Causale nel bonifico e nel conto corrente: “indennizzo di un danno alla salute”, ente pubblico e banca non commettono alcuna violazione

La Cassazione Civile esamina il ricorso contro una sentenza del Tribunale che aveva condannato un ente pubblico e una banca per diffusione illecita di dati sensibili, a seguito dell’indicazione, nell’ordine di bonifico e nel conto corrente, della causale di un indennizzo di un danno alla salute.

La Cassazione, con la sentenza n. 10280 depositata in data 20 maggio 2015, ribalta il verdetto di merito, approfondisce le tematiche della diffusione e comunicazioni di dati, della cifratura dei dati sensibili, del risarcimento dei danni per trattamenti illeciti di dati personali e conferma che la privacy non è un diritto assoluto ma deve contemperarsi con altri diritti. Il caso. La Regione Campania effettuava, attraverso la Banca di Napoli, un pagamento a favore di un cittadino e indicava la relativa causale di indennizzo ex lege n. 210/92 per un danno alla salute. La banca manteneva tale dizione nell’estratto conto inviato alla correntista. Il Tribunale di Napoli, con sentenza n. 6615/2011, ha condannato, sia la Regione sia la banca per violazione della privacy e al risarcimento dei danni patiti dal cliente per la lesione della riservatezza. Secondo il Tribunale, la dizione indennizzo ex lege 210/92 , inserita dalla Regione Campania, nel bonifico e nel relativo conto corrente, costituisce un dato sensibile in quanto idoneo a rivelare lo stato di salute del creditore. La legge n. 210/1992 prevede, infatti, una rendita a chi abbia patito un’infezione in seguito a trasfusioni o vaccinazioni. Secondo il Tribunale, il trattamento dei dati effettuato dalla Regione e dalla banca costituisce un caso di diffusione del dato sensibile e una violazione delle disposizioni del Codice della privacy sugli obblighi di cifratura dei dati mediante un codice alfanumerico da rendere noto solo al destinatario e a pochi operatori art. 22, d.lgs. n. 196/2003 . La banca e la Regione impugnavano la sopra citata sentenza di fronte alla Cassazione. Secondo la banca, la sentenza in esame è affetta da una violazione di legge ai sensi dell’art. 360, n. 3, c.p.c Privacy violata? Secondo la Cassazione le affermazioni contenute nella sentenza impugnata sono giuridicamente erronee. La S.C. osserva, infatti, che - l’informazione che un soggetto è percettore di un indennizzo, ai sensi della legge n. 210/1992, non è di per sé idonea a rivelare lo stato di salute del beneficiario di quell’indennizzo in quanto le provvidenze sono erogate sia a coloro che hanno patito un’infezione per effetto di trasfusione o vaccinazione sia ai prossimi congiunti di persone decedute a causa dell’infezione da trasfusione e vaccinazione, soggetti che malati non sono - la Regione non ha effettuato il trattamento di diffusione del dato ma ha effettuato l’operazione di trattamento con un semplice pagamento, indicato e trasmesso la relativa causale non ad un soggetto terzo ma al mandatario stesso l’istituto bancario indicato dal cliente-titolare del conto - la condotta della Regione non costituisce, in alcun modo, violazione delle disposizioni sull’obbligo di cifratura del dato previsto dall’art. 22 del Codice della Privacy, finalizzato unicamente a prevenire abusi nella gestione e nell’accesso alle banche dati da parte di soggetti non autorizzati non esiste, a riguardo alcun obbligo anche nel caso di comunicazione di dati sensibili trasmessi dalla pubblica amministrazione in adempimento di un obbligo di legge. La Cassazione specifica inoltre che non si applica alle banche l’obbligo di cifratura dei dati previsto dall’art .22 del Codice della Privacy. E poi, ancora, precisa come la comunicazione di dati ad un soggetto che ne è titolare non costituisce un’operazione di trattamento di comunicazione di dati. Per la Cassazione, pertanto, non siamo in presenza di alcuna violazione delle norme sulla privacy la banca e la Regione hanno adempiuto a precisi obblighi di legge e contrattuali ai quali non potevano sottrarsi attraverso una semplice trasmissione di un dato non sensibile ad un terzo rappresentate del titolare e da questi indicato come destinatario delle comunicazioni. La trasmissione di dati personali al rappresentante del titolare, effettuata con il consenso di quest’ultimo, equivale a quella effettuata direttamente al titolare, e non costituisce perciò una comunicazione” ai sensi dell’art .4, lettera i , d.lgs. n. 196/2003. La sentenza in esame offre molteplici spunti di riflessione per gli operatori degli enti pubblici, dalle imprese e dagli stessi