Suprema Corte di Cassazione
sezione III
sentenza 20 maggio 2015, n. 10280
Svolgimento del processo
1. Nel 2010 la sig.a D.A. , con ricorso proposto ai sensi dell’art. 152 del d.lgs. 30.6.2003 n. 196, convenne dinanzi al Tribunale di Napoli la Regione Campania (d’ora innanzi, per brevità, “la Regione”), la società Banco di Napoli s.p.a. (d’ora innanzi, per brevità, “la banca”) ed il Garante per la protezione dei dati personali, esponendo che (d’ora innanzi, per brevità, “il Garante”):
(-) beneficiava di un indennizzo dovutole ai sensi della l. 25.2.1992 n. 210;
(-) tale indennizzo le veniva pagato dalla Regione Campania mediante
accredito sul proprio conto corrente, presso la filiale n. X di Napoli del Banco di Napoli;
(-) nel disporre il pagamento per via telematica, la regione lo accompagnò con una “causale” (recte, l’indicazione del titolo del pagamento) del seguente tenore: “pagamento ratei (…) l. 210/92”; e con tale dizione la banca contraddistinse il relativo “movimento” nell’estratto conto cartaceo i inviato alla correntista;
(-) la suddetta indicazione costituiva un illegittimo trattamento di dati personali, in quanto idonea a rivelare lo stato di salute dell’attrice;
(-) questo illegittimo trattamento dei suoi dati personali le aveva causato un danno risarcibile.
Concluse pertanto chiedendo la condanna in solido della Regione e della banca al risarcimento del danno, alla rimozione del dato divulgato ed all’adozione delle misure idonee a prevenirne l’ulteriore divulgazione.
2. Il Tribunale di Napoli con sentenza 26.5.2011 n. 6615 accolse la domanda, ritenendo:
– che il ricorso introduttivo non potesse dirsi nullo per indeterminatezza dell’oggetto (come eccepito dalla società convenuta);
– che il riferimento alla “l. 210/92” nella “causale di accredito” era un dato sensibile, perché rivelatore dello stato di salute della beneficiaria del pagamento;
– che la Regione avrebbe dovuto “cifrare” tale dato, ovvero indicarlo mediante un codice alfanumerico noto solo al destinatario ed a pochi operatori;
– che l’omissione di tali misure costituiva un’ipotesi di illecita divulgazione di dati sensibili;
– che anche la banca avrebbe dovuto fare altrettanto, rendendo l’informazione suddetta comprensibile solo all’interessata.
3. La sentenza del Tribunale è stata impugnata per cassazione in via principale dalla banca, sulla base di tre motivi; ed in via incidentale dalla Regione Campania, sulla base di due motivi.
D.A. ed il Garante non si sono difesi in questa sede.
Motivi della decisione
1. Il primo motivo del ricorso principale.
1.1. Col primo motivo di ricorso il Banco di Napoli lamenta che la sentenza impugnata sia affetta da una nullità processuale, ai sensi dell’art. 360, n. 4, c.p.c..
Espone, al riguardo, che il ricorso introduttivo era nullo a causa della genericità nell’indicazione del pregiudizio che l’attrice lamentava di avere patito, e che il Tribunale aveva omesso di rilevare tale nullità.
1.2. Il motivo è infondato.
Il ricorso introduttivo del giudizio di primo grado rasenta la soglia della nullità, ma non l’oltrepassa.
In esso infatti la ricorrente ha indicato in cosa consistesse, secondo la sua prospettazione, la condotta illecita ascritta ai convenuti (pp. 1-2); perché quella condotta dovesse ritenersi contra legem (p. 3); e quale pregiudizio ne fosse derivato: ovvero la lesione dei suoi diritti alla riservatezza ed alla dignità (p.5).
Il ricorso consentiva dunque ai resistenti ed al giudice di comprendere quale fosse la cosa oggetto della domanda ed il fatto costitutivo della pretesa.
2. Il secondo motivo del ricorso principale.
2.1. Col secondo motivo di ricorso il Banco di Napoli allega che la sentenza impugnata sia affetta da una violazione di legge, ai sensi dell’art. 360, n. 3, c.p.c.. Si assumono violati gli artt. 4, 11, 15, 22 e 69 del d.lgs. 30.6.2003 n. 196.
