Privacy, sui dati sensibili parola alle Sezioni unite
Banca e Pa indicano nell’indennizzo la legge sui danni da vaccini
Saranno le Sezioni unite a stabilire se la banca e la Regione violano le norme sulla privacy nel fare riferimento, nella causale di pagamento, alla legge sugli indennizzi per i danni da vaccini obbligatori o da trasfusioni di sangue infetto. La Prima sezione della Corte di cassazione (ordinanza interlocutoria 3455), prende atto dell’annoso contrasto della giurisprudenza sul punto e chiede alle Sezioni unite di dare un’interpretazione uniforme, partendo dalla definizione delle nozioni di trattamento e comunicazione dei dati sensibili.
L’ordinanza prende le mosse dal ricorso di un cittadino che lamentava la diffusione di dati sensibili rivelatori del suo stato di salute perché, nel disporre il pagamento per via telematica la Regione aveva fatto riferimento alla legge 210/1992, la stessa usata dall’istituto di credito per contraddistinguere il “movimento” nell’estrat- to conto inviato al cliente. Il ricorso era stato respinto dal Tribunale di Napoli. La Cassazione ricorda che esiste una nutrita giurisprudenza di legittimità che, nell’analizzare molti casi analoghi, è arrivata a conclusioni opposte.
Con la sentenza 10947 del 2014 proprio la Prima sezione, muo- vendosi sul solco tracciato dal codice della privacy, (Dlgs 196/2003) aveva precisato il dovere di trattare i dati personali nel rispetto dei diritti fondamentali, con particolare riguardo ai dati sensibili idonei a rivelare lo stato di salute. Anche gli enti pubblici, aveva precisato la Cassazione, de- vono evitare la diffusione delle notizie “sensibili” ricorrendo a tecniche di cifratura o a codici di identificazione che li rendano temporaneamente non leggibili a chi è autorizzato ad accedervi. I giudici avevano dunque concluso, trattandosi di un caso sovrapponibile a quello analizzato nell’ordinanza di rinvio, che sia la Regione sia la banca avevano - indicando la legge “fonte” di indennizzo - trattato il dato illegittimamente.
Una scelta dalla quale aveva preso le distanze la Terza sezione con la sentenza 10280 del 2015 che, in un’identica fattispecie, aveva escluso la violazione delle norme sulla privacy. Secondo i giudici non ci sarebbe stata la diffusione, che si configura solo quando un dato è conoscibile e messo a disposizione di soggetti indeterminati e in qualunque forma. Ipotesi esclusa per la banca, anche considerando la pluralità di soggetti che ne potevano conoscere il dato in ragione del servizio svolto. Per la Cassazione chi trasmette i dati a una persona giuridica, che opera attraverso i suoi organi, non può esigere che questa identifichi prima la persona a cui indirizzare la comunicazione. Neppure la Regione avrebbe violato le norme sulla privacy, e in particolare l’articolo 22 che detta le regole di trattamento per gli enti pubblici. La norma sarebbe infatti destinata a impedire che, attraverso la consultazione di banche dati, possano essere identificati i titolari, ma non applicabile alla Regione che si era limitata a indicare, per ragioni di trasparenza ed efficacia dell’attività amministrativa, la causale del pagamento. La banca inoltre aveva agito nel rispetto del contratto di conto corrente su mandato dello stesso cliente. Anche se la giurisprudenza ha affermato che non è necessario alcun consenso da parte del titolare di dati sensibili, escluso anche dal codice sulla privacy, quando il trattamento è necessario per adempiere un obbligo di legge.
IL CONTRASTO Per la Prima sezione la tutela del singolo è ampia anche nei confronti degli enti pubblici, per la Terza vale un’interpretazione più soft