Cassazione civile, sez. unite, 27 dicembre 2017, n. 30981
Fatto
1. C.M., premesso di essere beneficiario dellâindennitĂ riconosciutagli ex L. n. 210 del 1992, ha dedotto lâillegittima detenzione e divulgazione del dato sensibile relativo alle sue condizioni di salute derivante dallâindicazione nella causale di accredito dellâindennitĂ âpagamento rateo arretrati bimestrali e posticipati (âŚ) L. n. 210 del 1992â. Ha indicato, come responsabili dellâuso e diffusione illegittima dei predetti dati sia la regione Campania, ente pubblico erogatore dellâindennitĂ che il Banco di Napoli, essendo i ratei bimestrali accreditati su un suo conto corrente acceso presso lâistituto.
Ha chiesto, al riguardo, la rimozione del dato e il risarcimento del danno.
2. Il Tribunale di Napoli ha respinto la domanda sulla base delle seguenti argomentazioni:
â le condotte contestate sono quelle di illecita detenzione ed illecita diffusione del dato sensibile relativo alla salute del beneficiario decifrabile dallâindicazione della legge con la quale è stata riconosciuta lâindennitĂ .
â i dati sensibili, secondo la definizione del D.Lgs. n. 196 del 2003, art. 4 sono dati personali idonei a rivelare lo stato di salute e la vita sessuale. Risulta incontestato che quelli in questione rientrino in tale categoria. I soggetti pubblici, diversi dagli enti pubblici economici, possono effettuare qualunque trattamento di dati sensibili anche senza il consenso dellâinteressato ma solo per lo svolgimento delle funzioni istituzionali, se autorizzati da unâespressa previsione di legge e se perseguano finalitĂ di rilevante interesse pubblico. Tra queste finalitĂ rientrano senzâaltro, perchĂŠ espressamente previste nel D.Lgs. n. 196 del 2003, art. 68 âle finalitĂ di applicazione della disciplina in materia di concessione, liquidazione, modifica e revoca di benefici economici, agevolazioni, elargizioni, altri emolumenti e abilitazioniâ.
â i dati sensibili devono essere trattati secondo modalitĂ volte a prevenire violazioni dei diritti, delle libertĂ fondamentali e della dignitĂ dellâinteressato, laddove siano indispensabili per svolgere le attivitĂ istituzionali del soggetto pubblico e non possano essere eseguite mediante il trattamento di dati anonimi (art. 22, comma 3). In ogni caso i dati idonei a rivelare lo stato di salute non possono essere diffusi.
â Nel caso di specie, il riferimento, contenuto nella causale di accredito alla L. n. 210 del 1992 integra un dato sensibile che, alla luce del regime giuridico sopra indicato, non può essere diffuso dal soggetto pubblico e deve essere comunicato con modalitĂ non esorbitanti rispetto alle finalitĂ proprie dellâattivitĂ istituzionale svolta.
Al riguardo, il Tribunale ha evidenziato, da un lato, lâobbligo legislativo (R.D. n. 827 del 1924, art. 409) di specificare nei mandati di pagamento la precisa indicazione dellâoggetto di spesa; dallâaltro la previsione contenuta nel D.Lgs. n. 196 del 2003, art. 22, comma 6, secondo la quale i dati sensibili devono essere trattati secondo tecniche di cifratura che li rendano inintelligibili.
â con riferimento allâillecito contestato alla Regione Campania, deve, in primo luogo, escludersi la diffusione dei dati in questione, in quanto gli stessi non sono stati portati a conoscenza di soggetti indeterminati. La trasmissione è avvenuta, mediante una rete informatica non accessibile a tutti, verso un soggetto determinato, quale è lâistituto di credito, a sua volta previamente autorizzato dal contratto di conto corrente intrattenuto con lâinteressato e da ritenersi titolare del trattamento ovvero persona giuridica cui competono le decisioni in ordine alle finalitĂ ed alle modalitĂ del trattamento dei dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza.
â con riferimento allâistituto bancario, il tribunale ha rilevato che tra le modalitĂ di trattamento cosĂŹ come descritte nellâart. 4 non câè la mera detenzione. La condotta del Banco di Napoli si è risolta nellâesclusiva esecuzione di un obbligo contrattuale consistente nella descrizione, nellâestratto conto inviato al cliente, della causale del bonifico proveniente dalla Regione Campania. In questa condotta, non viene ravvisato alcun trattamento illecito dei dati sensibili in questione.
Anche in ordine allâistituto bancario sâimpone, pertanto, il rigetto della domanda.
3. Avverso tale pronuncia ha proposto ricorso per cassazione C.M., affidato ad un unico complesso motivo. Hanno resisitito con controricorso la Regione Campania e la s.p.a Banco di Napoli.
