Ultimo Aggiornamento 18 Novembre 2024
Analisi legale sulla risarcibilità del danno derivato dalla fuga di dati sensibili per un attacco hacker nel settore sanitario: riflessioni a partire dal caso dell’Azienda USL di Modena
Nel panorama digitale odierno le informazioni sensibili sono continuamente esposte a potenziali rischi, perciò il tema del risarcimento danni per violazione degli obblighi di protezione dei dati personali è tanto complesso quanto attuale. Quando le misure di sicurezza adottate si rivelano inadeguate rispetto al livello di rischio e si verifica una distruzione, una perdita, una modifica, una divulgazione o un accesso illecito a dati personali (cd. “data breach”), si pone il problema di quali siano le conseguenze legali, in termini di responsabilità, per il titolare (e per l’eventuale responsabile) del trattamento.
Se poi titolare del trattamento è un’azienda sanitaria la questione diventa delicata, perché le informazioni coinvolte nel data breach sono spesso rappresentate da dati personali particolari che attengono alla salute dei pazienti[1]. L’attacco hacker di tipo “ransomware” recentemente subito dall’AUSL di Modena (insieme – va detto – all’AOU di Modena e all’Ospedale di Sassuolo S.p.a.) non è il primo e non sarà certo l’ultimo episodio di violazione degli obblighi di protezione dei dati personali in ambito sanitario. Tra i più rilevanti, in ordine cronologico (decrescente), possiamo ad esempio ricordare i data breach che hanno coinvolto:
- l’AOU di Verona nell’ottobre 2023;
- l’ASL 1 Abruzzo (Avezzano, Sulmona, L’Aquila) nel maggio 2023;
- l’IRCCS Multimedica e la Clinica San Giuseppe di Milano nell’aprile 2023;
- l’ASL Napoli 3 Sud del gennaio 2022;
- l’ULSS Euganea di Padova del dicembre 2021;
- il SSR della Regione Lazio del luglio 2021.
Questo genere di incidenti pone sicuramente in evidenza la vulnerabilità di molti dei sistemi informatici utilizzati da aziende ed enti che gestiscono il nostro SSN. Ma non va sottovalutata anche la portata del danno (patrimoniale e non patrimoniale) derivante da simili violazioni e delle azioni risarcitorie che potrebbero essere proposte dai pazienti coinvolti in simili data breach. Cerchiamo allora di comprendere, nel contesto della normativa vigente (GDPR e Codice Privacy italiano) e della giurisprudenza più recente (CGUE e Cassazione italiana), quali siano i principi che governano il risarcimento danni in caso di violazione degli obblighi di protezione dei dati personali nel comparto sanitario.
[1] Com’è noto, ai sensi dell’art. 4,paragrafo 15, del Regolamento n. 2016/679/UE (“GDPR”), per “dati relativi alla salute” si intendono quei “dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute“.
INDICE SOMMARIO
- § 1. La violazione dei dati in ambito sanitario: una lezione dal recente caso dell’AUSL Modena
- § 2. La normativa rilevante: l’impatto della violazione secondo il GDPR e il codice privacy
- § 3. Oltre la protezione dei dati personali: in sanità la cybersecurity equivale a sicurezza delle cure
- § 4. Cosa dice la giurisprudenza: le regole per il risarcimento danni da violazione dei dati personali
- § 5. Identificare e valutare i danni: riflessioni sulla violazione dei dati sanitari
- § 6. Verso una maggiore sicurezza dei dati in sanità: conclusioni e prospettive
- Fonti e risorse
§ 1. Violazione dei dati per attacco hacker: il recente caso dell’USL Modena
I fatti sono noti: nella notte tra il 28 e il 29 novembre 2023, un attacco informatico ransomware[2] ha colpito tre aziende sanitarie modenesi (Azienda USL di Modena, Azienda Ospedaliero-Universitaria di Modena, Ospedale di Sassuolo S.p.a.). Di fronte a una richiesta di riscatto di tre milioni di dollari in criptovalute, peraltro da versare in pochissimo tempo (18 ore), le aziende hanno rifiutato il pagamento.
Gli hacker hanno quindi dato seguito alla minaccia di divulgare i dati esfiltrati (cioè copiati), pubblicando sul dark web[3] oltre un milione di files, per una dimensione totale di circa un terabyte (TB), vale a dire 1.000 gigabyte (GB).
