Le Sezioni Unite sul contrasto giurisprudenziale sorto in tema di trattamento di dati personali e sensibili

Il trattamento dei dati sensibili, effettuato sia da soggetti pubblici che da persone giuridiche private, che agiscono, rispettivamente, per la realizzazione di una finalità di pubblico interesse o in adempimento di un obbligo contrattuale, deve avvenire mediante tecniche di cifratura che non rendano identificabile il soggetto interessato.

Un privato cittadino conveniva in giudizio avanti al Tribunale di Napoli, la banca B.d.N. SPA, la Regione Campania e il Garante per la protezione dei dati personali per illegittimo trattamento dei dati personali, idonei a rilevare il proprio stato di salute, domandando il relativo risarcimento del danno, la rimozione del dato divulgato e l'adozione delle misure idonee a prevenirne l'ulteriore divulgazione.

In particolare il ricorrente è beneficiario di un indennizzo ai sensi della l. n. 210/1992 erogato dalla Regione Campania mediante accredito sul conto corrente del medesimo, aperto presso una filiale dell'istituto di credito B.d.N. SPA (la l. n. 210/1992 riconosce un diritto ad un indennizzo a quei soggetti danneggiati da complicanze di tipo irreversibile a causa di vaccinazioni obbligatorie e trasfusioni di cui all'art. 1.

Tale indennizzo, oltre ad essere erogato periodicamente ai soggetti di cui all'art. 1 della l. 210/1992, viene altresì erogato, una tantum, ai prossimi congiunti dei soggetti deceduti a causa di vaccinazioni obbligatorie o di infezioni da HIV a seguito di trasfusioni o di contatti da parte degli operatori sanitari con sangue e suoi derivati provenienti da soggetti affetti da infezione da HIV.

In fatto, il ricorrente rilevava che da una parte la Regione Campania, nel disporre il pagamento della predetta indennità in suo favore, aveva indicato quale causale del pagamento «pagamento ratei arretrati bimestrali e posticipati l. 210/1992» e dall'altra l'istituto di credito aveva indicato tale movimento, con la medesima dicitura, nell'estratto conto cartaceo inviato al beneficiario.

Per tali ragioni, il ricorrente deduceva un illegittimo trattamento e divulgazione dei propri dati sensibili sia da parte della Banca che da parte della Regione Campania.

Il Tribunale di Napoli (Trib. Napoli n. 5389/2012) ha rigettato il ricorso, statuendo che con riferimento all'illecito contestato alla Regione Campania, deve escludersi che vi sia stata una diffusione di dati sensibili, in quanto tali dati non sono stati portati a conoscenza di soggetti indeterminati, ma sono stati trasmessi ad un soggetto determinato preventivamente autorizzato da un contratto di conto corrente; mentre con riferimento al'istituto di credito, il Giudice di primo grado ha stabilito che la condotta di quest'ultima si è risolta in una mera detenzione, non prevista quale modalità di trattamento dei dati, e derivante dall'esecuzione di un obbligo contrattuale.

Avverso tale decisione il sig. C.M. ha proposto ricorso per cassazione.

La Sezione I della Suprema Corte, chiamata a pronunciarsi sulla questione, ha ravvisato un contrasto giurisprudenziale dovuto a due pronunce diametralmente opposte sulla medesima fattispecie; quindi, con ordinanza n. 3455 del 9 febbraio 2017, domanda la rimessione della causa alle Sezioni Unite Civili.

La questione giuridica sottesa alla sentenza in esame è relativa all'accertamento dell'eventuale illiceità della condotta delle parti resistenti ai sensi del d. lgs. n. 196/2003, necessariamente subordinato alla risoluzione dei seguenti interrogativi:

1) se i dati in questione debbano essere considerati dati personali e, in tal caso, se siano dati sensibili;

2) se l'utilizzazione, comunicazione, diffusione e detenzione dei medesimi possano configurare un trattamento di dati personali ex d. lgs. n. 196/2003;

3) se le parti resistenti possano essere qualificate quali titolari del trattamento di tali dati.