4. La prima sezione, ravvisato un contrasto di giurisprudenza, ha richiesto la rimessione alle Sezioni Unite con lâordinanza interlocutoria n. 3455 del 2017 nella quale si afferma:
5. Con decisione n. 10947 del 2014 la prima sezione della Corte di Cassazione in ricorso del tutto sovrapponibile a quello dedotto nel presente giudizio ha ritenuto che il riferimento allâindennitĂ n. 210/92 contenesse un dato personale sensibile che lâente pubblico avrebbe dovuto trattare, pur se autorizzato a farlo allâinterno della sua attivitĂ istituzionale, con le cautele indicate dal D.Lgs. n. 196 del 2003, art. 22, comma 6. Il dato che la regione ha rivelato e la banca ha riportato riguarda direttamente lâinformazione su un contagio dovuto a somministrazione di sangue o emoderivati o una menomazione permanente dovuta a vaccinazioni obbligatorie. Trattandosi di un dato relativo alla salute la cui diffusione è vietata, il trattamento poteva essere eseguito soltanto mediante tecniche di cifratura.
5.1 Con sentenza n. 10280 del 2015 la terza sezione civile della Corte ha adottato una soluzione opposta in fattispecie identica.
Le ragioni della decisione sono le seguenti:
a) la dizione âindennizzo ex lege n. 210 del 1992 inserita dalla regione Campania e dal Banco di Napoli nellâordine di bonifico e nellâestratto conto non è un dato sensibile perchĂŠ può riferirsi non solo ai soggetti che hanno contratto le patologie ma anche ai congiunti delle persone decedute a causa dellâinfezione derivante da trasfusione o vaccinazione.
b) Il dato non può dirsi diffuso in quanto non diretto a soggetti indeterminati ma ad una società per azioni designata dal soggetto cui il dato si riferisce. Non rende la comunicazione diffusione il fatto che la trasmissione sia diretta ad una persona giuridica, non potendo esigersi in questa ipotesi la preventiva identificazione della persona fisica cui indirizzare la comunicazione.
c) Lâobbligo di cifratura riguarda soltanto i dati contenuti in banche dati o registri elettronici nonchĂŠ ai fini dellâinterrogazione degli stessi da parte delle persone autorizzate ad accedervi. Invece nella specie la regione ha solo effettuato un pagamento ed indicato la causale.
d) La banca non ha lâobbligo della cifratura perchĂŠ è un soggetto privato.
e) Non costituisce violazione delle norme sulla riservatezza comunicare dati sensibili al rappresentante del titolare indicato proprio dal soggetto cui i dati si riferiscono come destinatario della comunicazione. Nella fattspecie la regione ha adempiuto ad obblighi di legge e la banca ad obblighi scaturenti da contratto.
f) La trasmissione dei dati dalla banca al cliente non costituisce neanche comunicazione e non costituisce comunicazione la trasmissione dei dati dalla regione alla banca perchÊ la banca non è altri che il mandatario con rappresentanza del correntista. Il pagamento (e i dati identificativi contenuti per eseguirlo) valgono come compiuti dal debitore direttamente al creditore.
g) Comunque la comunicazione sarebbe stata autorizzata dal R.D. n. 827 del 1924, art. 409 e dal D.Lgs. n. 267 del 2000, art. 185 nonchĂŠ dal Provvedimento del Garante per i dati personali n. 5 del 2009 che riguarda lâautorizzazione alle banche al trattamento dei dati personali per adempiere ad obblighi previdenziali.
Diritto
6. Nellâunico motivo di ricorso viene, in primo luogo, dedotto che il Tribunale non ha colto la differenza cruciale, nellâambito del sistema delineato dal D.Lgs. n. 196 del 2003, tra dato personale e dato sensibile, ed in particolare non ha rilevato che questâultimo attiene alla salute ed è conseguentemente soggetto ad una piĂš intensa e peculiare disciplina di protezione anche quando il titolare sia unâautoritĂ pubblica. In secondo luogo, viene evidenziato come nella pronuncia impugnata non venga compreso che la âdetenzioneâ del dato è una categoria inapplicabile dovendo sostituirsi con il âtrattamentoâ. Il titolare del trattamento è tenuto a non ledere il diritto alla protezione dei dati personali anche in sede di uso e conservazione del dato non solo quando esso venga trasmesso.
6.1. Le cautele previste dal D.Lgs. n. 196 del 2003 operano anche quando il trattamento sia autorizzato dalla legge e sia rivolto alla realizzazione dellâattivitĂ istituzionale dellâente pubblico. La ricorrenza di queste ultime condizioni non giustifica il trattamento e la trasmissione del dato in modo che sia del tutto riconoscibile lâidentificazione dello stato di salute della ricorrente.
Lâart. 22, comma 6, impone la cifratura dei dati sensibili, riferendosi specificamente a quelli di cui il soggetto pubblico sia autorizzato al trattamento anche senza il consenso dellâinteressato. Pertanto, pur volendo applicare il R.D. n. 827 del 1924, art. 409, sarebbe stata comunque necessaria per la regione Campania, al fine di andare esente da responsabilitĂ , la criptatura o cifratura del dato sensibile allâatto del trasferimento allâistituto di credito.