La gravità dell’evento si commenta da sé: basti pensare al tempo necessario per scaricare una simile entità di dati (ad esempio, con una velocità di download di 30 Mbps, ed ipotizzando una connessione ideale senza interruzioni né rallentamenti, ci vorrebbero più di tre giorni[4]).
E’ evidente che l’intrusione nel sistema informatico delle aziende sanitarie si deve essere protratta, inosservata, per un periodo sufficientemente lungo, il che solleva perplessità comprensibili – e difficilmente superabili – in ordine all’adeguatezza delle misure tecniche e organizzative adottate dall’azienda sanitaria rispetto al livello di rischio cui sono soggetti i dati relativi alla salute[5].
L’Autorità Garante per la protezione dei dati personali è stata debitamente avvertita, nel rispetto dell’art. 33 GDPR, e porterà avanti la sua istruttoria, all’esito della quale appare improbabile possa evitare di infliggere una sanzione amministrativa pecuniaria ex art. 83 GDPR.
L’AUSL di Modena, dal canto suo, dovrà fornire specifica comunicazione agli interessati (individualmente o, se ciò dovesse richiedere “sforzi sproporzionati”, collettivamente), ai sensi dell’art. 34 GDPR, anche al fine di consentire loro l’adozione delle precauzioni utili ad attenuare possibili effetti negativi derivanti dalla violazione dei dati.
Ma in questa sede vogliamo concentrarci soprattutto su un problema spesso trascurato e dimenticato: il risarcimento dei danni derivanti dalla compromissione della privacy in un contesto così delicato.
La domanda è: quali sono le responsabilità delle istituzioni sanitarie di fronte a simili incidenti?
Ed anche: in che misura possono essere avanzate dai pazienti richieste di risarcimento per violazione degli obblighi di protezione dei dati nel settore sanitario?
Per cercare di rispondere, partiamo dalle basi. Partiamo dalle norme.
[2] Il “ransomware” è un software malevolo che infetta dispositivi digitali come PC e smartphone, bloccando l’accesso ai contenuti e richiedendo un riscatto per sbloccarli. La richiesta di pagamento appare spesso in una finestra automatica, con un termine breve per pagare e con la minaccia che, altrimenti, i dati resteranno bloccati o verranno pubblicati.
[3] Il “dark web” è una sezione nascosta di internet, non indicizzata dai motori di ricerca comuni e accessibile solo tramite software speciali. È per lo più associato all’anonimato e all’attività illecita, sebbene possa anche essere utilizzato per scopi legittimi che richiedono privacy e/o segretezza.
[4] Dobbiamo ricordare che megabit (Mb) è l’unità di misura usata per la velocità di trasferimento dati, tipicamente in contesti di rete e connessioni internet (1 megabit è uguale a 0,125 megabyte). Megabyte (MB) è invece l’unità di misura usata per la dimensione dei dati o la capacità di archiviazione (1 megabyte è uguale a 8 megabit). Quando si parla di un terabyte (TB) in termini di capacità di archiviazione, la conversione corretta è: 1 terabyte (TB) = 1.000 gigabyte (GB) = 1.000.000 megabyte (MB) Tuttavia, per convertire un terabyte in megabit (l’unità di misura per la velocità di trasferimento dei dati), la conversione corretta è: 1 terabyte (TB) = 8.000.000 megabit (Mb), perché 1 byte è uguale a 8 bit. Quindi, per convertire megabyte in megabit, moltiplichiamo per 8. Ecco perché 1 TB (o 1.000.000 MB) equivale a 8.000.000 Mb. Questa conversione è rilevante quando si calcola il tempo di download o upload basandosi sulla velocità di connessione internet, che è solitamente misurata in megabit al secondo (Mbps).
[5] L’art. 32, paragrafo 1 GDPR stabilische: “Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio […]“.
§ 2. La normativa rilevante: l’impatto della violazione secondo il GDPR e il codice privacy
Quando parliamo di privacy in sanità, il contesto normativo che viene in rilievo è rappresentato da due principali fonti: una di derivazione europea ed una interna. Stiamo parlando, naturalmente, dei seguenti provvedimenti:
- da una parte, il Regolamento UE 2016/679 (che anche noi continueremo a chiamare, per brevità, semplicemente “GDPR“, acronimo di “General Data Protection Regulation”, che in italiano si traduce come “Regolamento Generale sulla Protezione dei Dati”), il quale ha riordinato la materia, abrogando tutta la previgente disciplina;
- dall’altra parte, il d.lgs. 30 giugno 2003, n. 196 (“Codice in materia di protezione dei dati personali” o anche “Codice Privacy“), come modificato – tra l’altro – dal d.lgs. 10 agosto 2018, n. 101, provvedimento quest’ultimo che ha attuato, appunto, il GDPR in seno all’ordinamento italiano.