L’illustrazione del motivo si articola in due profili.
2.1.1. Col primo profilo del secondo motivo di ricorso si allega che la condotta della banca, consistita nell’archiviare l’avvenuto accredito, e nel darne comunicazione alla cliente con l’estratto conto, non ha violato alcuna norma sul trattamento dei dati, perché:
(a) per il trattamento necessario per adempiere un obbligo, non v’era bisogno del consenso dell’interessato;
(b) la mera detenzione dei dati non costituiva “trattamento”;
(c) in ogni caso, la causale dell’accredito (nella quale si leggeva “assegno ex lege 210/92”) era inidonea a rendere conoscibile lo stato di salute della cliente, perché quell’assegno viene erogato anche agli eredi dell’avente diritto, che malati non sono.
2.1.2. Col secondo profilo del secondo motivo di ricorso il Banco di Napoli allega che in ogni caso la mera detenzione dei dati personali, quando non vengano diffusi a terzi, non poteva provocare alcun danno all’interessata.
2.2. Il motivo è fondato.
Il Tribunale di Napoli ha basato la condanna del Banco di Napoli su quattro affermazioni in ture:
2.2.1. In primo luogo, ha ritenuto che la dizione “indennizzo ex lege 210/92”, inserita dalla Regione Campania e dal Banco di Napoli – rispettivamente – nell’ordine di bonifico e nell’estratto-conto, è un dato sensibile, perché idoneo a rivelare lo stato di salute del creditore. La suddetta legge, infatti, accorda una rendita a chi abbia patito una infezione in seguito a trasfusioni o vaccinazioni.
2.2.2. In secondo luogo, ha ritenuto che la Regione Campania avesse “diffuso” il suddetto dato sensibile della sig.a D.A. .
2.2.3. In terzo luogo, ha qualificato come illegittima la condotta della Regione Campania, poiché l’art. 22, comma 6, d.lgs. 196/03 impone la “cifratura” dei dati sensibili (invocando a conforto di questa soluzione una Newsletter diffusa dal Garante, qualificata come “provvedimento prescrittivo”).
2.2.4. In quarto luogo, ha qualificato anche il Banco di Napoli come “titolare del trattamento” dei dati personali; ha ritenuto che la banca non fosse un mero “detentore” dei dati della sig.a D.A. , ma li avesse “trattati”; ha qualificato anche il suddetto trattamento come illegittimo, ritenendo che la banca avrebbe avuto l’obbligo giuridico di “cifrare” o “schermare” i suddetti dati.
2.3. Ciascuna di queste affermazioni è giuridicamente erronea.
3. In primo luogo, è erronea l’affermazione secondo cui la dizione “pagamento ratei l. 210/92″ costituirebbe in dato sensibile.
L’art. 4, comma 1, lettera (d), del d. Igs. 196/03, cit., definisce infatti come “dati sensibili”, i dati personali “idonei a rivelare (…) lo stato di salute e la vita sessuale”.
Nel caso di specie, la generica informazione secondo cui un soggetto è percettore di un indennizzo ai sensi della legge 25.2.1992 n. 210 non è di per sé idonea a rivelare lo stato di salute del beneficiario di quell’indennizzo. Stabilisce infatti l’art. 2 della l. 210/92, cit.: “qualora a causa delle vaccinazioni o delle patologie previste dalla presente legge sia derivata la morte, l’avente diritto può optare fra l’assegno reversibile di cui al comma 1 e un assegno una tantum di lire 150 milioni. Ai fini della presente legge, sono considerati aventi diritto nell’ordine i seguenti soggetti a carico: il coniuge, i figli, i genitori, i fratelli minorenni, i fratelli maggiorenni inabili al lavoro”.
Le provvidenze previste dalla legge 210/92 sono dunque erogate a due categorie di persone:
(a) a coloro che hanno patito una infezione per effetto di trasfusione o vaccinazione;
(b) ai prossimi congiunti di persone decedute a causa dell’infezione da trasfusione o vaccinazione.
