Il caso concerne un soggetto beneficiario di indennizzi ai sensi della Legge n.210/1992, normativa che disciplina il pagamento di provvidenze in favore di chi abbia riportato, a causa di vaccinazioni obbligatorie, una menomazione permanente dell’integrità psicofisica o di chi risulti contagiato da infezioni HIV, a seguito di somministrazione di sangue o derivati, o da epatiti post-trasfusionali.
La Regione, in qualità di ente erogatore, aveva disposto il pagamento telematico dei ratei d’indennizzo, previsti dalla citata legge, a mezzo della banca con la quale il soggetto beneficiario aveva in essere un rapporto di conto corrente.
Lo scambio di comunicazioni tra la Regione e la banca e tra quest’ultima e il correntista (mediante invio dell’estratto conto) recavano come causale delle operazioni la dicitura “pagamento ratei bimestrali e posticipati ai sensi della Legge n.210/1992”.
Il soggetto beneficiario dell’indennizzo, ritenendo violate le disposizioni di cui agli articoli 1, 4, 11, 15, 18, 20, 22 e 68 del Decreto Legislativo n.196/2003 (“Codice Privacy”), ha agito in giudizio nei confronti della Regione, della banca e del Garante per la protezione dei dati personali, chiedendo la condanna al risarcimento del danno subito a causa dell’illegittimo trattamento dei propri dati sanitari.
In particolare, l’attore lamentava l’illecita diffusione dei dati relativi al proprio stato di salute, direttamente desumibili dal collegamento tra il pagamento e l’indennizzo ex Legge n.210/1992, inequivocabilmente riferito a determinate categorie di malattie e infermità.
Rigettata in primo grado la domanda dell’attore, quest’ultimo ricorreva in cassazione per la riforma della sentenza di primo grado.
La prima Sezione Civile della Suprema Corte, investita del giudizio, ha rilevato un contrasto tra due precedenti pronunce.
In un caso analogo la Corte, con sentenza n.10947/2014, ha ritenuto che il trattamento e la comunicazione di dati idonei a rivelare lo stato di salute (ex Legge n.210/1992), effettuato da un ente pubblico, devono avvenire applicando ai dati tecniche di cifratura e numeri di codice non identificabili. Diversamente si incorrerebbe in una violazione dell’articolo 22 del Codice Privacy. Per quanto riguarda il trattamento di dati sensibili da parte di un soggetto privato (la banca), invece, si rende necessario il consenso espresso del soggetto interessato.
Per contro, con opposta sentenza n.10280/2015, la Cassazione, decidendo su una fattispecie parimenti analoga, ha escluso la violazione delle medesime disposizioni del Codice Privacy.
La ratio della pronuncia si fonda su tre filoni argomentativi secondo i quali:
- la comunicazione di dati sensibili dalla Regione alla banca non costituisce violazione delle norme sulla riservatezza, in quanto quest’ultima andrebbe qualificata come mandataria con rappresentanza del correntista, in virtù del rapporto contrattuale di conto corrente;
- il trattamento dei dati sanitari ex Legge n.210/1992 è posto in essere dalla Regione in adempimento di precisi obblighi di legge, pertanto, non sussiste l’obbligo di cifratura previsto dall’articolo 22 del Codice Privacy;
- la comunicazione dei dati sanitari dalla banca al correntista non richiede il consenso, dal momento che il trattamento avviene in adempimento agli obblighi contrattuali derivanti dal rapporto di conto corrente.
Non resta che attendere quindi la pronuncia delle Sezioni Unite che dirimerà il sollevato dubbio interpretativo.