Demandata alle Sezioni Unite della Corte di Cassazione la risoluzione del contrasto giurisprudenziale avente ad oggetto il trattamento e le comunicazioni di dati sensibili tra la P.A. e l’istituto bancario mandatario dell’interessato
Avv. Giovanni Parisi
Con ordinanza n. 3455 del 09/02/2017, la Prima Sezione Civile della S.C. ha rimesso alle Sezioni Unite la decisione sulla questione riguardante la legittimità dell’operato di una pubblica amministrazione (nella specie, della Regione Campania) di comunicare dati sensibili attinenti lo stato di salute di un soggetto nei confronti della banca a cui il titolare aveva conferito mandato di riscuotere.
La delicata questione nasce dal rigetto, da parte del Tribunale di Napoli, di un ricorso proposto ai sensi dell’art. 152, D. Lgs. N. 196/2003 da parte di un beneficiario dell’indennizzo di cui alla legge n. 210/1992, erogato dall’ente regionale in favore di soggetti che abbiano subito una infezione da emotrasfusione o vaccinazione. In particolare, il titolare della prestazione conveniva la Regione Campania ed il Banco di Napoli per sentirli condannare in solido al risarcimento dei danni ed alla rimozione dei propri dati divulgati nelle operazioni di accredito dei ratei di indennizzo. Deduceva il ricorrente, difatti, che la Regione, nel disporre i pagamenti per via telematica, indicava nella causale la dizione “pagamento ratei arretrati bimestrali e posticipati […] L. n. 210 del 1992”, e che la stessa causale veniva contraddistinta dall’istituto di credito negli estratti conto cartacei periodicamente inviati al titolare del rapporto. Secondo il ricorrente, dunque, la specificazione del suddetto titolo di accredito, facendo riferimento ad una disposizione legislativa prevista a tutela di persone che a causa di trasfusioni di sangue infetto abbiano compromesso in maniera irreversibile il loro stato di salute, e configurandosi come trattamento e divulgazione di dati sensibili concernenti la salute dell’interessato, avrebbe leso la riservatezza del titolare.
I motivi di rigetto da parte del giudice territoriale si fondavano essenzialmente sulla negazione della illiceità del trattamento/diffusione di dati sensibili poiché trasmessi dalla Regione direttamente ad un soggetto determinato (la banca), delegato dallo stesso ricorrente a ricevere in suo nome i pagamenti in forza di un obbligo contrattuale interno al rapporto di conto corrente intrattenuto tra le parti.
Avverso tale decisione veniva dunque interposto ricorso in cassazione, nel quale si denunciavano le violazioni della legge n. 196/2003 in rapporto con gli artt. 2, 3 e 32 Cost., e si deduceva la necessità, non ossequiata dagli enti coinvolti, di un sistema di cifratura, codici identificativi o altre soluzioni che rendessero non intellegibile a terzi le causali dei versamenti, tenuto conto sia della non equivocità della indicazione della legge 210/1992 e della ulteriore specificazione “ratei arretrati bimestrali”, esclusivamente previsti per gli indennizzati da infette emotrasfusioni/vaccinazioni, sia della inadeguatezza delle norme disciplinanti gli obblighi della banca sulla indicazione degli ordini di spesa nei mandati di pagamento, alla luce della intervenuta disciplina a tutela della riservatezza dei dati personali, sensibili e giudiziari.
Rileva a questo punto la S.C. che sull’argomento si riscontrano due contrapposti orientamenti giurisprudenziali: con decisione n. 10947/2014, la Cassazione, premettendo che i dati idonei a rivelare lo stato di salute non possano essere diffusi e che gli enti pubblici debbano adeguare le necessarie modalità di trattamento a tecniche di cifratura adatte, ha riconosciuto l’illegittimità del trattamento dei dati da parte della Regione e della banca che rispettivamente abbiano rivelato e riportato, negli accrediti indennitari, il riferimento di “legge n. 210/1992”; viceversa, con successiva sentenza n. 10280/2015, gli Ermellini, in analoga fattispecie, hanno negato la illegittimità di tale operato, sulla scorta di diverse argomentazioni.
Anzitutto, alla banca, in quanto soggetto privato, non si applicherebbe l’obbligo di cifratura imposto alla sola P.A.; inoltre, non sussisterebbe alcuna violazione di divulgazione di dati sensibili nella comunicazione di tali informazioni effettuata nei confronti di un soggetto (la banca) che, per specifici obblighi contrattuali, rappresenta il titolare stesso, in quanto delegata a ricevere i pagamenti. In altri termini, la comunicazione dovrebbe intendersi come effettuata direttamente nei riguardi del titolare del trattamento. Ecco dunque che, secondo tale ultimo orientamento, le esigenze di tutela della “privacy” andranno bilanciate e coordinate con altri e prevalenti diritti, tra cui “l’interesse pubblico alla celerità, trasparenza ed efficacia dell’attività amministrativa”.
In definitiva, anche alla luce delle suddette (non proprio convincenti) argomentazioni che hanno creato un insanabile contrasto di orientamenti anche sulla nozione di trattamento e comunicazione dei dati sensibili, si attende il pronunciamento delle Sezioni Unite che faccia chiarezza su una delicata questione avente ad oggetto la protezione di rilevanti diritti della personalità.
