Corte di cassazione
Sezioni unite civili
Sentenza 27 dicembre 2017, n. 30981

Presidente: Rordorf - Estensore: Acierno

FATTI DI CAUSA

1. M.C., premesso di essere beneficiario dell'indennità riconosciutagli ex l. 210/1992, ha dedotto l'illegittima detenzione e divulgazione del dato sensibile relativo alle sue condizioni di salute derivante dall'indicazione nella causale di accredito dell'indennità "pagamento rateo arretrati bimestrali e posticipati (...) l. n. 210/92". Ha indicato, come responsabili dell'uso e diffusione illegittima dei predetti dati sia la regione Campania, ente pubblico erogatore dell'indennità che il Banco di Napoli, essendo i ratei bimestrali accreditati su un suo conto corrente acceso presso l'istituto.

Ha chiesto, al riguardo, la rimozione del dato e il risarcimento del danno.

2. Il Tribunale di Napoli ha respinto la domanda sulla base delle seguenti argomentazioni:

- le condotte contestate sono quelle di illecita detenzione ed illecita diffusione del dato sensibile relativo alla salute del beneficiario decifrabile dall'indicazione della legge con la quale è stata riconosciuta l'indennità;

- i dati sensibili, secondo la definizione dell'art. 4 d.lgs. n. 196/2003, sono dati personali idonei a rivelare lo stato di salute e la vita sessuale. Risulta incontestato che quelli in questione rientrino in tale categoria. I soggetti pubblici, diversi dagli enti pubblici economici, possono effettuare qualunque trattamento di dati sensibili anche senza il consenso dell'interessato ma solo per lo svolgimento delle funzioni istituzionali, se autorizzati da un'espressa previsione di legge e se perseguano finalità di rilevante interesse pubblico. Tra queste finalità rientrano senz'altro, perché espressamente previste nell'art. 68 del d.lgs. n. 196 del 2003, "le finalità di applicazione della disciplina in materia di concessione, liquidazione, modifica e revoca di benefici economici, agevolazioni, elargizioni, altri emolumenti e abilitazioni";

- i dati sensibili devono essere trattati secondo modalità volte a prevenire violazioni dei diritti, delle libertà fondamentali e della dignità dell'interessato, laddove siano indispensabili per svolgere le attività istituzionali del soggetto pubblico e non possano essere eseguite mediante il trattamento di dati anonimi (art. 22, comma 3). In ogni caso i dati idonei a rivelare lo stato di salute non possono essere diffusi;

- nel caso di specie, il riferimento, contenuto nella causale di accredito alla l. n. 210/1992 integra un dato sensibile che, alla luce del regime giuridico sopra indicato, non può essere diffuso dal soggetto pubblico e deve essere comunicato con modalità non esorbitanti rispetto alle finalità proprie dell'attività istituzionale svolta. Al riguardo, il Tribunale ha evidenziato, da un lato, l'obbligo legislativo (art. 409 r.d. n. 827/1924) di specificare nei mandati di pagamento la precisa indicazione dell'oggetto di spesa; dall'altro la previsione contenuta nell'art. 22, comma 6, del d.lgs. n. 196/2003 secondo la quale i dati sensibili devono essere trattati secondo tecniche di cifratura che li rendano inintelligibili;

- con riferimento all'illecito contestato alla Regione Campania, deve, in primo luogo, escludersi la diffusione dei dati in questione, in quanto gli stessi non sono stati portati a conoscenza di soggetti indeterminati. La trasmissione è avvenuta, mediante una rete informatica non accessibile a tutti, verso un soggetto determinato, quale è l'istituto di credito, a sua volta previamente autorizzato dal contratto di conto corrente intrattenuto con l'interessato e da ritenersi titolare del trattamento ovvero persona giuridica cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento dei dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza;

- con riferimento all'istituto bancario, il tribunale ha rilevato che tra le modalità di trattamento così come descritte nell'art. 4 non c'è la mera detenzione. La condotta del Banco di Napoli si è risolta nell'esclusiva esecuzione di un obbligo contrattuale consistente nella descrizione, nell'estratto conto inviato al cliente, della causale del bonifico proveniente dalla Regione Campania. In questa condotta, non viene ravvisato alcun trattamento illecito dei dati sensibili in questione. Anche in ordine all'istituto bancario s'impone, pertanto, il rigetto della domanda.

3. Avverso tale pronuncia ha proposto ricorso per cassazione M.C., affidato ad un unico complesso motivo. Hanno resistito con controricorso la Regione Campania e la s.p.a. Banco di Napoli.

