Privacy - Cassazione Civile: dubbi interpretativi su trattamento e comunicazione di dati sensibili in caso di indennizzo di legge
In tema di trattamento di dati personali, con una recente ordinanza interlocutoria, la Corte di Cassazione ha disposto la rimessione di un ricorso al primo presidente della Corte, affinché valuti l’eventuale assegnazione della questione alle Sezioni Unite.
Sull’oggetto del giudizio, infatti, la Suprema Corte si è già espressa in passato, dando origine a un contrasto giurisprudenziale sulla nozione di “trattamento” e “comunicazione” di dati sensibili da parte di enti pubblici e soggetti privati.
Il caso
Il caso di specie riguarda un soggetto beneficiario di indennizzi ai sensi della Legge n.210/1992. Tale normativa disciplina il pagamento di provvidenze in favore di chi abbia riportato, a causa di vaccinazioni obbligatorie, una menomazione permanente dell’integrità psicofisica o di chi risulti contagiato da infezioni HIV, a seguito di somministrazione di sangue o derivati, o da epatiti post-trasfusionali.
La Regione, in qualità di ente erogatore, aveva disposto il pagamento telematico dei ratei d’indennizzo, previsti dalla citata legge, a mezzo della banca con la quale il soggetto beneficiario aveva in essere un rapporto di conto corrente. Lo scambio di comunicazioni tra la Regione e la banca e tra quest’ultima e il correntista (mediante invio dell’estratto conto) recavano come causale delle operazioni la dicitura “pagamento ratei bimestrali e posticipati ai sensi della Legge n.210/1992”.
Il soggetto beneficiario dell’indennizzo, ritenendo violate le disposizioni di cui agli articoli 1, 4, 11, 15, 18, 20, 22 e 68 del Decreto Legislativo n.196/2003 (“Codice Privacy”), nelle parti poste a tutela del trattamento dei dati sanitari da parte di enti pubblici (la Regione) e privati (la banca), conveniva in giudizio, davanti al Tribunale di primo grado, la Regione, la banca e il Garante per la protezione dei dati personali, chiedendo la condanna al risarcimento del danno subito a causa dell’illegittimo trattamento dei propri dati sanitari.
In particolare, l’attore lamentava l’illecita diffusione dei dati relativi al proprio stato di salute, direttamente desumibili dal collegamento tra il pagamento e l’indennizzo ex Legge n.210/1992, inequivocabilmente riferito a determinate categorie di malattie e infermità.
Rigettata in primo grado la domanda dell’attore, quest’ultimo ricorreva in cassazione per la riforma della sentenza di primo grado, in conformità alla procedura prevista dall’articolo 10 del Decreto Legislativo n.150/2011.
Il rinvio della Cassazione
La prima Sezione Civile della Suprema Corte, investita del giudizio di legittimità, con un’eloquente disamina della questione, ha rilevato un contrasto tra due precedenti pronunce della Corte sul medesimo tema.
In un caso analogo a quello in esame, infatti, la Corte, con sentenza n.10947/2014, ha ritenuto che il trattamento e la comunicazione di dati idonei a rivelare lo stato di salute (ex Legge n.210/1992), effettuato da un ente pubblico, devono avvenire applicando ai dati tecniche di cifratura e numeri di codice non identificabili. Diversamente si incorrerebbe in una violazione dell’articolo 22 del Codice Privacy. Per quanto riguarda il trattamento di dati sensibili da parte di un soggetto privato (la banca), invece, si rende necessario il consenso espresso del soggetto interessato.
Pertanto, in considerazione dell’assoluta analogia con il caso di specie, seguendo tale orientamento, il trattamento e la comunicazione effettuati dalla Regione e, successivamente, dalla Banca al correntista, sarebbero del tutto illegittimi e quindi sanzionabili.
In direzione diametralmente opposta alla citata pronuncia, con sentenza n.10280/2015, la Cassazione, decidendo su una fattispecie parimenti analoga, ha escluso la violazione delle medesime disposizioni del Codice Privacy.
La ratio della pronuncia si fonda su tre filoni argomentativi secondo i quali: (i) la comunicazione di dati sensibili dalla Regione alla banca non costituisce violazione delle norme sulla riservatezza, in quanto quest’ultima andrebbe qualificata come mandataria con rappresentanza del correntista, in virtù del rapporto contrattuale di conto corrente; (ii) il trattamento dei dati sanitari ex Legge n.210/1992 è posto in essere dalla Regione in adempimento di precisi obblighi di legge, pertanto, non sussiste l’obbligo di cifratura previsto dall’articolo 22 del Codice Privacy; (iii) la comunicazione dei dati sanitari dalla banca al correntista non richiede in consenso, dal momento che il trattamento avviene in adempimento agli obblighi contrattuali derivanti dal rapporto di conto corrente.
Alla luce dei diversi orientamenti intrapresi dalla Suprema Corte, la questione è stata ritenuta meritevole di pronuncia da parte delle Sezioni Unite, delle quali si attende l’esito, che avrà effetto dirimente sui dubbi interpretativi sollevati.