6.2. Per quanto riguarda la responsabilitĂ dellâistituto di credito, la ricorrente evidenzia che la detenzione costituisce trattamento del dato sensibile ed è assoggettata alla tutela conseguente. Pertanto anche lâistituto di credito, ancorchè autorizzato al trattamento del dato, avrebbe dovuto âtrattarloâ criptato essendo altrimenti conoscibile da parte di tutti gli impiegati della banca, dagli addetti al pagamento e da quelli che si occupano del recapito della posta.
Non elide lâobbligo di cifratura NĂŠ lâautorizzazione al pagamento NĂŠ il conferimento del mandato da parte del cliente ed il vincolo contrattuale assunto, certamente non diretto al trattamento contra legem dei propri dati sensibili.
Al contrario anche lâistituto di credito ha trattato il dato sensibile in dispregio del D.Lgs. n. 196 del 2003, art. 20 non adottando alcun accorgimento idoneo a renderlo non intellegibile ed inoltre Io ha diffuso illegittimamente consentendone una conoscenza estesa ad un grande numero di dipendenti.
Il dato infine è stato diffuso anche allâinterno del circuito interbancario.
Non si riproducono le argomentazioni del ricorso rivolte al profilo risarcitorio in quanto la sentenza impugnata non le ha affrontate non riconoscendo il diritto azionato.
7. Come evidenziato nella sentenza impugnata, è necessario, per accertare se le condotte delle parti resistenti siano da qualificare illecite secondo i parametri stabiliti dal D.Lgs. n. 196 del 2003, verificare preliminarmente se i dati in questione siano personali ed in caso di risposta affermativa, se siano da qualificare sensibili; se lâutilizzazione degli stessi possa configurare un âtrattamentoâ rilevante ai fini del sistema di protezione dei dati personali previsto dal nostro ordinamento ed infine se le parti resistenti siano identificabili come titolari del trattamento dei dati in questione.
7.1 Il primo interrogativo è di agevole soluzione: i dati desumibili dal richiamo alla L. n. 210 del 1992 sono personali in quanto relativi ad una persona fisica identificata (D.Lgs. n. 196 del 2003, art. 3, lett. b)) e sensibili perchĂŠ aventi un contenuto idoneo a rivelare lo stato di salute della persona identificata (D.Lgs. n. 196 del 2003, art. 3, lett. d)). Il regime di protezione dei dati sensibili relativi alla salute (e alla vita sessuale) è, come verrĂ evidenziato nellâillustrazione del quadro normativo, ispirato alla massima riservatezza dei dati stessi ed alla generale illiceitĂ del trattamento di essi senza il consenso dellâinteressato. Le eccezioni sono tassativamente predeterminante da norme legislative che ne procedimentalizzano puntualmente le modalitĂ dâuso, specie se riguardanti dati sensibili non anonimi.
Deve, infine, essere precisato (come esattamente rilevato nellâordinanza interlocutoria) che la dizione âpagamento rateo arretrati bimestrali e posticipati L. n. 210 del 1992â contiene la rivelazione del dato personale sensibile riguardante la salute del ricorrente in quanto la periodicitĂ della corresponsione, desumibile inequivocamente dal testo come sopra descritto, non può che riguardare il soggetto affetto dalle patologie cui lâindennitĂ si riferisce e non i suoi familiari-eredi ai quali la legge riconosce un importo a titolo di una tantum.
7.2 n secondo interrogativo si risolve con la definizione normativa del trattamento dei dati personali (nella specie sensibili) che consiste, D.Lgs. n. 196 del 2003, ex art. 4, lett. a), oltre alla raccolta e conservazione (ed alle forme di utilizzo connesse alla disponibilitĂ dei dati stessi, come lâestrazione, la selezione, etc.), anche la comunicazione e la diffusione degli stessi. La comunicazione è lâoperazione di trasmissione rivolta verso un soggetto determinato; la diffusione si rivolge verso un numero indeterminato di destinatari. Ne consegue che la trasmissione dei dati personali sensibili, della parte ricorrente, dalla regione Campania allâistituto bancario è esattamente riconducibile alla âcomunicazioneâ ed è pertanto rientrante nella definizione normativa di âtrattamentoâ, cosĂŹ come lo sono le successive operazioni sui dati medesimi eseguite dal Banco di Napoli, in quanto riconducibili alla raccolta, selezione, e circolazione dei dati ovvero alle attivitĂ funzionali agli adempimenti contrttualmente richiesti, allâinterno di una complessa organizzazione composta di un numero non esiguo ma determinato di addetti ed infine alla trasmissione al destinatario-ricorrente.
7.3 Il titolare del trattamento, D.Lgs. n. 196 del 2003, ex art. 4, lett. f) è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalitĂ , alle modalitĂ del trattamento e agli strumenti utilizzati, ivi compreso il profilo della sicurezza. Dalle considerazioni svolte è del tutto agevole ritenere la regione Campania ed il Banco di Napoli titolari del trattamento dei dati sensibili del ricorrente ciascuno per le funzioni e gli adempimenti, rispettivamente di natura pubblica e contrattuale, posti in essere per pervenire allâaccredito dellâindennitĂ in favore dello stesso. Alle parti resistenti è, infatti, riconducibile il potere decisionale relativo alle modalitĂ e agli strumenti utilizzati per il trattamento di tali dati.