I beneficiari della prima categoria sono ovviamente persone malate; i beneficiari appartenenti alla seconda categoria invece non lo sono. Pertanto l’informazione secondo cui taluno sia percettore di un “assegno ex lege 210/92”, da sola, è inidonea a rivelare lo stato di salute del percettore, giacché l’erogazione potrebbe avvenire tanto in via diretta, quanto in via – per così dire – di “reversibilità”, ed in questo secondo caso l’elargizione dipende non da una malattia dell’accipiens, ma da una malattia del suo dante causa.
E sarà appena il caso di aggiungere che l’”idoneità” d’un dato sensibile a rivelare stati personali va valutata in base al contenuto oggettivo di esso, e non certo in base all’opinione od al pregiudizio che il pubblico possa concepire in merito: del tutto inconferenti, pertanto, ai fini del presente giudizio sono le osservazioni del Tribunale circa la diffusione mediatica dello “scandalo degli emoderivati”.
4. In secondo luogo, è erronea l’affermazione secondo cui la Regione Campania avrebbe “diffuso” i dati personali e sensibili della sig.a D.A. .
È pacifico che la Regione si sia limitata ad effettuare un bonifico sul conto corrente della beneficiaria dell’indennizzo, accompagnandolo con la dicitura “assegno ex lege 210/92”.
Secondo il Tribunale, tale scelta sarebbe illegittima ai sensi dell’art. 26, comma 5, d.lgs. 196/03, il quale stabilisce che “i dati idonei a rivelare lo stato di salute non possono essere diffusi”.
E tuttavia il Tribunale ha omesso di considerare che, ai sensi dell’art. 4, comma 1, lettera (m), d.lgs. 196/03, per “diffusione” deve intendersi “il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione”.
La comunicazione del dato sensibile ad un soggetto determinato, dunque, non costituisce “diffusione”: è solo la indeterminatezza dei destinatari dell’informazione che consente di qualificare come “diffusione” il trattamento di dati concernenti lo stato di salute.
Prive di pregio sono, al riguardo, le considerazioni del Tribunale, secondo cui la comunicazione compiuta dalla Regione avrebbe consentito la conoscenza del dato “a tutto il personale della banca”, e ciò per quattro ragioni:
(a) perché la legge definisce “diffusione” dei dati sensibili la comunicazione di essi a “soggetti indeterminati”, e nel nostro ordinamento il “soggetto” di diritto può essere ovviamente anche la persona giuridica, quale la società per azioni; pertanto la comunicazione dei dati sensibili ad una società per azioni non costituisce una “diffusione” dei dati;
(b) perché sarebbe inesigibile, da parte di chi trasmette dati sensibili ad una persona giuridica, la previa identificazione della persona fisica cui indirizzare la comunicazione;
(c) perché la persona giuridica opera per il tramite dei suoi organi e dei suoi (interna corporis, sicché la conoscenza dei dati sensibili da parte di questi è necessaria affinché gli effetti della comunicazione si producano in capo alla società destinatala, in virtù del noto principio della immedesimazione organica;
(d) perché la tesi seguita dal Tribunale porterebbe a conseguenze paradossali: a seguire il criterio adottato dal Tribunale, dovrebbe ritenersi “diffusione” del dato anche il messaggio telematico inviato ad una persona fisica precisa ed individuata, la quale usi un personal computer accessibile agli altri membri della sua famiglia: e l’evidente reduetio ad absurdum rende palese la fallacia della premessa su cui questa assurda conclusione si fonda.
5. In terzo luogo, è erronea l’affermazione secondo cui la condotta della Regione sarebbe stata illegittima, per violazione dell’art. l’art. 22, comma 6, d.lgs. 196/03 (ovvero la norma che impone la “cifratura” dei dati sensibili).
L’art. 22, comma 6, del d.lgs. 196/03, stabilisce infatti che “i dati sensibili e giudiziari contenuti in elenchi, registri o banche di dati, tenuti con l’ausilio di strumenti elettronici, sono trattati con tecniche di cifratura o mediante l’utilizzazione di codici identificativi o di altre soluzioni che, considerato il numero e la natura dei dati trattati, li rendono temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessità (…)”.