Cerchiamo di individuare, per ciascuna di queste due fonti, le disposizioni rilevanti al fine di comprendere la disciplina normativa che regola il risarcimento danni per violazione degli obblighi di protezione dei dati personali.
Le norme del GDPR
Quanto al GDPR, il quadro regolatorio è rappresentato dalle seguenti disposizioni:
- i “considerando” nn. 10, 75, 85 e 146, che prevedono[6]:
- la necessità di assicurare un livello di protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento dei dati personali equivalente in tutti gli Stati membri (considerando 10);
- il rischio che, dal trattamento di dati personali, possano derivare danni fisici, materiali o immateriali, quale effetto di discriminazione, furto d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza di dati soggetti al segreto professionale, o qualsiasi altro danno economico o sociale significativo (considerando 75 e 85);
- l’obbligo per il titolare del trattamento (o il responsabile del trattamento) di risarcire i danni cagionati a una persona da un trattamento non conforme al GDPR, salvo esonero da responsabilità se dimostra che l’evento dannoso non gli è in alcun modo imputabile (considerando 146).
- gli articoli 1, 4 e 82, che rispettivamente stabiliscono:
- che oggetto del GDPR è la protezione dei diritti e delle libertà fondamentali delle persone fisiche, con particolare riferimento al diritto alla protezione dei dati personali (articolo 1);
- che “dato personale” è qualsiasi informazione riguardante una persona fisica identificata o identificabile, e “dati relativi alla salute” sono quei dati personali relativi alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute (articolo 4);
- infine, e soprattutto, che chiunque subisca un danno materiale o immateriale causato da una violazione del GDPR ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento (o dal responsabile), e che questi rimane esonerato dalla responsabilità solo se se dimostra che l’evento dannoso non gli è in alcun modo imputabile (articolo 82); approfondiremo il ruolo di questa disposizione in prosieguo.
[6] Giova rammentare che i “considerando” contenuti in un Regolamento UE, pur non costituendo enunciati di carattere normativo, costituiscono comunque elemento non secondario in chiave interpretativa perché “svolgono la funzione di spiegare le ragioni dell’intervento normativo e ne integrano la concisa motivazione” (cfr. Cass. V, 07/03/2022, n. 7280).
Le norme del Codice Privacy
Quanto al Codice Privacy, invece, viene in rilievo essenzialmente l’art. 152, a mente del quale “Tutte le controversie che riguardano le materie oggetto dei ricorsi giurisdizionali […] comunque riguardanti l’applicazione della normativa in materia di protezione dei dati personali, nonché il diritto al risarcimento del danno ai sensi dell’articolo 82 del medesimo regolamento [GDPR], sono attribuite all’autorità giudiziaria ordinaria“.
Com’è noto, l’art. 15 del Codice Privacy prevedeva che la responsabilità da trattamento dei dati personali dovesse configurarsi come responsabilità per l’esercizio di attività pericolose ex art. 2050 del codice civile (secondo questa norma, chiunque danneggia altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento del danno, salvo che provi di avere adottato tutte le misure idonee ad evitarlo).
Sennonché, l’art. 15 – come del resto tutto il Titolo III della Parte I del Codice Privacy – è stato abrogato dal d.lgs. n. 101/2018. Quindi la norma cardine in materia di responsabilità civile per violazione degli obblighi di protezione dei dati personali va oggi individuata nell’art. 82 GDPR. Tale ultima norma, ad ogni modo, riecheggia la precedente disposizione e conferma il principio di inversione dell’onere della prova (richiedendo che Il titolare o il responsabile del trattamento, per andare esenti da responsabilità, debbano dimostrare che l’evento dannoso non sia loro in alcun modo imputabile). E’ chiaro, dunque, che anche il GDPR riconosce indirettamente la natura rischiosa dell’attività di trattamento dei dati personali.
Risarcimento danni violazione dati personali: serve una mano?