8. Deve osservarsi che il sistema di protezione dei dati sensibili contenuto nel D.Lgs. n. 196 del 2003 si fonda sul principio generale della necessitĂ del consenso espresso dellâinteressato al trattamento di tali dati, in quanto dotati di uno rigoroso statuto normativo di garanzia della riservatezza, derogabile soltanto nelle ipotesi espressamente previste nella stessa legge o mediante diretta previsione normativa o mediante rinvio al potere conformativo-autorizzatorio del Garante.
Deve, pertanto, escludersi che il consenso al trattamento dei dati sensibili possa desumersi, in via indiretta da atti di natura diversa come la richiesta dâindennitĂ ex L. n. 210 del 1992 o lâindicazione dellâistituto bancario presso il quale accreditare lâerogazione. Lâesercizio di un diritto previsto dalla legge nei confronti dellâente pubblico e lâattivazione di una delle prestazioni previste dal contratto di conto corrente di corrispondenza a carico dellâistituto bancario non modificano in alcun modo la posizione dei soggetti dei due rapporti giuridici dedotto in giudizio rispetto alla disciplina legislativa del trattamento dei dati sensibili. Il beneficiario dellâindennità è il soggetto interessato alla tutela dei propri dati sensibili e la regione Campania unitamente alla banca, sono i titolari del trattamento proprio perchĂŠ il vincolo assunto li porta ad avere la conoscenza e la disponibilitĂ dei dati stessi. Non si può ritenere, di conseguenza, che lâinteressato abbia, con le richieste inoltrate allâente pubblico ed alla banca, autorizzato, in modo implicito, la comunicazione o la diffusione dei propri dati in quanto funzionale allâesercizio del diritto allâindennitĂ e alla concreta erogazione del beneficio. Il rapporto giuridicamente qualificato sussistente tra soggetto titolare del diritto alla protezione dei propri dati sensibili e titolare del trattamento dei dati stessi è del tutto autonomo rispetto al vincolo legale o contrattuale che avvince, per ciò che concerne il diritto e lâerogazione dellâindennitĂ , i soggetti obbligati e beneficiario. Lâuno non confluisce nellâaltro, mantenendo ciascuno di essi il proprio regime giuridico. Ci sono due relazioni produttive di effetti giuridici, lâuna riguardante il beneficio accordato dalla L. n. 210 del 1992, lâaltra la tutela del diritto fondamentale alla riservatezza in ordine ai dati personali relativi alla salute. Per questa seconda relazione giuridicamente qualificata che ha ad esclusivo oggetto il trattamento dei dati, la fonte di regolazione non può in alcun modo desumersi dal regime normativo e contrattuale dellâaltra perchĂŠ si tratta di diritti e beni giuridici diversi e non sovrapponibili.
9. Dalle premesse svolte, risulta necessario, al fine di risolvere il contrasto di giurisprudenza prospettato dallâordinanza interlocutoria n.3455 del 2017, illustrare il quadro normativo applicabile alla fattispecie dedotta in giudizio.
10. Prima di verificare come, allâinterno del D.Lgs. n. 196 del 2003 operi la protezione dei dati sensibili anche nei confronti dei soggetti pubblici o privati che siano obbligati al trattamento per fini istituzionali o derivanti da vincolo negoziale con lâinteressato, deve rilevarsi che la natura âsuper sensibileâ dei dati personali connessi al riconoscimento dellâindennitĂ in questione, è riconosciuto, in primo luogo, dalla stessa L. n. 210 del 1992. Nellâart. 3 è espressamente previsto che lâistruzione della domanda avvenga in modo da garantire âil diritto alla riservatezza anche mediante opportune modalitĂ organizzativeâ. (L. n. 210 del 1992, art. 3, comma 1). Nel successivo comma 1 bis la garanzia di riservatezza viene estesa a âchiunque nellâesercizio delle proprie funzioni venga a conoscenzaâ di persone danneggiate da complicanze di tipo irreversibile a causa di vaccinazioni obbligatorie, trasfusioni e somministrazioni di emoderivati. La norma si riferisce specificamente a tutti i soggetti che siano coinvolti per le funzioni svolte, dal titolare del trattamento dei dati (La USL), nellâistruzione e valutazione dellâ istanza ed impone ad essi di rispettare il segreto dâufficio e di adottare, nellâambito delle proprie competenze, tutte le misure occorrenti per la tutela della riservatezza della persona interessata.
