto il RGPD sancisce il diritto del paziente di ottenere una prima copia della sua cartella medica senza che, in linea di principio, ciò comporti spese. Il titolare del trattamento può esigere un pagamento solo se il paziente ha già ottenuto gratuitamente una prima copia dei suoi dati e ne fa nuovamente richiesta. Il paziente non è tenuto a motivare la propria richiesta. Le norme nazionali non possono porre a carico del paziente le spese della prima copia della sua cartella medica, nemmeno per tutelare gli interessi economici dei professionisti sanitari. Il paziente ha diritto di ottenere una copia integrale dei documenti contenuti nella sua cartella medica, se ciò è necessario per la comprensione dei dati personali contenuti in tali documenti. Tale diritto comprende i dati della cartella medica contenenti informazioni quali le diagnosi, gli esiti degli esami, i pareri dei medici curanti, nonché eventuali terapie o interventi praticati.

Un lavoratore subordinato tedesco che presta servizio presso un organismo di diritto pubblico che, in qualità di servizio medico delle casse di assicurazione malattia, ha il compito legale, tra gli altri, di redigere perizie mediche finalizzate a fugare eventuali dubbi in merito all’inabilità al lavoro degli assicurati presso casse di assicurazione malattia obbligatoria rientranti nel suo ambito di competenza (ivi inclusi i suoi dipendenti), ha ritenuto che taluni dati relativi alla sua salute fossero stati trattati illecitamente da parte del suo datore di lavoro.

Ha chiesto così nel procedimento principale la condanna ad un risarcimento dei danni subiti per tale trattamento illecito di importo pari a € 20.000, sulla base dell’articolo 82, paragrafo 1, del RGPD e di disposizioni del diritto tedesco,  facendo valere, da un lato, che la perizia medica effettuata per verificare la sua abilità al lavoro avrebbe dovuto essere redatta da un altro servizio medico, al fine di evitare che i suoi colleghi avessero accesso a dati relativi alla sua salute e, dall’altro, che le misure di sicurezza concernenti l’archiviazione della relazione riguardante tale perizia erano insufficienti.

Investita della questione in via pregiudiziale, la Corte di Giustizia ha rilevato che l’eccezione al divieto di trattare dati sanitari opera anche nelle situazioni in cui un organismo di controllo medico gestisce dati relativi alla salute di uno dei suoi dipendenti in qualità non di datore di lavoro, bensì di servizio medico.

I Giudici europei hanno altresì aggiunto che, in materia di risarcimento, l’art. 82, par. 1, del regolamento 2016/679 va interpretato nel senso che il diritto al risarcimento previsto da tale disposizione svolge una funzione compensativa, finalizzata a consentire di compensare integralmente il danno concretamente subito a causa della violazione di tale regolamento, e non una funzione dissuasiva o punitiva. L’art. 82, inoltre, da un lato, determina la responsabilità del titolare del trattamento in presenza della colpa di quest’ultimo, che è presunta a meno che egli dimostri che il fatto che ha causato il danno non gli è in alcun modo imputabile, e, dall’altro, non richiede che il grado di tale colpa sia preso in considerazione nel calcolare l’importo del risarcimento del danno riconosciuto a titolo di danno immateriale in base a tale disposizione.

Si può infliggere una sanzione amministrativa pecuniaria per violazione del Rgpd a un titolare del trattamento dei dati solo se detta violazione sia stata commessa in modo illecito, ossia dolosamente o colposamente. L’illecito si verifica ogni volta che il titolare del trattamento non poteva ignorare l’illiceità del suo comportamento, a prescindere dal fatto che abbia avuto o meno cognizione dell’infrazione. Se il titolare del trattamento è una persona giuridica, non occorre che la violazione sia stata commessa da un suo organo amministratore o che quest’organo ne abbia avuto conoscenza: una persona giuridica è responsabile sia delle violazioni commesse dai suoi rappresentanti, direttori o amministratori, sia da quelle commesse da chiunque agisca nel quadro della sua attività commerciale o per suo conto. La Corte precisa le condizioni in presenza delle quali le autorità nazionali di controllo possono infliggere una sanzione amministrativa per violazione del Rgpd:

- l’imposizione di una sanzione siffatta presuppone un comportamento illecito, ossia una violazione commessa in modo doloso o colposo;

- se il destinatario della sanzione pecuniaria è parte di un gruppo di società, il calcolo dell’ammenda deve basarsi sul fatturato dell’intero gruppo;

- l’irrogazione di una sanzione amministrativa pecuniaria a una persona giuridica nella sua qualità di titolare del trattamento non può essere subordinata alla previa constatazione che detta violazione è stata commessa da una persona fisica identificata. Al titolare del trattamento può essere inflitta una sanzione pecuniaria anche per operazioni effettuate da un subappaltatore, nei limiti in cui tali operazioni possano essere imputate al titolare del trattamento.

In caso di divulgazione non autorizzata di dati personali, o di accesso non autorizzato a tali dati, i giudici non possono dedurre da questo solo fatto che le misure di sicurezza adottate dal titolare del trattamento non fossero adeguate, ma devono esaminare l’adeguatezza di tali misure in concreto., ed è al titolare del trattamento che incombe di provare tale adeguatezza. Nell’ipotesi in cui la divulgazione non autorizzata di dati personali, o l’accesso non autorizzato a tali dati, siano stati commessi da terzi (criminali informatici), il titolare del trattamento può essere tenuto a risarcire un danno, salvo che riesca a dimostrare che tale danno non gli è in alcun modo imputabile. Il timore di un potenziale utilizzo abusivo dei propri dati personali da parte di terzi, che una persona nutre a seguito di una violazione del Rgpd (Regolamento generale protezione dati) può di per sé costituire un «danno immateriale» risarcibile.

Invocando il diritto di accesso ai propri dati, un cittadino belga si era rivolto all’Organo di controllo delle informazioni di polizia, il quale lo aveva informato che egli disponeva soltanto di un accesso indiretto e che l’organo stesso avrebbe verificato la legittimità del trattamento dei suoi dati. Al termine della verifica, come consentito dalla legge belga, l’organo si era limitato a rispondergli di avere eseguito le verifiche necessarie. A questo punto l’interessato proponeva ricorso giurisdizionale al giudice di primo grado, il quale si dichiarava incompetente per materia. Adita dal cittadino e dalla Ligue des droits humaines, la Corte d’appello di Bruxelles aveva chiesto alla Corte di giustizia di esprimersi al riguardo.

I Giudici europei, in tutta risposta, hanno evidenziato che il diritto Ue impone agli Stati di prevedere che la persona interessata dal trattamento dei suoi dati possa impugnare la decisione dell’autorità di controllo qualora quest’ultima eserciti i diritti di detta persona con riguardo al trattamento di cui trattasi. Informando l’interessato dell’esito delle verifiche, l’autorità di controllo competente adotta una decisione giuridicamente vincolante che deve poter essere oggetto di ricorso. Solo in questo modo l’interessato può infatti contestare la valutazione compiuta dall’autorità di controllo sulla legittimità del trattamento dei dati e sulla decisione di esercitare o meno i poteri correttivi.