§ 3. Oltre la protezione dei dati personali: in sanità la cybersecurity equivale a sicurezza delle cure
E’ doveroso sottolineare che la sicurezza informatica nel settore sanitario è un aspetto centrale che va ben oltre la protezione dei dati: la cybersecurity degli ospedali è strettamente legata alla sicurezza dei pazienti.
Recenti studi hanno sottolineato come vi sia un collegamento diretto tra gli attacchi dei criminal hacker e l’aumento della mortalità nelle strutture sanitarie colpite. Uno dei primi suggestivi esempi di questa affermazione è rappresentato dal caso di una donna deceduta nell’autunno del 2020 in seguito ad un attacco hacker che aveva colpito l’ospedale di Düsseldorf, in Germania. A causa del blocco informatico, l’ospedale non ha potuto accoglierla, costringendola a un trasferimento in altro ospedale (a 30 chilometri di distanza). Il ritardo nelle cure dovuto a questo trasferimento si è rivelato fatale.
Uno studio del Ponemon Institute statunitense ha evidenziato che l’89% delle organizzazioni sanitarie avrebbe subito 43 attacchi informatici negli ultimi 12 mesi, con costi elevati sia in termini di interruzione dei servizi che di risposta agli attacchi. Questi eventi hanno avuto un impatto diretto sulla sicurezza delle cure, causando ritardi nelle procedure e nei test diagnostici, incrementando la gravità delle malattie, la durata dei ricoveri e – come sopra osservato – persino il tasso di mortalità.
E’ chiaro, quindi che la cybersecurity in sanità non può più essere considerata un problema secondario o puramente tecnico: è una necessità strategica che richiede azioni volte a salvaguardare le organizzazioni da attacchi informatici, garantire la disponibilità dei servizi medici, assicurare il corretto funzionamento dei sistemi e delle apparecchiature mediche, mantenere la riservatezza e l’integrità dei dati dei pazienti. In difetto, le implicazioni potrebbero non limitarsi al risarcimento danni per la violazione dati personali, ma estendersi al risarcimento danni da “malasanità”.
§ 4. Cosa dice la giurisprudenza: le regole per il risarcimento danni da violazione dei dati personali
Abbiamo visto che la norma principale alla quale occore fare riferimento quando si parla di risarcimento danni per violazione degli obblighi di protezione dei dati personali è l’articolo 82 del GDPR. Vale la pena di trascriverne integralmente il testo:
Articolo 82 GDPR
Diritto al risarcimento e responsabilità(Regolamento UE 2016/679 [GDPR], art. 82)
- Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.
- Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.
- Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile.
- Qualora più titolari del trattamento o responsabili del trattamento oppure entrambi il titolare del trattamento e il responsabile del trattamento siano coinvolti nello stesso trattamento e siano, ai sensi dei paragrafi 2 e 3, responsabili dell’eventuale danno causato dal trattamento, ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato.
- Qualora un titolare del trattamento o un responsabile del trattamento abbia pagato, conformemente al paragrafo 4, l’intero risarcimento del danno, tale titolare del trattamento o responsabile del trattamento ha il diritto di reclamare dagli altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno conformemente alle condizioni di cui al paragrafo 2.
- Le azioni legali per l’esercizio del diritto di ottenere il risarcimento del danno sono promosse dinanzi alle autorità giurisdizionali competenti a norma del diritto dello Stato membro di cui all’articolo 79, paragrafo 2.
L’interpretazione di questa disposizione risulta oggi ben tratteggiata dalla giurisprudenza della Corte di Giustizia dell’Unione Europea (CGUE) e della Suprema Corte di Cassazione italiana. Vengono specificamente in rilievo tre pronunce:
- Corte giustizia Unione Europea, Sez. III, Sent., (data ud. 04/05/2023) 04/05/2023, n. 300/21
- Corte giustizia Unione Europea, Sez. III, Sent., (data ud. 14/12/2023) 14/12/2023, n. 340/21
- Cass. civ., Sez. I, Ord., (data ud. 19/04/2023) 12/05/2023, n. 13073
Analizziamole singolarmente.
La sentenza CGUE del 04/05/2023 nella causa C-300/21
La decisione riguarda un cittadino austriaco le cui informazioni personali erano state raccolte, in difetto di consenso, dalla Osterreichische Post (l’azienda postale nazionale in Austria). Quest’ultima, mediante analisi statistica, aveva dedotto un’alta affinità politica con un determinato partito, il che aveva suscitato nell’interessato “grave contrarietà”, “perdita di fiducia” ed un “sentimento di umiliazione”, in forza dei quali egli aveva chiesto un risarcimento di 1.000 euro per il danno non patrimoniale subito.
