Chi segue le problematiche della sanità digitale e le difficoltà nelle quali ci stiamo muovendo per capire come poter “utilizzare” i dati per sviluppare le nuove frontiere della medicina – vale a dire medicina personalizzata, di iniziativa, di popolazione e predittiva – ricorderà senza dubbio i provvedimenti del Garante privacy del 15 dicembre 2022 nei confronti delle tre aziende locali del Friuli con le quali sono state comminate sanzioni di 55 mila euro a ciascuna di esse.
Tali provvedimenti sanzionatori e correttivi (disponibili qui e già commentati nel dettaglio nel precedente articolo Se la Sanità italiana sposa il futuro dimenticando la privacy), sono stati poi impugnati davanti al Tribunale di Udine , Pordenone e Trieste, a seconda degli ambiti di competenza territoriale:
- il Tribunale di Udine ha annullato la sanzione del Garante con sentenza del 21 settembre 2023, ma al momento le motivazioni non sono state ancora depositate per cui non siamo a conoscenza delle argomentazioni di diritto a fondamento della sentenza stessa.
- il Tribunale di Pordenone con sentenza 13 ottobre 2023 ha anch’esso annullato il relativo provvedimento del Garante, accogliendo il ricorso della azienda sanitaria Friuli Occidentale: la sentenza in forma estesa è stata altresì pubblicata sul sito del Garante (per ordine del giudice);
- il Tribunale di Trieste non si è ancora pronunciato, pur avendo accolto l’istanza di sospensione del provvedimento (notizia di stampa).
Al momento, quindi, è utile analizzare la sentenza del Tribunale di Pordenone per comprenderne i possibili impatti, riservandoci ulteriori considerazioni quando verranno pubblicate le sentenze di Udine e Trieste.
Partiamo dunque dai fatti per poi analizzare le argomentazioni di diritto del Giudice di Pordenone.
Se la Sanità italiana sposa il futuro dimenticando la privacy
I fatti
Durante il Covid la Regione Friuli, con delibera 1737/2020 decideva di sviluppare un progetto di stratificazione statistica di pazienti fragili correlato alle complicanze in caso di infezione da Covid-19: il progetto prevedeva il coinvolgimento dei MMG chiamati a validare attraverso il portale informatico regionale, una lista di utenti/assistiti in relazione alle loro condizioni di complessità e comorbidità (bio-umorali personali, terapie, stato patologico, indirizzi familiari, condizioni/abitudini di vita ).
Password e sicurezza: come creare parole-chiave inviolabili ma facili da ricordare
Identity & Access Management
Tali dati venivano poi estratti dal data warehouse ed elaborati da due società in-house della regione Friuli attraverso un algoritmo di classificazione denominato ACG System.
In sostanza, attraverso questo sistema si realizzava, accedendo alle banche date delle ASL e lavorando i dati attraverso un software di classificazione, un profilo di rischio dei pazienti prodromico alla successiva presa in carico dei pazienti stessi.
L’iniziativa si poneva all’interno della Legge FVG 22/2019 secondo la quale il SSR avviva modalità organizzative innovative di presa in carico dei pazienti per lo sviluppo della medicina di iniziativa.
A seguito della segnalazione di un medico di base, il Garante apriva una procedura con la quale chiedeva spiegazioni sia alla Regione Friuli che alle Aziende regionali che avevano ricevuto i dati elaborati.
Le sanzioni del Garante
Al termine dell’istruttoria il Garante sanzionava le tre aziende sanitarie locali in qualità di titolari, in ragione dei seguenti profili:
- il trattamento posto in essere doveva considerarsi privo di base giuridica in quanto:
- non poteva farsi rientrare nell’art. 9 lett. h) GDPR che trova applicazione solo ai trattamenti per il singolo evento di cura;
- non era stata assunto alcun consenso informato;
- né la Legge Regione Friuli 22/2019 né la DGR n. 2195/2019 rispettano quanto richiesto dall’art. 2 sexies del Codice Privacy in quanto non indicano i soggetti che possono effettuare il trattamento, né le operazioni eseguibili, né l’interesse pubblico rilevante, inoltre, il Garante precisava altresì che il consenso per il FSE non può ritenersi base giuridica idonea per tale tipo di trattamento in ragione del fatto che tra le finalità del FSE non vi è la medicina di iniziativa;
- il trattamento pur posto in essere dalla società in house della regione non faceva venir meno la responsabilità del titolare dei dati (in questo caso le Aziende Locali) tenute comunque ad impedire il trattamento o chiederne la cessazione in caso di illegittimità;
- mancava la valutazione d’impatto;
- non era stata fornita alcuna informativa ai pazienti.
Al termine dell’istruttoria le sanzioni comminate alle Aziende friulane sono state, oltre ai 55.000 euro, anche la cancellazione di tutti i dati elaborati a seguito di questo processo.
La decisione del Tribunale di Pordenone
Come sopra accennato tutti i provvedimenti venivano impugnati.