Con la sentenza in esame, la Suprema Corte, al fine di dirimere il contrasto giurisprudenziale sorto in materia, derivante da due pronunce della medesima Corte, Cass. civ. n. 10947/2014 e Cass. civ. n. 10280/2015, ha preliminarmente stabilito che:

a) i dati desumibili dalla dicitura «pagamento ratei arretrati bimestrali e posticipati l. 210/1992» sono da considerarsi dati personali, perché riferibili ad una persona ben identificata, e sensibili perché idonei a fornire informazioni sullo stato di salute della persona identificata, nello specifico da tale dicitura è altresì desumibile la periodicità della corresponsione da cui, di conseguenza, si evince che il soggetto interessato è affetto dalle patologie di cui alla l. n. 210/1992, e non può certo trattarsi di un erede a cui la legge riconosce un assegno una tantum (superando quanto stabilito, sulla medesima questione, da Cass. civ. n. 10280/2015);

b) la trasmissione dei dati personali sensibili da parte della Regione Campania all'istituto di credito, nonché le operazioni eseguite dalla banca sui medesimi dati rientrano nella definizione normativa di “trattamento dei dati personali” di cui all'art. 4, lett. a) del d. lgs. n. 196/2003 (diversamente da quanto affermato in primo grado dal Tribunale di Napoli);

c) la Regione Campania e l'istituto di credito devono essere considerati quali titolari del trattamento dei dati sensibili del ricorrente, ognuno per i propri adempimenti, di natura pubblica e di natura contrattuale, posti in essere per procedere all'accreditamento dell'indennità in favore dello stesso;

d) deve escludersi che il consenso al trattamento dei dati personali sensibili possa desumersi in via indiretta dalle richieste effettuate dal ricorrente alla Regione o alla banca, in quanto è proprio il sistema generale di protezione dei dati personali che si fonda sul consenso espresso dell'interessato al trattamento dei dati personali.

Svolte tali premesse, la Suprema Corte ha pertanto illustrato il quadro normativo applicabile in caso di trattamento di dati sensibili effettuato da soggetti pubblici o privati, evidenziando che, nel caso in esame, la protezione dei dati sensibili opera ancor prima che in virtù del d. lgs. n. 196/2003, anche sulla base dell'art. 3 della l. 210/1992, che prevede l'adozione di opportune modalità organizzative per garantire il diritto alla riservatezza dell'interessato nella fase di istruttoria e acquisizione delle domande di indennizzo.

1) Sul trattamento di dati sensibili effettuato da soggetti pubblici

Nel Capo II del Titolo III del d. lgs. n. 196/2003, relativo alla disciplina applicabile al trattamento dei dati personali effettuato da parte di soggetti pubblici, vi è innanzitutto l'art. 18 che stabilisce i principi generali e che prevede espressamente che qualunque trattamento di dati personali da parte di soggetti pubblici è consentito soltanto per lo svolgimento delle funzioni istituzionali.

Per quanto riguarda il trattamento dei dati sensibili, l'art. 20 stabilisce inoltre che il trattamento di dati sensibili da parte di un soggetto pubblico, deve essere autorizzato da un'espressa disposizione di legge, e deve essere effettuato secondo le modalità di cui all'art. 22, volte a prevenire violazioni dei diritti, delle libertà fondamentali e della dignità dell'interessato.

Tali modalità sono indicate più precisamente nei commi 6 e 7 dell'art. 22, e prevedono l'adozione di tecniche di cifratura dei dati o l'utilizzazione di codici identificativi che «considerato il numero e la natura dei dati trattati, li rendono temporaneamente inintelligibili anche a chi è autorizzato ad accedervi».

Su tale aspetto pertanto, la sentenza in esame si è discostata dall'interpretazione fornita dalla sentenza n. 10815/2015 che aveva ritenuto l'obbligo di cifratura dovesse limitarsi soltanto ai dati contenuti in banche dati o registri elettronici, dando così continuità all'orientamento espresso dalla precedente sentenza n. 10947/2014, che aveva stabilito che i dati sensibili «devono essere trattati con tecniche di cifratura o mediante codici identificativi che li rendano temporaneamente inintelligibili a chi è autorizzato ad accedervi».

Per tali ragioni, la Corte di Cassazione, a Sezioni Unite, ha definitivamente stabilito che le operazioni di trattamento dei dati sensibili effettuate da un oggetto pubblico, così come la conservazione, l'estrazione e la selezione, deve avvenire mediante tecniche che non consentano l'individuazione del soggetto o che consentano il collegamento tra dati sensibili e elementi identificativi del medesimo.

