Una recente sentenza della Corte di Cassazione (n. 3050 del 2 settembre 2002) ha affermato che la cartella clinica rientra tra gli atti “riservati” e non piu’ tra quelli coperti da segreto d’ufficio, tutelati dal codice penale (art. 326). Nel caso di specie un impiegato di una Direzione sanitaria aveva rilasciato una copia di una cartella clinica al marito di una donna senza il consenso dell’interessata. Poiche’ l’uomo successivamente si era servito della stessa cartella nella causa di separazione, l’impiegato era stato accusato del reato di violazione di segreto d’ufficio e processato. La Corte di Cassazione ha, quindi, deciso per l’assoluzione dell’impiegato in quanto la cartella clinica contiene sicuramente dei dati riservati, ma non certo coperti dal segreto d’ufficio.

La sentenza in argomento, indubbiamente di notevole rilevanza, e’ stata interpretata da molti addetti ai lavori come una sentenza antiprivacy. In realta’ la sua portata ha un carattere piu’ limitato che non incide sulle problematiche attinenti alla riservatezza personale. In effetti, la Suprema Corte chiarisce che dal punto di vista penalistico una cartella clinica non puo’ essere trattata alla pari di quei documenti che contengono notizie che per ragioni di ufficio devono rimanere segrete e non devono essere divulgate per ordine dell’Autorita’ o per propria natura. La stessa sentenza, pero’, riconosce che la cartella clinica contiene dati riservati e se vogliamo e’ perfettamente coerente con quanto previsto dalla legge n. 675/96 che tutela proprio la riservatezza dei dati personali.
Riguardo, poi, il trattamento dei dati contenuti nella cartella da parte delle strutture sanitarie e’ opportuno precisare che con l’avvento del d.lgs. n. 135/99 e del d.lgs. n. 282/99 qualcosa e’ cambiato.

Difatti, mentre prima i soggetti pubblici, e fra questi le aziende od unita’ sanitarie locali, potevano proseguire il trattamento dei dati personali sensibili, anche in assenza dei precisi parametri normativi di cui all’art. 22, comma 3 della legge n. 675, in forza della disposizione contenuta nell’art. 41, comma 5, della stessa legge, ora con il d.lgs. n. 135/99 e’ stata prevista una nuova disciplina per il trattamento dei dati predetti da parte dei soggetti pubblici che ha reso ammissibile il trattamento degli stessi nell’ambito delle attivita’ rientranti nei compiti del servizio sanitario nazionale e degli altri organismi pubblici e che dovra’ essere integrata ed attuata attraverso apposite disposizioni adottate dagli stessi organismi e …

dalle altre amministrazioni competenti (v. gli artt. 1 e 17 del d.lgs. n. 135). In particolare il d.lgs. n. 135/99 ha previsto che, che nel caso in cui un trattamento di dati sensibili non sia espressamente autorizzato da una legge sufficientemente dettagliata, i soggetti pubblici possono chiedere al Garante l’individuazione delle attivita’, tra quelle demandate ai medesimi soggetti dalla legge, che perseguono rilevanti finalita’ di interesse pubblico e per le quali e’ conseguentemente autorizzato il trattamento dei dati. Cio’, nelle more della specificazione legislativa (art. 22, comma 3 della l. n. 675/96, come modificato dall’art. 5 del d.lgs. n. 135/99).

Inoltre, nei casi in cui una legge specifichi le finalita’ di rilevante interesse pubblico, ma non siano specificati i tipi di dati e le operazioni eseguibili, i soggetti pubblici, in applicazione di quanto previsto dalla presente legge e dai decreti legislativi di attuazione della legge 31 dicembre 1996, n. 676, in materia di dati sensibili, identificano e rendono pubblici, secondo i rispettivi ordinamenti, i tipi di dati e di operazioni strettamente pertinenti e necessari in relazione alle finalita’ perseguite nei singoli casi, aggiornando tale identificazione periodicamente.

Il legislatore delegato non ha pero’ lasciato alla completa discrezionalita’ delle amministrazioni le specificazioni appena richiamate, ed ha voluto vincolarle al rispetto dei criteri della stretta pertinenza e della necessita’ (art. 9, l. n. 675/96), da valutare caso per caso in relazione alla finalita’ perseguita. Sulla base di tali principi, il soggetto pubblico titolare del trattamento deve dunque valutare se, nel caso concreto, le informazioni personali utilizzate e le operazione effettuate sono attinenti al risultato desiderato e indispensabili per raggiungere lo stesso. Infine, nell’ambito di tale valutazione, le amministrazioni sono tenute a rispettare i principi generali contenuti negli articoli 2, 3 e 4 del citato d.lgs. n. 135/99.

Sotto il profilo sanzionatorio e’ opportuno precisare che l’art. 35 della legge n. 675/96 dispone che chiunque, al fine di trarne per se’ o per altri profitto o di recare ad altri un danno, comunica o diffonde dati personali in violazione di quanto disposto dagli articoli 21, 22, 23 e 24, ovvero del divieto di cui all’articolo 28, comma 3, e’ punito con la reclusione da tre mesi a due anni. Per cui sebbene subordinato a determinate condizioni (trarne profitto o recare ad altri un danno) il trattamento illecito dei dati contenuti nella cartella clinica, sotto il profilo della riservatezza, potra’ sempre comportare l’applicazione di sanzioni penali e non solo amministrative.

Scritto da