Comunicazione dati sensibili dalla banca al correntista titolare: trattamento legittimo

Le norme sulla tutela dei dati sensibili non sempre prevalgono, dovendo essere coordinate e bilanciate, da un lato, con le norme costituzionali che tutelano altri e prevalenti diritti tra cui l’interesse pubblico alla celerità, trasparenza ed efficacia dell’attività amministrativa dall’altro, con le norme civilistiche in tema di negozi giuridici.

Così si è espressa la Corte di Cassazione con sentenza n. 3455/17 depositata il 9 febbraio. Richiesta risarcimento per illecita divulgazione di dati sensibili. E’ questo il principio affermato dalla Corte di Cassazione, Prima Sezione Civile, con ordinanza n. 3455/17 depositata il 9 febbraio, respingendo le ragioni di un soggetto, che assumeva di aver subito un’ingiusta divulgazione dei propri dati sensibili, afferenti allo stato di salute. Nello specifico, premetteva il ricorrente di beneficiare di un indennizzo ai sensi della Legge n. 210/1992 Indennizzo a favore dei soggetti danneggiati da complicanze irreversibili a causa di vaccinazioni obbligatorie, trasfusioni , che veniva pagato dalla Regione mediante accredito sul proprio conto corrente. Deduceva inoltre che, nel disporre il suddetto pagamento, la Regione aveva indicato nel titolo la seguente annotazione pagamento ratei arretrati bimestrali e posticipati . ai sensi della Legge n. 210/1992 e che con la stessa dizione la banca aveva contraddistinto i relativi movimenti dell’estratto conto inviatogli. Orbene la suddetta indicazione, in quanto idonea a rivelare il proprio stato di salute, costituiva – secondo il titolare ricorrente – un illegittimo trattamento dei dati personali, che gli aveva causato un danno in relazione del quale chiedeva il risarcimento, all’uopo convenendo in giudizio sia la Regione che la banca. Dati sensibili dal debitore alla banca designata dal titolare, privacy salva. La richiesta veniva dapprima rigettata dal Tribunale, secondo cui, pur costituendo la citazione della Legge n. 210/1992 nella causale dell’accredito un dato sensibile – perché rivelatore dello stato di salute del beneficiario del pagamento – non era nella specie ravvisabile un’indebita diffusione dello stesso ai sensi del d.lgs. n. 196/2003, in quanto la comunicazione del pagamento era stata effettuata dalla Regione ad un soggetto determinato, ovvero l’istituto di credito designato dallo stesso interessato, sulla base di un rapporto di conto corrente. PA e banca adempienti obblighi di legge e contrattuali, non violano la riservatezza. Statuizione confermata dalla Corte di Cassazione, la quale ha escluso, dopo ampia disamina giurisprudenziale, che sia l’Ente pubblico che la banca abbiano posto in essere una condotta illecita, per le seguenti tre ragioni non costituisce violazione delle norme sulla riservatezza comunicare i dati sensibili ad un terzo rappresentante del titolare, e da questi indicato come destinatario della comunicazione la banca la PA non viola le norme sulla riservatezza se adempie precisi obblighi di legge allo stesso modo, la banca non viola le norme sulla riservatezza se adempie obblighi scaturenti da un contratto. In particolar modo, la trasmissione dei dati dalla banca al cliente non costituisce comunicazione” ai sensi del d.lgs. n. 196/2003, essendo il cliente titolare dei dati medesimi. Né costituisce comunicazione” nel senso sopra indicato, la trasmissione dei dati dalla Regione alla banca, in quanto, in virtù del rapporto di conto corrente, la seconda si qualifica come mandatario con rappresentanza del correntista. Di modo che l’imputazione del pagamento causale con la quale la Regione ha contraddistinto l’accredito, vale come se fosse compiuta dal debitore la Regione direttamente al creditore il correntista . La banca è stata difatti autorizzata dal correntista a ricevere assieme al pagamento, anche tutte le dichiarazioni che lo accompagnano, che debbono intendersi, quindi, come compiute direttamente al correntista stesso. Trattamento dati sensibili per fini previdenziali, alle banche è concesso. Inoltre, anche a voler nella specie ritenere che la comunicazione in questione riguardi dati sensibili, essa sarebbe comunque lecita anche in virtù del provvedimento del Garante privacy n. 5/2009 , cha consente il trattamento dei dati sensibili per fini previdenziali da parte delle banche. Trattamento e comunicazione dati sensibili, contrasto su definizioni e modalità. In ogni caso, conclude il Supremo Collegio, a prescindere dalla sopra illustrata decisione, sussiste attualmente un insanabile contrasto circa la definizione di trattamento e di comunicazione dei dati sensibili. Diatriba che si estende anche alle modalità di trattamento e comunicazione dei dati sensibili ad esempio, attraverso cifratura o altri accorgimenti alla luce delle esigenze sottese alla protezione di detta tipologia di dati. Ed è per questo che la prima sezione civile ha nella specie deciso di trasmettere gli atti al Primo Presidente, affinché valuti la possibilità di demandare la questione alle Sezioni Unite, onde dirimere il contrasto indicato.