operatori giudiziari su molti istituti cardine della normativa in materia di protezione dei dati personali. La Cassazione ha compensato integralmente le spese fra le parti in considerazione della novità della questione e dei relativi contrasti giurisprudenziali. L’illegittimo trattamento dei dati non determina un’automatica risarcibilità del danno. La sentenza conferma, infine, che l’illegittimo trattamento dei dati non determina un’automatica risarcibilità del danno poiché il pregiudizio morale e/o patrimoniale deve essere provato secondo regole ordinarie, quale ne sia l’entità e la difficoltà di assolvere all’onere probatorio, trattandosi di danno conseguenza e non di danno evento, senza che rilevi in senso contrario il suo eventuale inquadramento quale pregiudizio non patrimoniale da lesione di diritti costituzionalmente garantiti.

Corte di Cassazione, sez. III Civile, sentenza 24 febbraio – 20 maggio 2015, n. 10280 Presidente Travaglino – Relatore Rossetti Svolgimento del processo 1. Nel 2010 la sig.a D.A. , con ricorso proposto ai sensi dell'art. 152 del d.lgs. 30.6.2003 n. 196, convenne dinanzi al Tribunale di Napoli la Regione Campania d'ora innanzi, per brevità, la Regione , la società Banco di Napoli s.p.a. d'ora innanzi, per brevità, la banca ed il Garante per la protezione dei dati personali, esponendo che d'ora innanzi, per brevità, il Garante - beneficiava di un indennizzo dovutole ai sensi della l. 25.2.1992 n. 210 - tale indennizzo le veniva pagato dalla Regione Campania mediante accredito sul proprio conto corrente, presso la filiale n. X di Napoli del Banco di Napoli - nel disporre il pagamento per via telematica, la regione lo accompagnò con una causale recte, l'indicazione del titolo del pagamento del seguente tenore pagamento ratei l. 210/92 e con tale dizione la banca contraddistinse il relativo movimento nell'estratto conto cartaceo i inviato alla correntista - la suddetta indicazione costituiva un illegittimo trattamento di dati personali, in quanto idonea a rivelare lo stato di salute dell'attrice - questo illegittimo trattamento dei suoi dati personali le aveva causato un danno risarcibile. Concluse pertanto chiedendo la condanna in solido della Regione e della banca al risarcimento del danno, alla rimozione del dato divulgato ed all'adozione delle misure idonee a prevenirne l'ulteriore divulgazione. 2. Il Tribunale di Napoli con sentenza 26.5.2011 n. 6615 accolse la domanda, ritenendo - che il ricorso introduttivo non potesse dirsi nullo per indeterminatezza dell'oggetto come eccepito dalla società convenuta - che il riferimento alla l. 210/92 nella causale di accredito era un dato sensibile, perché rivelatore dello stato di salute della beneficiaria del pagamento - che la Regione avrebbe dovuto cifrare tale dato, ovvero indicarlo mediante un codice alfanumerico noto solo al destinatario ed a pochi operatori - che l'omissione di tali misure costituiva un'ipotesi di illecita divulgazione di dati sensibili - che anche la banca avrebbe dovuto fare altrettanto, rendendo l'informazione suddetta comprensibile solo all'interessata. 3. La sentenza del Tribunale è stata impugnata per cassazione in via principale dalla banca, sulla base di tre motivi ed in via incidentale dalla Regione Campania, sulla base di due motivi. D.A. ed il Garante non si sono difesi in questa sede. Motivi della decisione 1. Il primo motivo del ricorso principale. 1.1. Col primo motivo di ricorso il Banco di Napoli lamenta che la sentenza impugnata sia affetta da una nullità processuale, ai sensi dell'art. 360, n. 4, c.p.c Espone, al riguardo, che il ricorso introduttivo era nullo a causa della genericità nell'indicazione del pregiudizio che l'attrice lamentava di avere patito, e che il Tribunale aveva omesso di rilevare tale nullità. 1.2. Il motivo è infondato. Il ricorso introduttivo del giudizio di primo grado rasenta la soglia della nullità, ma non l'oltrepassa. In esso infatti la ricorrente ha indicato in cosa consistesse, secondo la sua prospettazione, la condotta illecita ascritta ai convenuti pp. 1-2 perché quella condotta dovesse ritenersi contra legem p. 3 e quale pregiudizio ne fosse derivato ovvero la lesione dei suoi diritti alla riservatezza ed alla dignità p.5 . Il ricorso consentiva dunque ai resistenti ed al giudice di comprendere quale fosse la cosa oggetto della domanda ed il fatto costitutivo della pretesa. 2. Il secondo motivo del ricorso principale. 2.1. Col secondo motivo di ricorso il Banco di Napoli allega che la sentenza impugnata sia affetta da una violazione di legge, ai sensi dell'art. 360, n. 3, c.p.c Si assumono violati gli artt. 4, 11, 15, 22 e 69 del d.lgs. 30.6.2003 n. 196. L'illustrazione del motivo si articola in due profili. 