4. La prima sezione, ravvisato un contrasto di giurisprudenza, ha richiesto la rimessione alle Sezioni unite con l'ordinanza interlocutoria n. 3455 del 2017 nella quale si afferma:

5. Con decisione n. 10947 del 2014 la prima sezione della Corte di cassazione in ricorso del tutto sovrapponibile a quello dedotto nel presente giudizio ha ritenuto che il riferimento all'indennità n. 210/92 contenesse un dato personale sensibile che l'ente pubblico avrebbe dovuto trattare, pur se autorizzato a farlo all'interno della sua attività istituzionale, con le cautele indicate dall'art. 22, comma 6, del d.lgs. n. 196 del 2003. Il dato che la regione ha rivelato e la banca ha riportato riguarda direttamente l'informazione su un contagio dovuto a somministrazione di sangue o emoderivati o una menomazione permanente dovuta a vaccinazioni obbligatorie. Trattandosi di un dato relativo alla salute la cui diffusione è vietata, il trattamento poteva essere eseguito soltanto mediante tecniche di cifratura.

5.1. Con sentenza n. 10280 del 2015 la terza sezione civile della Corte ha adottato una soluzione opposta in fattispecie identica.

Le ragioni della decisione sono le seguenti:

a) la dizione "indennizzo ex lege 210/92" inserita dalla regione Campania e dal Banco di Napoli nell'ordine di bonifico e nell'estratto conto non è un dato sensibile perché può riferirsi non solo ai soggetti che hanno contratto le patologie ma anche ai congiunti delle persone decedute a causa dell'infezione derivante da trasfusione o vaccinazione;

b) il dato non può dirsi diffuso in quanto non diretto a soggetti indeterminati ma ad una società per azioni designata dal soggetto cui il dato si riferisce. Non rende la comunicazione diffusione il fatto che la trasmissione sia diretta ad una persona giuridica, non potendo esigersi in questa ipotesi la preventiva identificazione della persona fisica cui indirizzare la comunicazione;

c) l'obbligo di cifratura riguarda soltanto i dati contenuti in banche dati o registri elettronici nonché ai fini dell'interrogazione degli stessi da parte delle persone autorizzate ad accedervi. Invece nella specie la regione ha solo effettuato un pagamento ed indicato la causale;

d) la banca non ha l'obbligo della cifratura perché è un soggetto privato;

e) non costituisce violazione delle norme sulla riservatezza comunicare dati sensibili al rappresentante del titolare indicato proprio dal soggetto cui i dati si riferiscono come destinatario della comunicazione. Nella fattispecie la regione ha adempiuto ad obblighi di legge e la banca ad obblighi scaturenti da contratto;

f) la trasmissione dei dati dalla banca al cliente non costituisce neanche comunicazione e non costituisce comunicazione la trasmissione dei dati dalla regione alla banca perché la banca non è altri che il mandatario con rappresentanza del correntista. Il pagamento (e i dati identificativi contenuti per eseguirlo) valgono come compiuti dal debitore direttamente al creditore;

g) comunque la comunicazione sarebbe stata autorizzata dall'art. 409 del r.d. n. 827 del 1924 e dall'art. 185 del d.lgs. n. 267 del 2000 nonché dal Provvedimento del Garante per i dati personali n. 5 del 2009 che riguarda l'autorizzazione alle banche al trattamento dei dati personali per adempiere ad obblighi previdenziali.

RAGIONI DELLA DECISIONE

6. Nell'unico motivo di ricorso viene, in primo luogo, dedotto che il Tribunale non ha colto la differenza cruciale, nell'ambito del sistema delineato dal d.lgs. n. 196 del 2003, tra dato personale e dato sensibile, ed in particolare non ha rilevato che quest'ultimo attiene alla salute ed è conseguentemente soggetto ad una più intensa e peculiare disciplina di protezione anche quando il titolare sia un'autorità pubblica. In secondo luogo, viene evidenziato come nella pronuncia impugnata non venga compreso che la "detenzione" del dato è una categoria inapplicabile dovendo sostituirsi con il "trattamento". Il titolare del trattamento è tenuto a non ledere il diritto alla protezione dei dati personali anche in sede di uso e conservazione del dato non solo quando esso venga trasmesso.

6.1. Le cautele previste dal d.lgs. n. 196 del 2003 operano anche quando il trattamento sia autorizzato dalla legge e sia rivolto alla realizzazione dell'attività istituzionale dell'ente pubblico. La ricorrenza di queste ultime condizioni non giustifica il trattamento e la trasmissione del dato in modo che sia del tutto riconoscibile l'identificazione dello stato di salute della ricorrente.

L'art. 22, comma 6, impone la cifratura dei dati sensibili, riferendosi specificamente a quelli di cui il soggetto pubblico sia autorizzato al trattamento anche senza il consenso dell'interessato. Pertanto, pur volendo applicare l'art. 409 r.d. n. 827/1924, sarebbe stata comunque necessaria per la regione Campania, al fine di andare esente da responsabilità, la criptatura o cifratura del dato sensibile all'atto del trasferimento all'istituto di credito.