Corte di Cassazione, sez. I Civile, sentenza 11 ottobre 2016 – 9 febbraio 2017, n. 3455 Presidente Salvago – Relatore Capanile Svolgimento del processo 1. Con ricorso proposto ai sensi del D.Lgs. 30 giugno 2003, n. 196, art. 152, il Signor C.M. conveniva dinanzi al Tribunale di Napoli la Regione Campania, la S.p.a. Banco di Napoli ed il Garante per la protezione dei dati personali premetteva di beneficiare di un indennizzo ai sensi della L. 25 febbraio 1992, n. 210, che veniva pagato dalla Regione Campania mediante accredito sul proprio conto corrente, presso una filiale del Banco di Napoli. Deduceva poi che, nel disporre il pagamento per via telematica, la Regione aveva indicato il titolo del pagamento mediante la seguente annotazione pagamento ratei arretrati bimestrali e posticipati L. n. 210 del 1992 e che con la stessa dizione la banca aveva contraddistinto il relativo movimento nell’estratto conto cartaceo inviatogli. 1.1. La suddetta indicazione - in quanto idonea a rivelare il proprio stato di salute - costituiva, a criterio del ricorrente, un illegittimo trattamento di dati personali, che aveva causato un danno, in relazione al quale chiedeva la condanna della Regione e della banca al relativo risarcimento, nonché alla rimozione del dato divulgato ed all’adozione delle misure idonee a prevenirne l’ulteriore divulgazione. 1.2. Con la sentenza indicata in epigrafe il Tribunale di Napoli ha rigettato la domanda. In particolare, all’esito di una complessiva ricognizione della normativa di riferimento, è stato affermato che, pur costituendo la citazione della L. n. 210 del 1992 nella causale di accredito un dato sensibile, perché rivelatore dello stato di salute del beneficiario del pagamento, non era ravvisabile nella specie un’illecita diffusione dello stesso, ai sensi del D.lgs n. 196 del 2003, in quanto la comunicazione del pagamento era stata effettuata dalla Regione a un soggetto determinato, ovvero all’istituto di credito designato dallo stesso interessato, sulla base di un rapporto di conto corrente con lo stesso intrattenuto. 1.3. Esclusi, quindi, profili di illegittimità nella condotta dell’ente pubblico, si è aggiunto che il riferimento della parte ricorrente all’illecita detenzione del dato da parte della banca non trovava riscontro nella tipizzazione del trattamento dei dai personali contenuta nell’art. 4 del richiamato D.lgs. n. 196 del 2003, laddove la descrizione della c.d. causale del bonifico era avvenuta sulla base di un preciso obbligo contrattuale, vale a dire in esecuzione di una delega ricevuta proprio dalla parte ricorrente. 1.4 - Per la cassazione di tale decisione il sig. C. propone ricorso, affidato ad unico e articolato motivo, cui la Regione Campania e la S.p.a. Banco di Napoli resistono con controricorso. Motivi della decisione 2. Con unico e articolato motivo il ricorrente deduce che con la decisione impugnata sarebbero stati violati i principi desumibili dalla normativa intesa alla protezione dei dati personali, con particolare riferimento agli artt. 1, 4, 11, 15, 18, 20, 22 e 68 del D.Lgs. n. 196 del 2003 il giudice del merito non avrebbe opportunamente considerato la distinzione tra dati personali, dati sensibili e dati giudiziari, obliterando la necessità, quanto a questi ultimi, di un trattamento con tecniche di cifratura o mediante l’identificazione di codici identificativi o di altre soluzioni che, considerato il numero e la natura dei dati trattati, li rendano temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessità art. 22, comma 6, D.Lgs. n. 196 del 2003 . Il riferimento all’art. 409 del R.D. n. 827/24, secondo cui i mandati di pagamento debbono contenere la precisa indicazione dell’oggetto della spesa, sarebbe inadeguato, dovendosi tale norma interpretare alla luce del quadro normativo delineato dal citato D.Lgs. n. 196 del 2003 e dal rilievo attribuito alla tutela del diritto alla protezione dei dati personali Carta dei diritti del cittadino Europeo , cui la pubblica amministrazione prima, e la banca dopo, avrebbero dovuto conformarsi adottando, nel trattare e nel trasmettere il dato inerente allo stato di salute del ricorrente, gli accorgimenti suggeriti dal citato decreto in particolare, artt. 18, 22, comma 6 . 