Sentenza Sentenza Cassazione Civile n. 3604 del 10/02/2017


Clicca qui per richiedere la rimozione dei dati personali dalla sentenza

Cassazione civile, sez. I, 10/02/2017, (ud. 11/10/2016, dep.10/02/2017),  n. 3604

LA CORTE SUPREMA DI CASSAZIONE

SEZIONE PRIMA CIVILE

Composta dagli Ill.mi Sigg.ri Magistrati:

Dott. SALVAGO Salvatore – Presidente –

Dott. GIANCOLA Maria Cristina – Consigliere –

Dott. CAMPANILE Pietro – rel. Consigliere –

Dott. SAMBITO Maria Giovanna – Consigliere –

Dott. LAMORGESE Antonio Pietro – Consigliere –

ha pronunciato la seguente:

ORDINANZA INTERLOCUTORIA

sul ricorso proposto da:

C.A., elettivamente domiciliata in Roma, viale Gorizia, n.

22, nello studio dell’avv. Cristiano Toschi; rappresentata e difesa

dagli avv.ti Michele Scolamiero ed Emilio Mignone, giusta procura

speciale in calce al ricorso;

– ricorrente –

contro

REGIONE CAMPANIA, elettivamente domiciliata in Roma, Via Poli, n. 29,

nello studio dell’avv. Paola Parente, che la rappresenta e difende,

giusta procura speciale a margine del controricorso;

– controricorrente –

e contro

BANCO DI NAPOLI S.P.A., elettivamente domiciliata in Roma, largo di

Torre Argentina, n. 11, nello studio dell’avv. Dario Martella;

rappresentata e difesa dall’avv. Nicola Pastore Carbone, giusta

procura speciale in calce al controricorso;

– controricorrente –

e contro

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI;

– intimato –

avverso la sentenza del Tribunale di Napoli, n. 5116, depositata il 4

maggio 2012.

sentita la relazione svolta alla pubblica udienza dell’11 ottobre

2016 dal Consigliere Dott. Pietro Campanile;

sentiti per la ricorrente l’avv. Scolamiero;

sentito per il Banco di Napoli S.p.a. l’avv. Pastore Carbone;

Udite le richieste del Procuratore Generale, in persona del Sostituto

Dott. Lucio Capasso, il quale ha concluso per la rimessione alle

Sezioni unite, o, in subordine, per il rigetto.

Fatto

SVOLGIMENTO DEL PROCESSO

1. Con ricorso proposto ai sensi del D.Lgs. 30 giugno 2003, n. 196, art. 152, la Signora C.A. conveniva dinanzi al Tribunale di Napoli la Regione Campania, la S.p.a. Banco di Napoli ed il Garante per la protezione dei dati personali; premetteva di beneficiare di un indennizzo ai sensi della L. 25 febbraio 1992, n. 210, che veniva pagato dalla Regione Campania mediante accredito sul proprio conto corrente, presso una filiale del Banco di Napoli.

Deduceva poi che, nel disporre il pagamento per via telematica, la Regione aveva indicato il titolo del pagamento mediante la seguente annotazione: “pagamento ratei arretrati bimestrali e posticipati .. L. n. 210 del 1992”; e che con la stessa dizione la banca aveva contraddistinto il relativo “movimento” nell’estratto conto cartaceo inviatogli.

1.1. La suddetta indicazione – in quanto idonea a rivelare il proprio stato di salute – costituiva, a criterio della ricorrente, un illegittimo trattamento di dati personali, che aveva causato un danno, in relazione al quale chiedeva la condanna della Regione e della banca al relativo risarcimento, nonchè alla rimozione del dato divulgato ed all’adozione delle misure idonee a prevenirne l’ulteriore divulgazione.

1.2. Con la sentenza indicata in epigrafe il Tribunale di Napoli ha rigettato la domanda.

In particolare, all’esito di una complessiva ricognizione della normativa di riferimento, è stato affermato che, pur costituendo la citazione della “L. n. 210 del 1992” nella causale di accredito un dato sensibile, perchè rivelatore dello stato di salute della beneficiaria del pagamento, non era ravvisabile nella specie un’illecita diffusione dello stesso, ai sensi del D.Lgs. n. 196 del 2003, in quanto la comunicazione del pagamento era stata effettuata dalla Regione a un soggetto determinato, ovvero all’istituto di credito designato dalla stessa interessata, sulla base di un rapporto di conto corrente con lo stesso intrattenuto.

1.3. Esclusi, quindi, profili di illegittimità nella condotta dell’ente pubblico, si è aggiunto che il riferimento della parte ricorrente all’illecita detenzione del dato da parte della banca non trovava riscontro nella tipizzazione del trattamento dei dai personali contenuta del richiamato D.Lgs. n. 196 del 2003, art. 4, laddove la descrizione della c.d. causale del bonifico era avvenuta sulla base di un preciso obbligo contrattuale, vale a dire in esecuzione di una delega ricevuta proprio dalla parte ricorrente.