Respinta la domanda risarcitoria in primo ed in secondo grado, l’Oberster Gerichtshof (Corte Suprema austriaca) aveva sollevato domanda pregiudiziale davanti alla CGUE chiedendo una interpretazione dell’art. 82 GDPR, con specifico riferimento alla nozione di “danno” contemplata nel suo paragrafo 1.
I principi affermati dalla CGUE
Nel pronunciarsi sulla questione, la CGUE ha formulato tre importanti principi, di seguito riassunti con i rispettivi corollari:
Primo principio
- La mera violazione delle disposizioni del GDPR non è sufficiente per conferire all’interessato un diritto al risarcimento, nel senso che, a tal fine, devono sussistere tutti i canonici presupposti dell’illecito:
- una condotta colposa (la violazione del GDPR),
- un danno ed
- il nesso causale tra la prima ed il secondo.
Secondo principio
- Il risarcimento del “danno immateriale”, pur dovendo naturalmente essere dimostrato dall’interessato nella sua esistenza, non può essere subordinato al raggiungimento di una certa soglia di gravità. Ciò in quanto:
- l’articolo 82 GDPR stabilisce che sia i danni materiali sia quelli immateriali possono dar diritto a risarcimento, senza indicare una soglia minima di gravità per questi ultimi;
- il considerando 146 del GDPR sottolinea che il concetto di “danno” deve avere un’interpretazione ampia, in linea con la giurisprudenza della Corte di Giustizia, quindi non si può limitare il risarcimento ai soli danni di una certa gravità;
- infine, anche in forza del considerando 10 GDPR, subordinare il risarcimento di un danno immateriale al superamento di una certa soglia di gravità potrebbe compromettere la coerenza stessa del Regolamento, perché la definizione di tale soglia varierebbe a seconda della discrezionalità dei vari Giudici, influenzando la possibilità di ottenere o meno un risarcimento.
Terzo principio
- Per la liquidazione del danno, i Giudici nazionali devono applicare le norme interne di ciascuno Stato membro relative alla determinazione dell’entità del risarcimento dovuto, fermo restando il rispetto dei principi:
- di equivalenza (le norme interne non possono essere meno favorevoli rispetto a quelle che disciplinano il risarcimento del danno in situazioni analoghe), e
- di effettività (l’esercizio del diritto al risarcimento del danno non deve essere reso, in pratica, impossibile o eccessivamente difficile).
In conclusione, la CGUE evidenzia che il risarcimento pecuniario di cui all’articolo 82 del GDPR deve essere “pieno ed effettivo”, ovvero sufficiente a “compensare integralmente il danno concretamente subito a causa della violazione di tale regolamento“, pur non essendo necessario, a tal fine, imporre il versamento di un risarcimento punitivo (punto 58 della motivazione).
La sentenza CGUE del 14/12/2023 nella causa C-340/21
La sentenza ha ad oggetto il caso di una cittadina bulgara che aveva rivendicato il diritto al risarcimento del “danno immateriale” sofferto a causa della pubblicazione dei suoi dati pesonali su internet a seguito di un attacco hacker che aveva colpito il sistema informatico di un ente nazionale deputato alla salvaguardia e al recupero dei crediti pubblici (per intenderci: la nostra Agenzia Entrate Riscossione, ex Equitalia).
Ritenendo che il titolare del trattamento avesse violato i suoi obblighi legali, l’interessata chiedeva la somma di circa 510 euro a titolo di danno morale, descritto come consistente nel “timore che i suoi dati personali che sono stati pubblicati senza il suo consenso siano oggetto di un utilizzo abusivo, in futuro, o che essa subisca un ricatto, un’aggressione, o addirittura un rapimento“.
Respinta la domanda risarcitoria dal Tribunale amministrativo di Sofia, la signora ha impugnato la decisione davanti alla Corte Suprema Amministrativa della Bulgaria, la quale ha sollevato questione pregiudiziale interpretativa su varie disposizioni del GDPR.
Le statuizioni della CGUE
La Corte di Giustizia dell’Unione Europea ha dato sostanziale continuità all’orientamento espresso con il precedente del 04/05/2023 nella causa C-300/21. In estrema sintesi, ecco i sei principi formulati dalla CGUE nel caso in questione:
- Una divulgazione non autorizzata di dati personali o un accesso non autorizzato a tali dati da parte di terzi (come nel caso di un attacco hacker) non sono sufficienti – di per sé – per ritenere che le misure tecniche e organizzative fossero inadeguate, senza neppure consentire al titolare del trattamento di fornire la prova contraria.