3. In relazione alla fattispecie in esame si è determinato un contrasto nella giurisprudenza di questa Corte. 4. Con decisione n. 10947 del 19 maggio 2014 questa sezione, dopo aver ricostruito l’evoluzione del quadro normativo in materia di tutela dei dati personali, ha rilevato che l’art. 2 del decreto legislativo n. 196 del 2003 precisa che il trattamento dei dati personali deve svolgersi nel rispetto dei diritti e delle libertà fondamentali, con particolare riferimento alla riservatezza e alla identità personale. Ha quindi osservato Particolare tutela deve essere assicurata ai dati c.d. sensibili al riguardo, viene, tra l’altro, in considerazione, accanto alla protezione della riservatezza, la tutela della salute, ad essa strettamente collegata un riscontro ulteriore della circo-larità stretta, nei contenuti, dei diritti della personalità al riguardo, Cass. n. 19635 del 2011 18980 del 2013 . E infatti se la tutela più circoscritta dell’integrità fisica di cui all’art. 5 cod. civ. richiama gli aspetti esteriori della condizione del soggetto ed è valore eminentemente statico, la salute si configura, al contrario, come nozione relativa e dinamica, coinvolgendo soprattutto gli aspetti interiori, come avvertiti e vissuti in concreto dal soggetto, valore non solo da garantire ma da promuovere ed accrescere, secondo le indicazioni degli artt. 2.3 e 32 Cost. . Si è aggiunto che l’art. 4, relativo appunto ai dati personali idonei a rivelare lo stato di salute e la vita sessuale dell’interessato è dato personale ogni informazione relativa al soggetto, individuabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale. Ai sensi dell’art. 22, gli enti pubblici sono tenuti a conformare il trattamento dei dati sensibili, secondo modalità volte a prevenire violazioni di diritti, delle libertà fondamentali e della dignità dell’interessato, soltanto ove tali dati siano indispensabili per svolgere attività istituzionali che non possono essere adempiute con il trattamento di dati anonimi o personali di diversa natura in ogni caso i dati idonei a rivelare lo stato di salute non possono essere diffusi. Lo stesso articolo, al comma 6, stabilisce che tali dati devono essere trattati con tecniche di cifratura o mediante codici identificativi che li rendano temporaneamente inintellegibili a chi è autorizzato ad accedervi . In riferimento, quindi, a fattispecie sovrapponibile a quella in esame è stato quindi osservato Il dato, che la Regione ha rivelato e la Banca ha riportato, riguardava la legge n. 210 del 1992, che riconosce il diritto ad un indennizzo a chi abbia riportato, a causa di vaccinazioni obbligatorie, una menomazione permanente dell’integrità psicofisica o a chi risulti contagiato da infezioni HIV, a seguito di somministrazione di sangue o derivati, nonché gli operatori sanitari che, in occasione e durante il servizio, abbiano riportato danni permanenti, conseguenti ad infezione a seguito di contatto con sangue o derivati provenienti da soggetti affetti da HIV. Da quanto osservato emerge l’illegittimo trattamento dei dati, della Regione e della Banca, che, secondo le indicazione dell’art. 22, avrebbero dovuto rispettivamente diffondere e conservare i dati stessi, utilizzando cifrature o numeri di codice non identificabili . 5. Con sentenza in data 20 maggio 2015, n. 10280 la terza sezione di questa Corte, ponendosi consapevolmente in contrasto con la suindicata decisione, ha escluso, in relazione a identica fattispecie, che siano riscontrabili violazioni delle disposizioni contenute nel citato D.Lgs. n. 196 del 2003. 