1.4 – Per la cassazione di tale decisione la sig.ra C. propone ricorso, affidato ad unico e articolato motivo, cui la Regione Campania e la S.p.a. Banco di Napoli resistono con controricorso.

Diritto

MOTIVI DELLA DECISIONE

2. Con unico e articolato motivo la ricorrente deduce che con la decisione impugnata sarebbero stati violati i principi desumibili dalla normativa intesa alla protezione dei dati personali, con particolare riferimento del D.Lgs. n. 196 del 2003, artt. 1, 4, 11, 15, 18, 20, 22 e 68: il giudice del merito non avrebbe opportunamente considerato la distinzione tra dati personali, dati sensibili e dati giudiziari, obliterando la necessità, quanto a questi ultimi, di un trattamento con tecniche di cifratura o mediante l’identificazione di codici identificativi o di altre soluzioni che, considerato il numero e la natura dei dati trattati, li rendano temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessità (D.Lgs. n. 196 del 2003, art. 22, comma 6).

Il riferimento al R.D. n. 827 del 1924, art. 409, secondo cui i mandati di pagamento debbono contenere la precisa indicazione dell’oggetto della spesa, sarebbe inadeguato, dovendosi tale norma interpretare alla luce del quadro normativo delineato dal citato D.Lgs. n. 196 del 2003 e dal rilievo attribuito alla tutela del diritto alla protezione dei dati personali (Carta dei diritti del cittadino europeo), cui la pubblica amministrazione prima, e la banca dopo, avrebbero dovuto conformarsi, adottando, nel trattare e nel trasmettere il dato inerente allo stato di salute del ricorrente, gli accorgimenti suggeriti dal citato decreto (in particolare, art. 18, art. 22, comma 6).

3. In relazione alla fattispecie in esame si è determinato un contrasto nella giurisprudenza di questa Corte.

4. Con decisione n. 10947 del 19 maggio 2014 questa sezione, dopo aver ricostruito l’evoluzione del quadro normativo in materia di tutela dei dati personali, ha rilevato che il D.Lgs. n. 196 del 2003, art. 2, precisa che il trattamento dei dati personali deve svolgersi nel rispetto dei diritti e delle libertà fondamentali, con particolare riferimento alla riservatezza e alla identità personale.

Ha quindi osservato: “Particolare tutela deve essere assicurata ai dati c.d. sensibili: al riguardo, viene, tra l’altro, in considerazione, accanto alla protezione della riservatezza, la tutela della salute, ad essa strettamente collegata (un riscontro ulteriore della circolarità stretta, nei contenuti, dei diritti della personalità) (al riguardo, Cass. n. 19635 del 2011; 18980 del 2013). E infatti se la tutela più circoscritta dell’integrità fisica di cui all’art. 5 c.c., richiama gli aspetti esteriori della condizione del soggetto ed è valore eminentemente statico, la salute si configura, al contrario, come nozione relativa e dinamica, coinvolgendo soprattutto gli aspetti interiori, come avvertiti e vissuti in concreto dal soggetto, valore non solo da garantire ma da promuovere ed accrescere, secondo le indicazioni degli artt. 23 e 32 Cost.”. Si è aggiunto che “l’art. 4, relativo appunto ai dati personali idonei a rivelare lo stato di salute e la vita sessuale dell’interessato: è dato personale ogni informazione relativa al soggetto, individuabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale. Ai sensi dell’art. 22, gli enti pubblici sono tenuti a conformare il trattamento dei dati sensibili, secondo modalità volte a prevenire violazioni di diritti, delle libertà fondamentali e della dignità dell’interessato, soltanto ove tali dati siano indispensabili per svolgere attività istituzionali che non possono essere adempiute con il trattamento di dati anonimi o personali di diversa natura; in ogni caso i dati idonei a rivelare lo stato di salute non possono essere diffusi. Lo stesso articolo, al comma 6, stabilisce che tali dati devono essere trattati con tecniche di cifratura o mediante codici identificativi che li rendano temporaneamente inintellegibili a chi è autorizzato ad accedervi”.

In riferimento, quindi, a fattispecie sovrapponibile a quella in esame è stato quindi osservato: “Il dato, che la Regione ha rivelato e la Banca ha riportato, riguardava la L. n. 210 del 1992, che riconosce il diritto ad un indennizzo a chi abbia riportato, a causa di vaccinazioni obbligatorie, una menomazione permanente dell’integrità psicofisica o a chi risulti contagiato da infezioni HIV, a seguito di somministrazione di sangue o derivati, nonchè gli operatori sanitari che, in occasione e durante il servizio, abbiano riportato danni permanenti, conseguenti ad infezione a seguito di contatto con sangue o derivati provenienti da soggetti affetti da HIV. Da quanto osservato emerge l’illegittimo trattamento dei dati, della Regione e della Banca, che, secondo le indicazione dell’art. 22, avrebbero dovuto rispettivamente diffondere e conservare i dati stessi, utilizzando cifrature o numeri di codice non identificabili”.

