Il trattamento dei dati sensibili in Cassazione
di Sabrina Filosa - Con una recente pronuncia la Prima Sezione Civile della Corte di Cassazione (ordinanza n. 3456/2017 qui sotto allegata) ha rimesso gli atti al Primo Presidente per l'eventuale assegnazione della causa alle Sezioni Unite Civili in relazione al contrasto sorto all'interno delle Sezioni Ordinarie in relazione alle nozioni e alle modalità di trattamento e di comunicazione di dati sensibili, con particolare riferimento a quei dati che possano essere indicativi delle condizioni di salute del titolare.
La vicenda
Il Sig. Tizio conveniva innanzi al Tribunale Napoli la Regione Campania e la Spa Banco di Napoli, nonché il Garante per la protezione dei dati personali.
Il ricorrente beneficiava di un indennizzo ai sensi della l. n. 210/92 che veniva pagato dalla Regione Campania mediante accredito sul conto corrente del medesimo presso una filiale del Banco di Napoli. Nel disporre il pagamento per via telematica la Regione aveva indicato il titolo di pagamento mediante la seguente dizione "pagamento ratei arretrati semestrali e posticipati l. n. 210/92" e che con la stessa dizione la Banca aveva contraddistinto il relativo movimento nell'estratto conto cartaceo inviatogli.
Secondo la difesa del ricorrente la summenzionata indicazione (in quanto idonea a rivelare lo stato di salute) costituiva un illegittimo trattamento dei dati personali che aveva causato un danno risarcibile.
Orientamenti della Cassazione sulla fattispecie in esame
Un primo orientamento della Suprema Corte (decisione n. 10947/14 I° sez.) ha ritenuto che l'art. 2 del decreto legislativo n. 196/03 precisa che il trattamento dei dati personali deve svolgersi nel rispetto dei diritti e delle libertà fondamentali, con particolare attenzione alla riservatezza e alla identità personale.
In tale ottica grande importanza deve essere riconosciuta ai cd. dati sensibili e allo stretto collegamento che sussiste tra protezione della riservatezza e tutela della salute. La stessa Corte ha ritenuto che: "gli Enti pubblici sono tenuti a conformare il trattamento dei dati sensibili - secondo modalità volte a prevenire violazione di diritti, delle libertà fondamentali e della dignità dell'interessato - ove tali dati siano indispensabili per svolgere attività istituzionali che non possono essere adempiute con il trattamento di dati anonimi o personali di diversa natura ed in ogni caso i dati idonei a rivelare lo stato di salute non possono essere diffusi".
Ergo da quanto sin qui esposto – secondo tale orientamento della Corte di Cassazione – in situazioni come quelle del caso de quo si avrebbe un illegittimo trattamento dei dati personali che, in virtù dell'art. 22 del dlgs. n. 196/03, dovrebbero essere diffusi utilizzando cifrature o numeri di codice non identificabili.
Con altro orientamento (decisione n. 10280/15 III° sez.) la Suprema Corte, invece, ha escluso che in fattispecie come in quelle in esame, siano riscontrabili violazioni delle disposizioni contenuto nel citato dlgs n. 196/03.
In primis è stato escluso che la dizione "indennizzo ex lege 210/92" possa essere considerata un dato sensibile, perché inidoneo a rivelare lo stato di salute del beneficiario, in quanto le provvidenze previste dalla l. n. 210/92 sono erogate: da un lato, a coloro che hanno patito un'infezione per effetto di trasfusione o vaccinazione; dall'altro ai prossimi congiunti di persone decedute a causa dell'infezione da trasfusione o vaccinazione. Ergo, secondo tale orientamento, la summenzionata dizione da sola sarebbe inidonea a rivelare lo stato di salute del beneficiario.
In realtà, a ben vedere, la l. 210/92 attribuisce ai congiunti della persona deceduta a seguito di contagio una somma "una tantum", mentre il pagamento dei ratei si riferisce in modo inequivocabile ad un soggetto che abbia riportato menomazione permanente dell'integrità psicofisica o risulti contagiato da infezioni HIV.
Così, nel caso che ha occupato la Suprema Corte, l'indicazione così come era formulata costituiva un dato sensibile soggetto a regole precise per la sua utilizzazione e diffusione. In particolare, per "diffusione" deve intendersi il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.
Comunque con tale secondo orientamento si era esclusa una condotta illegittima dell'ente pubblico e della Banca per le seguenti ragioni: 1) per la p.a. non costituisce violazione delle norme sulla riservatezza adempiere precisi obblighi di legge; 2) per la Banca non costituisce violazione delle norme sulla riservatezza adempiere obblighi scaturenti da un contratto.
Si è così sostenuto che le norme sulla tutela dei dai sensibili vanno coordinate sia con le norme costituzionali sia con le nome civilistiche in tema di negozi giuridici.
In conseguenza del contrasto sussistente nella giurisprudenza di legittimità sulla definizione delle nozioni di trattamento e di comunicazione dei dati sensibili, nonché sulle modalità di trattamento e alla comunicazione dei dati sensibili alla luce delle esigenze di protezione dei dati personali tali questioni sono state rimesse alle Sezioni Unite Civili.
Dott.ssa Sabrina Filosa
Email: filosas@hotmail.it
Data: 05/03/2017 16:00:00Autore: Sabrina filosa