Privacy, banche e dati sanitari: non ammesso il consenso implicito. Necessari crittografia e autorizzazione specifica scritta

Avv. Vincenzo Colarocco

Le Sezioni Unite della Corte di Cassazione, con la sentenza del 27 dicembre n. 30981/17, hanno sancito il principio per cui i dati sensibili idonei a rivelare lo stato di salute possono essere trattati soltanto mediante modalità organizzative, quali tecniche di cifratura o criptatura che rendono non identificabile l’interessato, anche nell’ipotesi in cui la pubblica amministrazione o le imprese, agiscano rispettivamente in funzione della realizzazione di una finalità di pubblico interesse o in adempimento di un obbligo contrattuale.

Nel caso di specie la Suprema Corte ha ritenuto che la Regione Campania e un istituto di credito privato hanno detenuto e comunicato illecitamente i dati sanitari di una persona fisica beneficiaria dell’indennizzo erogato “a favore dei soggetti danneggiati da complicanze di tipo irreversibile a causa di vaccinazioni obbligatorie, trasfusioni” previsto dalla legge 210/92. Ciò, in quanto la Regione Campania – ente pubblico erogatore dell’indennità – indicava nella causale di accredito la dizione “pagamento rateo arretrati bimestrali e posticipati l. n. 210/92”.

In particolare la Sezioni Unite hanno ritenuto che “i dati desumibili dal richiamo alla l. 210/92 sono personali in quanto relativi ad una persona fisica identificata, e sensibili perché aventi un contenuto idoneo a rivelare lo stato di salute della persona identificata” e che “non può essere desunto implicitamente il consenso al trattamento dei dati sensibili da condotte diverse dall’adesione espressa dell’interessato”, essendo il sistema di protezione dati sensibili, fondato sul principio generale della necessità del consenso espresso dell’interessato.

Pertanto, essendo la dizione “pagamento rateo arretrati bimestrali e posticipati l. n.210/92”, una rivelazione di dato personale e sensibile, riguardante la salute del ricorrente, la Corte impone al titolare del trattamento – in linea con quanto disposto dallo stesso art. 22 D. Lgs. n.196/2003 comma 6 e 7 – l’acquisizione di specifico consenso in forma scritta e l’adozione di tecniche di crittografia o di cifratura salvo deroghe ex lege.