Con le ordinanze interlocutorie n. 3455 e 3456 del 9 febbraio 2017, la prima sezione della Corte di Cassazione ha chiesto l’assegnazione della causa alle Sezioni Unite Civili in relazione al contrasto sulla definizione e sulle modalità di comunicazione e di trattamento dei dati personali sensibili, con particolare riferimento a quelli sanitari.
Legge sulla privacy: il trattamento dei dati personali ai sensi del dlgs 196 del 2003
L’art. 2 del d.lgs. 196/2003 prevede che il trattamento dei dati personali deve svolgersi nel rispetto dei diritti e delle libertà fondamentali, con particolare riferimento alla riservatezza e alla libertà personale.
L’art. 4 precisa poi quali sono i dati sensibili, a cui deve essere assicurata una particolare tutela. Rientrano in questa categoria i dati personali idonei a rivelare:
- l’origine razziale ed etnica;
- le convinzioni religiose, filosofiche o di altro genere;
- le opinioni politiche;
- l’adesione a partiti, sindacati, associazioni o organizzazioni a carattere religioso, filosofico, politico o sindacale;
- lo stato di salute e la vita sessuale.
A tal riguardo, l’art. 22 prevede che gli enti pubblici sono tenuti a trattare i dati sensibili solo nei casi in cui sia indispensabile per svolgere attività istituzionali che non possono essere adempiute con dati anonimi, e comunque prevenendo qualunque violazione dei diritti, delle libertà fondamentali e della dignità dell’interessato.
In ogni caso i dati idonei a rivelare lo stato di salute non possono essere diffusi, salvo che siano trattati con tecniche di cifratura o codici di identificazione che li rendano temporaneamente illeggibili a chi è autorizzato ad accedervi.
Il contrasto giurisprudenziale: la comunicazione non cifrata di dati sanitari sensibili
Il contrasto giurisprudenziale ha avuto luogo in materia di indennizzi per coloro che, a seguito di vaccinazioni obbligatorie o trasfusioni di sangue infetto, avevano contratto HIV, altre malattie o subito menomazioni permanenti dell’integrità fisica e, in caso di morte, ai prossimi congiunti.
La violazione al trattamento dei dati personali lamentata era stata individuata nella rivelazione da parte della Regione erogatrice dell’indennizzo alla Banca, senza l’utilizzo di cifrature o numeri di codice, dei nominativi dei beneficiari nell’ordine di bonifico e successivamente nell’estratto conto bancario.
Secondo una parte di giurisprudenza tale trattamento doveva considerarsi illegittimo ai sensi dell’art. 22 dlgs 196/2003.
Altri hanno invece escluso la violazione delle norme sulla privacy sulla base dell’assunto che, essendo l’indennizzo previsto anche a favore dei prossimi congiunti di persone decedute a causa dell’infezione, a tutti gli effetti sani, non erano stati comunicati dati sensibili del percettore ma del dante causa.
Cosa si intende per diffusione dei dati sensibili
Il contrasto è emerso anche riguardo cosa debba intendersi per diffusione dei dati sensibili.
Secondo il codice della privacy, si realizza una diffusione dei dati sensibili ogni volta che sia data conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.
V’è dunque chi ritiene che qualora la comunicazione del dato sensibile venga effettuata nei confronti di un soggetto determinato (come la Banca, nel caso in esame) non può parlarsi di diffusione.
Altri sostengono al contrario che pur nell’ambito di un soggetto determinato, quale è la Banca, i dati sensibili sarebbero immediatamente conosciuti da un’enorme pluralità di soggetti, e cioè i dipendenti dell’istituto bancario: quanto ai destinatari dell’informazione la norma non distingue infatti la persona fisica da quella giuridica.
Le Sezioni Unite dovranno pertanto dare chiarimenti anche su tale circostanza.
Tutela della privacy: l’obbligo di cifratura dei dati sensibili
Anche riguardo alle modalità di trattamento dei dati personali e, in particolare, all’obbligo di cifrare i dati sensibili, sarà necessario un intervento chiarificatore delle Sezioni Unite.
Non è infatti chiaro se l’obbligo previsto dall’art. 22 dlgs 196/2003, previsto nei confronti degli enti pubblici, sia applicabile anche ai soggetti privati (quali la Banca, nel caso in esame).
Ne consegue che, secondo alcuni, non costituirebbe un trattamento di dati personali effettuato con strumenti elettronici né l’invio di un estratto conto né la comunicazione ad un cliente di dati personali riguardanti il cliente stesso stesso.
Trattamento dei dati sensibili autorizzato da diversa norma di legge
L’art. 20 della legge privacy prevede infine che il trattamento dei dati sensibili da parte di soggetti pubblici è consentito solo se autorizzato da espressa disposizione di legge nella quale sono specificati i tipi di dati che possono essere trattati e di operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite.
Con riferimento al caso in esame, secondo un orientamento, la comunicazione dei dati sensibili sarebbe in ogni caso lecita perché consentita dall’art. 409 R.D. 827/1924, dall’art. 185 del dlgs 267/2000 nonché dal provvedimento del Garante della Privacy 16/12/2009 n. 5, che avrebbero autorizzato il trattamento dei dati sensibili per fini previdenziali da parte delle banche.
Ne consegue che la comunicazione non avrebbe richiesto alcun consenso da parte del titolare dei dati sensibili, escluso dallo stesso dlgs 196/03 quando il trattamento è necessario per adempiere un obbligo previsto dalla legge o dal contratto.
In conclusione, le Sezioni Unite dovranno dunque chiarire definitivamente la definizione di trattamento e di comunicazione dei dati sensibili, anche attraverso cifratura o altri accorgimenti, alla luce delle esigenze sottese alla protezione dei dati personali.
Vuoi leggere il testo integrale delle ordinanze? Clicca qui per la n. 3455 e qui per la n. 3456