Per quanto riguarda la sentenza del Tribunale di Pordenone si rileva come il Giudice abbia accolto il ricorso della Azienda Friuli Occidentale ribaltando completamento la costruzione giuridica del Garante.
Secondo il Giudice, infatti, diversamente da quanto sostenuto dal Garante, l’Azienda sanitaria sanzionata non riveste il ruolo di Titolare in relazione al trattamento contestato.
In forza della nozione di titolare ex art. 4. par. 1, n. 7 GDPR, il Tribunale rileva che può essere considerato Titolare solo “… colui che tratta i dati senza ricevere istruzioni da altri, colui che decide “perché” e “come” devono essere trattati i dati”.
Ne deriva che “Il ruolo di titolare non dipende da designazioni formali bensì dall’effettiva attività svolta nello specifico trattamento dei dati; in altri termini, il titolare del trattamento non è chi gestisce i dati, ma chi in concreto decide il motivo e le modalità del trattamento”.
Sul punto, il Giudice richiama anche la posizione dell’EDPB nella linee Guida sul concetto di Titolare e Responsabile del trattamento che indica come elemento fondamentale per la qualificazione del soggetto “l’influenza del titolare sul trattamento in virtù dell’esercizio di un potere decisionale (“determina”), in forza di disposizioni di legge o di una concreta influenza fattuale”.
Precisato quanto sopra, il giudice evidenzia come nel trattamento oggetto di sanzione (profilazione degli assistiti in classi di rischio sanitario) le Aziende sanitarie non avessero assunto alcun ruolo né attivo né di rilievo.
In sostanza, l’azienda friulana sanzionata gestiva solo la banca date degli assistiti in ragione della organizzazione informatica regionale, senza però aver svolto alcuna attività specifica né aver assunto alcuna decisione in relazione al trattamento contestato.
Il trattamento traeva origine, infatti, dalla DGR n. 1737/ 2020 che a propria volta faceva seguito ad una Intesa raggiunta tra la Regione FVG e le organizzazioni sindacali dei medici di medicina generale (MMG): intesa cui era pertanto totalmente estranea l’azienda sanitaria.
In sostanza, l’Azienda aveva solo dato seguito ad una Intesa e ad una Delibera regionale alle quali non aveva in alcun modo né partecipato né contribuito.
Peraltro, l’accesso alla banca dati della Azienda era stato effettuato direttamente dalla società in house Insiel S.p.A., senza acquisire alcuna autorizzazione da parte della azienda stessa.
Il Giudice, poi, evidenzia un altro aspetto di estremo rilievo: precisa, infatti, che “in ogni caso il Garante non ha diversamente provato alcun ruolo attivo di ASFO” [aziende sanitaria Friuli occidentale] non essendo sufficiente a raggiungere la contraria conclusione la riferibilità alla stessa della banca dati, utilizzata da Insiel secondo le disposizioni di enti sovraordinati tanto ad Insiel quanto ad ASFO”.
In altre parole, il Giudice rileva come il Garante non abbia “dato prova” del ruolo di Titolare in capo alla Azienda sanitaria: cioè non abbia dato prova della circostanza che l’azienda avessero avuto un ruolo attivo nel “determinare” finalità e mezzi e che quindi tale ruolo non poteva darsi per “presunto” solo in ragione della riferibilità delle banche dati alle Aziende.
Conclusioni
La sentenza (che potrebbe essere impugnata in Cassazione dal Garante) presenta elementi di estremo interesse.
Il primo è senza dubbio una interpretazione del ruolo di Titolare in ragione delle “concrete” attività poste in essere: in altre parole la circostanza che la banca dati fosse gestita della Azienda sanitaria Friuli Occidentale di per sé non basta e considerare la stessa quale titolare dei trattamenti che vengono effettuati sulla stessa banca dati da parte di terzi, in ottemperanza peraltro alle prescrizioni di altro ente pubblico (la Regione) con competenze istituzionali specifiche in materia.
In sostanza, occorre che il Garante effettui un’analisi di fatto e non di mero diritto.
Il secondo elemento – collegato al primo – è quello della prova: come già emerso in maniera palese nella sentenza Tribunale UE T-557/2023 i provvedimenti delle autorità che applicano sanzioni devono dare prova degli elementi di fatti sui quali si fonda la sanzione. Non si applicano le presunzioni.
La sentenza poi fa emerge, palesemente, una difficoltà enorme in ambito sanitario circa la corretta definizione dei ruoli e in generale l’applicazione del GDPR: la stratificazione normativa del diritto sanitario, la diversità delle fonti (nazionali, regionali e aziendali) e la spiccata regionalizzazione del sistema (che porta a 20 sistemi diversificati) creano un quadro giuridico e fattuale molto complicato, nel quale distinguere “chi fa cosa” ed “in base a quale compito” è terreno molto scivoloso.
Forse è per questo che la materia fatica così tanto ad essere compresa e le difficoltà applicative sembrano frenare il processo evolutivo in corso.
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
@RIPRODUZIONE RISERVATA