5. Con sentenza in data 20 maggio 2015, n. 10280 la terza sezione di questa Corte, ponendosi consapevolmente in contrasto con la suindicata decisione, ha escluso, in relazione a identica fattispecie, che siano riscontrabili violazioni delle disposizioni contenute nel citato D.Lgs. n. 196 del 2003.

6. In primo luogo è stato escluso che la dizione “indennizzo ex lege n. 210 del 1992”, inserita dalla Regione Campania e dal Banco di Napoli – rispettivamente – nell’ordine di bonifico e nell’estratto-conto, fosse un dato sensibile, perchè idoneo a rivelare lo stato di salute del creditore, in quanto le provvidenze previste dalla L. n. 210 del 1992, sono erogate a due categorie di persone: a coloro che hanno patito una infezione per effetto di trasfusione o vaccinazione; ai prossimi congiunti di persone decedute a causa dell’infezione da trasfusione o vaccinazione. Poichè i beneficiari appartenenti alla seconda categoria sono sani, l’informazione secondo cui taluno sia percettore di un “assegno ex L. n. 210 del 1992”, da sola, sarebbe “inidonea a rivelare lo stato di salute del percettore, giacchè l’erogazione potrebbe avvenire tanto in via diretta, quanto in via – per così dire – di “reversibilità”, ed in questo secondo caso l’elargizione dipende non da una malattia dell’accipiens, ma da una malattia del suo dante causa”.

6.1. Appare opportuno rilevare sin d’ora che tale osservazione, che attiene a un aspetto, di per sè risolutivo, non esaminato nella prima decisione, non appare condivisibile, in quanto la citata L. n. 210 del 1992, attribuisce ai congiunti della persona deceduta a seguito di contagio una somma “una tantum”, mentre il pagamento dei ratei “arretrati bimestrali e posticipati”, cui si riferisce la causale di accredito in esame, appare inequivocabilmente destinato a un soggetto, cui unicamente compete il pagamento dei ratei in esame, che abbia riportato una menomazione permanente dell’integrità psicofisica o risulti contagiato da infezioni HIV. L’indicazione, per come formulata, riguarda un dato sensibile, e come tale è facilmente percepibile.

7. E’ stato poi rilevato che per “diffusione” deve intendersi “il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione”, laddove la comunicazione del dato sensibile ad un soggetto determinato non costituisce “diffusione”, neppure considerando la pluralità dei soggetti, nell’ambito della Banca, che ne sarebbe venuta a conoscenza, in quanto la norma non distingua, quanto ai destinatari della comunicazione, la persona fisica da quella giuridica, e sarebbe “inesigibile, da parte di chi trasmette dati sensibili” ad una persona giuridica, che opera attraverso i suoi organi, la previa identificazione della persona fisica cui indirizzare la comunicazione.

8. E’ stata poi giudicata erronea l’affermazione secondo cui la condotta della Regione sarebbe stata illegittima, per violazione del D.Lgs. n. 196 del 2003, art. 22, comma 6, riferibile solo ai dati contenuti in banche dati o registri elettronici, nonchè ai fini della gestione ed interrogazione degli stessi, come reso evidente dal riferimento alle persone “autorizzate ad accedervi”.

7.1. Osservato che il senso della norma sarebbe quello di impedire che, attraverso la consultazione d’una banca dati per fini di lavoro, studio o ricerca, possano essere identificati i titolari dei dati inseriti nella banca stessa, è stato quindi rilevato che la Regione aveva “semplicemente effettuato un pagamento ed indicato la causale”, al di fuori del campo d’applicazione del D.Lgs. n. 196 del 2003, art. 22, comma 6.

8. E’ stato escluso, quanto alla banca, che la stessa avrebbe compiuto un “trattamento” illegittimo dei dati, perchè anch’essa avrebbe dovuto provvedere a “cifrare” i dati sensibili riguardanti la parte titolare del conto corrente.

8.1. In proposito si è rilevato che alla banca, soggetto privato, non si applica l’obbligo di cifratura imposto dal D.Lgs. n. 196 del 2003, art. 22, comma 6, ai soli soggetti pubblici; che “l’invio d’un estratto conto non costituisce un “trattamento di dati personali effettuato con strumenti elettronici”, ed, infine, che la comunicazione a un cliente di dati personali riguardanti il cliente stesso non costituisce “trattamento” di dati sensibili.