L’art. 22 cit. esige dunque la cifratura:
(a) solo dei dati contenuti in banche dati o registri elettronici;
(b) solo ai fini della gestione ed interrogazione degli stessi, come rende evidente il riferimento alle persone “autorizzate ad accedervi”.
Il senso della norma è impedire che, attraverso la consultazione d’una banca dati per fini di lavoro, studio o ricerca, possano essere identificati i titolari dei dati inseriti nella banca stessa.
Nel presente giudizio, invece, il Banco di Napoli non ha mai consultato alcuna banca dati elettronica od archivio elettronico in possesso della Regione, né è stato mai nemmeno allegato che la Regione abbia costituito, gestito ed interrogato banche dati in violazione dei precetti di cui all’art. 22, comma 6, d.lgs. 196/03.
Nel presente giudizio la Regione ha semplicemente effettuato un pagamento ed indicato la causale: dunque siamo totalmente al di fuori del campo d’applicazione dell’art. 22, comma 6, cit., e non v’era bisogno alcuno di cifratura.
Vale la pena aggiungere come il richiamo, compiuto dal Tribunale alla c.d. Newsletter del Garante per la protezione dei dati personali n. 286 del 26.2.2007, non incida in alcun modo sulla conclusione appena esposta.
Tale provvedimento infatti, lungi dall’avere portata “prescrittiva”, come ritenuto dal Tribunale, dal punto di vista oggettivo è un provvedimento privo di efficacia normativa, e dal punto di vista soggettivo promana da un organismo amministrativo privo del potere di interpretare la legge in modo vincolante per l’autorità giudiziaria. E varrà comunque la pena aggiungere come in precedenza lo stesso Garante, nel Provvedimento 1.12.1999 (in Bollettino, n. 11/12, p. 14), ritenne che “nello svolgimento dei compiti in materia di invalidità civile (…) le amministrazioni non incontrano alcun ostacolo nella normativa sui dati personali”, sicché appare quanto meno azzardato sul piano costituzionale diversificare la posizione della p.a. che versi l’assegno di invalidità civile ex l. 222/84, da quella della p.a. che versi l’indennizzo ex lege 210/92.
6. In quarto luogo, infine, è erronea l’affermazione secondo cui il Banco di Napoli avrebbe compiuto un “trattamento” illegittimo dei dati della propria cliente, sig.a D.A. , perché anch’essa avrebbe dovuto provvedere a “cifrare” i dati sensibili riguardanti la cliente.
Tale affermazione è erronea in iure per tre concorrenti ragioni:
La prima ragione è che al Banco di Napoli, soggetto privato, non si applica l’obbligo di cifratura imposto dall’art. 22, comma 6, d.lgs. 196/03 ai soli soggetti pubblici.
La seconda ragione è che i soggetti privati hanno l’obbligo di cifratura dei soli dati:
(b’) idonei a rivelare lo stato di salute del titolare, e (b’’) trattati con strumenti elettronici.
Nel caso di specie, la banca risulta unicamente avere inviato alla cliente un estratto conto con l’indicazione “assegno ex lege 210/92”: sicché, per quanto già detto, da un lato tale indicazione era inidonea a rivelare lo stato di salute del destinatario; dall’altro l’invio d’un estratto conto non costituisce un “trattamento di dati personali effettuato con strumenti elettronici”.
La terza ragione è che la comunicazione ad una cliente di dati personali riguardanti la cliente stessa non costituisce “trattamento” di dati sensibili. L’art. 4, comma 1, lettera (a), infatti, definisce “trattamento” di dati personali (tra l’altro) la loro “comunicazione”, ma la successiva lettera (l), definisce “comunicazione” di dati “il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato”. Pertanto comunicare dati sensibili a chi ne è il titolare non costituisce una comunicazione ai sensi del d.lgs. 196/03, e di conseguenza nemmeno può costituire un “trattamento”.
7. Detto della erroneità giuridica delle ragioni con le quali il Tribunale ha accolto la domanda della sig.a D.A. , resta da esaminare se in ogni caso la decisione impugnata non sia per avventura corretta nel merito, sì da imporre a questa Corte una mera correzione della motivazione.