- L’adeguatezza delle misure tecniche e organizzative deve essere valutata dai giudici nazionali in concreto, tenendo conto dei rischi connessi al trattamento di cui trattasi e valutando se la natura, il contenuto e l’attuazione di tali misure fossero adeguati a tali rischi.
- Nell’ambito di un’azione di risarcimento dani per violazione dei dati, l’onere della prova dell’adeguatezza delle misure di sicurezza incombe sul titolare del trattamento.
- Per valutare l’adeguatezza delle misure di sicurezza attuate dal titolare del trattamento ai sensi di tale articolo, una perizia giudiziaria non può costituire un mezzo di prova sistematicamente necessario e sufficiente.
- Non necessario, perché il ricorso alla perizia potrebbe rivelarsi superfluo se fossero disponibili i risultati di un controllo del rispetto delle misure di protezione dei dati personali effettuato da un’autorità indipendente e stabilita per legge (purché tale controllo sia recente, in quanto dette misure devono essere riesaminate e aggiornate ove necessario).
- Non sufficiente, perché è sempre necessario che un giudice imparziale effettui una valutazione obiettiva dell’adeguatezza delle misure in questione.
- Il titolare del trattamento, per essere esonerato dall’obbligo di risarcire il danno, non può addurre il solo fatto che esso deriva da una divulgazione non autorizzata di dati personali o da un accesso non autorizzato da parte di terzi (come nel caso di un attacco hacker), ma deve dimostrare che il fatto che ha provocato il danno in questione non gli è in alcun modo imputabile: deve cioè provare che non sussiste alcun nesso di causalità tra la sua eventuale violazione dell’obbligo di protezione dei dati e il danno subito dall’interessato.
- Il timore di un potenziale utilizzo abusivo dei suoi dati personali da parte di terzi a seguito di una violazione del GDPR può, di per sé, costituire un “danno immateriale”, fermo restando che il giudice nazionale deve verificare che tale timore possa essere considerato fondato, nelle circostanze specifiche di cui trattasi e nei confronti dell’interessato.
La sentenza Cass. I, 12/05/2023, n. 13073
Questa pronuncia si pone in linea con l’interpretazione della CGUE, superando le posizioni più restrittive precedentemente espresse dalla Suprema Corte in tema di risarcimento danni da violazione dei dati personali.
Il caso in discussione era quello di un dipendente comunale che aveva subito la pubblicazione non autorizzata dei propri dati personali sul sito web istituzionale del Comune suo datore di lavoro. Trattavasi, nella specie, di una determina relativa a pignoramento presso terzi del quinto dello stipendio, che era rimasta esposta senza oscuramento dei dati, per poco più di 24 ore, nell’albo pretorio on-line. Il Comune, che era stato condannato al risarcimento, aveva impugnato la sentenza del Tribunale con ricorso per Cassazione[7].
La Suprema Corte, nel rigettare il ricorso, ha precisato innanzitutto che era assolutamente irrilevante la circostanza che – come preteso dal Comune ricorrente – la violazione dei dati fosse avvenuta a causa di un errore umano o distrazione: infatti, il titolare del trattamento è responsabile anche per gli atti colposi dei propri dipendenti, conformemente a quanto stabilito in linea generale dagli artt. 1228 e 2049 del codice civile.
[7] Ricordiamo che l’art. 152 Codice Privacy, al comma 1 bis, prevede che le controversie in materia di trattamento dei dati personali sono disciplinate dall’art. 10 d.lgs. n. 150/2011, a mente del quale – tra l’altro – “La sentenza che definisce il giudizio non è appellabile […]“.
