Dati sensibili: il contrasto giurisprudenziale rimesso alle Sezioni Unite

Con due ordinanze gemelle, le nn. 3455 e 3456 del 9 febbraio 2017, la Cassazione ha disposto la trasmissione degli atti al Primo Presidente della Corte al fine di demandare alle Sezioni Unite un insanabile contrasto registratosi sulla definizione delle nozioni di trattamento e comunicazione dei dati sensibili nonché sulle loro modalità.

Le ordinanze, nel disporre la rimessione, ripercorrono le posizioni espresse dal Supremo collegio in particolare nella ben nota sentenza del 20 maggio 2015, n. 10280.

Il caso

Le vicende che hanno determinato le recenti ordinanze di rimessione sono analoghe a quelle all’origine del pregresso contrasto emerso nel 2014-2015. Sorgono da ricorsi ex art. 152 del D. Lgs. 196/2003 (codice privacy) nei confronti della Regione Campania e di un Istituto di credito per illecito trattamento dei dati personali idonei a rivelare lo stato di salute (di seguito anche “dati sanitari”).

Gli interessati ricorrenti erano beneficiari di indennizzo riconosciuto ai sensi della L. 210/1992, che essi ricevono dalla Regione su un loro conto corrente bancario.

Contestavano alla Regione di aver indicato in causale «pagamento ratei (…) L. n. 210 del 1992» e alla banca di aver contraddistinto con la stessa dicitura il “movimento” nell’estratto conto inviato ai correntisti.

Giova precisare che la L. 210/1992 riconosce il diritto a un indennizzo a chi abbia riportato, a causa di vaccinazioni obbligatorie, una menomazione permanente dell’integrità psicofisica o a chi risulti contagiato da infezioni HIV a seguito di somministrazione di sangue o derivati.

Lo stesso indennizzo è riconosciuto agli operatori sanitari che, in occasione e durante il servizio, abbiano riportato danni permanenti conseguenti a infezione a seguito di contatto con sangue proveniente da soggetti affetti da HIV.

Infine, la L. 210/1992 attribuisce ai congiunti della persona deceduta a seguito di contagio un indennizzo con un assegno “una tantum”.

I ricorrenti ritenendo la dicitura, indicata dalla Regione prima e dalla banca poi, idonea a rivelare il loro stato di salute chiedevano, oltre alla rimozione del dato divulgato, il risarcimento del danno per illegittimo trattamento dei dati personali.

Il contrasto giurisprudenziale

Nonostante l’identicità delle vicende, gli approdi giudiziali sono stati assolutamente divergenti tanto davanti al giudice di merito (Tribunale di Napoli), che accoglieva un ricorso e ne rigettava l’altro quanto davanti al giudice di legittimità.

Con decisione n. 10947 del 19 maggio 2014, la I sez. della Cassazione ha rilevato «l’illegittimo trattamento dei dati [da parte] della Regione e della Banca che, secondo le indicazioni dell’art. 22, avrebbero dovuto rispettivamente diffondere e conservare i dati stessi, utilizzando cifrature o numeri di codice non identificabili».

Con sentenza n. 10280 del 20 maggio 2015, la III sez. della Cassazione, ponendosi consapevolmente in contrasto con la suindicata decisione, ha escluso che siano riscontrabili violazioni delle disposizioni contenute nel D.Lgs. 196/2003. Di qui la rimessione alle Sezioni Unite.

Le ordinanze del 2017 ripercorrono le considerazioni espresse (spesso in maniera tranciante) da quest’ultima sentenza. Qui di seguito si propone una sintesi dei punti controversi.

Sono dati sensibili anche quelli meramente percepibili come tali?

Una prima questione di pregio riguarda la nozione stessa di dati sensibili (nella specie sanitari).

