Dati sensibili e terminologia privacy: contrasti interpretativi?

26/04/2017
di roberto

Dati sensibili: quando vanno considerati tali? La distinzione ha un peso giuridico da non sottovalutare. Con ordinanza n. 3455 del 9 febbraio 2017 la Prima Sezione Civile della Corte di Cassazione ha rimesso gli atti al Primo Presidente della Corte, per l’eventuale assegnazione della causa alle Sezioni Unite Civili, in relazione al contrasto sorto all’interno delle Sezioni Ordinarie in ordine alle nozioni e alle modalità di trattamento e di comunicazione di dati sensibili, con particolare riferimento a quei dati che possano essere indicativi delle condizioni di salute dell’interessato.

La fattispecie

Dati sensibili e regoleLa vicenda prende le mosse dal ricorso proposto dal beneficiario di un indennizzo ex L. n. 210/1992 (relativa ai danni da vaccinazioni obbligatorie) pagato dalla Regione Campania mediante accredito sul proprio conto corrente e che riportava come causale del bonifico la dicitura: “pagamento ratei arretrati bimestrali e posticipati .. L. n. 210 del 1992”.

A detta del ricorrente, la suddetta indicazione in chiaro – in quanto idonea a rivelare il proprio stato di salute – avrebbe costituito un illegittimo trattamento dei dati personali, causandogli danni in relazione ai quali chiedeva la condanna al risarcimento nei confronti della Regione e della banca  che aveva contraddistinto il relativo movimento nell’estratto conto cartaceo inviatogli.

Respinta la domanda risarcitoria in primo grado, il ricorrente con unico ed articolato motivo ha dedotto presso la Corte che con la decisione di primo grado sarebbero stati violati i principi desumibili dalla normativa in materia di protezione dei dati personali, non avendo il giudice di merito considerato la distinzione tra dati personali identificativi, sensibili e giudiziari, obliterando la necessità relativamente a questi ultimi di un trattamento con tecniche di cifratura o altre soluzioni atte a rendere i dati temporalmente inintelligibili anche a colori i quali sono autorizzati ad accedervi (come imposto – per gli enti pubblici – dall’art. 22 del Codice Privacy).

In precedenza, Cass. 19 maggio 2014 n. 10947 e Cass. 20 maggio 2015 n. 10280 si erano espresse con soluzioni divergenti proprio su questione sovrapponibile a quella sottesa all’ordinanza, ossia in merito alla citazione esplicita in causale della legge 210/1992 che attribuisce un indennizzo a chi ha riportato un danno alla propria integrità psico-fisica in seguito a vaccinazione obbligatoria o risulti contagiato da HIV in seguito a somministrazione di sangue.

In particolare, con sentenza n. 10280/2015 la Cassazione ha escluso che, in relazione a identica fattispecie, siano riscontrabili violazioni delle disposizione contenute nel Codice Privacy.

Questo sulla base di tre distinte motivazioni.

1) E’ stato escluso che la citazione esplicita in causale della legge 210/1992  fosse un dato sensibile in quanto le provvidenze previste dalla suddetta legge sono erogate a due distinte categorie di persone: a coloro che hanno subito un’infezione ovvero ai prossimi congiunti in caso di decesso degli indennitari.

La sentenza in esame non condivide tale punto in quanto la causale in esame che si riferisce a “arretrati bimestrali e posticipati” appare inequivocabilmente destinata al soggetto che abbia riportato una menomazione permanente.

2) E’ stata escluso che la comunicazione del dato sensibile ad una pluralità di soggetti individuabili nell’ambito della medesima persona giuridica potesse figurare quale diffusione, ai sensi della definizione contenuta nell’art. 4 del D. Lgs. 196/2003.

Dal momento che l’art. 4 non distingue quanto ai destinatari della comunicazione, la persona fisica da quella giuridica, non sarebbe di fatto esigibile da parte di chi trasmette dati sensibili ad una persona giuridica che opera attraverso i suoi organi la previa identificazione della persona fisica cui indirizzare la comunicazione.

3) E’ stato escluso l’applicazione dell’obbligo di cifratura nei confronti della Banca in quanto soggetto privato.

Avendo, pertanto rilevato un contrato sulla definizione delle nozioni di comunicazione dei dati sensibili tra le altre ed alle modalità/obbligo di cifratura dei dati sensibili, la Corte ha trasmesso alle Sezioni Unite la risoluzione del contrasto, giudicato di particolare importanza.

Riproduzione riservata ©

ALTRE NEWS

UE: la contestata riforma del copyright di nuovo al voto

Il prossimo 12 settembre il Parlamento Europeo è chiamato a discutere in seduta plenaria la proposta di direttiva europea sul diritto d’autore nel mercato unico… Leggi Tutto

Colin & Partners al convegno “Governance di Internet ed efficienza delle regole: verso il nuovo Regolamento Europeo sulla privacy”

Grande fermento sul fronte privacy. A confermarlo il convegno “Governance di Internet ed efficienza delle regole: verso il nuovo regolamento europeo sulla privacy”  tenutosi lo… Leggi Tutto

Diritto all’oblio: una sentenza che fa discutere

Decisiva, purtroppo non nel senso sperato, la sentenza del 24 settembre scorso della Corte di giustizia dell’Unione Europea nell’ambito di una controversia tra la società… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    * Informativa Privacy Autorizzo il trattamento dei miei dati personali secondo quanto stabilito dal regolamento europeo per la protezione dei dati personali n. 679/2016, GDPR.

    * (campo obbligatorio)
    Questo sito è protetto da reCAPTCHA e vengono applicate l' Informativa sulla Privacy e i Termini e Condizioni di Google.