Lâintroduzione di una disciplina cosĂŹ puntuale in ordine alla tutela della riservatezza, non limitata allâaffermazione del diritto, ma diretta in modo specifico ad imporre operativamente le cautele necessarie al titolare del trattamento ed a coloro che in ragione delle funzioni svolte ne vengano a conoscenza e a loro volta attuino il âtrattamentoâ dei dati, non si rinviene nella formulazione originaria della norma risultando introdotto dopo lâentrata in vigore della prima disciplina normativa organica della tutela dei dati personali avvenuta con il D.Lgs. n. 675 del 1996. Il legislatore richiede âmodalitĂ organizzativeâ ovvero condotte positivamente rivolte a tutelare la riservatezza dei dati anche allâinterno dellâarticolazione strutturale e funzionale del soggetto pubblico, non limitandosi ad un richiamo alla non divulgabilitĂ allâesterno dei dati conosciuti ed oggetto di trattamento.
Non se ne deve, conseguentemente, trascurare lâinfluenza ermeneutica nellâesame delle norme del D.Lgs. n. 196 del 2003, direttamente disciplinanti la fattispecie dedotta nel presente giudizio ed oggetto del contrasto di giurisprudenza illustrato nella parte narrativa della presente pronuncia.
11. Ă utile precisare, preliminarmente, la collocazione delle norme nellâassetto sistematico del decreto legislativo. Esse si rinvengono nel capo II dal significativo titolo âregole ulteriori per i soggetti pubbliciâ che segue al capo I riguardante le âregole generali per il trattamento dei datiâ. Entrambi i capi sono contenuti nel Titolo 3^ che reca le âregole per tutti i trattamentiâ. La ripartizione normativa illustrata evidenzia la peculiaritĂ del trattamento dei dati personali da parte dei soggetti pubblici e definisce lâambito di derogabilitĂ della regola generale del consenso dellâinteressato al trattamento (D.Lgs. n. 196 del 2003, artt. 7 â 10).
Lâart. 18 contiene le regole generali. Il trattamento dei dati personali è consentito ai soggetti pubblici solo nellâesercizio delle funzioni istituzionali ma devono essere osservati i presupposti ed i limiti previsti dal Codice (D.Lgs. n. 196 del 2003), dalla legge e dai regolamenti anche in relazione alla diversa natura dei dati. Entro questo duplice perimetro conformativo non è necessario il consenso dellâinteressato.
Come indicato dalla norma di carattere generale, sopra esaminata, le disposizioni successive contengono una disciplina di dettaglio in ordine ai presupposti ed alle modalitĂ di trattamento delle varie tipologie di dati. Per quanto riguarda specificamente i dati sensibili, lâart. 20 stabilisce che il trattamento dei dati sensibili da parte di un soggetto pubblico deve essere autorizzato da una espressa disposizione di legge nella quale siano specificati i tipi di dati che possono essere trattati e di operazioni eseguibili e le finalitĂ di rilevante interesse pubblico perseguite. Ove la norma non contenga lâindicazione delle tipologie di dati da trattare e delle operazioni eseguibili ma individui il rilevante interesse pubblico posto a base del trattamento dei dati, è necessario che le specificazioni mancanti siano contenute in un atto regolamentare, adottato in conformitĂ al parere del Garante. Ove neanche la finalitĂ dâinteresse pubblico sia espressa nella norma di legge, i soggetti pubblici possono chiedere al Garante lâindividuazione delle attivitĂ che perseguano tali finalitĂ e devono provvedere ad identificare e rendere pubblici i tipi di dati oggetto di trattamento. Sia nella prima che nella seconda ipotesi devono essere rispettate le modalitĂ indicate nel successivo art. 22.
Come può agevolmente ricavarsi dallâesame dellâart. 20, il trattamento dei dati sensibili senza il consenso dellâinteressato richiede che anche la predeterminazione normativa dei requisiti oggettivi entro i quali è consentito il predetto trattamento sia molto piĂš specifica che per i dati personali non qualificabili come sensibili. Nessuna delle condizioni previste in via generale dallâart. 18 può essere desunta implicitamente dalle funzioni istituzionali del soggetto pubblico. Ă necessario, invece, che sia la funzione istituzionale che le tipologie dei dati vengano individuate preventivamente e per quanto riguarda i tipi di dati anche rese pubbliche mediante atti normativi regolamentari assunti con la partecipazione vincolante del Garante. Il trattamento dei dati personali sensibili è rigidamente conformato dalle norme legislative e regolamentari che disciplinano in modo espresso i requisiti indefettibilmente richiesti.
CosĂŹ come non può essere desunto implicitamente il consenso al trattamento dei dati sensibili da condotte diverse dallâadesione espressa dellâinteressato, del pari la riserva di legge che giustifica il trattamento dei dati stessi da parte dei soggetti pubblici deve essere esplicita sia in ordine al rilevante interesse pubblico che alla predeterminazione dei dati trattabili, essendo altrimenti insufficiente a conferire, anche nellâambito delle funzioni istituzionali del soggetto pubblico, il potere di trattare i dati sensibili senza il consenso dellâinteressato.
Nella specie non è contestato che la regione Campania agisca non solo allâinterno delle proprie attribuzioni istituzionali ma anche per una specifica finalitĂ dâinteresse pubblico direttamente desumibile dalla L. n. 210 del 1992.