2.1.1. Col primo profilo del secondo motivo di ricorso si allega che la condotta della banca, consistita nell'archiviare l'avvenuto accredito, e nel darne comunicazione alla cliente con l'estratto conto, non ha violato alcuna norma sul trattamento dei dati, perché a per il trattamento necessario per adempiere un obbligo, non v'era bisogno del consenso dell'interessato b la mera detenzione dei dati non costituiva trattamento c in ogni caso, la causale dell'accredito nella quale si leggeva assegno ex lege 210/92 era inidonea a rendere conoscibile lo stato di salute della cliente, perché quell'assegno viene erogato anche agli eredi dell'avente diritto, che malati non sono. 2.1.2. Col secondo profilo del secondo motivo di ricorso il Banco di Napoli allega che in ogni caso la mera detenzione dei dati personali, quando non vengano diffusi a terzi, non poteva provocare alcun danno all'interessata. 2.2. Il motivo è fondato. Il Tribunale di Napoli ha basato la condanna del Banco di Napoli su quattro affermazioni in ture 2.2.1. In primo luogo, ha ritenuto che la dizione indennizzo ex lege 210/92 , inserita dalla Regione Campania e dal Banco di Napoli - rispettivamente - nell'ordine di bonifico e nell'estratto-conto, è un dato sensibile, perché idoneo a rivelare lo stato di salute del creditore. La suddetta legge, infatti, accorda una rendita a chi abbia patito una infezione in seguito a trasfusioni o vaccinazioni. 2.2.2. In secondo luogo, ha ritenuto che la Regione Campania avesse diffuso il suddetto dato sensibile della sig.a D.A. . 2.2.3. In terzo luogo, ha qualificato come illegittima la condotta della Regione Campania, poiché l'art. 22, comma 6, d.lgs. 196/03 impone la cifratura dei dati sensibili invocando a conforto di questa soluzione una Newsletter diffusa dal Garante, qualificata come provvedimento prescrittivo . 2.2.4. In quarto luogo, ha qualificato anche il Banco di Napoli come titolare del trattamento dei dati personali ha ritenuto che la banca non fosse un mero detentore dei dati della sig.a D.A. , ma li avesse trattati ha qualificato anche il suddetto trattamento come illegittimo, ritenendo che la banca avrebbe avuto l'obbligo giuridico di cifrare o schermare i suddetti dati. 2.3. Ciascuna di queste affermazioni è giuridicamente erronea. 3. In primo luogo, è erronea l'affermazione secondo cui la dizione pagamento ratei l. 210/92 costituirebbe in dato sensibile. L'art. 4, comma 1, lettera d , del d. Igs. 196/03, cit., definisce infatti come dati sensibili ”, i dati personali idonei a rivelare lo stato di salute e la vita sessuale . Nel caso di specie, la generica informazione secondo cui un soggetto è percettore di un indennizzo ai sensi della legge 25.2.1992 n. 210 non è di per sé idonea a rivelare lo stato di salute del beneficiario di quell'indennizzo. Stabilisce infatti l'art. 2 della l. 210/92, cit. qualora a causa delle vaccinazioni o delle patologie previste dalla presente legge sia derivata la morte, l'avente diritto può optare fra l'assegno reversibile di cui al comma 1 e un assegno una tantum di lire 150 milioni. Ai fini della presente legge, sono considerati aventi diritto nell'ordine i seguenti soggetti a carico il coniuge, i figli, i genitori, i fratelli minorenni, i fratelli maggiorenni inabili al lavoro . Le provvidenze previste dalla legge 210/92 sono dunque erogate a due categorie di persone a a coloro che hanno patito una infezione per effetto di trasfusione o vaccinazione b ai prossimi congiunti di persone decedute a causa dell'infezione da trasfusione o vaccinazione. I beneficiari della prima categoria sono ovviamente persone malate i beneficiari appartenenti alla seconda categoria invece non lo sono. Pertanto l'informazione secondo cui taluno sia percettore di un assegno ex lege 210/92 , da sola, è inidonea a rivelare lo stato di salute del percettore, giacché l'erogazione potrebbe avvenire tanto in via diretta, quanto in via - per così dire - di reversibilità , ed in questo secondo caso l'elargizione dipende non da una malattia dell' accipiens , ma da una malattia del suo dante causa. E sarà appena il caso di aggiungere che l’ idoneità d'un dato sensibile a rivelare stati personali va valutata in base al contenuto oggettivo di esso, e non certo in base all'opinione od al pregiudizio che il pubblico possa concepire in merito del tutto inconferenti, pertanto, ai fini del presente giudizio sono le osservazioni del Tribunale circa la diffusione mediatica dello scandalo degli emoderivati . 