Tutela della privacy e trattamento dei dati sensibili

di Gianluca Grasso - Il libro dell anno del diritto 2019 (2019)

Gianluca Grasso

Sul tema della tutela della privacy e del trattamento dei dati sensibili, particolare rilievo assume la pronuncia delle Sezioni Unite della Cassazione che interviene a risolvere un contrasto sul trattamento dei dati concernenti la salute per finalità di concessione di provvidenze previdenziali e assistenziali. Secondo le Sezioni Unite, i dati sensibili idonei a rivelare lo stato di salute possono essere trattati soltanto mediante modalità organizzative, quali tecniche di cifratura o criptatura, che rendano non identificabile l’interessato.

La ricognizione

Le Sezioni Unite civili della Corte di cassazione (Cass., S.U., 27.12.2017, n. 30981¹) intervengono sul trattamento dei dati sensibili concernenti la salute per finalità di concessione di provvidenze previdenziali e assistenziali. Il contrasto, espresso da pronunce contrapposte della Corte, concerneva, nella specie, la qualificazione come dato sensibile dalla dicitura «assegno ex l. 210/1992» – relativa all’indennizzo a favore dei soggetti danneggiati da complicanze di tipo irreversibile a causa di vaccinazioni obbligatorie, trasfusioni e somministrazione di emoderivati – menzionata nella causale del bonifico o nell’estratto conto bancario.

La focalizzazione

La decisione della Corte di legittimità si inserisce nel filone della giurisprudenza² teso a garantire l’effettività della tutela del trattamento dei dati di carattere personale, quale diritto fondamentale sancito dalla nostra Costituzione (art. 2) e nell’ordinamento europeo (art. 8, par. 1, Carta dei diritti fondamentali dell’UE e art. 16, par. 1, TFUE). Non si tratta, peraltro, di un diritto insuscettibile di limitazioni, potendo entrare in conflitto con altri diritti o principi altrettanto meritevoli di tutela. In tal senso, la disciplina di riferimento contenuta attualmente nel regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27.4.2016³, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla loro libera circolazione, nel sancire il carattere fondamentale della loro tutela prevede altresì che per il buon funzionamento del mercato interno «la libera circolazione dei dati personali nell’Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali» (art. 1, par. 3). A fronte della rapidità dell’evoluzione tecnologica, che ha determinato un incremento esponenziale della condivisione e della raccolta di informazioni riguardanti la persona, la nuova disciplina intende garantire e bilanciare la protezione dei dati di carattere personale con la loro libera circolazione (art. 1 reg. 2016/679). Si vuole in tal modo assicurare la protezione dei dati personali, rafforzando al tempo stesso la fiducia nelle transazioni elettroniche nel mercato interno, con il fine di aumentare l’efficacia dei servizi on line pubblici e privati all’interno dell’Unione europea. Al fine di consentire l’adeguamento della normativa nazionale alle disposizioni del reg. 2016/679 è stato adottato il d.lgs. 10.8.2018, n. 101 che non prevede più – come in una prima versione – l’abrogazione del d.lgs. 30.6.2003, n. 196 (c. privacy) ma la sua novellazione, allo scopo di armonizzarne il testo al nuovo assetto normativo, abrogando le disposizioni contrastanti con il regolamento, introducendone di nuove, integrando e modificando le disposizioni compatibili con la disciplina europea.

Il contrasto nella giurisprudenza

La pronuncia delle Sezioni Unite interviene sulla disciplina antecedente al reg. 2016/679, risolvendo il contrasto esistente nella giurisprudenza di legittimità in merito alla necessità di far ricorso a tecniche di cifratura o criptatura, che rendano non identificabile l’interessato, con riferimento al trattamento di dati idonei a rivelare lo stato di salute⁴. La fattispecie su cui si è confrontata la giurisprudenza, in particolare, ha riguardato la causale del bonifico richiesto in favore di un beneficiario dell’indennizzo previsto dalla l. 25.2.1992, n. 210 per chi abbia riportato, a causa di vaccinazioni obbligatorie, una menomazione permanente dell’integrità psicofisica o a chi risulti contagiato da infezioni HIV. L’indennizzo consiste in un assegno, reversibile per quindici anni, ovvero in un assegno una tantum erogato dallo Stato, in favore della vittima o dei suoi eredi (artt. 1 e 2), alle condizioni previste all’esito di un giudizio sanitario sul nesso causale tra la vaccinazione, la trasfusione, la somministrazione di emoderivati, il contatto con il sangue e derivati in occasione di attività di servizio e la menomazione dell’integrità psicofisica o la morte (artt. 3-7). Secondo un primo indirizzo⁵, il riferimento all’indennità di cui alla l. n. 210/1992 contiene un dato personale sensibile che l’ente pubblico deve trattare, pur se autorizzato a farlo all’interno della sua attività istituzionale, con le cautele indicate dall’art. 22, co. 6, c. privacy.