2) Sul trattamento di dati sensibili effettuato da soggetti di diritto privato

La disciplina applicabile al trattamento dei dati personali effettuato da soggetti di diritto privato è contenuta nel successivo Capo III del Titolo III del d. lgs. n. 196/2003.

L'art. 23 contiene la regola generale della necessità, nel caso di trattamento di dati personali, del consenso espresso dell'interessato, che dovrà essere manifestato in forma scritta quando il trattamento è relativo a dati sensibili.

Il successivo art. 24 disciplina le ipotesi in cui il consenso dell'interessato non è richiesto, ma non in riferimento ai dati sensibili, per i quali è prevista una garanzia espressa al successivo art. 26, che stabilisce che i dati sensibili possano essere oggetto di trattamento, previa autorizzazione del Garante, solo con il consenso scritto dell'interessato.

Il comma 4 del medesimo articolo fornisce un elenco di attività per le quali, sempre previa autorizzazione del Garante, non è necessario il consenso scritto dell'interessato.

Su tale aspetto, con Cass. civ. n. 10280/2015, la Corte aveva ritenuto, in un caso analogo, che il trattamento effettuato dall'istituto di credito rientrasse nella deroga di cui all'art. 26 comma 4 lett. d) in quanto riferibile all'adempimento di obblighi normativi per la gestione del rapporto di lavoro, anche in materia di igiene e sicurezza del lavoro e della popolazione e di previdenza e assistenza.

Tuttavia le Sezioni Unite, con la pronuncia in commento, hanno stabilito che la prestazione derivante dall'applicabilità della l. 210/1992 è estranea agli obblighi derivanti dal rapporto di lavoro e che, pertanto, il trattamento dei dati sensibili derivanti dalla medesima prestazione deve essere subordinato al consenso espresso in forma scritta dell'interessato.

Pertanto, in virtù del d. lgs. n. 196/2003, la Suprema Corte ha definitivamente escluso che le cautele, in merito al trattamento dei dati sensibili, poste a carico del soggetto pubblico non debbano essere applicate ai soggetti di diritto privato, ai quali i predetti dati siano trasmessi in virtù di un obbligo legale o un vincolo contrattuale, al fine di riconoscere ed erogare l'indennità ex l. 210/1992.

Per tali ragioni, al fine di dirimere il contrasto giurisprudenziale emerso, la Cassazione ha definitivamente stabilito che nel procedimento di riconoscimento, erogazione e accredito dell'indennità ex l. n. 210/1992, i titolari del trattamento dei dati personali e sensibili (soggetto pubblico e soggetto di diritto privato) sono tenuti ad occultare il riferimento alla l. n. 210/1992 in quanto idoneo a rivelare lo stato di salute del beneficiario.

Le Sezioni Unite della Suprema Corte hanno così accolto il ricorso proposto dal sig. C.M., rinviando la causa al Tribunale di Napoli affinché si attenga al seguente principio di diritto: «I dati sensibili idonei a rivelare lo stato di salute possono essere trattati soltanto mediante modalità organizzative, quali tecniche di cifratura o criptatura che rendono non identificabile l'interessato. Ne consegue che i soggetti pubblici o le persone giuridiche private, anche quando agiscano rispettivamente in funzione della realizzazione di una finalità di pubblico interesse o in adempimento di un obbligo contrattuale, sono tenuti all'osservanza delle predette cautele nel trattamento dei dati in questione».

La sentenza in commento fornisce un'indicazione puntuale e ben motivata su quali debbano essere le modalità di trattamento dei dati sensibili sia da parte dei soggetti pubblici che agiscono per una finalità di pubblico interesse, sia da parte dei soggetti di diritto privato che più semplicemente adempiono ad un obbligo contrattuale.

L'indicazione è piuttosto precisa: i dati sensibili devono essere trattati con modalità che rendano i medesimi dati anonimi (con tecniche di cifratura) e che non siano in alcun modo riconducibili al soggetto interessato.

Del resto è sufficiente analizzare le norme di cui al d. lgs. n. 196/2003, nonché l'art. 3 Cost. per rilevare come i dati sensibili, ovvero quei «dati idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale» così come definiti all'art. 4 n. 1 lett. a) del d. lgs. n. 196/2003, godono di una tutela rafforzata proprio perché trattasi di dati inerenti gli aspetti più intimi del soggetto interessato, e in quanto tali necessariamente legati a quei diritti fondamentali ed inviolabili dell'individuo.