Home / Blog / Dati sensibili e terminologia privacy: contrasti interpretativi?

Dati sensibili e terminologia privacy: contrasti interpretativi?

Inserito da Gloria Ricci 26 aprile 2017 in Privacy e tutela delle informazioni

Dati sensibili: quando vanno considerati tali? La distinzione ha un peso giuridico da non sottovalutare. Con ordinanza n. 3455 del 9 febbraio 2017 la Prima Sezione Civile della Corte di Cassazione ha rimesso gli atti al Primo Presidente della Corte, per l’eventuale assegnazione della causa alle Sezioni Unite Civili, in relazione al contrasto sorto all’interno delle Sezioni Ordinarie in ordine alle nozioni e alle modalità di trattamento e di comunicazione di dati sensibili, con particolare riferimento a quei dati che possano essere indicativi delle condizioni di salute dell’interessato.

La fattispecie

Dati sensibili e regoleLa vicenda prende le mosse dal ricorso proposto dal beneficiario di un indennizzo ex L. n. 210/1992 (relativa ai danni da vaccinazioni obbligatorie) pagato dalla Regione Campania mediante accredito sul proprio conto corrente e che riportava come causale del bonifico la dicitura: “pagamento ratei arretrati bimestrali e posticipati .. L. n. 210 del 1992”.

A detta del ricorrente, la suddetta indicazione in chiaro – in quanto idonea a rivelare il proprio stato di salute – avrebbe costituito un illegittimo trattamento dei dati personali, causandogli danni in relazione ai quali chiedeva la condanna al risarcimento nei confronti della Regione e della banca  che aveva contraddistinto il relativo movimento nell’estratto conto cartaceo inviatogli.

Respinta la domanda risarcitoria in primo grado, il ricorrente con unico ed articolato motivo ha dedotto presso la Corte che con la decisione di primo grado sarebbero stati violati i principi desumibili dalla normativa in materia di protezione dei dati personali, non avendo il giudice di merito considerato la distinzione tra dati personali identificativi, sensibili e giudiziari, obliterando la necessità relativamente a questi ultimi di un trattamento con tecniche di cifratura o altre soluzioni atte a rendere i dati temporalmente inintelligibili anche a colori i quali sono autorizzati ad accedervi (come imposto – per gli enti pubblici – dall’art. 22 del Codice Privacy).

In precedenza, Cass. 19 maggio 2014 n. 10947 e Cass. 20 maggio 2015 n. 10280 si erano espresse con soluzioni divergenti proprio su questione sovrapponibile a quella sottesa all’ordinanza, ossia in merito alla citazione esplicita in causale della legge 210/1992 che attribuisce un indennizzo a chi ha riportato un danno alla propria integrità psico-fisica in seguito a vaccinazione obbligatoria o risulti contagiato da HIV in seguito a somministrazione di sangue.

In particolare, con sentenza n. 10280/2015 la Cassazione ha escluso che, in relazione a identica fattispecie, siano riscontrabili violazioni delle disposizione contenute nel Codice Privacy.

Questo sulla base di tre distinte motivazioni.

1) E’ stato escluso che la citazione esplicita in causale della legge 210/1992  fosse un dato sensibile in quanto le provvidenze previste dalla suddetta legge sono erogate a due distinte categorie di persone: a coloro che hanno subito un’infezione ovvero ai prossimi congiunti in caso di decesso degli indennitari.

La sentenza in esame non condivide tale punto in quanto la causale in esame che si riferisce a “arretrati bimestrali e posticipati” appare inequivocabilmente destinata al soggetto che abbia riportato una menomazione permanente.

2) E’ stata escluso che la comunicazione del dato sensibile ad una pluralità di soggetti individuabili nell’ambito della medesima persona giuridica potesse figurare quale diffusione, ai sensi della definizione contenuta nell’art. 4 del D. Lgs. 196/2003.

Dal momento che l’art. 4 non distingue quanto ai destinatari della comunicazione, la persona fisica da quella giuridica, non sarebbe di fatto esigibile da parte di chi trasmette dati sensibili ad una persona giuridica che opera attraverso i suoi organi la previa identificazione della persona fisica cui indirizzare la comunicazione.

3) E’ stato escluso l’applicazione dell’obbligo di cifratura nei confronti della Banca in quanto soggetto privato.

Avendo, pertanto rilevato un contrato sulla definizione delle nozioni di comunicazione dei dati sensibili tra le altre ed alle modalità/obbligo di cifratura dei dati sensibili, la Corte ha trasmesso alle Sezioni Unite la risoluzione del contrasto, giudicato di particolare importanza.