In tale prospettiva, si evidenzia che, ai sensi dell’art. 4 c. privacy, è dato personale ogni informazione relativa al soggetto, individuabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale e che, in base all’art. 22 c. privacy, i dati idonei a rivelare lo stato di salute non possono essere diffusi e devono essere trattati con tecniche di cifratura o mediante codici identificativi che li rendano temporaneamente inintellegibili a chi è autorizzato ad accedervi.

La Cassazione, sottolineando che il dato che l’ente pubblico aveva rivelato nella comunicazione all’istituto di credito per l’erogazione dell’assegno, e da quest’ultimo riportato nella causale, riguardava l’indennizzo di cui alla l. n. 210/1992, ha ritenuto illegittimo il trattamento dei dati in quanto, secondo le indicazioni dell’art. 22, l’ente pubblico e la banca avrebbero dovuto diffondere e conservare i dati utilizzando cifrature o numeri di codice non identificabili. Diversa soluzione è stata invece adottata in altra pronuncia⁶, con la quale si è negato alla causale di bonifico la natura di dato sensibile, rilevando come la l. n. 210/1992 prevede che beneficiari dell’indennizzo possano essere, alternativamente, i soggetti direttamente colpiti o i loro familiari. Dal momento che l’elargizione dell’assegno non dipende dalla malattia del soggetto che materialmente riceve il bonifico, i giudici hanno concluso che l’informazione non fosse sufficiente a rivelare lo stato di salute del beneficiario e, dunque, non fosse un dato sensibile. La Corte ha inoltre ritenuto che se anche quella dizione fosse stata inquadrabile tra i dati sensibili, la sua comunicazione sarebbe stata comunque lecita, in quanto autorizzata da specifiche disposizioni di legge⁷. Sotto altro profilo, si è reputato privo di fondamento il riferimento all’art. 22, co. 6, d.lgs. n. 196/2003, posto che l’adozione di tecniche di cifratura risulta applicabile solo a casi specifici, ove i dati provengano da elenchi o registri e la finalità sia quella della loro gestione e interrogazione. Neppure la banca può essere considerata onerata dell’adozione di tali misure (la disposizione si applica ai soli soggetti pubblici; in capo ai soggetti privati sorge l’obbligo di cifratura solo per i dati idonei a rivelare lo stato di salute e se trattati con strumenti elettronici, condizioni entrambi assenti nel caso di specie; la comunicazione al cliente dei suoi dati personali non costituisce trattamento ma adempimento di obblighi scaturenti dal contratto di conto corrente). Le condotte dell’ente pubblico e della banca sono state in tal modo ritenute legittime, non ravvisandosi alcun trattamento illecito.