6.2. Per quanto riguarda la responsabilità dell'istituto di credito, la ricorrente evidenzia che la detenzione costituisce trattamento del dato sensibile ed è assoggettata alla tutela conseguente. Pertanto anche l'istituto di credito, ancorché autorizzato al trattamento del dato, avrebbe dovuto "trattarlo" criptato essendo altrimenti conoscibile da parte di tutti gli impiegati della banca, dagli addetti al pagamento e da quelli che si occupano del recapito della posta.

Non elide l'obbligo di cifratura né l'autorizzazione al pagamento né il conferimento del mandato da parte del cliente ed il vincolo contrattuale assunto, certamente non diretto al trattamento contra legem dei propri dati sensibili.

Al contrario anche l'istituto di credito ha trattato il dato sensibile in dispregio dell'art. 20 d.lgs. n. 196 del 2003, non adottando alcun accorgimento idoneo a renderlo non intellegibile ed inoltre lo ha diffuso illegittimamente consentendone una conoscenza estesa ad un grande numero di dipendenti.

Il dato infine è stato diffuso anche all'interno del circuito interbancario.

Non si riproducono le argomentazioni del ricorso rivolte al profilo risarcitorio in quanto la sentenza impugnata non le ha affrontate non riconoscendo il diritto azionato.

7. Come evidenziato nella sentenza impugnata, è necessario, per accertare se le condotte delle parti resistenti siano da qualificare illecite secondo i parametri stabiliti dal d.lgs. n. 196 del 2003, verificare preliminarmente se i dati in questione siano personali ed in caso di risposta affermativa, se siano da qualificare sensibili; se l'utilizzazione degli stessi possa configurare un "trattamento" rilevante ai fini del sistema di protezione dei dati personali previsto dal nostro ordinamento ed infine se le parti resistenti siano identificabili come titolari del trattamento dei dati in questione.

7.1. Il primo interrogativo è di agevole soluzione: i dati desumibili dal richiamo alla l. n. 210/92 sono personali in quanto relativi ad una persona fisica identificata [art. 3, lett. b), d.lgs. n. 196 del 2003] e sensibili perché aventi un contenuto idoneo a rivelare lo stato di salute della persona identificata [art. 3, lett. d), d.lgs. n. 196 del 2003]. Il regime di protezione dei dati sensibili relativi alla salute (e alla vita sessuale) è, come verrà evidenziato nell'illustrazione del quadro normativo, ispirato alla massima riservatezza dei dati stessi ed alla generale illiceità del trattamento di essi senza il consenso dell'interessato. Le eccezioni sono tassativamente predeterminante da norme legislative che ne procedimentalizzano puntualmente le modalità d'uso, specie se riguardanti dati sensibili non anonimi.

Deve, infine, essere precisato (come esattamente rilevato nell'ordinanza interlocutoria) che la dizione "pagamento rateo arretrati bimestrali e posticipati l. n. 210/92" contiene la rivelazione del dato personale sensibile riguardante la salute del ricorrente in quanto la periodicità della corresponsione, desumibile inequivocamente dal testo come sopra descritto, non può che riguardare il soggetto affetto dalle patologie cui l'indennità si riferisce e non i suoi familiari-eredi ai quali la legge riconosce un importo a titolo di una tantum.

7.2. Il secondo interrogativo si risolve con la definizione normativa del trattamento dei dati personali (nella specie sensibili) che consiste, ex art. 4, lett. a), del d.lgs. n. 196 del 2003, oltre alla raccolta e conservazione (ed alle forme di utilizzo connesse alla disponibilità dei dati stessi, come l'estrazione, la selezione, etc.), anche la comunicazione e la diffusione degli stessi. La comunicazione è l'operazione di trasmissione rivolta verso un soggetto determinato; la diffusione si rivolge verso un numero indeterminato di destinatari. Ne consegue che la trasmissione dei dati personali sensibili, della parte ricorrente, dalla regione Campania all'istituto bancario è esattamente riconducibile alla "comunicazione" ed è pertanto rientrante nella definizione normativa di "trattamento", così come lo sono le successive operazioni sui dati medesimi eseguite dal Banco di Napoli, in quanto riconducibili alla raccolta, selezione, e circolazione dei dati ovvero alle attività funzionali agli adempimenti contrattualmente richiesti, all'interno di una complessa organizzazione composta di un numero non esiguo ma determinato di addetti ed infine alla trasmissione al destinatario-ricorrente.

7.3. Il titolare del trattamento, ex art. 4, lett. f), d.lgs. n. 196 del 2003 è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento e agli strumenti utilizzati, ivi compreso il profilo della sicurezza. Dalle considerazioni svolte è del tutto agevole ritenere la regione Campania ed il Banco di Napoli titolari del trattamento dei dati sensibili del ricorrente ciascuno per le funzioni e gli adempimenti, rispettivamente di natura pubblica e contrattuale, posti in essere per pervenire all'accredito dell'indennità in favore dello stesso. Alle parti resistenti è, infatti, riconducibile il potere decisionale relativo alle modalità e agli strumenti utilizzati per il trattamento di tali dati.