La decisione del 2015 ha infatti escluso che la dicitura «assegno ex L. 210/1992» fosse un dato sensibile perché inidonea, da sola, «a rivelare lo stato di salute del precettore, giacché l’erogazione potrebbe avvenire tanto in via diretta, quanto in via – per così dire – di ‘reversibilità’, ed in questo secondo caso l’elargizione dipende non da una malattia dell’accipiens, ma da una malattia del suo dante causa»”.

Nelle recenti ordinanze di rimessione, tuttavia, questa affermazione non è stata ritenuta condivisibile.

Osserva infatti il Collegio che la L. 210/1992 attribuisce ai congiunti della persona deceduta una somma una tantum e ai soggetti che hanno riportato menomazioni permanenti il pagamento di «ratei bimestrali e posticipati».

L’indicazione, per come formulata, precisa la Suprema Corte nelle ordinanze, «riguarda un dato sensibile, e come tale è facilmente percepibile».

L’accento sulla percepibilità appare assolutamente corretto e condivisibile, posto che la definizione di dato sensibile è costruita su quella di “dato personale” e quest’ultima non considera rilevante il parametro della verità dell’informazione.

Dato personale è «qualsiasi informazione», ai sensi dell’art. 4. 1.b) D.Lgs. 196/03.

La verità dell’informazione neppure ha alcun valore scriminante nel codice privacy.

Pienamente conforme la posizione dei Garanti europei, cfr. Gruppo di lavoro ex art. 29, op. 4/2007, p. 6: «Perché l’informazione diventi un ‘dato personale’ non è necessario che sia vera o dimostrata».

La ratio sottostante è del resto pienamente convincente: l’informazione falsa ma verosimile non è meno lesiva della dignità e identità personale (cfr. art. 2) di quella vera, tanto più quando involge il delicatissimo ambito della salute e può portare a discriminazioni.

“Comunicazione” o non “comunicazione”?

La terza sezione nell’arresto n. 10280/2015 non ravvisava né diffusione né comunicazione tanto da parte della Regione quanto da parte della banca, in ciò distanziandosi dal precedente citato della prima sezione.

La chiave del ragionamento è che ai fini del concetto “diffusione” occorre che i destinatari della trasmissione dei dati siano soggetti indeterminati.

L’art. 4.1.m) del Codice privacy definisce infatti “diffusione” «il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione».

Nel nostro ordinamento “soggetto” di diritto può ovviamente essere anche la persona giuridica. Pertanto, chi trasmette “dati sensibili” a una determinata persona giuridica non per questo li diffonde ai dipendenti e collaboratori di quest’ultima.

Il ragionamento è senz’altro corretto e lineare.

La “comunicazione” invece, ai sensi dell’art. 4.1.l), consiste nel «dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile o dagli incaricati».

Sintetizzando alquanto e sorvolando sulla impropria parificazione tra consenso al trattamento e consenso civilistico, pure affacciata nelle pronuncia in commento, la Corte mostra di considerare la banca quale rappresentante nel territorio dello Stato ai sensi della disposizione sopra citata.

Su queste basi conclude che «la trasmissione di dati dalla banca alla cliente non costituisce ovviamente una ‘comunicazione’ ai sensi del D.Lgs. n. 196 del 2003’ […]. Ma nemmeno fu una ‘comunicazione’ la trasmissione dei dati dalla Regione alla banca. […] Trasmettere dati al rappresentante del titolare non costituisce una comunicazione a terzi’ ai sensi del D. Lgs. 196/2003».

L’assunto si basa, spiace notarlo, su un duplice fraintendimento del testo normativo.

L’art. 4.1.l), nel parlare di «rappresentante del titolare» non si riferisce evidentemente a un qualsivoglia rappresentante ma alla figura con questo nome tipizzata dal codice privacy all’art. 5.2.

È cioè il rappresentante che il titolare di trattamento extra europeo, proprio in quanto tale, deve nominare nello Stato membro, situazione che ovviamente non ha nulla a che fare con il caso di specie.