L’Ordinanza e l’altra gemella con n.3456, è integralmente consultabile sul sito della Corte di Cassazione al seguente link:
(Corte di Cassazione - Sezione Prima Civile, Ordinanza del 9 febbraio 2017, n.3455)
In tema di trattamento di dati personali, con una recente ordinanza interlocutoria, la Corte di Cassazione ha disposto la rimessione di un ricorso al primo presidente della Corte, affinché valuti l’eventuale assegnazione della questione alle Sezioni Unite.
Sull’oggetto del giudizio, infatti, la Suprema Corte si è già espressa in passato, dando origine a un contrasto giurisprudenziale sulla nozione di “trattamento” e “comunicazione” di dati sensibili da parte di enti pubblici e soggetti privati.
Il caso
Il caso di specie riguarda un soggetto beneficiario di indennizzi ai sensi della Legge n.210/1992. Tale normativa disciplina il pagamento di provvidenze in favore di chi abbia riportato, a causa di vaccinazioni obbligatorie, una menomazione permanente dell’integrità psicofisica o di chi risulti contagiato da infezioni HIV, a seguito di somministrazione di sangue o derivati, o da epatiti post-trasfusionali.
La Regione, in qualità di ente erogatore, aveva disposto il pagamento telematico dei ratei d’indennizzo, previsti dalla citata legge, a mezzo della banca con la quale il soggetto beneficiario aveva in essere un rapporto di conto corrente. Lo scambio di comunicazioni tra la Regione e la banca e tra quest’ultima e il correntista (mediante invio dell’estratto conto) recavano come causale delle operazioni la dicitura “pagamento ratei bimestrali e posticipati ai sensi della Legge n.210/1992”.
Il soggetto beneficiario dell’indennizzo, ritenendo violate le disposizioni di cui agli articoli 1, 4, 11, 15, 18, 20, 22 e 68 del Decreto Legislativo n.196/2003 (“Codice Privacy”), nelle parti poste a tutela del trattamento dei dati sanitari da parte di enti pubblici (la Regione) e privati (la banca), conveniva in giudizio, davanti al Tribunale di primo grado, la Regione, la banca e il Garante per la protezione dei dati personali, chiedendo la condanna al risarcimento del danno subito a causa dell’illegittimo trattamento dei propri dati sanitari.
In particolare, l’attore lamentava l’illecita diffusione dei dati relativi al proprio stato di salute, direttamente desumibili dal collegamento tra il pagamento e l’indennizzo ex Legge n.210/1992, inequivocabilmente riferito a determinate categorie di malattie e infermità.
Rigettata in primo grado la domanda dell’attore, quest’ultimo ricorreva in cassazione per la riforma della sentenza di primo grado, in conformità alla procedura prevista dall’articolo 10 del Decreto Legislativo n.150/2011.
Il rinvio della Cassazione
La prima Sezione Civile della Suprema Corte, investita del giudizio di legittimità, con un’eloquente disamina della questione, ha rilevato un contrasto tra due precedenti pronunce della Corte sul medesimo tema.
In un caso analogo a quello in esame, infatti, la Corte, con sentenza n.10947/2014, ha ritenuto che il trattamento e la comunicazione di dati idonei a rivelare lo stato di salute (ex Legge n.210/1992), effettuato da un ente pubblico, devono avvenire applicando ai dati tecniche di cifratura e numeri di codice non identificabili. Diversamente si incorrerebbe in una violazione dell’articolo 22 del Codice Privacy. Per quanto riguarda il trattamento di dati sensibili da parte di un soggetto privato (la banca), invece, si rende necessario il consenso espresso del soggetto interessato.
Pertanto, in considerazione dell’assoluta analogia con il caso di specie, seguendo tale orientamento, il trattamento e la comunicazione effettuati dalla Regione e, successivamente, dalla Banca al correntista, sarebbero del tutto illegittimi e quindi sanzionabili.
In direzione diametralmente opposta alla citata pronuncia, con sentenza n.10280/2015, la Cassazione, decidendo su una fattispecie parimenti analoga, ha escluso la violazione delle medesime disposizioni del Codice Privacy.
La ratio della pronuncia si fonda su tre filoni argomentativi secondo i quali: (i) la comunicazione di dati sensibili dalla Regione alla banca non costituisce violazione delle norme sulla riservatezza, in quanto quest’ultima andrebbe qualificata come mandataria con rappresentanza del correntista, in virtù del rapporto contrattuale di conto corrente; (ii) il trattamento dei dati sanitari ex Legge n.210/1992 è posto in essere dalla Regione in adempimento di precisi obblighi di legge, pertanto, non sussiste l’obbligo di cifratura previsto dall’articolo 22 del Codice Privacy; (iii) la comunicazione dei dati sanitari dalla banca al correntista non richiede in consenso, dal momento che il trattamento avviene in adempimento agli obblighi contrattuali derivanti dal rapporto di conto corrente.
Alla luce dei diversi orientamenti intrapresi dalla Suprema Corte, la questione è stata ritenuta meritevole di pronuncia da parte delle Sezioni Unite, delle quali si attende l’esito, che avrà effetto dirimente sui dubbi interpretativi sollevati.
L’Ordinanza e l’altra gemella con n.3456, è integralmente consultabile sul sito della Corte di Cassazione al seguente link:
(Corte di Cassazione - Sezione Prima Civile, Ordinanza del 9 febbraio 2017, n.3455)