8. Deve osservarsi che il sistema di protezione dei dati sensibili contenuto nel d.lgs. n. 196 del 2003 si fonda sul principio generale della necessità del consenso espresso dell'interessato al trattamento di tali dati, in quanto dotati di uno rigoroso statuto normativo di garanzia della riservatezza, derogabile soltanto nelle ipotesi espressamente previste nella stessa legge o mediante diretta previsione normativa o mediante rinvio al potere conformativo-autorizzatorio del Garante.

Deve, pertanto, escludersi che il consenso al trattamento dei dati sensibili possa desumersi, in via indiretta da atti di natura diversa come la richiesta d'indennità ex l. n. 210 del 1992 o l'indicazione dell'istituto bancario presso il quale accreditare l'erogazione. L'esercizio di un diritto previsto dalla legge nei confronti dell'ente pubblico e l'attivazione di una delle prestazioni previste dal contratto di conto corrente di corrispondenza a carico dell'istituto bancario non modificano in alcun modo la posizione dei soggetti dei due rapporti giuridici dedotto in giudizio rispetto alla disciplina legislativa del trattamento dei dati sensibili. Il beneficiario dell'indennità è il soggetto interessato alla tutela dei propri dati sensibili e la regione Campania unitamente alla banca, sono i titolari del trattamento proprio perché il vincolo assunto li porta ad avere la conoscenza e la disponibilità dei dati stessi. Non si può ritenere, di conseguenza, che l'interessato abbia, con le richieste inoltrate all'ente pubblico ed alla banca, autorizzato, in modo implicito, la comunicazione o la diffusione dei propri dati in quanto funzionale all'esercizio del diritto all'indennità e alla concreta erogazione del beneficio. Il rapporto giuridicamente qualificato sussistente tra soggetto titolare del diritto alla protezione dei propri dati sensibili e titolare del trattamento dei dati stessi è del tutto autonomo rispetto al vincolo legale o contrattuale che avvince, per ciò che concerne il diritto e l'erogazione dell'indennità, i soggetti obbligati e beneficiario. L'uno non confluisce nell'altro, mantenendo ciascuno di essi il proprio regime giuridico. Ci sono due relazioni produttive di effetti giuridici, l'una riguardante il beneficio accordato dalla l. n. 210 del 1992, l'altra la tutela del diritto fondamentale alla riservatezza in ordine ai dati personali relativi alla salute. Per questa seconda relazione giuridicamente qualificata che ha ad esclusivo oggetto il trattamento dei dati, la fonte di regolazione non può in alcun modo desumersi dal regime normativo e contrattuale dell'altra perché si tratta di diritti e beni giuridici diversi e non sovrapponibili.

9. Dalle premesse svolte, risulta necessario, al fine di risolvere il contrasto di giurisprudenza prospettato dall'ordinanza interlocutoria n. 3455 del 2017, illustrare il quadro normativo applicabile alla fattispecie dedotta in giudizio.

10. Prima di verificare come, all'interno del d.lgs. n. 196 del 2003 operi la protezione dei dati sensibili anche nei confronti dei soggetti pubblici o privati che siano obbligati al trattamento per fini istituzionali o derivanti da vincolo negoziale con l'interessato, deve rilevarsi che la natura "super sensibile" dei dati personali connessi al riconoscimento dell'indennità in questione, è riconosciuto, in primo luogo, dalla stessa l. n. 210 del 1992. Nell'art. 3 è espressamente previsto che l'istruzione della domanda avvenga in modo da garantire "il diritto alla riservatezza anche mediante opportune modalità organizzative" (art. 3, comma 1, l. 210 del 1992). Nel successivo comma 1-bis la garanzia di riservatezza viene estesa a "chiunque nell'esercizio delle proprie funzioni venga a conoscenza" di persone danneggiate da complicanze di tipo irreversibile a causa di vaccinazioni obbligatorie, trasfusioni e somministrazioni di emoderivati. La norma si riferisce specificamente a tutti i soggetti che siano coinvolti per le funzioni svolte, dal titolare del trattamento dei dati (la USL), nell'istruzione e valutazione dell'istanza ed impone ad essi di rispettare il segreto d'ufficio e di adottare, nell'ambito delle proprie competenze, tutte le misure occorrenti per la tutela della riservatezza della persona interessata.