La risposta a tale quesito deve essere drasticamente negativa, giacché nel caso di specie né la Regione, né il Banco di Napoli hanno tenuto alcuna condotta illecita, per tre ragioni:
– perché non costituisce violazione delle norme sulla riservatezza comunicare dati sensibili ad un terzo rappresentante dei titolare, e da questi indicato come destinatario della comunicazione;
– perché per la p.a. non costituisce violazione delle norme sulla riservatezza adempiere precisi obblighi di legge;
– perché per la banca non costituisce violazione delle norme sulla riservatezza adempiere obblighi scaturenti da un contratto.
8. Comunicazione di dati al rappresentante.
8.1. Il diritto ad esigere una corretta gestione dei propri dati personali, pur se rientrante nei diritti fondamentali di cui all’art. 2 cost., non è un totem al quale possano sacrificarsi altri diritti altrettanto rilevanti sul piano costituzionale.
Le norme sulle tutela dei dati sensibili vanno coordinate e bilanciate da un lato con la norme costituzionali che tutelano altri e prevalenti diritti (tra questi, l’interesse pubblico alla celerità, trasparenza ed efficacia dell’attività amministrativa); e dall’altro con le norme civilistiche in tema di negozi giuridici.
Stabilire dunque se un soggetto pubblico o privato abbia o meno violato le regole legali sulla gestione dei dati altrui impone di interpretare queste ultime bilanciando gli interessi da esse tutelati con gli altri interessi costituzionalmente protetti potenzialmente in conflitto col diritto alla riservatezza; e comunque facendo ricorso alle generali categorie del diritto civile per stabilire se e quando vi sia stata “comunicazione” di dati tra il detentore ed un terzo.
Alla luce di tali criteri, deve escludersi sia che nel caso di specie la comunicazione di dati dalla Regione alla banca, e da questa alla cliente, siano stati illegittimi:
8.2. Nel caso di specie la sig.a D.A. lamenta una duplice illegittima trasmissione: dalla Regione alla banca, e dalla banca ad essa stessa.
La trasmissione di dati dalla banca alla cliente non costituisce ovviamente una “comunicazione” ai sensi dell’art. 4, comma 1, lettera (l), del d.lgs. 196/03, poiché tale norma esclude che possa qualificarsi “comunicazione” la trasmissione di dati allo stesso titolare.
Ma nemmeno fu una “comunicazione” la trasmissione dei dati dalla Regione alla banca.
Non è mai stato in contestazione, infatti, che col Banco di Napoli la sig.a D.A. avesse in corso un rapporto contrattuale di conto corrente. In virtù di tale vincolo negoziale, la banca va qualificata come mandatario con rappresentanza della correntista. Il pagamento effettuato dalla Regione alla banca è stato dunque ricevuto da quest’ultima per conto della cliente, ed ha avuto efficacia liberatoria del solvens. È dunque ovvio che l’imputazione del pagamento (c.d. “causale”) con la quale la Regione ha contraddistinto l’accredito vale come compiuta dal debitore (la Regione) direttamente al creditore (la beneficiarla del pagamento). Dal punto di vista dell’imputazione soggettiva del pagamento non v’è distinzione tra banca e correntista (Sez. L, Sentenza n. 517 del 23/01/1979, Rv. 396634), e non essendovi distinzione rispetto all’atto di adempimento dell’obbligazione, nemmeno può esservi rispetto alle dichiarazioni di scienza o di volontà che quell’atto accompagnino.
L’imputazione del pagamento dichiarata dalla Regione alla banca, pertanto, vale come compiuta dal solvens direttamente all’accipiens. Ma essendo stata la banca autorizzata preventivamente dalla correntista a ricevere il pagamento e conseguentemente le dichiarazioni che l’accompagnino, queste dichiarazioni debbono considerarsi compiute direttamente al correntista.