4. In secondo luogo, è erronea l'affermazione secondo cui la Regione Campania avrebbe diffuso i dati personali e sensibili della sig.a D.A. . È pacifico che la Regione si sia limitata ad effettuare un bonifico sul conto corrente della beneficiaria dell'indennizzo, accompagnandolo con la dicitura assegno ex lege 210/92 . Secondo il Tribunale, tale scelta sarebbe illegittima ai sensi dell'art. 26, comma 5, d.lgs. 196/03, il quale stabilisce che i dati idonei a rivelare lo stato di salute non possono essere diffusi . E tuttavia il Tribunale ha omesso di considerare che, ai sensi dell'art. 4, comma 1, lettera m , d.lgs. 196/03, per diffusione deve intendersi il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione . La comunicazione del dato sensibile ad un soggetto determinato, dunque, non costituisce diffusione è solo la indeterminatezza dei destinatari dell'informazione che consente di qualificare come diffusione il trattamento di dati concernenti lo stato di salute. Prive di pregio sono, al riguardo, le considerazioni del Tribunale, secondo cui la comunicazione compiuta dalla Regione avrebbe consentito la conoscenza del dato a tutto il personale della banca , e ciò per quattro ragioni a perché la legge definisce diffusione dei dati sensibili la comunicazione di essi a soggetti indeterminati , e nel nostro ordinamento il soggetto di diritto può essere ovviamente anche la persona giuridica, quale la società per azioni pertanto la comunicazione dei dati sensibili ad una società per azioni non costituisce una diffusione dei dati b perché sarebbe inesigibile, da parte di chi trasmette dati sensibili ad una persona giuridica, la previa identificazione della persona fisica cui indirizzare la comunicazione c perché la persona giuridica opera per il tramite dei suoi organi e dei suoi interna corporis , sicché la conoscenza dei dati sensibili da parte di questi è necessaria affinché gli effetti della comunicazione si producano in capo alla società destinatala, in virtù del noto principio della immedesimazione organica d perché la tesi seguita dal Tribunale porterebbe a conseguenze paradossali a seguire il criterio adottato dal Tribunale, dovrebbe ritenersi diffusione del dato anche il messaggio telematico inviato ad una persona fisica precisa ed individuata, la quale usi un personal computer accessibile agli altri membri della sua famiglia e l'evidente reduetio ad absurdum rende palese la fallacia della premessa su cui questa assurda conclusione si fonda. 5. In terzo luogo, è erronea l'affermazione secondo cui la condotta della Regione sarebbe stata illegittima, per violazione dell'art. l'art. 22, comma 6, d.lgs. 196/03 ovvero la norma che impone la cifratura dei dati sensibili . L'art. 22, comma 6, del d.lgs. 196/03, stabilisce infatti che i dati sensibili e giudiziari contenuti in elenchi, registri o banche di dati, tenuti con l'ausilio di strumenti elettronici, sono trattati con tecniche di cifratura o mediante l'utilizzazione di codici identificativi o di altre soluzioni che, considerato il numero e la natura dei dati trattati, li rendono temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessità . L'art. 22 cit. esige dunque la cifratura a solo dei dati contenuti in banche dati o registri elettronici b solo ai fini della gestione ed interrogazione degli stessi, come rende evidente il riferimento alle persone autorizzate ad accedervi . Il senso della norma è impedire che, attraverso la consultazione d'una banca dati per fini di lavoro, studio o ricerca, possano essere identificati i titolari dei dati inseriti nella banca stessa. Nel presente giudizio, invece, il Banco di Napoli non ha mai consultato alcuna banca dati elettronica od archivio elettronico in possesso della Regione, né è stato mai nemmeno allegato che la Regione abbia costituito, gestito ed interrogato banche dati in violazione dei precetti di cui all'art. 22, comma 6, d.lgs. 196/03. Nel presente giudizio la Regione ha semplicemente effettuato un pagamento ed indicato la causale dunque siamo totalmente al di fuori del campo d'applicazione dell'art. 22, comma 6, cit., e non v'era bisogno alcuno di cifratura. Vale la pena aggiungere come il richiamo, compiuto dal Tribunale alla c.d. Newsletter del Garante per la protezione dei dati personali n. 286 del 26.2.2007, non incida in alcun modo sulla conclusione appena esposta. Tale provvedimento infatti, lungi dall'avere portata prescrittiva , come ritenuto dal Tribunale, dal punto di vista oggettivo è un provvedimento privo di efficacia normativa, e dal punto di vista soggettivo promana da un organismo amministrativo privo del potere di interpretare la legge in modo vincolante per l'autorità giudiziaria. E varrà comunque la pena aggiungere come in precedenza lo stesso Garante, nel Provvedimento 1.12.1999 in Bollettino, n. 11/12, p. 14 , ritenne che nello svolgimento dei compiti in materia di invalidità civile le amministrazioni non incontrano alcun ostacolo nella normativa sui dati personali , sicché appare quanto meno azzardato sul piano costituzionale diversificare la posizione della p.a. che versi l'assegno di invalidità civile ex l. 222/84, da quella della p.a. che versi l'indennizzo ex lege 210/92. 