L'introduzione di una disciplina così puntuale in ordine alla tutela della riservatezza, non limitata all'affermazione del diritto, ma diretta in modo specifico ad imporre operativamente le cautele necessarie al titolare del trattamento ed a coloro che in ragione delle funzioni svolte ne vengano a conoscenza e a loro volta attuino il "trattamento" dei dati, non si rinviene nella formulazione originaria della norma risultando introdotto dopo l'entrata in vigore della prima disciplina normativa organica della tutela dei dati personali avvenuta con il d.lgs. n. 675 del 1996. Il legislatore richiede "modalità organizzative" ovvero condotte positivamente rivolte a tutelare la riservatezza dei dati anche all'interno dell'articolazione strutturale e funzionale del soggetto pubblico, non limitandosi ad un richiamo alla non divulgabilità all'esterno dei dati conosciuti ed oggetto di trattamento.

Non se ne deve, conseguentemente, trascurare l'influenza ermeneutica nell'esame delle norme del d.lgs. n. 196 del 2003, direttamente disciplinanti la fattispecie dedotta nel presente giudizio ed oggetto del contrasto di giurisprudenza illustrato nella parte narrativa della presente pronuncia.

11. È utile precisare, preliminarmente, la collocazione delle norme nell'assetto sistematico del decreto legislativo. Esse si rinvengono nel capo II dal significativo titolo "regole ulteriori per i soggetti pubblici" che segue al capo I riguardante le "regole generali per il trattamento dei dati". Entrambi i capi sono contenuti nel Titolo III che reca le "regole per tutti i trattamenti". La ripartizione normativa illustrata evidenzia la peculiarità del trattamento dei dati personali da parte dei soggetti pubblici e definisce l'ambito di derogabilità della regola generale del consenso dell'interessato al trattamento (artt. 7-10 d.lgs. n. 196 del 2003).

L'at. 18 contiene le regole generali. Il trattamento dei dati personali è consentito ai soggetti pubblici solo nell'esercizio delle funzioni istituzionali ma devono essere osservati i presupposti ed i limiti previsti dal Codice (d.lgs. n. 196 del 2003), dalla legge e dai regolamenti anche in relazione alla diversa natura dei dati. Entro questo duplice perimetro conformativo non è necessario il consenso dell'interessato.

Come indicato dalla norma di carattere generale, sopra esaminata, le disposizioni successive contengono una disciplina di dettaglio in ordine ai presupposti ed alle modalità di trattamento delle varie tipologie di dati. Per quanto riguarda specificamente i dati sensibili, l'art. 20 stabilisce che il trattamento del dati sensibili da parte di un soggetto pubblico deve essere autorizzato da una espressa disposizione di legge nella quale siano specificati i tipi di dati che possono essere trattati e di operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite. Ove la norma non contenga l'indicazione delle tipologie di dati da trattare e delle operazioni eseguibili ma individui il rilevante interesse pubblico posto a base del trattamento dei dati, è necessario che le specificazioni mancanti siano contenute in un atto regolamentare, adottato in conformità al parere del Garante. Ove neanche la finalità d'interesse pubblico sia espressa nella norma di legge, i soggetti pubblici possono chiedere al Garante l'individuazione delle attività che perseguano tali finalità e devono provvedere ad identificare e rendere pubblici i tipi di dati oggetto di trattamento. Sia nella prima che nella seconda ipotesi devono essere rispettate le modalità indicate nel successivo art. 22.

Come può agevolmente ricavarsi dall'esame dell'art. 20, il trattamento dei dati sensibili senza il consenso dell'interessato richiede che anche la predeterminazione normativa dei requisiti oggettivi entro i quali è consentito il predetto trattamento sia molto più specifica che per i dati personali non qualificabili come sensibili. Nessuna delle condizioni previste in via generale dall'art. 18 può essere desunta implicitamente dalle funzioni istituzionali del soggetto pubblico. È necessario, invece, che sia la funzione istituzionale che le tipologie dei dati vengano individuate preventivamente e per quanto riguarda i tipi di dati anche rese pubbliche mediante atti normativi regolamentari assunti con la partecipazione vincolante del Garante. Il trattamento dei dati personali sensibili è rigidamente conformato dalle norme legislative e regolamentari che disciplinano in modo espresso i requisiti indefettibilmente richiesti.

Così come non può essere desunto implicitamente il consenso al trattamento dei dati sensibili da condotte diverse dall'adesione espressa dell'interessato, del pari la riserva di legge che giustifica il trattamento dei dati stessi da parte dei soggetti pubblici deve essere esplicita sia in ordine al rilevante interesse pubblico che alla predeterminazione dei dati trattabili, essendo altrimenti insufficiente a conferire, anche nell'ambito delle funzioni istituzionali del soggetto pubblico, il potere di trattare i dati sensibili senza il consenso dell'interessato.

Nella specie non è contestato che la regione Campania agisca non solo all'interno delle proprie attribuzioni istituzionali ma anche per una specifica finalità d'interesse pubblico direttamente desumibile dalla l. n. 210 del 1992.

