Interessi protetti - Interessi protetti -  Adolfo Tencati - 18/01/2018

Privacy in banca – applicazione ai dati sanitari - Cass. civ., SS.UU., 27-12-2017 n. 30981

1. La fattispecie esaminata dalla S. C.
La l. 25-2-1992, n. 210 attribuisce un indennizzo, a carico dello Stato, “a favore dei soggetti danneggiati da complicanze di tipo irreversibile a causa di vaccinazioni obbligatorie, trasfusioni e somministrazioni di emoderivati”.
Detto indennizzo, erogato previa apposita istruttoria, è accreditato sul conto corrente bancario indicato dall’interessato.
Il procedimento amministrativo che porta all’erogazione dell’indennizzo in esame ed il contratto di conto corrente bancario dunque si uniscono, dando vita ad una fattispecie complessa.
La sua unitarietà tuttavia non toglie rilievo ai singoli componenti, rispettivamente soggetti al diritto amministrativo ed alla disciplina civilistica sul conto corrente bancario.
2. Il principio giuridico enunciato dalle S. U.
Il caso esaminato da S. U. 30981/2017 si svolge sullo scenario normativo precedentemente tratteggiato. Nella competente riga dell’estratto conto è scritto: “pagamento rateo arretrati bimestrali e posticipati l. n. 210/92”.
Da siffatta dicitura è possibile evincere la motivazione sanitaria dell’accredito. Perciò l’interessato lamenta la violazione della sua riservatezza.
Sorge allora la questione: sono applicabili le disposizioni protettive dei dati sensibili (ossia idonei a rivelare tra l’altro lo stato di salute della persona), contenute nel codice privacy – d. lg.30-6-2003, n. 196, successivamente modificato ed integrato? (sui provvedimenti del Garante privacy che autorizzano, in via generale, il trattamento dei dati sensibili cfr. GREMIGNI P., Privacy, Le nuove autorizzazioni per il trattamento dei dati sensibili, in GLav, 2017, n.4, 10).
Le risposte dei supremi giudici sono variegate
[per la necessità di adottare cifrature e sistemi crittografici si veda Cass. civ., sez. I, 19-5-2014, n. 10947,FI, 2015, I, 120. Invece Cass. civ., sez. III, 20-5-2015, n. 10280 (FN, 2016,587, commentata da COLAVINCENZO D., Causale nel bonifico e nel conto corrente idonea a rivelare lo stato di salute della beneficiaria del pagamento: privacy violata?, in FN, 2016, 587) esclude che “l’informazione dalla quale risulta che un soggetto è percettore di un indennizzo, ai sensi della l. 5-2-1992, n. 210, […]costituisca [n.d.a.] un dato sensibile”].
Si richiede perciò l’intervento delle S. U.
[cfr. Cass. civ., sez. I, ord.,9-2-2017, n. 3455,NGCC, 2017, I, 1240, commentata da PIRAINO F., Il contrasto sulla nozione di dato sensibile, sui presupposti e sulle modalità del trattamento, in NGCC, 2017, I, 1232].
Il contrasto giurisprudenziale è composto in continuità con l’orientamento (per il quale si veda Cass. 10947/2014) più rigoroso e, quindi, meglio protettivo dell’interessato.
Il massimo organo giudicante enuncia quindi il principio di diritto:
I dati sensibili idonei a rivelare lo stato di salute possono essere trattati soltanto mediante modalità organizzative, quali tecniche di cifratura o criptatura che rendono non identificabile l'interessato. Ne consegue che i soggetti pubblici o le persone giuridiche private, anche quando agiscano rispettivamente in funzione della realizzazione di una finalità di pubblico interesse o in adempimento di un obbligo contrattuale, sono tenuti all’osservanza delle predette cautele nel trattamento dei dati in questione.
3. Conferma dell’interpretazione giurisprudenziale nel regolamento europeo sulla privacy
Piuttosto che ripetere le motivazioni poste da S. U. 30981/2017 a fondamento del suddetto principio, giova evidenziare che la disciplina della privacy è in evoluzione.
Infatti il regolamento del Parlamento Europeo e del Consiglio 27-4-2016, n. 2016/679/UE (nel seguito regolamento 2016/679 sul quale si veda PIZZETTI F., Privacy e il diritto europeo alla protezione dei dati personali – Vol. 2º: Il regolamento europeo 2016/679, Giappichelli, Torino, 2016), benché già in vigore, “si applicherà a decorrere dal 25-5-2018” (art. 99, 2º §, regolamento 2016/679).
Bisogna quindi stabilire se le ragioni enunciate da S. U. 30981/2017 resteranno valide anche nel nuovo scenario normativo.
La risposta è positiva perché il regolamento 2016/679 sostanzialmente riproduce la disciplina nazionale, peraltro rafforzando la tutela degli interessati.
Infatti l’art. 9, 1º §, regolamento 2016/679 enuncia innanzitutto il divieto di “trattare […]dati relativi alla salute della persona” (invece l’articolo 22, 1º co., d. lg. 196/2003 impone ai soggetti pubblici di conformare “il trattamento dei dati sensibili […] secondo modalità volte a prevenire violazioni dei diritti, delle libertà fondamentali e della dignità dell'interessato”.
Tra i casi dove l’art. 9, 2º §, regolamento 2016/679.supera il suddetto divieto rientra innanzitutto il trattamento dei dati sanitari con il consenso esplicito dell’interessato [art. 9, 2º §, lettera a], regolamento 2016/679].
Altra ipotesi dove è consentito trattare i dati personali a carattere sanitario (corrispondenti ai dati sensibili dell’ordinamento italiano) è quella dove
il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell'Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell'interessato
[art. 9, 2º §, lettera b], regolamento 2016/679].
Dal confronto tra la normativa comunitaria ed italiana emerge che il regolamento 2016/679 considera altresì le finalità di “protezione sociale”, alle quali potrebbe tendere l’indennizzo ex l.210/1992 aggiornata.
Tuttavia S. U.30981/2017 giustamente respingono l’applicabilità della riferita esenzione dalla richiesta del consenso perché altrimenti si estenderebbe arbitrariamente il numero dei soggetti abilitati a conoscere dati che, invece, vanno circondati dalla massima protezione.
Non è neppure possibile invocare la disposizione del regolamento 2016/679 in base alla quale non è richiesto il consenso dell’interessato quando
il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato
[art. 9, 2º §, lettera g], regolamento 2016/679].
4. Valutazione della sentenza esaminata
Dal confronto tra la disciplina comunitaria e nazionale emerge quindi che l’applicazione del regolamento 2016/679 non toglie smalto a S. U. 30981/2017.
La sentenza racchiude un principio di grande civiltà, rappresentando altresì una tra le non troppo frequenti occasioni in cui le norme sulla privacy si intrecciano con la disciplina dei rapporti con le banche (sulle relazioni tra le operazioni bancarie e la CEDU cfr. Corte EDU, 22-12-2015, commentata da MARTINELLI S., Privacy e dati bancari: la tutela degli interessi pubblici e dei dati personali, in www.quotidianogiuridico.it, 2016. Il caso riguarda la Svizzera, ma presenta questioni che possono porsi pure nell’ordinamento italiano).