La Corte di Cassazione a Sezioni Unite mette un punto all’annosa questione concernente la qualificazione della causale di bonifico come dato sensibile, risolvendo un contrasto giurisprudenziale sorto in seno alla Corte stessa e di cui questo blog si era già occupato.
I fatti sono noti: il soggetto beneficiario di un’indennità per malattia e invalidità elargita ai sensi della l. 25 febbraio 1992, n. 210 (“Indennizzo a favore dei soggetti danneggiati da complicanze di tipo irreversibile a causa di vaccinazioni obbligatorie, trasfusioni”) lamenta l’illecito trattamento dei propri dati da parte della Regione, erogatrice dell’indennizzo e ordinatrice del relativo bonifico, e della sua banca, ricevente il bonifico per conto del proprio correntista. Giacché i riferimenti legislativi della norma che accorda l’indennità sono menzionati nella causale di bonifico, il soggetto beneficiario sostiene che tale indicazione sia idonea a rivelare il proprio stato di salute e, di conseguenza, rappresenti un dato sensibile che deve essere trattato con le cautele rigorose previste per tale peculiare categoria di dati. In considerazione dell’esplicita dicitura indicata nella clausola di bonifico, tanto la Regione, quanto la Banca non avrebbero invece adottato – secondo il beneficiario – le opportune cautele di cifratura dei dati sensibili volte a non rendere identificabile il soggetto interessato e ad escludere il collegamento tra quest’ultimo e il dato sensibile. Da qui, l’illecito trattamento.
La Cassazione affronta la questione dapprima nel 2014, con la sentenza n. 10947, abbracciando la teoria della causale del bonifico come dato sensibile, poi nel 2015 con la sentenza n. 10815 smentendo l’orientamento precedentemente espresso e sostenendo, in particolare, l’assenza di un obbligo in capo alla Regione e alla banca di cifrare i dati (maggiori approfondimenti QUI).
Alla luce di tale contrasto giurisprudenziale, la Prima sezione civile della Cassazione, nuovamente interpellata sul tema, rinvia la questione alle Sezioni Unite che, con la sentenza n. 30981 del 27 dicembre 2017, sposano il primo degli orientamenti menzionati. In primo luogo, le Sezioni Unite si interrogano sulla natura della causale del bonifico, giungendo ad affermare che si tratta di dato sensibile in quanto “la dizione ‘pagamento rateo arretrati bimestrali e posticipati l. n. 210 del 1992’ contiene la rivelazione del dato sensibile riguardante la salute del ricorrente in quanto la periodicità della corresponsione (…) non può che riguardare il soggetto affetto dalle patologie cui l’indennità si riferisce e non i suoi familiari-eredi ai quali la legge riconosce un importo a titolo di una tantum”. In secondo luogo, ritenendo che sia la Regione, sia la banca abbiano posto in essere un trattamento di dati e che ne siano i relativi titolari, i giudici ermellini proseguono nel valutare l’applicabilità o meno al caso di specie delle cautele riservate ai dati sensibili, in particolare le tecniche di cifratura e l’utilizzazione di codici identificativi di cui al già richiamato art. 22, 6° comma del Codice privacy. A tal proposito, le Sezioni Unite – in contrasto con la sentenza del 2015 – sostengono che l’obbligo della cifratura non sia limitato ai dati sensibili esclusivamente contenuti in elenchi, registri o banche dati, tenuti con l’ausilio di strumenti elettronici, così come indicato nella su citata disposizione, ma si estenda a tutte le modalità di raccolta dei dati come si ricava dalla più puntuale indicazione contenuta nel successivo 7° comma, specificamente diretta ai dati sensibili relativi alla salute. In tale disposizione si precisa, infatti, che i dati idonei a rivelare lo stato di salute debbano essere trattati con le modalità di cui al 6° comma (che richiede la cifratura o l’utilizzazione di codici identificativi).
Secondo la Cassazione, dunque, la Regione avrebbe dovuto osservare le prescrizioni contenute nell’art. 22, commi 6 e 7, che impongono di rendere inintelligibili i dati sensibili e permettono di identificare gli interessati solo in caso di necessità. A nulla rilevano – secondo i giudici – gli “obblighi di trasparenza posti a carico della pubblica amministrazione nell’allocazione e distribuzione delle risorse finanziarie ai quali i soggetti pubblici sono tenuti (…) perché i beneficiari dell’indennità sono identificabili per relationem per mezzo dei codici cifrati o criptati limitatamente però a ciò che è strettamente necessario a provvedere alle erogazioni ed a rispettare gli altri obblighi normativi ed istituzionali”.
Tuttavia, l’iter argomentativo delle Sezioni Unite non si arresta qui: in modo innovativo (quanto atipico), le Sezioni Unite estendono l’obbligo di cifratura anche alla banca che di norma, a causa della propria natura di soggetto privato, non sarebbe soggetta a tale cautela, imposta solo ai soggetti pubblici nell’ambito dei propri trattamenti. Tuttavia, nel caso di specie, i giudici ritengono che la mancata adozione da parte della banca di idonee misure che impediscano l’identificazione del soggetto interessato “determinerebbe un vulnus privo di ragionevolezza in ordine al trattamento dei dati nella fase successiva alla trasmissione di essi all’istituto bancario, caratterizzata dal potenziale aumento del numero dei soggetti che ne possono venire a contatto. Le cautele della cifratura sono finalizzate proprio ad evitare la conoscenza dei dati sensibili attinenti alla salute da parte di soggetti che ne possano venire a contatto per” il semplice fatto di far parte dell’organizzazione del titolare del trattamento (in questo caso, la banca).
In conclusione, secondo le Sezioni Unite, i titolari del trattamento – a prescindere dalla loro natura privata o pubblica –, ove si trovino a trattare dati sensibili, dovrebbero sempre adottare modalità organizzative dirette ad escludere il collegamento tra il dato sensibile e il soggetto interessato ed a limitare l’identificabilità per le operazioni indispensabili ed ai soli addetti a tali specifiche operazioni, celando ai restanti componenti dell’organizzazione del titolare la decifrabilità dei dati.
Aggiungi commento