Lâart. 22 che detta i principi applicabili al trattamento dei dati sensibili e giudiziari, determina le âmodalitĂ organizzativeâ mediante le quali i dati in questione possono essere trattati, completando la disciplina legislativa relativa a(trattamento di tali dati con le prescrizioni relative al âcomeâ procedere tutelando la riservatezza degli interessati.
In linea generale nel primo comma viene prescritto che i soggetti pubblici conformano il trattamento dei dati sensibili secondo modalitĂ volta a prevenire violazioni dei diritti, delle libertĂ fondamentali e della dignitĂ dellâinteressato (art. 22, comma 1). Lâuso del predicato âconformanoâ richiama ed impone, al pari delle indicazioni normative sopra illustrate, condotte positivamente e specificamente rivolte alla protezione dei dati sensibili. Seguono le indicazioni di continenza nel trattamento dei dati sensibili da limitarsi, se se ne deve escludere la forma anonima, a quelli strettamente indispensabili alle finalitĂ istituzionali da attuare (art. 22, commi 3 e 5), con divieto di utilizzazione di quelli superflui.
Allâinterno di questo rigoroso reticolo di regole di comportamento positivo si collocano le prescrizioni di centrale rilievo per lâesame delle questioni dedotte nel presente giudizio.
11.1 nellâart. 22, commi 6 e 7 viene espressamente imposto ai soggetti pubblici di trattare i dati relativi alla salute delle persone âcon tecniche di cifratura o mediante lâutilizzazione di codici identificativi o di altre soluzioni che, considerato il numero e la natura dei dati trattati, li rendono temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessitaâ.
Al riguardo deve rilevarsi che non è condivisibile lâinterpretazione riduttiva che fornisce della norma la sentenza n. 10815 del 2015.
Lâobbligo della cifratura o della criptatura non è limitato agli elenchi contenuti in elenchi, registri o banche dati, tenute con lâausilio di strumenti elettronici, cosĂŹ come indicato nel comma 6 dellâart. 22 ma si estende a tutte le modalitĂ di raccolta dei dati anche meramente cartacee come si ricava dalla piĂš puntuale indicazione contenuta nel successivo comma 7, specificamente diretta ai dati sensibili relativi alla salute. In questa disposizione si precisa, infatti, che essi sono trattati con le modalitĂ di cui al comma 6 (che richiede la cifratura o criptatura come illustrato) âanche quando sono tenuti in elenchi, registri, o banche di dati senza lâusilio di strumenti elettroniciâ.
Il comma 8 contiene la norma di chiusura e stabilisce che i dati sensibili relative alla salute non possono essere diffusi.
Il quadro delineato evidenzia come il trattamento dei dati sensibili relativi alla salute deve indefettibilmente conformarsi a tutte le prescrizioni indicate nellâart. 22 e che si tratta di prescrizioni di natura inderogabile le quali non possono essere violate neanche ove non se ravvisi in concreto lâutilitĂ o la necessitĂ , essendo il sistema legislativo integrato di protezione dei dati sensibili ispirato al principio della massima limitazione possibile della circolazione e diffusione degli stessi senza il consenso dellâinteressato. La tendenziale assolutezza del principio e la rigorosa definizione del perimetro autorizzatorio al trattamento di tali dati da parte dei soggetti pubblici induce ad escludere che residui in capo ai titolari, individuati D.Lgs. n. 196 del 2003, ex art. 18 e ss. alcun potere discrezionale in ordine allâadempimento delle prescrizioni normative relative al trattamento. Lâart. 22 ne impone la continenza e la criptatura o cifratura, senza alcun margine di apprezzamento relativo alla efficacia dello strumento in ordine al concreto uso del dato.
12. Non può, pertanto, che darsi continuitĂ allâorientamento espresso dalla sentenza della prima sezione civile n. 10947 del 2014, e ritenere che la regione Campania fosse tenuta in ogni operazione qualificabile come trattamento dei dati, D.Lgs. n. 196 del 2003, ex art. 4, lett. a), ad osservare le prescrizioni puntuali contenute nellâart. 22, comma 6 e, conseguentemente ad adottare tecniche di cifratura o mediante lâutilizzazione di codici identificativi o di altre soluzioni che, considerato il numero e la natura dei dati trattati, li rendono temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessita. Non soltanto la trasmissione mediante comunicazione (come nella specie) o diffusione dei dati relativi alla salute ma anche la raccolta, la conservazione e lâestrazione e selezione degli stessi deve avvenire mediante codici cifrati e criptati per impedirne la potenzialitĂ diffusiva, limitando lâidentificazione degli interessati alle operazioni strettamente necessarie allo scopo finale dellâerogazione dellâindennitĂ .
