Le Sezioni Unite, con sentenza 30981 del 27 dicembre 2017, si sono occupate della protezione dei dati sensibili appartenenti ad una categoria di soggetti particolarmente fragili, i beneficiari delle indennità riconosciute ex Legge 210/92.
Come noto, la Legge 210/92 riconosce il diritto ad un indennizzo a favore dei soggetti danneggiati da complicazioni di tipo irreversibile a causa di vaccinazioni obbligatorie, trasfusioni e somministrazione di emoderivati. Nell’anno 2001 è avvenuta, come previsto dal D.P.C.M. 26 maggio 2000, l’attribuzione delle competenze in materia di indennizzi alle Regioni a statuto ordinario, diversamente, le pratiche relative ai soggetti residenti nelle Regioni a statuto speciale, secondo quanto previsto dall’art. 10 del Decreto legislativo n.112/1998, sono rimaste di competenza statale.
Nel caso di specie, la ricorrente, titolare dell’indennità riconosciutale ex L. 210/1992, ha tuttavia dedotto l’illegittima detenzione e divulgazione del dato sensibile relativo alle sue condizioni di salute derivante dall’indicazione del riferimento alla L. n. 210/92 nella causale di accredito dell’indennità. La stessa ha indicato, come responsabili dell’uso e diffusione illegittima dei predetti dati sia l’ente pubblico erogatore delle somme sia l’istituto bancario presso cui i ratei bimestrali venivano accreditati su conto corrente.
Il contrasto sul riferimento all’indennità ex Legge 210/92 quale dato sensibile
Circa la qualificazione come dato sensibile, o meno, del riferimento alla indennità ex L. n 210/92, è stato possibile ravvisare un duplice e contrastante orientamento giurisprudenziale di legittimità.
La prima sezione della Corte di Cassazione con decisione n. 10947 del 2014, in un caso analogo a quello di specie, ha ritenuto che il riferimento all’indennità ex L. n. 210/92 avesse come contenuto un dato personale sensibile che l’ente pubblico e la banca avrebbero dovuto trattare, pur se autorizzati, con le cautele indicate dall’art. 22 comma 6 del d.lgs n. 196 del 2003 ricorrendo, necessariamente, ad opportune tecniche di cifratura.
L’opposto orientamento, reso su questione identica, è stato sostenuto dalla terza sezione civile della Corte, con sentenza n. 10280 del 2015. A tali conclusioni, la terza sezione giungeva ritenendo la dizione “indennizzo ex lege 210/92”, inserita dall’ente pubblico e dalla banca nell’ordine di bonifico e nell’estratto conto, non qualificabile come dato sensibile in quanto riferibile non esclusivamente ai soggetti danneggiati, ma anche ai congiunti delle persone decedute a causa dell’infezione derivante da trasfusione o vaccinazione.
Secondo tale orientamento il dato non potrebbe dirsi, inoltre, diffuso in quanto non diretto a soggetti indeterminati ma ad una società per azioni designata dal soggetto cui il dato si riferisce. La banca, pertanto, non avrebbe alcun obbligo di cifratura di tale tipologia di dati. In conclusione, non sarebbe ravvisabile violazione alcuna delle norme sulla riservatezza poichè l’ente pubblico avrebbe adempiuto ad obblighi di legge e la banca ad obblighi scaturenti da contratto.
La decisione delle Sezioni Unite: il richiamo alla L. 210/92 è dato sensibile
Le Sezioni Unite, aderendo al primo dei suesposti orientamenti, hanno ritenuto i dati desumibili dal richiamo alla L. n. 210/92 come personali in quanto relativi ad una persona fisica identificata [art. 3 lettera b) d.lgs n. 196 del 2003] e sensibili perché aventi un contenuto idoneo a rivelare lo stato di salute della persona identificata [art. 3, lettera d) d.lgs n. 196 del 2003]
Il regime di protezione dei dati sensibili relativi alla salute (e alla vita sessuale) è, secondo la Corte, ispirato alla massima riservatezza dei dati stessi ed alla generale illiceità del trattamento di essi senza il consenso dell’interessato. Le eccezioni sono tassativamente predeterminante da norme legislative che ne procedimentalizzano puntualmente le modalità d’uso, specie se riguardanti dati sensibili non anonimi.
La definizione normativa del trattamento dei dati personali (nella specie sensibili) consiste, ex art. 4, lettera a), del d.lgs n. 196 del 2003, nella raccolta e conservazione (ed alle forme di utilizzo connesse alla disponibilità dei dati stessi, come l’estrazione, la selezione, etc.) così come nella comunicazione e la diffusione degli stessi.
