I dati sensibili idonei a rivelare lo stato di salute possono essere trattati soltanto mediante modalità organizzative, quali tecniche di cifratura o criptatura che rendono non identificabile l'interessato. Ne consegue che i soggetti pubblici o le persone giuridiche private, anche quando agiscano rispettivamente in funzione della realizzazione di una finalità di pubblico interesse o in adempimento di un obbligo contrattuale, sono tenuti all’osservanza delle predette cautele nel trattamento dei dati in questione.
Corte di Cassazione - Sezioni Unite - sent. 30981/2017: i dati sanitari sensibili devono essere trattati solo mediante tecniche che impediscano di risalire all’identità dell’interessato
27 dicembre 2017
M. C., beneficiario dell’indennità riconosciutagli ex l. 210/1992, ha dedotto l’illegittima detenzione e divulgazione del dato sensibile relativo alle sue condizioni di salute derivante dell’indicazione nella causale di accredito dell’indennità “pagamento rateo arretrati bimestrali e posticipati (…) l. n. 210/92”, indicando come responsabili sia la regione Campania, ente pubblico erogatore dell’indennità, che il Banco [omissis], essendo i ratei accreditati su un conto corrente presso l’istituto. Ha chiesto, al riguardo, la rimozione del dato e il risarcimento del danno.
Il Tribunale di Napoli respingeva la domanda ritenendo che “la trasmissione è avvenuta, mediante una rete informatica non accessibile a tutti, verso un soggetto determinato, quale l’istituto di credito, a sua volta previamente autorizzato dal contratto di conto corrente intrattenuto con l’interessato”. Con riferimento all’istituto bancario, il Tribunale di Napoli statuiva che “la condotta del Banco [omissis] si è risolta nell’esclusiva esecuzione di un obbligo contrattuale consistente nella descrizione, nell’estratto contro inviato al cliente, della causale del bonifico proveniente dalla regione Campania”, escludendo, quindi, alcun trattamento illecito dei dati sensibili in questione.
La prima sezione della Cassazione, ravvisando un contrasto di giurisprudenza, procedeva con rimessione alle Sezioni Unite (a sostegno della necessità di tecniche di cifratura si veda Cass., sez. I civile, sent. n. 10947 del 2014; di soluzione opposta Cass., sez. III civile, sent. n. 10280 del 2015).
Le Sezioni Unite ritengono necessario, preliminarmente, verificare:
- Se i dati in questione siano personali ed in caso di risposta affermativa, se siano da qualificare sensibili;
- Se l’utilizzazione degli stessi possa configurare un “trattamento” rilevante ai fini del sistema di protezione dei dati personali;
- Se la regione Campania e l’istituto bancario siano identificabili come titolari del trattamento dei dati in questione.
Il primo interrogativo viene risolto dalle Sezioni Unite indicando che “i dati desumibili dal richiamo alla l. 210/92 sono personali in quanto relativi ad una persona fisica identificata, e sensibili perché aventi un contenuto idoneo a rivelare lo stato di salute della persona identificata”.
Riguardo al secondo interrogativo, le Sezioni Unite richiamano la definizione normativa del trattamento dei dati personali ex art. 4, lettera a) del d. lgs. n. 196/2003 (Codice in materia di protezione dei dati personali), la quale consiste, oltre nella raccolta e conservazione, anche nella comunicazione (intesa come trasmissione rivolta verso un soggetto determinato) e diffusione (ossia la trasmissione verso un numero indeterminato di destinatari) degli stessi. Ne consegue che la trasmissione dei dati personali sensibili dalla regione Campania all’istituto bancario “è esattamente riconducibile alla “comunicazione” ed è pertanto rientrante nella definizione normativa di “trattamento”, così come lo sono le successive operazioni sui dati medesimi eseguite dal Banco [omissis]”.
In risposta al terzo interrogativo, le Sezioni Unite ribadiscono che “il titolare del trattamento, ex art. 4 lettera f) d. lgs n. 196/2003, è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento e agli strumenti utilizzati”. Deve quindi ritenersi che la regione Campania ed il Banco [omissis] sono titolari del trattamento dei dati sensibili del ricorrente, ciascuno per le funzioni e gli adempimenti posti in essere.
Ultimate tali premesse, le Sezioni Unite sottolineano che il d. lgs. 196/2003 si fonda sul principio generale della necessità del consenso espresso dall’interessato al trattamento di tali dati, “derogabile soltanto nelle ipotesi espressamente previste nella stessa legge o mediante diretta previsione normativa o mediante rinvio al potere conformativo-autorizzatorio del Garante”. Deve, quindi, escludersi che tale consenso possa desumersi in via indiretta da atti di natura diversa, come la richiesta d’indennità ex l. 210/92 o l’indicazione dell’istituto bancario presso il quale accreditare l’erogazione. Precisa la Corte che “il rapporto giuridicamente qualificato sussistente tra soggetto titolare del diritto alla protezione dei propri dati sensibili e titolare del trattamento dei dati stessi è del tutto autonomo rispetto al vincolo legale o contrattuale che avvince (…) i soggetti obbligati e il beneficiario”.
Precisa poi la Corte che il sistema legislativo è “ispirato al principio della massima limitazione possibile della circolazione e diffusione dei dati sensibili senza il consenso dell’interessato”.
Occorre quindi ritenere che “la regione Campania fosse tenuta in ogni operazione qualificabile come trattamento (…) ad adottare tecniche di cifratura o mediante l’utilizzazione di codici identificativi o di altre soluzioni che (…) li rendono temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e permettono di identificare gli interessi solo in caso di necessità”. La soluzione adottata in ordine al soggetto pubblico titolare del trattamento deve essere estesa anche all’istituto bancario.
Nel box download il testo della sentenza.