13. Tale orientamento, coerente con la lettera e la ratio della disciplina legislativa esaminata, non è in contrasto con gli obblighi di trasparenza posti a carico della pubblica amministrazione nellâallocazione e distribuzione delle risorse finanziarie ai quali i soggetti pubblici sono tenuti nei confronti degli organi di controllo, nei confronti dei terzi interessati e piĂš in generale verso i cittadini e gli utenti perchĂŠ i beneficiari dellâindennitĂ sono identificabili per relationem per mezzo dei codici cifrati o criptati limitatamente però a cio che è strettamente necessario a provvedere alle erogazioni ed a rispettare gli altri obblighi normativi ed istituzionali. Allâinterno delle articolazioni organizzative del soggetto pubblico le operazioni di trattamento dei dati, ovvero la conservazione, lâestrazione e la selezione di essi devono avvenire mediante tecniche che non consentano lâindividuazione del soggetto o escludano il collegamento degli elementi identificativi soggettivi con il dato relativo alla salute. Le operazioni di trasmissione e comunicazione, infine, devono essere corredate delle medesime cautele in considerazione della maggiore esposizione al rischio della conoscenza non consentita dei dati in questione in queste specifiche tipologie di trattamento.
14. La soluzione adottata in ordine al soggetto pubblico titolare del trattamento, deve essere estesa anche allâistituto bancario, anchâesso qualificabile, come giĂ illustrato, quale titolare del trattamento, in quanto tenuto alla raccolta, conservazione e comunicazione agli interessati dei dati medesimi.
14.1. Al riguardo, deve rilevarsi preliminarmente che il regime derogatorio contenuto nel D.Lgs. n. 196 del 2003, art. 18 e ss. non trova diretta applicazione nei confronti dellâistituto bancario, trattandosi di persona giuridica di diritto privato. Non incide su tale qualificazione e sul regime giuridico applicabile il fatto che lâaccredito dellâindennitĂ costituisca la fase finale di un procedimento a formazione progressiva volto alla realizzazione di una finalitĂ di rilevante interesse pubblico.
14.2 Il D.Lgs. n. 196 del 2003 contiene, infatti, unâautonoma regolamentazione per i soggetti privati e gli enti pubblici economici nel capo 3, del titolo 3 (artt. da 23 a 27) notevolmente diversa da quella contenuta nel capo 2 e riferita ai soggetti pubblici.
Nellâart. 23 è contenuta la regola generale della necessitĂ del consenso espresso dellâinteressato reso per iscritto se relativo a dati sensibili ed avente ad oggetto la chiara individuazione della o delle tipologie di trattamento.
Lâart. 24 esclude la necessitĂ del consenso per adempiere ad obblighi normativi o contrattuali o in altre ipotesi elencate dalla norma ma non riguardanti i dati sensibili. Per questi ultimi, lâart. 26 richiede sempre il consenso scritto dellâinteressato e lâautorizzazione preventiva del Garante (art. 26, comma 1). Il comma 4 della norma prevede un elenco di attivitĂ per le quali, ferma la previa autorizzazione del Garante, non è necessario lo specifico consenso scritto. Nella sentenza n.10280 del 2015 e nella prospettazione difensiva delle parti controricorrenti si è ritenuta applicabile alla fattispecie dedotta nel presente giudizio la deroga prevista nellâart. 26, comma 4, lett. D inferendo dalla non necessitĂ del consenso la superfluita della cifratura o criptatura. La disposizione invocata fa riferimento al trattamento dei dati sensibili necessario per lâadempimento di obblighi normativi riguardanti âla gestione del rapporto di lavoro, anche in materia di igiene e sicurezza del lavoro e della popolazione e di previdenza e assistenzaâ.
14.3 Al riguardo, pur rientrando lâindennitĂ in oggetto nelle prestazioni in senso lato previdenziali ed assistenziali, deve ritenersi ai fini dellâapplicabilitĂ della norma, la necessitĂ che vi sia un nesso funzionale con il rapporto di lavoro come si rileva dalla esegesi testuale della norma.
La prestazione derivante dallâapplicabilitĂ della L. n. 210 del 1992 è estranea al complesso di obblighi e benefici che derivano dal rapporto di lavoro. Con riferimento ai dati sensibili ad essa riconducibili, è necessario in linea generale il consenso espresso dellâinteressato ex art. 26, comma 1.
14.4 Peraltro, pur volendo ritenere autonomo il riferimento alle prestazioni previdenziali ed assistenziali, deve escludersi che lâistituto bancario non sia tenuto al trattamento dei dati in modo da occultarne la riconoscibilitĂ allâinterno della propria struttura organizzativa, oltre che nella eventuale trasmissione a soggetti determinati o nella diffusione.