Or bene, il diritto alla riservatezza è un diritto disponibile (art. 23 d.lgs. 196/03). Colui il quale nomina un mandatario, un rappresentante od un adiectus solutionis causa per ricevere un pagamento e le dichiarazioni ad esso necessariamente connesse, manifesta per ciò solo la volontà di accettare che quelle dichiarazioni possano essere rese alla persona indicata.
Ne consegue, da un lato, che trasmettere dati al rappresentante del titolare non costituisce una “comunicazione a terzi” ai sensi dell’art. 4, comma 1, lettera (l), d.lgs. 196/03, in virtù del noto principio dell’imputazione degli effetti giuridici dal rappresentante al rappresentato; e dall’altro che in ogni caso la nomina d’un rappresentante per ricevere dichiarazioni contenenti dati sensibili costituisce un implicito consenso alla comunicazione di questi ultimi al rappresentante.
9. Adempimento di obblighi di legge da parte della pubblica amministrazione.
9.1. Il d.lgs. 196/03, sebbene non è certo un testo normativo caratterizzato da una architettura logica ineccepibile e da una sintassi inequivoca. Proprio per questo, però, esso va interpretato in modo da restituire coerenza e chiarezza alle norme ivi dettate.
Ebbene, il trattamento dei dati sensibili da parte delle pubbliche amministrazioni nel d.lgs. 196/03 è disciplinato sulla base di una regola fondamentale, che distingue dati personali in genere e dati sensibili.
Il trattamento di dati personali da parte della p.a., per i propri fini istituzionali, non richiede il consenso dell’interessato per il trattamento dei dati personali (art. 18, comma 4, d.lgs. 196/03). Il trattamento di dati sensibili da parte della p.a., anche se necessario per i propri fini istituzionali, esige invece una norma di legge che lo autorizzi (art. 20, comma 1).
Nel caso oggi all’esame di questa Corte, per quanto detto, la dizione “assegno ex lege 210/92” non costituiva un dato sensibile, e dunque la sua comunicazione non richiedeva né una norma di legge autorizzatrice, né il consenso della titolare.
Ma anche se quella dizione fosse stata inquadrabile tra i “dati sensibili”, comunque la sua comunicazione sarebbe stata lecita, in quanto autorizzata da ben tre diverse disposizioni di legge:
(a) l’art. 409 del r.d. 23-05-1924 n. 827 (regolamento di contabilità dello Stato), il quale stabilisce che “gli ordinativi [di pagamento] (…) devono contenere le seguenti indicazioni: (…) il cognome, nome e qualità del creditore o dei creditori e di chi per loro fosse legalmente autorizzato a dar quietanza; l’oggetto preciso della spesa; la somma da pagare scritta in lettere ed in numeri (…)”;
(b) l’art. art. 185 d.lgs. 10.8.2000 n. 267 (testo unico sugli enti locali), il quale stabilisce che “il mandato di pagamento (…) contiene almeno i seguenti elementi:
e) l’indicazione del creditore (…);
f) l’ammontare della somma dovuta e la scadenza, qualora sia prevista dalla legge o sia stata concordata con il creditore;
g) la causale e gli estremi dell’atto esecutivo che legittima l’erogazione della spesa”;
(c) il Provvedimento del Garante per la protezione dei dati personali 16/12/2009, n. 5 (in Gazzetta Uff. 18/01/2010, n. 13), il quale ha autorizzato il trattamento di dati sensibili per fini previdenziali da parte delle banche.
9.2. Né basta.
La comunicazione della causale di pagamento da parte della Regione al banco di Napoli non solo era lecita perché le pubbliche amministrazioni hanno l’obbligo di tale indicazione; era altresì lecita perché il pagamento aveva ad oggetto una prestazione rientrante nel genus delle prestazioni assistenziali e previdenziali, cui la Regione non poteva sottrarsi.
