LaSuprema Corte di Cassazione, con sentenza n. 30982 del 27 dicembre 2017, ha sancito il principio di diritto, secondo cui sia i soggetti pubblici che quelli privati devono ricorrere a tecniche di cifrature o criptatura per occultare i dati sensibili che rivelano lo stato di salute dell´interessato. E ciò ogniqualvolta tali dati siano trattati nell´ambito di un´attività connessa alla realizzazione di una finalità di pubblico interesse o all´adempimento di un obbligo contrattuale.
Il caso
La ricorrente è beneficiaria dell´indennità ex L. n. 210 del 1992 ("indennizzo a favore dei soggetti danneggiati da complicanze di tipo irreversibile a causa di vaccinazioni obbligatorie, trasfusioni e somministrazione di emoderivati"), riconosciutale dalla Regione in cui risiede. E´ accaduto che la Regione, nella causale di accredito dei ratei della predetta indennità, sul conto della ricorrente, ha usato la dicitura "pagamento rateo arretrati bimestrali e posticipati (...) L. n. 210 del 1992". Successivamente, la banca, dove la ricorrente ha il conto, nell´estratto conto inviato alla cliente, ha descritto la causale del bonifico proveniente dalla Regione, usando la medesima dicitura usata dalla quest´ultima.
La ricorrente ritiene che la dicitura in questione utilizzata prima dalla Regione e poi dalla banca, integra una violazione della normativa sulla privacy (D.lgs. n. 196/2003). In buona sostanza, l´indennità ex L. 210/1992, di cui è titolare la ricorrente, rivela lo stato di salute di quest´ultima che è un dato sensibile, per il cui trattamento sia la Regione che la banca, anziché adottare quella dicitura esplicita e facilmente riferibile alla stessa ricorrente, avrebbero dovuto utilizzare tecniche di cifrature tali da rendere quel dato inintelligibile. Di quest´avviso sono i giudici di legittimità. Ma vediamo il ragionamento seguito dalla Suprema Corte.
Privacy e trattamento dati sensibili
La legge in materia sulla privacy (art. 22, comma 1, D.lgs.n.196/2003) prevede che i soggetti pubblici (nella specie la Regione) hanno l´obbligo di trattare i dati sensibili in modo da impedire le violazioni dei diritti, delle libertà fondamentali e della dignità dell´interessato. Con particolare riferimento ai dati relativi allo stato di salute, i soggetti pubblici non hanno l´obbligo di raccogliere il consenso scritto dei loro titolari, ma sono obbligati a trattare tali dati con tecniche di cifrature o attraverso l´utilizzo di codici identificativi che rendono i dati medesimi inintelligibili anche a chi è autorizzato ad accedervi.
In buona sostanza, devono essere utilizzati strumenti e tecniche che consentono di identificare i titolari dei dati sensibili solo in caso di necessità (art. 22, commi 6 e 7). Secondo la Corte di Cassazione anche per la trasmissione e per la comunicazione di tali dati devono essere utilizzate le medesime tecniche di cifratura al fine di ridurre al minimo il rischio di un´identificazione non consentita dei titolari dei dati sensibili.
Nel caso di specie, pertanto, l´indennità ex L. n. 210/1992 rivela lo stato di salute della ricorrente che costituisce dato sensibile, per il cui trattamento – come detto – devono essere adottate le cautele richieste dalla legge sulla privacy. Ne consegue che la Regione, nell´usare la dicitura "pagamento rateo arretrati bimestrali e posticipati (...) L. n. 210 del 1992" ha esposto la ricorrente al rischio di una identificazione non consentita, ponendo in essere una condotta in espressa violazione delle norme sulla privacy su richiamate. Secondo la Corte di Cassazione, inoltre, l´obbligo in questione di utilizzare strumenti e tecniche che consentono di identificare i titolari dei dati sensibili solo in caso di necessità incombe anche in capo all´istituto bancario, soggetto privato.
E ciò malgrado la normativa sulla privacy prevede una disciplina diversa per i soggetti privati, titolari del trattamento dei dati sensibili. Ma vediamo perché. I soggetti privati sono obbligati a raccogliere il consenso scritto dai titolari di tali dati e l´autorizzazione del Garante della privacy. Sarà sufficiente solo l´autorizzazione del Garante quando i soggetti privati devono adempiere a specifici obblighi o compiti previsti dalla legge, da un regolamento o dalla normativa comunitaria per la gestione del rapporto di lavoro, anche in materia di igiene e sicurezza del lavoro e della popolazione e di previdenza e assistenza (art. 26 D.Lgs. 196 del 2003).