15. Lâinterpretazione sistematica delle norme di protezione dei dati sensibili, contenute nel D.Lgs. n. 196 del 2003, porta ad escludere che le cautele poste a carico del soggetto pubblico non debbano essere applicate anche ai soggetti privati cui i dati siano trasmessi in virtĂš di un obbligo legale o di un vincolo contrattuale, al fine di completare il procedimento di riconoscimento ed erogazione dellâindennitĂ . Diversamente ragionando si determinerebbe un vulnus privo di ragionevolezza in ordine al trattamento dei dati nella fase, successiva alla trasmissione di essi allâistituto bancario, caratterizzata dal potenziale aumento del numero dei soggetti che ne possono venire a contatto. Le cautele della cifratura e della criptatura sono finalizzate proprio ad evitare la conoscenza dei dati sensibili attinenti alla salute da parte di soggetti che ne possano venire a contatto per lâinclusione nelle organizzazioni complesse titolari del trattamento e, conseguentemente possano estrarli, selezionarli, farne uso e diffonderne il contenuto. Il legislatore sia nel D.Lgs. n. 196 del 2003, in linea generale, che nella L. n. 210 del 1992, ha voluto cercare di limitare al massimo il pericolo connesso alla conoscenza dei dati relativi alla salute in quanto âsuper sensibiliâ, indicando modalitĂ di trattamento che nascondano lâidentificazione dei soggetti portatori di patologie fisiche o psichiche salvo che per lâesecuzione dellâattivitĂ inevitabilmente necessaria alla realizzazione della finalitĂ dâinteresse pubblico o per lâadempimento degli obblighi contrattualmente assunti.
15.1 Al riguardo anche lâautorizzazione del Garante n. 5 del 2009, avente ad oggetto le modalitĂ di trattamento dei dati sensibili senza il consenso dellâinteressato da parte delle imprese bancarie per lâattuazione degli obblighi contrattuali assunti, prescrive preventivamente che âprima di iniziare o proseguire il trattamento i sistemi informativi e i programmi informatici sono configurati riducendo al minimo lâutilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalitĂ perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalitĂ che permettano di identificare lâinteressato solo in caso di necessitĂ , in conformitĂ allâart. 3 del Codiceâ.
Nel punto n. 2, del Capo 6, dellâAutorizzazione del Garante sopra indicata, riguardante le âprescrizioni comuni a tutti i trattamentiâ viene infine prescritto che il trattamento dei dati sensibili deve essere effettuato con operazioni nonchĂŠ con logiche e mediante forme di organizzazione dei dati strettamente indispensabili in rapporto alle finalitĂ perseguite, dovendosi altresĂŹ rispettare quanto stabilito nellâAutorizzazione n. 2 del 2009. Questâultima Autorizzazione, riguardante il trattamento dei dati relativi alla salute e alla vita sessuale è interamente finalizzata a prescrivere comportamenti e modalitĂ organizzative ispirate alla massima riservatezza in ordine al trattamento complessivo dei dati sensibili.
16. Pertanto, deve ritenersi esteso, per le ragioni complessivamente svolte, anche allâistituto bancario lâobbligo di procedere al trattamento dei dati sensibili dei propri clienti titolari dellâindennitĂ attribuita ex lege n. 210 del 1992 mediante tecniche che non ne consentano lâidentificazione.
17. In conclusione, il soggetto pubblico â Regione Campania â ed il soggetto persona giuridica privata â Banco di Napoli â sono tenuti, in qualitĂ di titolari del trattamento dei dati personali del ricorrente, nel procedimento di riconoscimento, erogazione e concreto accredito dellâindennitĂ ex lege n. 210 del 1992, ad occultare, mediante tecniche di cifratura o criptatura, il riferimento alla legge sopra indicata, in quanto rivelatore dello stato di salute del beneficiario dellâindennitĂ . Le modalitĂ organizzative, rimesse ai titolari del trattamento dei dati, devono essere dirette ad escludere il collegamento tra il dato sensibile e il soggetto beneficiario dellâindennitĂ ed a limitare alle operazioni indispensabili ed ai soli addetti a tali specifiche operazioni la conoscenza del dato, celandone ai restanti componenti delle due organizzazioni complesse la decifrabilitĂ ed, infine, conservando le medesime cautele nella comunicazione dei dati.
18. Lâunico motivo di ricorso deve, in conclusione, essere accolto e la sentenza cassata con rinvio al tribunale di Napoli in diversa composizione perchĂŠ si attenga al seguente principio di diritto: I dati sensibili idonei a rivelare lo stato di salute possono essere trattati soltanto mediante modalitĂ organizzative, quali tecniche di cifratura o criptatura che rendono non identificabile lâinteressato. Ne consegue che i soggetti pubblici o le persone giuridiche private, anche quando agiscano rispettivamente in funzione della realizzazione di una finalitĂ di pubblico interesse o in adempimento di un obbligo contrattuale, sono tenuti allâosservanza delle predette cautele nel trattamento dei dati in questioneâ.
La novitĂ della questione impone la compensazione delle spese del presente giudizio.
P.Q.M.
Accoglie il ricorso. Cassa la sentenza impugnata e rinvia al Tribunale di Napoli in diversa persona.
Compensa le spese del presente giudizio.
In caso di diffusione oscurare le generalitĂ .
CosĂŹ deciso in Roma, nella camera di consiglio, il 26 settembre 2017.
Depositato in Cancelleria il 27 dicembre 2017