L'art. 22 che detta i principi applicabili al trattamento dei dati sensibili e giudiziari, determina le "modalità organizzative" mediante le quali i dati in questione possono essere trattati, completando la disciplina legislativa relativa al trattamento di tali dati con le prescrizioni relative al "come" procedere tutelando la riservatezza degli interessati.

In linea generale nel primo comma viene prescritto che i soggetti pubblici conformano il trattamento dei dati sensibili secondo modalità volta a prevenire violazioni dei diritti, delle libertà fondamentali e della dignità dell'interessato (art. 22, comma 1). L'uso del predicato "conformano" richiama ed impone, al pari delle indicazioni normative sopra illustrate, condotte positivamente e specificamente rivolte alla protezione dei dati sensibili. Seguono le indicazioni di continenza nel trattamento dei dati sensibili da limitarsi, se se ne deve escludere la forma anonima, a quelli strettamente indispensabili alle finalità istituzionali da attuare (art. 22, commi 3 e 5), con divieto di utilizzazione di quelli superflui.

All'interno di questo rigoroso reticolo di regole di comportamento positivo si collocano le prescrizioni di centrale rilievo per l'esame delle questioni dedotte nel presente giudizio.

11.1. Nel comma 6 e nel comma 7 dell'art. 22 viene espressamente imposto ai soggetti pubblici di trattare i dati relativi alla salute delle persone "con tecniche di cifratura o mediante l'utilizzazione di codici identificativi o di altre soluzioni che, considerato il numero e la natura dei dati trattati, li rendono temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessità".

Al riguardo deve rilevarsi che non è condivisibile l'interpretazione riduttiva che fornisce della norma la sentenza n. 10815 del 2015. L'obbligo della cifratura o della criptatura non è limitato agli elenchi contenuti in elenchi, registri o banche dati, tenute con l'ausilio di strumenti elettronici, così come indicato nel comma 6 dell'art. 22 ma si estende a tutte le modalità di raccolta dei dati anche meramente cartacee come si ricava dalla più puntuale indicazione contenuta nel successivo comma 7, specificamente diretta ai dati sensibili relativi alla salute. In questa disposizione si precisa, infatti, che essi sono trattati con le modalità di cui al comma 6 (che richiede la cifratura o criptatura come illustrato) "anche quando sono tenuti in elenchi, registri, o banche di dati senza l'ausilio di strumenti elettronici".

Il comma 8 contiene la norma di chiusura e stabilisce che i dati sensibili relative alla salute non possono essere diffusi.

Il quadro delineato evidenzia come il trattamento dei dati sensibili relativi alla salute deve indefettibilmente conformarsi a tutte le prescrizioni indicate nell'art. 22 e che si tratta di prescrizioni di natura inderogabile le quali non possono essere violate neanche ove non se ravvisi in concreto l'utilità o la necessità, essendo il sistema legislativo integrato di protezione dei dati sensibili ispirato al principio della massima limitazione possibile della circolazione e diffusione degli stessi senza il consenso dell'interessato. La tendenziale assolutezza del principio e la rigorosa definizione del perimetro autorizzatorio al trattamento di tali dati da parte dei soggetti pubblici induce ad escludere che residui in capo ai titolari, individuati ex art. 18 e seguenti del d.lgs. n. 196 del 2003, alcun potere discrezionale in ordine all'adempimento delle prescrizioni normative relative al trattamento. L'art. 22 ne impone la continenza e la criptatura o cifratura, senza alcun margine di apprezzamento relativo alla efficacia dello strumento in ordine al concreto uso del dato.

12. Non può, pertanto, che darsi continuità all'orientamento espresso dalla sentenza della prima sezione civile n. 10947 del 2014, e ritenere che la regione Campania fosse tenuta in ogni operazione qualificabile come trattamento dei dati, ex art. 4, lett. a), del d.lgs. n. 196 del 2003, ad osservare le prescrizioni puntuali contenute nell'art. 22, sesto comma, e, conseguentemente ad adottare tecniche di cifratura o mediante l'utilizzazione di codici identificativi o di altre soluzioni che, considerato il numero e la natura dei dati trattati, li rendono temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessità. Non soltanto la trasmissione mediante comunicazione (come nella specie) o diffusione dei dati relativi alla salute ma anche la raccolta, la conservazione e l'estrazione e selezione degli stessi deve avvenire mediante codici cifrati e criptati per impedirne la potenzialità diffusiva, limitando l'identificazione degli interessati alle operazioni strettamente necessarie allo scopo finale dell'erogazione dell'indennità.