Colpisce, in secondo luogo, la confusione tra “titolare” e “interessato”: l’art. 4.1.l) si riferisce ovviamente al rappresentante del titolare, non al rappresentante dell’interessato.

Ora è certo che, nei rapporti tra regione e beneficiario, la prima è titolare di trattamento e il secondo interessato di trattamento.

In definitiva, perciò, l’art. 4.1.l) non supporta in alcun modo le conclusioni che la Corte vi ha tratto quanto ai rapporti tra regione e beneficiario, mentre ne può apparire corretta l’applicazione ai rapporti tra beneficiario e banca.

Nozione di trattamento

Osservava inoltre la Corte che in virtù del vincolo negoziale del rapporto di conto corrente la banca va qualificata come mandataria con rappresentanza del correntista.

L’imputazione del pagamento (cd. “causale”) con la quale la Regione ha contraddistinto l’accredito vale come compiuta dal debitore (la Regione) direttamente al creditore (il beneficiario del pagamento).

L’art. 22.6 dispone che i dati sanitari «contenuti in elenchi, registri o banche di dati, tenuti con l’ausilio di strumenti elettronici, sono trattati con tecniche di cifratura o mediante l’utilizzazione di codici identificativi o di altre soluzioni che, considerato il numero e la natura dei dati trattati, li rendono temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessità».

Ebbene tale obbligo di cifratura, valido soltanto per i soggetti pubblici (quindi non anche per la banca soggetto privato), è riferibile, secondo la decisione del 2015, solo ai dati contenuti in banche dati o registri elettronici e «solo ai fini della gestione ed interrogazione degli stessi».

La Regione, dunque, limitandosi a effettuare un pagamento e indicare la causale si collocherebbe, a parere del Giudice di legittimità, «totalmente al di fuori del campo di applicazione dell’art. 22, comma 6 cit., e non v’era bisogno alcuno di cifratura». 

L’argomento, ancora una volta, si fonda su un approccio non condivisibile del testo normativo.

L’art. 22.6 fa infatti riferimento espresso al “trattamento” («sono trattati») e dunque va letto alla luce dell’art. 4.1.a) Codice privacy e 2.b) dir. 95/46/CE.

L’attività svolta dalla Regione sui dati personali può ben essere sussunta nelle categorie dell’art. 4.1.a). Peraltro, la nozione di “trattamento” è perfino più ampia e atipica, idonea cioè ad assorbire qualsiasi operazione svolta su dati personali.

Il punto è fermo a livello europeo. Risulta in particolare insuperabile il confronto con l’art. 2.b) dir. 95/46/CE dove testualmente si legge «such as», che priva di tassatività le ipotesi riportate, e quindi anche quelle di cui all’art. 4.1.a) Codice privacy.

Osservazioni conclusive

Colpisce in questa vicenda che non siano entrati a far parte della res controversa ulteriori profili, come l’osservanza del principio di minimizzazione (necessità) di cui all’art. 3 e dei principi di cui all’art. 11 del D.Lgs. 196/2003 che informano tutta la materia dei dati personali.

In definitiva, ci si è concentrati sui rapporti di trasmissione tra i soggetti della vicenda ma non abbastanza sull’osservanza di tutte le modalità interne che regolano il trattamento.

Ciò priva l’analisi di alcuni elementi decisivi e può condurre a ritenere lecite cose che non lo sono necessariamente.

Ad ogni modo resta da vedere quale posizione prenderanno le Sezioni Unite sui profili portati alla loro attenzione, che toccano tutti snodi essenziali della normativa in materia di protezione dei dati personali.

Avv. Luciana Grieco

(Il presente articolo può essere utilizzato e liberamente pubblicato o riprodotto, per intero o per estratto, purché si citi: autore (avv. Luciana Grieco), titolo (Dati sensibili: il contrasto giurisprudenziale rimesso alle Sezioni Unite), data (28.3.2017), sito (www.griecopelino.com) oppure link esatto all’articolo nel sito)