Sulle corrette modalità di trattamento e comunicazione dei dati sensibili, nel rispetto dei diritti fondamentali della persona, sono chiamate a pronunciarsi le Sezioni Unite della Corte di Cassazione, evocate dalla prima sezione, con l’ordinanza interlocutoria n. 3455/2017.
In particolare, si dovrà stabilire se, nella fattispecie, la banca e la Regione abbiano violato le norme sulla privacy in occasione di un pagamento eseguito in favore di un cittadino. Questi lamentava, infatti, la diffusione di dati sensibili rivelatori del suo stato di salute, perché, nel disporre il pagamento per via telematica, la Regione, nella causale, aveva fatto riferimento alla legge n. 210/1992 (sugli indennizzi per i danni da vaccini obbligatori o da trasfusioni di sangue infetto), la stessa usata dall’istituto di credito per contraddistinguere il corrispondente movimento nell’estratto conto inviato al cliente.
Il ricorso era stato respinto dal Tribunale di Napoli, mentre la prima sezione della Corte di Cassazione, di fronte alla quale è approdata la controversia, ricorda come la Giurisprudenza sul punto non sia univoca. Con la sentenza n. 10947/2014, infatti, proprio la prima sezione aveva sanzionato una simile condotta, stabilendo il dovere di trattare i dati personali nel rispetto dei diritti fondamentali, con particolare riguardo ai dati sensibili idonei a rivelare lo stato di salute ed evidenziando la necessità di ricorrere, in tali casi, a tecniche di cifratura o a codici di identificazione idonei a renderli temporaneamente non leggibili anche a chi è autorizzato ad accedervi.
Una scelta non condivisa, tuttavia, dalla terza sezione con la sentenza n. 10280/2015, che, in un’identica fattispecie, aveva invece escluso la violazione delle norme sulla privacy. Secondo i giudici, non vi sarebbe stata la diffusione, che si configura solo quando un dato è conoscibile e messo a disposizione di soggetti indeterminati e in qualunque forma. Quanto alla banca, andava considerata la pluralità di soggetti che potevano conoscere il dato in ragione del servizio svolto, per cui non si potrebbe esigere che siano previamente identificati i soggetti a cui indirizzare la comunicazione. L’istituto di credito, inoltre, avrebbe agito nel rispetto del contratto di conto corrente, su mandato dello stesso cliente, per cui doveva riconoscersi, come previsto dal codice privacy e chiarito dalla giurisprudenza, che non è necessario alcun consenso al trattamento di dati sensibili, quando il trattamento è necessario per adempiere un obbligo di legge.
Neppure la Regione avrebbe violato le norme sulla privacy e, in particolare, l’articolo 22 che detta le regole di trattamento per gli enti pubblici, essendo questo destinato ad impedire che, attraverso la consultazione di banche dati, possano essere identificati gli interessati, ma non applicabile alla Regione che si era limitata a indicare, per ragioni di trasparenza ed efficacia dell’attività amministrativa, la causale del pagamento.
Avv. Flaviano Sanzari