13. Tale orientamento, coerente con la lettera e la ratio della disciplina legislativa esaminata, non è in contrasto con gli obblighi di trasparenza posti a carico della pubblica amministrazione nell'allocazione e distribuzione delle risorse finanziarie ai quali i soggetti pubblici sono tenuti nei confronti degli organi di controllo, nei confronti dei terzi interessati e più in generale verso i cittadini e gli utenti perché i beneficiari dell'indennità sono identificabili per relationem per mezzo dei codici cifrati o criptati limitatamente però a ciò che è strettamente necessario a provvedere alle erogazioni ed a rispettare gli altri obblighi normativi ed istituzionali. All'interno delle articolazioni organizzative del soggetto pubblico le operazioni di trattamento dei dati, ovvero la conservazione, l'estrazione e la selezione di essi devono avvenire mediante tecniche che non consentano l'individuazione del soggetto o escludano il collegamento degli elementi identificativi soggettivi con il dato relativo alla salute. Le operazioni di trasmissione e comunicazione, infine, devono essere corredate delle medesime cautele in considerazione della maggiore esposizione al rischio della conoscenza non consentita dei dati in questione in queste specifiche tipologie di trattamento.

14. La soluzione adottata in ordine al soggetto pubblico titolare del trattamento, deve essere estesa anche all'istituto bancario, anch'esso qualificabile, come già illustrato, quale titolare del trattamento, in quanto tenuto alla raccolta, conservazione e comunicazione agli interessati dei dati medesimi.

14.1. Al riguardo, deve rilevarsi preliminarmente che il regime derogatorio contenuto nell'art. 18 e ss. del d.lgs. n. 196 del 2003 non trova diretta applicazione nei confronti dell'istituto bancario, trattandosi di persona giuridica di diritto privato. Non incide su tale qualificazione e sul regime giuridico applicabile il fatto che l'accredito dell'indennità costituisca la fase finale di un procedimento a formazione progressiva volto alla realizzazione di una finalità di rilevante interesse pubblico.

14.2. Il d.lgs. n. 196 del 2003 contiene, infatti, un'autonoma regolamentazione per i soggetti privati e gli enti pubblici economici nel capo III del titolo III (artt. da 23 a 27) notevolmente diversa da quella contenuta nel capo II e riferita ai soggetti pubblici.

Nell'art. 23 è contenuta la regola generale della necessità del consenso espresso dell'interessato reso per iscritto se relativo a dati sensibili ed avente ad oggetto la chiara individuazione della o delle tipologie di trattamento.

L'art. 24 esclude la necessità del consenso per adempiere ad obblighi normativi o contrattuali o in altre ipotesi elencate dalla norma ma non riguardanti i dati sensibili. Per questi ultimi, l'art. 26 richiede sempre il consenso scritto dell'interessato e l'autorizzazione preventiva del Garante (art. 26, comma 1). Il comma 4 della norma prevede un elenco di attività per le quali, ferma la previa autorizzazione del Garante, non è necessario lo specifico consenso scritto. Nella sentenza n. 10280 del 2015 e nella prospettazione difensiva delle parti controricorrenti si è ritenuta applicabile alla fattispecie dedotta nel presente giudizio la deroga prevista nella lett. d) del comma 4 dell'art. 26, inferendo dalla non necessità del consenso la superfluità della cifratura o criptatura. La disposizione invocata fa riferimento al trattamento dei dati sensibili necessario per l'adempimento di obblighi normativi riguardanti "la gestione del rapporto di lavoro, anche in materia di igiene e sicurezza del lavoro e della popolazione e di previdenza e assistenza".

14.3. Al riguardo, pur rientrando l'indennità in oggetto nelle prestazioni in senso lato previdenziali ed assistenziali, deve ritenersi ai fini dell'applicabilità della norma, la necessità che vi sia un nesso funzionale con il rapporto di lavoro come si rileva dalla esegesi testuale della norma.

La prestazione derivante dall'applicabilità della l. n. 210 del 1992 è estranea al complesso di obblighi e benefici che derivano dal rapporto di lavoro. Con riferimento ai dati sensibili ad essa riconducibili, è necessario in linea generale il consenso espresso dell'interessato ex art. 26, comma 1.

14.4. Peraltro, pur volendo ritenere autonomo il riferimento alle prestazioni previdenziali ed assistenziali, deve escludersi che l'istituto bancario non sia tenuto al trattamento dei dati in modo da occultarne la riconoscibilità all'interno della propria struttura organizzativa, oltre che nella eventuale trasmissione a soggetti determinati o nella diffusione.

