L’insanabile contrasto sulla definizione delle nozioni di trattamento e di comunicazione dei dati sensibili, alla luce delle esigenze sottese alla protezione dei dati personali
La vertenza nasce dal ricorso proposto ai sensi del D.Lgs. n. 196 del 2003, ex art. 152, di un soggetto che conveniva in giudizio innanzi al Tribunale di Napoli, la Regione Campania, il Banco di Napoli ed il Garante per la protezione dei dati personali affinché fosse rimosso un dato sensibile (essendo egli beneficiario di indennizzo riconosciuto ai sensi della L. n. 210 del 1992), divulgato mediante il pagamento per via telematica; chiedendo contestualmente la condanna al risarcimento del danno della Regione e della Banca.
Il ricorrente precisava di percepire l’indennizzo ai sensi della L. 25 febbraio 1992 n. 210 (Indennizzo a favore dei soggetti danneggiati da complicanze di tipo irreversibile a causa di vaccinazioni obbligatorie, trasfusioni) che veniva pagato dalla Regione mediante accredito sul proprio conto corrente e lamentava che l’indicazione espressa “pagamento ratei indennizzo L. n. 210 del 1992” integrava un illegittimo trattamento di dati sensibili da parte della Regione, che nella causale di accredito richiamava la L. n. 210 del 1992 e da parte dell’Istituto di credito che lo indicava nell’estratto conto cartaceo.
Il Tribunale di Napoli, all’esito di una complessa ricognizione della normativa di riferimento rigettava la domanda in quanto, pur costituendo la citazione “L. n. 210 del 1992” un dato sensibile, in quanto rivelatore dello stato di salute del beneficiario, non era ravvisabile un’illecita diffusione dello stesso in quanto la comunicazione del pagamento veniva effettuata dalla Regione ad un soggetto determinato, ovvero all’istituto di credito designato dal soggetto sulla base di un conto corrente con lo stesso intrattenuto
Il ricorrente proponeva ricorso per Cassazione affidato ad unico motivo di ricorso.
Il quadro normativo di riferimento: Il diritto alla protezione dei dati personali è un diritto fondamentale dell’individuo tutelato dal D.Lgs. n. 196 del 2003, Codice in materia di protezione dei dati personali.
Il testo unico sulla Privacy riordina tutta la normativa in tema di trattamento dei dati personali accorpando in un unico testo la L. n. 675 del 1996, la prima legge italiana sulla privacy, e tutte le precedenti disposizioni nazionali e comunitarie, con numerose integrazioni e modificazioni anche alla luce delle pronunce del Garante per la protezione dei dati personali.
Prima che si giungesse ad una normativa espressa in materia, una concreta tutela al diritto alla riservatezza era data dalla L. n. 675 del 1996 “tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali“, che creava una normativa organica in materia di protezione della privacy, volta esplicitamente alla tutela della dignità, dei diritti e delle libertà fondamentali delle persone. La L. n. 675 del 1996 venne promulgata per adempiere a quanto previsto a livello europeo dagli accordi di Shengen e dalla Dir. n. 95/46/CE del Parlamento Europeo relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati.
Successivamente con l’emanazione del Codice in materia di protezione dei dati personali, che ha provveduto a riordinare l’insieme delle norme che sono intervenute nel tempo a regolare il trattamento dei dati personali, si approda ad una disciplina generale sulla tutela della privacy, dove il legislatore eleva la protezione dei dati personali a posizione giuridica autonoma riconosciuta in capo a chiunque.
La normativa in questione ha come scopo la protezione dei dati personali, definiti dalla stessa come “informazioni relative ad una persona sia questa fisica o giuridica, allo scopo di tutelare dette posizioni giuridiche che si qualificano, quali diritti fondamentali della persona umana“.
La “privacy” dunque, termine ormai entrato nell’uso comune, altro non è che il diritto alla riservatezza delle informazioni personali e della propria vita privata.
La persona umana, in tutte le sue manifestazioni, deve essere protetta sia nei confronti di privati sia nei confronti dell’amministrazione pubblica, in virtù della esistenza di diritti fondamentali riconosciuti e garantiti dall’art. 2 della Costituzione, impedendo che le informazioni riguardanti la sua sfera personale vengano divulgate senza la sua autorizzazione.
L’incipit dell’art. 1, D.Lgs. n. 196 del 2003 è chiaro e inequivocabile: Diritto alla protezione dei dati personali.
“Chiunque ha diritto alla protezione dei dati personali che lo riguardano” (art. 1). Il codice garantisce ai successivi articoli che il trattamento si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali.
La questione principale attiene all’interpretazione circa la definizione di trattamento e comunicazione del dato sensibile
Ai sensi dell’art. 4 del presente codice si intende per trattamento, “qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati” e per comunicazione “il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione”.
Con la pronuncia n. 10974/2014 la Corte aveva ritenuto che particolare tutela deve essere assicurata ai dati c.d. sensibili: “gli enti pubblici sono tenuti pertanto a conformare il trattamento dei dati sensibili, secondo modalità volte a prevenire violazioni di diritti, delle libertà fondamentali e della dignità dell’interessato; tali dati dunque devono essere trattati con tecniche di cifratura o mediante codici identificativi che li rendano temporaneamente inintellegibili a chi è autorizzato ad accedervi”.
Successivamente con sentenza n. 10280/2015 la Corte, in una identica fattispecie, ha escluso che la diffusione intesa come “il dare conoscenza di dati personali” a soggetti determinati, quali come nel caso di specie la banca, possa configurare un illegittimo trattamento degli stessi in quanto in virtù del rapporto contrattuale di conto corrente la banca si configura come mandatario con rappresentanza del correntista che ha prestato il suo consenso alla comunicazione dei dati stessi.
La soluzione offerta: La Cassazione osservando che sussiste un insanabile contrasto sulla definizione di trattamento e di comunicazione dei dati sensibili, ha disposto la rimessione degli atti al Primo Presidente per l’eventuale assegnazione del ricorso alle Sezioni Unite.
Alla luce di ciò si auspica l’immediato intervento delle Sezioni Unite al fine di concedere soluzione definitiva al contrasto esaminato.
Cass. Civ., Sez. I, 9 febbraio 2017, n. 3455