La comunicazione è l’operazione di trasmissione rivolta verso un soggetto determinato; la diffusione si rivolge verso un numero indeterminato di destinatari. Ne consegue, secondo la Corte, che la trasmissione dei dati personali sensibili, della parte ricorrente, dall’ente pubblico all’istituto bancario è esattamente riconducibile alla “comunicazione” ed è pertanto rientrante nella definizione normativa di “trattamento”.
Le Sezioni Unite, pertanto, hanno escluso che il consenso al trattamento dei dati sensibili possa essere desunto, in via indiretta da atti di natura diversa come la richiesta d’indennità ex I. n. 210 del 1992 o l’indicazione dell’istituto bancario presso il quale accreditare l’erogazione.
La natura super sensibile dei dati personali connessi al riconoscimento dell’indennità
Tra l’altro, ha rilevato la Corte, che la natura “super sensibile” dei dati personali connessi al riconoscimento dell’indennità in questione, è riconosciuta, in primo luogo, dalla stessa L. n. 210 del 1992. Nell’art. 3 è espressamente previsto, infatti, che l’istruzione della domanda avvenga in modo da garantire “il diritto alla riservatezza anche mediante opportune modalità organizzative”.
Nel successivo comma 1 bis la garanzia di riservatezza viene estesa a “chiunque nell’esercizio delle proprie funzioni venga a conoscenza” di persone danneggiate da complicanze di tipo irreversibile a causa di vaccinazioni obbligatorie, trasfusioni e somministrazioni di emoderivati.
La norma si riferisce specificamente a tutti i soggetti che siano coinvolti per le funzioni svolte, dal titolare del trattamento dei dati (La USL), nell’istruzione e valutazione dell’istanza ed impone ad essi di rispettare il segreto d’ufficio e di adottare, nell’ambito delle proprie competenze, tutte le misure occorrenti per la tutela della riservatezza della persona interessata
La Corte rileva inoltre che, come può agevolmente ricavarsi dall’esame dell’art. 20, il trattamento dei dati sensibili senza il consenso dell’interessato richiede che anche la predeterminazione normativa dei requisiti oggettivi entro i quali è consentito il predetto trattamento sia molto più specifica che per i dati personali non qualificabili come sensibili.
Le cautele previste dal d.lgs n. 196 del 2003 operano anche quando il trattamento sia autorizzato dalla legge e sia rivolto alla realizzazione dell’attività istituzionale dell’ente pubblico. La ricorrenza di queste ultime condizioni non giustifica il trattamento e la trasmissione del dato in modo che sia del tutto riconoscibile l’identificazione dello stato di salute del titolare, sia da parte dell’ente territoriale, sia da parte dell’istituto di credito, che ha trattato il dato sensibile in dispregio dell’art. 20 d.lgs n. 196 del 2003, non adottando alcun accorgimento idoneo a renderlo non intellegibile ed inoltre lo ha diffuso illegittimamente consentendone una conoscenza estesa ad un grande numero di dipendenti anche all’interno del circuito interbancario.
Il quadro delineato evidenzia come il trattamento dei dati sensibili relativi alla salute debba indefettibilmente conformarsi a tutte le prescrizioni del codice della privacy. Secondo le Sezioni Unite, pertanto, non può che darsi continuità all’orientamento espresso dalla sentenza della prima sezione civile n. 10947 del 2014, e ritenere che l’ente pubblico e l’istituto bancario fossero tenuti, in ogni operazione qualificabile come trattamento dei dati, ex art. 4, lettera a), del d.lgs n. 196 del 2003, ad osservare le prescrizioni puntuali contenute nell’art. 22 sesto comma e, conseguentemente ad adottare tecniche di cifratura o mediante l’utilizzazione di codici identificativi o di altre soluzioni che, considerato il numero e la natura dei dati trattati, li rendono temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessità.
Principio di diritto delle Sezioni Unite
Alla luce di quanto rilevato, le Sezioni Unite hanno pertanto affermato il seguente principio di diritto:
“I dati sensibili idonei a rivelare lo stato di salute possono essere trattati soltanto mediante modalità organizzative, quali tecniche di cifratura o criptatura che rendono non identificabile l’interessato. Ne consegue che i soggetti pubblici o le persone giuridiche private, anche quando agiscano rispettivamente in funzione della realizzazione di una finalità di pubblico interesse o in adempimento di un obbligo contrattuale, sono tenuti all’osservanza delle predette cautele nel trattamento dei dati in questione”