L’intervento delle Sezioni Unite

Le Sezioni Unite risolvono il contrasto ritenendo che il soggetto pubblico e la banca siano tenuti – in qualità di titolari del trattamento di dati personali, nel procedimento di riconoscimento, erogazione e accredito dell’indennità di cui alla l. n. 210/1992 – a occultare, mediante tecniche di cifratura o criptatura, il riferimento a tale legge, in quanto idoneo a rivelare lo stato di salute del beneficiario dell’indennità. La questione viene risolta attraverso due passaggi fondamentali. Da un lato, la Corte intende verificare se l’utilizzazione di tali dati possa configurare un “trattamento” rilevante ai fini del sistema di protezione dei dati personali previsto dal nostro ordinamento. Dall’altro, se le parti convenute in giudizio siano identificabili come titolari del trattamento dei dati in oggetto. Con riferimento al primo aspetto, la Corte evidenzia che i dati desumibili dal richiamo alla l. n. 210/1992 sono personali, in quanto relativi a una persona fisica identificata (art. 3, lett. b, c. privacy), e sensibili, perché aventi un contenuto idoneo a rivelare lo stato di salute della persona (art. 3, lett. d, c. privacy). La dizione «pagamento rateo arretrati bimestrali e posticipati l. n. 210 del 1992» contiene la rivelazione del dato personale sensibile riguardante la salute in quanto la periodicità della corresponsione, desumibile dal testo, riguarda il soggetto affetto dalle patologie e non i suoi eredi. Sul secondo profilo, la Corte chiarisce che la comunicazione dei dati personali rientra nella nozione di “trattamento” ai sensi dell’art. 4, lett. a), c. privacy, essendo l’operazione di trasmissione rivolta nei confronti di un soggetto determinato, mentre la diffusione si indirizza verso un numero indeterminato di destinatari. La trasmissione dei dati personali sensibili dall’ente pubblico all’istituto bancario è dunque riconducibile alla nozione di “comunicazione” e rientra nella definizione normativa di “trattamento”, così come lo sono le successive operazioni sui dati eseguite dalla banca, in quanto riconducibili alla loro raccolta, selezione e circolazione ovvero alle attività funzionali agli adempimenti contrattualmente richiesti, all’interno di una complessa organizzazione composta di un numero non esiguo ma determinato di addetti e, infine, alla trasmissione al destinatario. Sia l’ente erogatore sia la banca sono inoltre titolari del trattamento dei dati sensibili (art. 4, lett. f, c. privacy), ciascuno per le funzioni e gli adempimenti, rispettivamente di natura pubblica e contrattuale, posti in essere per pervenire all’accredito dell’indennità. La Cassazione sottolinea come la natura “super sensibile” dei dati personali connessi al riconoscimento dell’indennità in questione è riconosciuta dalla stessa l. n. 210/1992, che nell’art. 3 prevede che l’istruzione della domanda avvenga in modo da garantire «il diritto alla riservatezza anche mediante opportune modalità organizzative» e la garanzia di riservatezza viene estesa a «chiunque nell’esercizio delle proprie funzioni venga a conoscenza» di persone danneggiate da complicanze di tipo irreversibile a causa di vaccinazioni obbligatorie, trasfusioni e somministrazioni di emoderivati. Richiamando l’assetto sistematico delle norme del c. privacy, direttamente disciplinanti la fattispecie dedotta in giudizio e oggetto del contrasto di giurisprudenza, le Sezioni Unite evidenziano che nell’art. 22, co. 6 e 7, viene imposto ai soggetti pubblici di trattare i dati relativi alla salute delle persone «con tecniche di cifratura o mediante l’utilizzazione di codici identificativi o di altre soluzioni che, considerato il numero e la natura dei dati trattati, li rendono temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessità». L’obbligo di cifratura o criptatura non è quindi soltanto limitato ai dati contenuti in elenchi, registri o banche dati, tenute con l’ausilio di strumenti elettronici, così come previsto nel co. 6 dell’art. 22, estendendosi a tutte le modalità di raccolta dei dati anche meramente cartacee. Ciò lo si ricava dalla più puntuale indicazione contenuta nel successivo co. 7, specificamente diretta ai dati sensibili relativi alla salute, ove si precisa che essi sono trattati con le modalità di cui al co. 6 (che richiede la cifratura o criptatura) «anche quando sono tenuti in elenchi, registri, o banche di dati senza l’ausilio di strumenti elettronici». Ne consegue che il trattamento dei dati sensibili relativi alla salute deve necessariamente conformarsi a tutte le prescrizioni indicate nell’art. 22 c. privacy. Si tratta, secondo le Sezioni Unite, di prescrizioni di natura inderogabile che non possono essere violate neanche ove non se ne ravvisi in concreto l’utilità o la necessità, essendo il sistema legislativo integrato di protezione dei dati sensibili ispirato al principio della massima limitazione possibile della circolazione e diffusione degli stessi senza il consenso dell’interessato. La tendenziale assolutezza del principio e la rigorosa definizione del perimetro autorizzatorio al trattamento di tali dati da parte dei soggetti pubblici induce a escludere che residui in capo ai titolari un potere discrezionale in ordine all’adempimento delle prescrizioni normative relative al trattamento. L’art. 22 c. privacy impone la continenza e la criptatura o cifratura dei dati sensibili relativi alla salute senza alcun margine di apprezzamento sulla efficacia dello strumento e sul concreto uso del dato.