6. In primo luogo è stato escluso che la dizione indennizzo ex lege 210/92 , inserita dalla Regione Campania e dal Banco di Napoli - rispettivamente - nell’ordine di bonifico e nell’estratto-conto, fosse un dato sensibile, perché idoneo a rivelare lo stato di salute del creditore, in quanto le provvidenze previste dalla L. n. 210 del 1992 sono erogate a due categorie di persone a coloro che hanno patito una infezione per effetto di trasfusione o vaccinazione ai prossimi congiunti di persone decedute a causa dell’infezione da trasfusione o vaccinazione. Poiché i beneficiari appartenenti alla seconda categoria sono sani, l’informazione secondo cui taluno sia percettore di un assegno ex L. n. 210 del 1992 , da sola, sarebbe inidonea a rivelare lo stato di salute del percettore, giacché l’erogazione potrebbe avvenire tanto in via diretta, quanto in via - per così dire - di reversibilità , ed in questo secondo caso l’elargizione dipende non da una malattia dell’ accipiens , ma da una malattia del suo dante causa . 6.1. Appare opportuno rilevare sin d’ora che tale osservazione, che attiene a un aspetto, di per sé risolutivo, non esaminato nella prima decisione, non appare condivisibile, in quanto la citata legge n. 210 del 1992 attribuisce ai congiunti della persona deceduta a seguito di contagio una somma una tantum , mentre il pagamento dei ratei arretrati bimestrali e posticipati , cui si riferisce la causale di accredito in esame, appare inequivocabilmente destinato a un soggetto, cui unicamente compete il pagamento dei ratei in esame, che abbia riportato una menomazione permanente dell’integrità psicofisica o risulti contagiato da infezioni HIV. L’indicazione, per come formulata, riguarda un dato sensibile, e come tale è facilmente percepibile. 7. È stato poi rilevato che per diffusione deve intendersi il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione , laddove la comunicazione del dato sensibile ad un soggetto determinato non costituisce diffusione , neppure considerando la pluralità dei soggetti, nell’ambito della Banca, che ne sarebbe venuta a conoscenza, in quanto la norma non distingua, quanto ai destinatari della comunicazione, la persona fisica da quella giuridica, e sarebbe inesigibile, da parte di chi trasmette dati sensibili ad una persona giuridica, che opera attraverso i suoi organi, la previa identificazione della persona fisica cui indirizzare la comunicazione. 8. È stata poi giudicata erronea l’affermazione secondo cui la condotta della Regione sarebbe stata illegittima, per violazione del D.Lgs. n. 196 del 2003, art. 22, comma 6, riferibile solo ai dati contenuti in banche dati o registri elettronici, nonché ai fini della gestione ed interrogazione degli stessi, come reso evidente dal riferimento alle persone autorizzate ad accedervi . 7.1. Osservato che il senso della norma sarebbe quello di impedire che, attraverso la consultazione d’una banca dati per fini di lavoro, studio o ricerca, possano essere identificati i titolari dei dati inseriti nella banca stessa, è stato quindi rilevato che la Regione aveva semplicemente effettuato un pagamento ed indicato la causale , al di fuori del campo d’applicazione dell’art. 22, comma 6, del D.Lgs. n. 196 del 2003. 8. È stato escluso, quanto alla banca, che la stessa avrebbe compiuto un trattamento illegittimo dei dati, perché anch’essa avrebbe dovuto provvedere a cifrare i dati sensibili riguardanti la parte titolare del conto corrente. 8.1. In proposito si è rilevato che alla banca, soggetto privato, non si applica l’obbligo di cifratura imposto dal D.Lgs. n. 196 del 2003, art. 22, comma 6, ai soli soggetti pubblici che l’invio d’un estratto conto non costituisce un trattamento di dati personali effettuato con strumenti elettronici , ed, infine, che la comunicazione a un cliente di dati personali riguardanti il cliente stesso non costituisce trattamento di dati sensibili. 9. È stato quindi escluso che sia l’ente pubblico che la banca avessero tenuto una condotta illecita, per tre ragioni perché non costituisce violazione delle norme sulla riservatezza comunicare dati sensibili ad un terzo rappresentante dei titolare, e da questi indicato come destinatario della comunicazione perché per la p.a. non costituisce violazione delle norme sulla riservatezza adempiere precisi obblighi di legge perché per la banca non costituisce violazione delle norme sulla riservatezza adempiere obblighi scaturenti da un contratto. 