Tornando al caso di specie, l´indennità ex L. n. 210 del 1992, rivelatrice di un dato sensibile, risulta estranea al complesso di obblighi e benefici che derivano dal rapporto di lavoro. Pertanto, nella questione in esame, stando alla legge sulla privacy, la banca, per il trattamento dei dati sensibili connessi a tale indennità e per la relativa trasmissione, avrebbe dovuto chiedere sia l´autorizzazione del Garante della privacy che il consenso scritto della titolare. I giudici di legittimità, tuttavia, giungono ad una diversa conclusione. Vediamo nel dettaglio i motivi.
Conclusioni della Suprema Corte
Il trattamento, da parte della banca, dei dati sensibili della ricorrente, titolare dell´indennità in questione, a parere della Suprema Corte, sarebbe stato possibile senza il consenso scritto della ricorrente stessa. Infatti, secondo l´autorizzazione del Garante della privacy n. 5 del 2009, richiamata dai giudici di legittimità, con riferimento al trattamento dei dati sensibili da parte della banca, il consenso scritto del titolare è escluso quando l´istituto bancario agisce per adempiere a specifici obblighi contrattuali assunti con il cliente, in occasione dell´apertura del conto corrente (proprio come nella fattispecie in esame).
In questi casi, l´esclusione del consenso è possibile, però, ad una condizione, ossia l´istituto bancario deve procedere al trattamento dei dati sensibili dei propri clienti, mediante tecniche che non ne consentano l´identificazione, e quindi mediante tecniche di cifratura e criptatura che consentono di identificare i titolari dei dati sensibili solo in caso di necessità. Nella questione sottoposta all´attenzione della Suprema Corte, stando al ragionamento sin qui seguito, pertanto, per il trattamento dei dati sensibili della ricorrente, titolare dell´indennità ex legge n. 210 del 1992, la banca avrebbe dovuto ricorrere a tali tecniche, evitando di adottare la dicitura, usata in realtà, per descrivere l´estratto conto inviato alla ricorrente stessa. Infatti, così agendo, l´istituto bancario, proprio come la Regione, ha posto in essere una condotta in espressa violazione dell´obbligo di cui alla normativa sulla privacy e all´autorizzazione del Garante della privacy su richiamate. Alla luce di tali argomentazioni, pertanto, la Corte di Cassazione ha ritenuto di accogliere il ricorso presentato dalla ricorrente, cassando la sentenza con rinvio.
Rosalba Sblendorio, autrice di questo articolo, si è laureata presso l´Università degli Studi di Bari nell´anno 2001 e ha conseguito l´abilitazione alla professione di avvocato nell´anno 2004. E´ iscritta all´Ordine degli Avvocati di Bari. Ha già pubblicato su questo sito i seguenti articoli:
"Associazione pesca sportiva, SC chiarisce quando ha legittimazione attiva in giudizi a tutela ambiente" http://www.avvocatirandogurrieri.it/Associazione-di-pesca-sportiva-il-no-della-Cassazione-alla-legittimazione-attiva-nei-giudizi.htm; "Utilizzazione abusiva acqua pubblica: l´illecito resta anche se è pendente il procedimento di sanatoria" http://www.avvocatirandogurrieri.it/Utilizzazione-abusiva-acqua-pubblica-l-illecito-resta-anche-se-e-pendente-il-procedimento-di-1.htm; "Riproduzione di una foto: è possibile se non c´è consegna del negativo o di altro mezzo di riproduzione?"http://www.avvocatirandogurrieri.it/Riproduzione-di-una-foto-e-possibile-se-non-c-e-consegna-del-negativo-o-di-altro-mezzo-di.htm; "Chi risponde dei danni causati da autoarticolato? La soluzione della Cassazione" http://www.avvocatirandogurrieri.it/Sinistro-autoarticolato-causa-danni-SC-responsabili-solidalmente-proprietario-motrice-e-rimorchio.htm; "Punti su patente, Cassazione: nessun obbligo di comunicazione ad utente in caso di variazioni" http://www.avvocatirandogurrieri.it/Punti-su-patente-Cassazione-nessun-obbligo-di-comunicazione-ad-utente-in-caso-di-variazioni.htm, "Concorrenza sleale: il fallimento della società convenuta non fa venir meno la condotta illecita", https://www.avvocatirandogurrieri.it/Concorrenza-sleale-il-fallimento-della-societa-convenuta-non-fa-venir-meno-la-condotta-illecita.htm.