6. In quarto luogo, infine, è erronea l'affermazione secondo cui il Banco di Napoli avrebbe compiuto un trattamento illegittimo dei dati della propria cliente, sig.a D.A. , perché anch'essa avrebbe dovuto provvedere a cifrare i dati sensibili riguardanti la cliente. Tale affermazione è erronea in iure per tre concorrenti ragioni La prima ragione è che al Banco di Napoli, soggetto privato, non si applica l'obbligo di cifratura imposto dall'art. 22, comma 6, d.lgs. 196/03 ai soli soggetti pubblici. La seconda ragione è che i soggetti privati hanno l'obbligo di cifratura dei soli dati b' idonei a rivelare lo stato di salute del titolare, e b’’ trattati con strumenti elettronici. Nel caso di specie, la banca risulta unicamente avere inviato alla cliente un estratto conto con l'indicazione assegno ex lege 210/92 sicché, per quanto già detto, da un lato tale indicazione era inidonea a rivelare lo stato di salute del destinatario dall'altro l'invio d'un estratto conto non costituisce un trattamento di dati personali effettuato con strumenti elettronici . La terza ragione è che la comunicazione ad una cliente di dati personali riguardanti la cliente stessa non costituisce trattamento di dati sensibili. L'art. 4, comma 1, lettera a , infatti, definisce trattamento di dati personali tra l'altro la loro comunicazione , ma la successiva lettera l , definisce comunicazione di dati il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato . Pertanto comunicare dati sensibili a chi ne è il titolare non costituisce una comunicazione ai sensi del d.lgs. 196/03, e di conseguenza nemmeno può costituire un trattamento . 7. Detto della erroneità giuridica delle ragioni con le quali il Tribunale ha accolto la domanda della sig.a D.A. , resta da esaminare se in ogni caso la decisione impugnata non sia per avventura corretta nel merito, sì da imporre a questa Corte una mera correzione della motivazione. La risposta a tale quesito deve essere drasticamente negativa, giacché nel caso di specie né la Regione, né il Banco di Napoli hanno tenuto alcuna condotta illecita, per tre ragioni - perché non costituisce violazione delle norme sulla riservatezza comunicare dati sensibili ad un terzo rappresentante dei titolare, e da questi indicato come destinatario della comunicazione - perché per la p.a. non costituisce violazione delle norme sulla riservatezza adempiere precisi obblighi di legge - perché per la banca non costituisce violazione delle norme sulla riservatezza adempiere obblighi scaturenti da un contratto. 8. Comunicazione di dati al rappresentante. 8.1. Il diritto ad esigere una corretta gestione dei propri dati personali, pur se rientrante nei diritti fondamentali di cui all'art. 2 cost., non è un totem al quale possano sacrificarsi altri diritti altrettanto rilevanti sul piano costituzionale. Le norme sulle tutela dei dati sensibili vanno coordinate e bilanciate da un lato con la norme costituzionali che tutelano altri e prevalenti diritti tra questi, l'interesse pubblico alla celerità, trasparenza ed efficacia dell'attività amministrativa e dall'altro con le norme civilistiche in tema di negozi giuridici. Stabilire dunque se un soggetto pubblico o privato abbia o meno violato le regole legali sulla gestione dei dati altrui impone di interpretare queste ultime bilanciando gli interessi da esse tutelati con gli altri interessi costituzionalmente protetti potenzialmente in conflitto col diritto alla riservatezza e comunque facendo ricorso alle generali categorie del diritto civile per stabilire se e quando vi sia stata comunicazione di dati tra il detentore ed un terzo. Alla luce di tali criteri, deve escludersi sia che nel caso di specie la comunicazione di dati dalla Regione alla banca, e da questa alla cliente, siano stati illegittimi 8.2. Nel caso di specie la sig.a D.A. lamenta una duplice illegittima trasmissione dalla Regione alla banca, e dalla banca ad essa stessa. La trasmissione di dati dalla banca alla cliente