I profili problematici

La sentenza delle Sezioni Unite interviene sulla disciplina antecedente al reg. 2016/679. I principi affermati nella pronuncia devono peraltro ritenersi vigenti anche nel nuovo assetto normativo, che si caratterizza per un rafforzamento della protezione dei dati personali e per l’intento di superare la frammentazione derivante dalle disposizioni precedenti, attraverso una normativa omogenea, direttamente applicabile in tutto il territorio dell’Unione senza la necessità di atti di recepimento. Se gli artt. 3, 4 e 22 c. privacy sono stati abrogati dal d.lgs. 10.8.2018, n. 101, questo è avvenuto in ragione della diretta applicabilità delle norme del regolamento che fissano i fondamenti di liceità del trattamento (art. 6) in maniera sostanzialmente coincidente con quelli già previsti dal c. privacy, consentendo il trattamento dei dati “sensibili” (dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona) quando esso è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato (art. 9, par. 2, lett. b). L’erogazione dell’indennizzo di cui alla l. n. 210/1992 rientra senz’altro in tale fattispecie. A livello generale, e ancor più in materia di dati sensibili, il regolamento (art. 32) prescrive la necessità di mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, tra cui, se del caso, la pseudonimizzazione e la cifratura dei dati personali e la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento, tenuto conto della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.

Note

¹ In Foro it., 2018, I, 2147, conforme alle sentenze nn. 30982/2017, 30983/2017 e 30984/2017 tutte relative a fattispecie analoghe.

² Si considerino, tra le altre, Cass., 20.5.2016, n. 10510, in Rass. dir. farmaceutico, 2016, 529 sulla pubblicazione, su un sito internet liberamente accessibile, di un provvedimento giurisdizionale che indichi lo stato di salute del ricorrente, Cass., 29.5.2015, n. 11223, ivi, 2015, 927 sulla comunicazione, da parte di una p.a. ad altra, di dati riguardanti la salute, Cass., 15.7.2014, n. 16133, in Danno e resp., 2015, 339, sul danno alla privacy, caratterizzato dalla possibilità, per gli utenti del web, di rinvenire agevolmente – attraverso l’uso di un comune motore di ricerca – generalità, codice fiscale, attività di studio, posizione lavorativa e retributiva della parte attrice.

³ Il regolamento (UE) 2016/679 abroga la direttiva 95/46/CE e ridefinisce la disciplina in materia. Al regolamento si accompagna la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27.4.2016, che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini. Cfr. Il nuovo regolamento europeo sulla privacy e sulla protezione dei dati personali, opera diretta da G. Finocchiaro, Bologna, 2017; Bernardi, N.Ciccia Messina, A., Privacy e regolamento europeo, II ed., Milano, 2017.

⁴ La questione era stata sollevata da Cass., ord. 9.2.2017, n. 3455, in Nuova giur. civ. comm., 2017, 1240, con nota di Piraino, F., Il contrasto sulla nozione di dato sensibile, sui presupposti e sulle modalità del trattamento, insieme alle ord. 9.2.2017, n. 3456, e 10.2.2017, nn. 3604 e 3605.

⁵ Cass., 19.5.2014, n. 10947, in Foro it., 2015, I, 120; in Fam. dir., 2016, 468 con nota di Astiggiano, F., Illecito trattamento dei dati «supersenbili» e risarcimento del danno.

⁶ Cass., 20.5.2015, n. 10280, in Foro nap., 2016, 587 con nota di Colavincenzo, D., Causale nel bonifico e nel conto corrente idonea a rivelare lo stato di salute della beneficiaria del pagamento: privacy violata?

⁷ Art. 409 r.d. 23.5.1924, n. 827; art. 185 d.lgs. 10.8.2000, n. 267; provvedimento del Garante per la protezione dei dati personali 16.12.2009, n. 5 che ha autorizzato il trattamento di dati sensibili per fini previdenziali da parte delle banche.