10. Si è quindi affermato che le norme sulle tutela dei dati sensibili vanno coordinate e bilanciate da un lato con la norme costituzionali che tutelano altri e prevalenti diritti tra questi, l’interesse pubblico alla celerità, trasparenza ed efficacia dell’attività amministrativa e dall’altro con le norme civilistiche in tema di negozi giuridici . La trasmissione di dati dalla banca al cliente non costituirebbe una comunicazione ai sensi del D.Lgs. n. 196 del 2003, art. 4, comma 1, lett. l , poiché tale norma esclude che possa qualificarsi comunicazione la trasmissione di dati allo stesso titolare né potrebbe ravvisarsi una comunicazione nella trasmissione dei dati dalla Regione alla banca, in quanto, in virtù del rapporto contrattuale di conto corrente la seconda andrebbe qualificata come mandatario con rappresentanza del correntista. L’imputazione del pagamento c.d. causale con la quale la Regione ha contraddistinto l’accredito vale come compiuta dal debitore la Regione direttamente al creditore . Essendo stata la banca autorizzata preventivamente dalla correntista a ricevere il pagamento e conseguentemente le dichiarazioni che l’accompagnino, queste dichiarazioni debbono considerarsi compiute direttamente al correntista . Poiché il diritto alla riservatezza è un diritto disponibile, colui il quale nomina un mandatario, un rappresentante od un adiectus solutionis causa per ricevere un pagamento e le dichiarazioni ad esso necessariamente connesse, manifesta per ciò solo la volontà di accettare che quelle dichiarazioni possano essere rese alla persona indicata. 11. Si è quindi osservato, che, pur richiedendo il trattamento di dati sensibili da parte della p.a., anche se necessario per i propri fini istituzionali, una norma di legge che lo autorizzi art. 20, comma 1 , anche a voler ritenere che nella specie la comunicazione riguardasse dati sensibili , essa sarebbe stata comunque lecita, in quanto autorizzata ai sensi del R.D. n. 827 del 1924, art. 409, del D.Lgs. 10 agosto 2000, n. 267, art. 185, nonché del Provvedimento del Garante per la protezione dei dati personali 16/12/2009, n. 5 in Gazzetta Uff. 18/01/2010, n. 13 , il quale ha autorizzato il trattamento di dati sensibili per fini previdenziali da parte delle banche. Al di là della liceità dell’indicazione, correlata alla sua obbligatorietà, è stato affermato che la comunicazione non richiedeva alcun consenso da parte del titolare dei dati sensibili, escluso dallo stesso D.Lgs. n. 196 del 2003 quando il trattamento è necessario per adempiere un obbligo previsto dalla legge o dal contratto. 12. Ad avviso del Collegio, indipendentemente dal diverso grado di approfondimento, nelle decisioni sopra richiamate, della normativa di riferimento, sussiste un insanabile contrasto, per altro in merito a questioni estremamente rilevanti, sulla definizione delle nozioni di trattamento e di comunicazione dei dati sensibili cfr. anche Cass., 29 maggio 2015, n. 11223 , nonché sulla esigenza di traguardare la normativa richiamata nella decisione impugnata e in quella di questa Corte n. 10280 del 2015, anche con riferimento alle modalità del trattamento e alla comunicazione dei dati sensibili attraverso cifratura o altri accorgimenti al lume delle esigenze sottese alla protezione dei dati personali. Gli atti pertanto vanno trasmessi al Primo Presidente affinché valuti l’opportunità di demandare alle Sezioni Unite di questa Corte la risoluzione del contrasto in merito alle questioni sopra indicate, che per altro si ritengono di particolare importanza. P.Q.M. La Corte dispone la rimessione degli atti al Primo Presidente della Corte per l’eventuale assegnazione del ricorso alle Sezioni Unite ai sensi dell’art. 374 cod. proc. civ., comma 2.