non costituisce ovviamente una comunicazione ai sensi dell'art. 4, comma 1, lettera l , del d.lgs. 196/03, poiché tale norma esclude che possa qualificarsi comunicazione la trasmissione di dati allo stesso titolare. Ma nemmeno fu una comunicazione la trasmissione dei dati dalla Regione alla banca. Non è mai stato in contestazione, infatti, che col Banco di Napoli la sig.a D.A. avesse in corso un rapporto contrattuale di conto corrente. In virtù di tale vincolo negoziale, la banca va qualificata come mandatario con rappresentanza della correntista. Il pagamento effettuato dalla Regione alla banca è stato dunque ricevuto da quest'ultima per conto della cliente, ed ha avuto efficacia liberatoria del solvens . È dunque ovvio che l'imputazione del pagamento c.d. causale con la quale la Regione ha contraddistinto l'accredito vale come compiuta dal debitore la Regione direttamente al creditore la beneficiarla del pagamento . Dal punto di vista dell'imputazione soggettiva del pagamento non v'è distinzione tra banca e correntista Sez. L, Sentenza n. 517 del 23/01/1979, Rv. 396634 , e non essendovi distinzione rispetto all'atto di adempimento dell'obbligazione, nemmeno può esservi rispetto alle dichiarazioni di scienza o di volontà che quell'atto accompagnino. L'imputazione del pagamento dichiarata dalla Regione alla banca, pertanto, vale come compiuta dal solvens direttamente all' accipiens . Ma essendo stata la banca autorizzata preventivamente dalla correntista a ricevere il pagamento e conseguentemente le dichiarazioni che l'accompagnino, queste dichiarazioni debbono considerarsi compiute direttamente al correntista. Or bene, il diritto alla riservatezza è un diritto disponibile art. 23 d.lgs. 196/03 . Colui il quale nomina un mandatario, un rappresentante od un adiectus solutionis causa per ricevere un pagamento e le dichiarazioni ad esso necessariamente connesse, manifesta per ciò solo la volontà di accettare che quelle dichiarazioni possano essere rese alla persona indicata. Ne consegue, da un lato, che trasmettere dati al rappresentante del titolare non costituisce una comunicazione a terzi ai sensi dell'art. 4, comma 1, lettera l , d.lgs. 196/03, in virtù del noto principio dell'imputazione degli effetti giuridici dal rappresentante al rappresentato e dall'altro che in ogni caso la nomina d'un rappresentante per ricevere dichiarazioni contenenti dati sensibili costituisce un implicito consenso alla comunicazione di questi ultimi al rappresentante. 9. Adempimento di obblighi di legge da parte della pubblica amministrazione. 9.1. Il d.lgs. 196/03, sebbene non è certo un testo normativo caratterizzato da una architettura logica ineccepibile e da una sintassi inequivoca. Proprio per questo, però, esso va interpretato in modo da restituire coerenza e chiarezza alle norme ivi dettate. Ebbene, il trattamento dei dati sensibili da parte delle pubbliche amministrazioni nel d.lgs. 196/03 è disciplinato sulla base di una regola fondamentale, che distingue dati personali in genere e dati sensibili. Il trattamento di dati personali da parte della p.a., per i propri fini istituzionali, non richiede il consenso dell'interessato per il trattamento dei dati personali art. 18, comma 4, d.lgs. 196/03 . Il trattamento di dati sensibili da parte della p.a., anche se necessario per i propri fini istituzionali, esige invece una norma di legge che lo autorizzi art. 20, comma 1 . Nel caso oggi all'esame di questa Corte, per quanto detto, la dizione assegno ex lege 210/92 non costituiva un dato sensibile, e dunque la sua comunicazione non richiedeva né una norma di legge autorizzatrice, né il consenso della titolare. Ma anche se quella dizione fosse stata inquadrabile tra i dati sensibili , comunque la sua comunicazione sarebbe stata lecita, in quanto autorizzata da ben tre diverse disposizioni di legge a l'art. 409 del r.d. 23-05-1924 n. 827 regolamento di contabilità dello Stato , il quale stabilisce che gli ordinativi [di pagamento] devono contenere le seguenti indicazioni il cognome, nome e qualità del creditore o dei creditori e di chi per loro fosse legalmente autorizzato a dar quietanza l'oggetto preciso della spesa la somma da pagare scritta in lettere ed in numeri b l'art. art. 185 d.lgs. 10.8.2000 n. 267 testo unico sugli enti locali , il quale stabilisce che il mandato di pagamento contiene almeno i seguenti elementi e l'indicazione del creditore f l'ammontare della somma dovuta e la scadenza, qualora sia prevista dalla legge o sia stata concordata con il creditore g la causale e gli estremi dell'atto esecutivo che legittima l'erogazione della spesa c il Provvedimento del Garante per la protezione dei dati personali 16/12/2009, n. 5 in Gazzetta Uff. 18/01/2010, n. 13 , il quale ha autorizzato il trattamento di dati sensibili per fini previdenziali da parte delle banche. 