9. E’ stato quindi escluso che sia l’ente pubblico che la banca avessero tenuto una condotta illecita, per tre ragioni: perchè non costituisce violazione delle norme sulla riservatezza comunicare dati sensibili ad un terzo rappresentante dei titolare, e da questi indicato come destinatario della comunicazione; perchè per la p.a. non costituisce violazione delle norme sulla riservatezza adempiere precisi obblighi di legge; perchè per la banca non costituisce violazione delle norme sulla riservatezza adempiere obblighi scaturenti da un contratto.

10. Si è quindi affermato che “le norme sulle tutela dei dati sensibili vanno coordinate e bilanciate da un lato con la norme costituzionali che tutelano altri e prevalenti diritti (tra questi, l’interesse pubblico alla celerità, trasparenza ed efficacia dell’attività amministrativa); e dall’altro con le norme civilistiche in tema di negozi giuridici”. La trasmissione di dati dalla banca al cliente non costituirebbe una “comunicazione” ai sensi del D.Lgs. n. 196 del 2003, art. 4, comma 1, lett. l), poichè tale norma esclude che possa qualificarsi “comunicazione” la trasmissione di dati allo stesso titolare; nè potrebbe ravvisarsi una “comunicazione” nella trasmissione dei dati dalla Regione alla banca, in quanto, in virtù del rapporto contrattuale di conto corrente la seconda andrebbe qualificata come mandatario con rappresentanza del correntista. L’imputazione del pagamento (c.d. “causale”) con la quale la Regione ha contraddistinto l’accredito “vale come compiuta dal debitore (la Regione) direttamente al creditore”.

“Essendo stata la banca autorizzata preventivamente dalla correntista a ricevere il pagamento e conseguentemente le dichiarazioni che l’accompagnino, queste dichiarazioni debbono considerarsi compiute direttamente al correntista”. Poichè il diritto alla riservatezza è un diritto disponibile, “colui il quale nomina un mandatario, un rappresentante od un adiectus solutionis causa per ricevere un pagamento e le dichiarazioni ad esso necessariamente connesse, manifesta per ciò solo la volontà di accettare che quelle dichiarazioni possano essere rese alla persona indicata.

11. Si è quindi osservato, che, pur richiedendo il trattamento di dati sensibili da parte della p.a., anche se necessario per i propri fini istituzionali, una norma di legge che lo autorizzi (art. 20, comma 1), anche a voler ritenere che nella specie la comunicazione riguardasse “dati sensibili”, essa sarebbe stata comunque lecita, in quanto autorizzata ai sensi del R.D. n. 827 del 1924, art. 409, del D.Lgs. 10 agosto 2000, n. 267, art. 185, nonchè del Provvedimento del Garante per la protezione dei dati personali 16/12/2009, n. 5 (in Gazzetta Uff. 18/01/2010, n. 13), il quale ha autorizzato il trattamento di dati sensibili per fini previdenziali da parte delle banche. Al di là della liceità dell’indicazione, correlata alla sua obbligatorietà, è stato affermato che la comunicazione non richiedeva alcun consenso da parte del titolare dei dati sensibili, escluso dallo stesso D.Lgs. n. 196 del 2003, quando il trattamento è necessario per adempiere un obbligo previsto dalla legge o dal contratto.

12. Ad avviso del Collegio, indipendentemente dal diverso grado di approfondimento, nelle decisioni sopra richiamate, della normativa di riferimento, sussiste un insanabile contrasto, per altro in merito a questioni estremamente rilevanti, sulla definizione delle nozioni di trattamento e di comunicazione dei dati sensibili (cfr. anche Cass., 29 maggio 2015, n. 11223), nonchè sulla esigenza di traguardare la normativa richiamata nella decisione impugnata e in quella di questa Corte n. 10280 del 2015, anche con riferimento alle modalità del trattamento e alla comunicazione dei dati sensibili (attraverso cifratura o altri accorgimenti), al lume delle esigenze sottese alla protezione dei dati personali.

Gli atti pertanto vanno trasmessi al Primo Presidente affinchè valuti l’opportunità di demandare alle Sezioni Unite di questa Corte la risoluzione del contrasto in merito alle questioni sopra indicate, che per altro si ritendono di particolare importanza.

PQM

La Corte dispone la rimessione degli atti al Primo Presidente della Corte per l’eventuale assegnazione del ricorso alle Sezioni Unite ai sensi dell’art. 374 c.p.c., comma 2.

Così deciso in Roma, nella Camera di consiglio della Sezione Prima Civile della Suprema Corte di Cassazione, il 11 ottobre 2016.

Depositato in Cancelleria il 10 febbraio 2017

LEGGI ANCHE


NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI

CERCA SENTENZA