Responsabilita’ nel trattamento dei dati sensibili: i dati sensibili idonei a rivelare lo stato di salute di una persona possono essere trattati solo con modalita’ che non rendano identificabile l’interessato. Si è pronunciata in tal senso la Corte di Cassazione, Sezioni Unite, con la sentenza n. 30981 depositata il 27 dicembre 2017, all’esito di un giudizio avviato da un soggetto, beneficiario dell’indennità di cui alla legge n. 210 del 1992 (ovvero percepita a causa di un contagio dovuto a somministrazione di sangue o emoderivati o una menomazione permanente dovuta a vaccinazioni obbligatorie), che aveva dedotto l’illegittima detenzione e divulgazione di tale dato sensibile relativo alle sue condizioni di salute, poichè la causale di accredito sul suo conto corrente riportava espressamente l’indicazione “pagamento rateo arretrati bimestrali e posticipati (…) L. n. 210 del 1992”. Indicava, come responsabili dell’uso e diffusione illegittima dei predetti dati sia la regione, ente pubblico erogatore dell’indennità, che la sua Banca, essendo i ratei bimestrali accreditati su un suo conto corrente acceso presso l’Istituto di credito. L’uomo aveva chiesto, al riguardo, la rimozione del dato e il risarcimento del danno. Si sono pronunciate, in ultima istanza, le Sezioni Unite della Cassazione – essendo stato ravvisato un precedente contrasto tra le Sezioni semplici – che hanno affermato che: – “i dati desumibili dal richiamo alla L. n. 210 del 1992 sono personali in quanto relativi ad una persona fisica identificata (D.Lgs. n. 196 del 2003, art. 3, lett. b)) e sensibili perchè aventi un contenuto idoneo a rivelare lo stato di salute della persona identificata (D.Lgs. n. 196 del 2003, art. 3, lett. d))”; – sotto un secondo profilo, “la trasmissione dei dati personali sensibili, della parte ricorrente, dalla regione all’istituto bancario è esattamente riconducibile alla “comunicazione” ed è pertanto rientrante nella definizione normativa di “trattamento”, così come lo sono le successive operazioni sui dati medesimi eseguite dal Banco, in quanto riconducibili alla raccolta, selezione, e circolazione dei dati ovvero alle attività funzionali agli adempimenti contrattualmente richiesti, all’interno di una complessa organizzazione composta di un numero non esiguo ma determinato di addetti ed infine alla trasmissione al destinatario-ricorrente.”; – inoltre, la Regione e la Banca devono essere ritenute titolari del trattamento dei dati sensibili del ricorrente ciascuno per le funzioni e gli adempimenti, rispettivamente di natura pubblica e contrattuale, posti in essere per pervenire all’accredito dell’indennità in favore dello stesso, poiché ad esse è riconducibile il potere decisionale relativo alle modalità e agli strumenti utilizzati per il trattamento di tali dati. Poste queste tre considerazioni, la Corte ha ricordato che “il sistema di protezione dei dati sensibili contenuto nel D.Lgs. n. 196 del 2003 si fonda sul principio generale della necessità del consenso espresso dell’interessato al trattamento di tali dati, in quanto dotati di uno rigoroso statuto normativo di garanzia della riservatezza” e che il consenso al trattamento dei dati sensibili non può essere desunto implicitamente da condotte diverse dall’adesione espressa dell’interessato. L’art.22 d.lgs. 196/2003 detta i principi applicabili al trattamento dei dati sensibili e giudiziari e determina le “modalità organizzative” mediante le quali i dati in questione possono essere trattati, precisando ai commi 6 e 7 che è imposto ai soggetti pubblici di trattare i dati relativi alla salute delle persone “con tecniche di cifratura o mediante l’utilizzazione di codici identificativi o di altre soluzioni che, considerato il numero e la natura dei dati trattati, li rendono temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessita”. Secondo la Corte di Cassazione, tale obbligo deve ritenersi imposto alla Regione, ma esteso anche all’Istituto bancario, creandosi altrimenti un vulnus nella tutela della riservatezza. “In conclusione, il soggetto pubblico – Regione – ed il soggetto persona giuridica privata – Banca – sono tenuti, in qualità di titolari del trattamento dei dati personali del ricorrente, nel procedimento di riconoscimento, erogazione e concreto accredito dell’indennità ex lege n. 210 del 1992, ad occultare, mediante tecniche di cifratura o criptatura, il riferimento alla legge sopra indicata, in quanto rivelatore dello stato di salute del beneficiario dell’indennità.”.

WP to LinkedIn Auto Publish Powered By : XYZScripts.com