9.2. Né basta. La comunicazione della causale di pagamento da parte della Regione al banco di Napoli non solo era lecita perché le pubbliche amministrazioni hanno l'obbligo di tale indicazione era altresì lecita perché il pagamento aveva ad oggetto una prestazione rientrante nel genus delle prestazioni assistenziali e previdenziali, cui la Regione non poteva sottrarsi. Tale comunicazione dunque non richiedeva alcun consenso da parte dell'interessata perché a l'art. 24, comma 1, d.lgs. 196/03 dichiara superfluo il consenso del titolare dei dati sensibili quando il trattamento è necessario per adempiere un obbligo previsto dalla legge o dal contratto b l'art. 26, comma 4, d.lgs. 196/03 ribadisce inutilmente che è superfluo il consenso del titolare dei dati sensibili quando il trattamento è necessario per adempiere a specifici obblighi o compiti previsti dalla legge in materia di di previdenza e assistenza c l'art. 68, comma 1, d.lgs. 196/03 qualifica come di rilevante interesse pubblico , ai fini della liceità del trattamento dei dati sensibili da parte della p.a. in assenza di consenso del titolare, le finalità di applicazione della disciplina in materia di concessione, liquidazione, modifica e revoca di benefici economici, agevolazioni, elargizioni, altri emolumenti e abilitazioni d l'art. 73, comma 1, d.lgs. 196/03 ribadisce inutilmente che si considerano di rilevante interesse pubblico le finalità socio-assistenziali . 10. Adempimento di obblighi contrattuali da parte della banca. Legittima, infine, fu la comunicazione da parte della banca alla propria correntista della causale per la quale la Regione aveva effettuato la credito dell'emolumento dovutole ai sensi della legge n. 210/92 sia perché, per quanto detto, quel dato non doveva qualificarsi come sensibile sia perché la comunicazione della causale costituiva un obbligo scaturente dal contratto 8art. 24 d.lgs. 196/03 . 11. Non sarà superfluo aggiungere che le conclusioni appena esposte sono le uniche consentite, oltre che dal diritto nazionale, anche da quello comunitario, il quale non ha mai posto un divieto assoluto e sacrale di uso dei dati anche sensibili, ma al contrario l'ha consentito espressamente per l'adempimento di obblighi contrattuali o scaturenti dalla legge, e comunque per finalità di interesse pubblico così il XXX Considerando della Direttiva 95/46/CE del 24.10.1995 cfr. altresì l'art. 13 della medesima direttiva . E nell'interpretazione di tali principi, la Corte di giustizia dell'Unione Europea ha ripetutamente affermato che la deroga al divieto di trattamento di dati personali senza il consenso dell'interessato è legittima, se finalizzata a perseguire interessi pubblici proporzionali e necessari rispetto al sacrificio imposto al diritto alla riservatezza, e che tale conclusione è coerente sia con la Direttiva 95/46/CE, sia con l'art. 8, comma 2, CEDU, che prevede come i diritti dei singoli alla riservatezza posano essere sacrificati a fronte del benessere economico del paese” ex multis, in tal senso, Corte di giustizia UÈ, 20.5.2003, Rechnungshof, in causa C-465/00 . 12. Le considerazioni sin qui svolte inducono questa Corte a ritenere non condivisibili le conclusioni raggiunte, in fattispecie identica, da Sez. 1, Sentenza n. 10947 del 19/05/2014, Rv. 631481. Tale decisione infatti, dopo un'ampia disamina della genesi storica e sociologica della normativa sulla riservatezza, giunta al punto di valutare la liceità della condotta della Regione Campania afferma nella specie, il dato, che la Regione ha rivelato e la Banca ha riportato, riguardava la legge n. 210 del 1992, che riconosce il diritto ad un indennizzo a chi abbia riportato, a causa di vaccinazioni obbligatorie, una menomazione permanente dell'integrità psicofisica o a chi risulti contagiato da infezioni HIV, a seguito di somministrazione di sangue o derivati, nonché gli operatori sanitari che, in occasione e durante il servizio, abbiano riportato danni permanenti, conseguenti ad infezione a seguito di contatto con sangue o derivati provenienti da soggetti affetti da HIV. Da quanto osservato emerge l'illegittimo trattamento dei dati, della Regione e della Banca, che, secondo le indicazione dell'art. 22, avrebbero dovuto rispettivamente diffondere e conservare i dati stessi, utilizzando cifrature o numeri di codice non identificabili . Questa motivazione sembra dunque trascurare da un lato che la legge 210/2 accorda provvidenze economiche sia a persone malate, sia a chi malato non è, e dunque il riferimento a quella legge e di per sé inidoneo a svelare lo stato di salute dall'altro non sembra considerare l'effettivo ambito di applicazione dell'art. 22, comma 6, d.lgs. 196/03, come sopra delimitato in terzo luogo non sembra avere considerato che trasmettere una informazione ad una sola persona giuridica non costituisce diffusione del dato, quale che sia il numero dei dipendenti della destinataria. 