15. L'interpretazione sistematica delle norme di protezione dei dati sensibili, contenute nel d.lgs. n. 196 del 2003, porta ad escludere che le cautele poste a carico del soggetto pubblico non debbano essere applicate anche ai soggetti privati cui i dati siano trasmessi in virtù di un obbligo legale o di un vincolo contrattuale, al fine di completare il procedimento di riconoscimento ed erogazione dell'indennità. Diversamente ragionando si determinerebbe un vulnus privo di ragionevolezza in ordine al trattamento dei dati nella fase, successiva alla trasmissione di essi all'istituto bancario, caratterizzata dal potenziale aumento del numero dei soggetti che ne possono venire a contatto. Le cautele della cifratura e della criptatura sono finalizzate proprio ad evitare la conoscenza dei dati sensibili attinenti alla salute da parte di soggetti che ne possano venire a contatto per l'inclusione nelle organizzazioni complesse titolari del trattamento e, conseguentemente possano estrarli, selezionarli, farne uso e diffonderne il contenuto. Il legislatore sia nel d.lgs. n. 196 del 2003, in linea generale, che nella l. n. 210 del 1992, ha voluto cercare di limitare al massimo il pericolo connesso alla conoscenza dei dati relativi alla salute in quanto "super sensibili", indicando modalità di trattamento che nascondano l'identificazione dei soggetti portatori di patologie fisiche o psichiche salvo che per l'esecuzione dell'attività inevitabilmente necessaria alla realizzazione della finalità d'interesse pubblico o per l'adempimento degli obblighi contrattualmente assunti.

15.1. Al riguardo anche l'autorizzazione del Garante n. 5 del 2009, avente ad oggetto le modalità di trattamento dei dati sensibili senza il consenso dell'interessato da parte delle imprese bancarie per l'attuazione degli obblighi contrattuali assunti, prescrive preventivamente che "prima di iniziare o proseguire il trattamento i sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità, in conformità all'art. 3 del Codice".

Nel punto n. 2 del Capo VI dell'Autorizzazione del Garante sopra indicata, riguardante le "prescrizioni comuni a tutti i trattamenti" viene infine prescritto che il trattamento dei dati sensibili deve essere effettuato con operazioni nonché con logiche e mediante forme di organizzazione dei dati strettamente indispensabili in rapporto alle finalità perseguite, dovendosi altresì rispettare quanto stabilito nell'Autorizzazione n. 2 del 2009. Quest'ultima Autorizzazione, riguardante il trattamento dei dati relativi alla salute e alla vita sessuale è interamente finalizzata a prescrivere comportamenti e modalità organizzative ispirate alla massima riservatezza in ordine al trattamento complessivo dei dati sensibili.

16. Pertanto, deve ritenersi esteso, per le ragioni complessivamente svolte, anche all'istituto bancario l'obbligo di procedere al trattamento dei dati sensibili dei propri clienti titolari dell'indennità attribuita ex lege n. 210 del 1992 mediante tecniche che non ne consentano l'identificazione.

17. In conclusione, il soggetto pubblico - Regione Campania - ed il soggetto persona giuridica privata - Banco di Napoli - sono tenuti, in qualità di titolari del trattamento dei dati personali del ricorrente, nel procedimento di riconoscimento, erogazione e concreto accredito dell'indennità ex lege n. 210 del 1992, ad occultare, mediante tecniche di cifratura o criptatura, il riferimento alla legge sopra indicata, in quanto rivelatore dello stato di salute del beneficiario dell'indennità. Le modalità organizzative, rimesse ai titolari del trattamento dei dati, devono essere dirette ad escludere il collegamento tra il dato sensibile e il soggetto beneficiario dell'indennità ed a limitare alle operazioni indispensabili ed ai soli addetti a tali specifiche operazioni la conoscenza del dato, celandone ai restanti componenti delle due organizzazioni complesse la decifrabilità ed, infine, conservando le medesime cautele nella comunicazione dei dati.

18. L'unico motivo di ricorso deve, in conclusione, essere accolto e la sentenza cassata con rinvio al tribunale di Napoli in diversa composizione perché si attenga al seguente principio di diritto: "I dati sensibili idonei a rivelare lo stato di salute possono essere trattati soltanto mediante modalità organizzative, quali tecniche di cifratura o criptatura che rendono non identificabile l'interessato. Ne consegue che i soggetti pubblici o le persone giuridiche private, anche quando agiscano rispettivamente in funzione della realizzazione di una finalità di pubblico interesse o in adempimento di un obbligo contrattuale, sono tenuti all'osservanza delle predette cautele nel trattamento dei dati in questione".

La novità della questione impone la compensazione delle spese del presente giudizio.

P.Q.M.

Accoglie il ricorso. Cassa la sentenza impugnata e rinvia al Tribunale di Napoli in diversa persona.

Compensa le spese del presente giudizio.

In caso di diffusione oscurare le generalità.

G. Ferrari (cur.)

Codice civile e leggi complementari

Hoepli, 2018

G. Ferrari (cur.)

Codice penale e leggi complementari

Hoepli, 2018

A. Pisaneschi

Diritto costituzionale

Giappichelli, 2018

P. Caretti

Costituzione italiana
Articolo 8


Carocci, 2017