Le argomentazioni della Suprema Corte
L’iter argomentativo della sentenza prosegue poi su queste direttrici:
- il danno non patrimoniale risarcibile deriva dalla lesione di un diritto fondamentale (quello alla protezione dei dati personali) che è tutelato dagli artt. 2 e 21 della Costituzione italiana, e dall’art. 8 della Convenzione Europea dei Diritti dell’Uomo (CEDU);
- l’art. 82 GDPR conferma la rilevanza del rimedio risarcitorio, stabilendo che il diritto al risarcimento spetta a “chiunque subisca un danno materiale o immateriale”;
- pertanto il danno causato da una violazione del GDPR va risarcito “anche se la lesione sia marginale”;
- il criterio (generale e consolidato) secondo cui il danno non può mai dirsi in re ipsa, nel sistema codificato dal GDPR, va inteso nel senso che la mera violazione delle sue norme non integra, di per sé sola, una lesione idonea a generare danno risarcibile, a tal fine occorrendo che la violazione abbia concretamente offeso la portata effettiva del diritto alla riservatezza del dato;
- la sussistenza di un danno risarcibile, il cui accertamento integra ovviamente questione di fatto ed è rimesso al giudice di merito, può essere ricavata (anche presuntivamente) dalla tipologia del dato e dal contesto in cui ne è avvenuta l’indebita ostensione.
I principi di diritto affermati dalla Cassazione
La motivazione della Corte si conclude con l’affermazione dei seguenti due principi di diritto:
(Cass. civ. I, 12/05/2023, n. 13073)
- in base alla disciplina generale del […] GDPR, il titolare del trattamento dei dati personali è sempre tenuto a risarcire il danno cagionato a una persona da un trattamento non conforme al regolamento stesso, e può essere esonerato dalla responsabilità non semplicemente se si è attivato (come suo dovere) per rimuovere il dato illecitamente esposto, ma solo “se dimostra che l’evento dannoso non gli è in alcun modo imputabile”;
- l’esclusione del principio del danno in re ipsa presuppone, in questi casi, la prova della serietà della lesione conseguente al trattamento; ciò vuol dire che può non determinare il danno la mera violazione delle prescrizioni formali in tema di trattamento del dato, mentre induce sempre al risarcimento quella violazione che concretamente offenda la portata effettiva del diritto alla riservatezza.
§ 5. Identificare e valutare i danni: riflessioni sulla violazione dei dati sanitari
Il danno non può mai essere in re ipsa: questo è un principio ormai acquisito al sistema della responsabilità civile e la Corte di Cassazione ci ha ben spiegato che non è la lesione del bene o del diritto, ma sono le ulteriori conseguenze pregiudizievoli che ne derivano a poter essere risarcite. Come non è la mera lesione della salute ad integrare danno biologico risarcibile, ma le menomazioni funzionali e dinamico-relazionali che ne derivano, così non è la mera violazione dei dati sanitari a dare accesso, sic et simpliciter, alla sanzione risarcitoria, ma occorre che, da quella violazione, sia derivato un pregiudizio, patrimoniale o non patrimoniale.
E quali sono, allora, i danni che possono venire in rilievo quando si verifica una violazione dei dati personali?
Quali sono quelle conseguenze pregiudizievoli “ulteriori” di cui si può domandare il risarcimento?
La risposta è agevolata dallo stesso tenore letterale del GDPR e, in specie, dei suoi considerando nn. 75 e 85.
Il considerando n. 75 del GDPR
Il considerando 75 premette che “I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale“, e prosegue poi con la seguente esemplificazione:
(Considerando 75 GDPR)
- se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo;
- se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l’esercizio del controllo sui dati personali che li riguardano;
- se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza;
- in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali;
- se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori;
- se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati.
Il considerando n. 85 del GDPR
Dal canto suo, il considerando 85 ricorda che “Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche“, e anch’esso esemplifica con riguardo a:
(Considerando 85 GDPR)
- perdita del controllo dei dati personali che li riguardano o
- limitazione dei loro diritti,
- discriminazione,
- furto o
- usurpazione d’identità,
- perdite finanziarie,
- decifratura non autorizzata della pseudonimizzazione,
- pregiudizio alla reputazione,
- perdita di riservatezza dei dati personali protetti da segreto professionale o
- qualsiasi altro danno economico o sociale significativo alla persona fisica interessata.
E’ chiaro che tutte queste ipotesi costituiscono, potenzialmente, distinte ed autonome fattispecie di danno risarcibile, che l’interessato ha naturalmente l’onere di allegare e di provare in giudizio, beninteso anche in via presuntiva nel rispetto dei requisiti di gravità, precisione e concordanza di cui all’art. 2729 c.c.