13 Per tutte le ragioni che precedono la sentenza impugnata va dunque cassata, in applicazione dei seguenti principi di diritto a Non costituisce diffusione di dati sensibili, ai sensi dell'art. 4, comma 1, lettera m , d.lgs. 196/03, la trasmissione di informazioni ad una singola persona giuridica, a nulla rilevando che la destinataria abbia un rilevante numero di dipendenti. b La trasmissione di dati personali al rappresentante del titolare, effettuata col consenso di quest'ultimo, equivale a quella effettuata direttamente al titolare, e non costituisce perciò una comunicazione ai sensi dell'art. 4, comma 1, lettera l , d.lgs. 196/03. c L'obbligo per la pubblica amministrazione di procedere alla cifratura dei dati sensibili contenuti in banche dati, di cui all'art. 22, comma 6, d.lgs. 196/03, è finalizzato unicamente a prevenire abusi nella gestione e nell'accesso alle banche dati stesse. Non vi è alcun obbligo di cifratura, pertanto, per i dati anche sensibili che la pubblica amministrazione trasmetta, in adempimento di obblighi di legge, al titolare od al soggetto da questi indicato. d Non costituisce illegittimo trattamento di dati sensibili, da parte della pubblica amministrazione, l'indicazione della causale d'un pagamento effettuato per ragioni di assistenza o previdenza pubbliche, a nulla rilevando che quella causale possa in astratto rivelare le condizioni di salute del percettore. 14. Il terzo motivo del ricorso principale. 14.1. Col terzo motivo di ricorso la banca sostiene che la sentenza impugnata sarebbe affetta da una violazione di legge, ai sensi all'art. 360, n. 3, c.p.c Si assumono violati gli artt. 15 d.lgs. 196/03, cit., e 1226 c.c Espone, al riguardo, che la Corte d'appello avrebbe errato nel liquidare in via equitativa un danno del quale non vi era prova alcuna. 14.2. Il motivo è assorbito dall'accoglimento del motivo precedente. Non sarà superfluo in ogni caso ricordare che l'illegittimo trattamento di dati sensibili ex art. 4 del d.lgs. 30 giugno 2003, n. 193, configurabile come illecito ai sensi dell'art. 2043 cod. civ., non determina un'automatica risarcibilità del danno poiché il pregiudizio morale e/o patrimoniale deve essere provato secondo le regole ordinarie, quale ne sia l'entità e la difficoltà di assolvere l'onere probatorio, trattandosi di un danno-conseguenza e non di un danno-evento, senza che rilevi in senso contrario il suo eventuale inquadramento quale pregiudizio non patrimoniale da lesione di diritti costituzionalmente garantiti Sez. 3, Sentenza n. 15240 del 03/07/2014, Rv. 631712 Sez. 6 - 3, Sentenza n. 18812 del 05/09/2014, Rv. 632941 Sez. 3, Sentenza n. 16133 del 15/07/2014, Rv. 632536 . 15. Il ricorso incidentale della Regione Campania. 15.1. Col proprio ricorso incidentale la Regione ha censurato la sentenza del Tribunale per due motivi l'uno attinente la liceità della propria condotta, l'altro attinente il quantum debeatur , sovrapponibili al secondo ed al terzo motivo del ricorso principale. Anche essi andranno dunque accolti per le medesime ragioni già indicate. 16. La decisione nel merito. 16.1. L'accoglimento del ricorso principale e di quello incidentale non impone, nel presente giudizio, la cassazione con rinvio della sentenza impugnata. Infatti, una volta escluso che la condotta ascritta dall'attrice ai due enti convenuti possa qualificarsi come illecita, ne segue il rigetto della domanda senza bisogno di alcun ulteriore accertamento. 17. Le spese. La novità della questione ed i contrasti giurisprudenziali cui ha dato luogo costituiscono giusto motivo per la compensazione integrale delle spese del presente grado di giudizio e di quelle di merito. P.Q.M. la Corte di cassazione, visto l'art. 380 c.p.c. - accoglie il ricorso principale - accoglie il ricorso incidentale - cassa la sentenza impugnata e, decidendo nel merito, rigetta la domanda proposta da D.A. nei confronti della Banco di Napoli s.p.a. e della Regione Campania - compensa integralmente tra le parti le spese del giudizio di merito e di quello di legittimità.