Tanto più che, secondo la stessa sentenza di CGUE 04/05/2023, ai fini dell’applicazione del GDPR, le nozioni di “danno materiale o immateriale” e di “risarcimento del danno” devono essere considerate autonome (cfr. punto 30 della sentenza), il che significa che “devono ricevere, tenuto conto della mancanza di qualsiasi riferimento al diritto interno degli Stati membri, una definizione autonoma e uniforme, propria del diritto dell’Unione” (punto 44), con la conseguenza che devono essere fatte oggetto della stessa interpretazione in tutti gli Stati membri.
§ 6. Verso una maggiore sicurezza dei dati in sanità: conclusioni e prospettive
La sicurezza dei dati in sanità è centrale. Infrazioni come quella occorsa all’AUSL di Modena, ma anche a tante altre strutture sanitarie pubbliche e private, portano sempre conseguenze gravi. Perciò si rendono evidentemente necessarie misure proattive per proteggere i pazienti e i loro dati personali, oltre che per conservare la fiducia nel sistema sanitario.
Un caleidoscopio di danni risarcibili
Una violazione dei dati personali, in particolare quelli sanitari, può dare luogo a diverse tipologie di danni risarcibili, ognuna con specifiche connotazioni e sfumature:
- un danno non patrimoniale (tipicamente morale o – per chi accetta questa dizione – “esistenziale”), che comprende
- lo stress e il patimento derivanti dalla violazione del proprio diritto alla riservatezza, attuata con la diffusione non autorizzata di dati sanitari a un pubblico indeterminato;
- l’ansia, il timore e la preoccupazione derivanti dalla consapevolezza di essere esposti a rischi come furti d’identità o usi impropri delle informazioni personali relative alla propria identità e alla propria salute, come anche di subire un ricatto, un’aggressione, o addirittura un rapimento, nonché
- l’angoscia, la rabbia e la vergogna derivanti dalla divulgazione di eventuali patologie gravi o stigmatizzanti, fonte peraltro di un rischio concreto di emarginazione sociale e professionale per il soggetto interessato;
- un danno patrimoniale, qualora sia possibile documentare che la violazione dei dati abbia prodotto conseguenze pregiudizievoli in termini di danno emergente o lucro cessante.
Per le strutture sanitarie, resistere a tali domande risarcitorie potrebbe rivelarsi una impresa complicata. Come abbiamo visto, il titolare del trattamento si libera da responsabilità soltanto dimostrando che l’evento dannoso non gli sia in alcun modo imputabile (come previsto dall’art. 82, paragrafo 3, GDPR). Si tratta di una dimostrazione obiettivamente difficile da fornire , se non addirittura di una probatio diabolica.
E se i pazienti danneggiati organizzassero una azione di classe?
Di fronte a violazioni su vasta scala, i pazienti potrebbero altresì considerare un’azione collettiva (class action), sulla falsariga, ad esempio, dell’azione che – seppur ancora in itinere – ha portato alla condanna di Volkswagen, ritenuta responsabile di aver installato un software non conforme alle normative europee in alcuni suoi motori diesel, al risarcimento dei danni in favore di un nutrito gruppo di consumatori.
È essenziale che le vittime siano consapevoli dei propri diritti e delle opzioni risarcitorie disponibili. Una class action potrebbe rappresentare un percorso efficace per ottenere un risarcimento giusto ed equo, cumulando le rispettive pretese in un unico procedimento giudiziario, ottimizzando risorse e sforzi necessari, e riaffermando la necessità di tutelare i diritti dei pazienti in ambito sanitario.
La privacy, in sanità, non è solo una prescrizione, ma una promessa: romperla può costare caro, in termini economici, e anche di fiducia. E, come nel gioco del domino, una tessera che cade può far crollare un intero sistema.
Fonti e risorse:
- Corte giustizia Unione Europea, Sez. III, Sent., (data ud. 04/05/2023) 04/05/2023, n. 300/21
- Corte giustizia Unione Europea, Sez. III, Sent., (data ud. 14/12/2023) 14/12/2023, n. 340/21
- Cass. civ., Sez. III, Sent., (data ud. 26/05/2023) 25/07/2023, n. 22338
- Cass. civ., Sez. I, Ord., (data ud. 19/04/2023) 12/05/2023, n. 13073
- Regolamento UE 2016/679 (GDPR)
- D.lgs. 30 giugno 2003, n. 196 (Codice Privacy)
«Quando si tratta di privacy e di responsabilità, le persone chiedono sempre la prima per sé e la seconda per tutti gli altri.
(David Brin, The Transparent Society, 1999)
[When it comes to privacy and accountability, people always demand the former for themselves and the latter for everyone else.]»