Tale comunicazione dunque non richiedeva alcun consenso da parte dell’interessata perché:
(a) l’art. 24, comma 1, d.lgs. 196/03 dichiara superfluo il consenso del titolare dei dati sensibili quando il trattamento è necessario per adempiere un obbligo previsto dalla legge o dal contratto;
(b) l’art. 26, comma 4, d.lgs. 196/03 ribadisce (inutilmente) che è superfluo il consenso del titolare dei dati sensibili quando il trattamento “è necessario per adempiere a specifici obblighi o compiti previsti dalla legge (…) in materia di (…) di previdenza e assistenza”;
(c) l’art. 68, comma 1, d.lgs. 196/03 qualifica come “di rilevante interesse pubblico”, ai fini della liceità del trattamento dei dati sensibili da parte della p.a. in assenza di consenso del titolare, “le finalità di applicazione della disciplina in materia di concessione, liquidazione, modifica e revoca di benefici economici, agevolazioni, elargizioni, altri emolumenti e abilitazioni”;
(d) l’art. 73, comma 1, d.lgs. 196/03 ribadisce (inutilmente) che “si considerano di rilevante interesse pubblico (…) le finalità socio-assistenziali”.
10. Adempimento di obblighi contrattuali da parte della banca.
Legittima, infine, fu la comunicazione da parte della banca alla propria correntista della “causale” per la quale la Regione aveva effettuato la credito dell’emolumento dovutole ai sensi della legge n. 210/92: sia perché, per quanto detto, quel dato non doveva qualificarsi come “sensibile”; sia perché la comunicazione della causale costituiva un obbligo scaturente dal contratto 8art. 24 d.lgs. 196/03).
11. Non sarà superfluo aggiungere che le conclusioni appena esposte sono le uniche consentite, oltre che dal diritto nazionale, anche da quello comunitario, il quale non ha mai posto un divieto assoluto e sacrale di uso dei dati anche sensibili, ma al contrario l’ha consentito espressamente per l’adempimento di obblighi contrattuali o scaturenti dalla legge, e comunque per finalità di interesse pubblico (così il XXX Considerando della Direttiva 95/46/CE del 24.10.1995; cfr. altresì l’art. 13 della medesima direttiva). E nell’interpretazione di tali principi, la Corte di giustizia dell’Unione Europea ha ripetutamente affermato che la deroga al divieto di trattamento di dati personali senza il consenso dell’interessato è legittima, se finalizzata a perseguire interessi pubblici “proporzionali e necessari” rispetto al sacrificio imposto al diritto alla riservatezza, e che tale conclusione è coerente sia con la Direttiva 95/46/CE, sia con l’art. 8, comma 2, CEDU, che prevede come i diritti dei singoli (alla riservatezza) posano essere sacrificati a fronte del “benessere economico del paese” (ex multis, in tal senso, Corte di giustizia UÈ, 20.5.2003, Rechnungshof, in causa C-465/00).
12. Le considerazioni sin qui svolte inducono questa Corte a ritenere non condivisibili le conclusioni raggiunte, in fattispecie identica, da Sez. 1, Sentenza n. 10947 del 19/05/2014, Rv. 631481.
Tale decisione infatti, dopo un’ampia disamina della genesi storica e sociologica della normativa sulla riservatezza, giunta al punto di valutare la liceità della condotta della Regione Campania afferma: “nella specie, il dato, che la Regione ha rivelato e la Banca ha riportato, riguardava la legge n. 210 del 1992, che riconosce il diritto ad un indennizzo a chi abbia riportato, a causa di vaccinazioni obbligatorie, una menomazione permanente dell’integrità psicofisica o a chi risulti contagiato da infezioni HIV, a seguito di somministrazione di sangue o derivati, nonché gli operatori sanitari che, in occasione e durante il servizio, abbiano riportato danni permanenti, conseguenti ad infezione a seguito di contatto con sangue o derivati provenienti da soggetti affetti da HIV.
Da quanto osservato emerge l’illegittimo trattamento dei dati, della Regione e della Banca, che, secondo le indicazione dell’art. 22, avrebbero dovuto rispettivamente diffondere e conservare i dati stessi, utilizzando cifrature o numeri di codice non identificabili”.
Questa motivazione sembra dunque trascurare da un lato che la legge 210/2 accorda provvidenze economiche sia a persone malate, sia a chi malato non è, e dunque il riferimento a quella legge e di per sé inidoneo a svelare lo stato di salute; dall’altro non sembra considerare l’effettivo ambito di applicazione dell’art. 22, comma 6, d.lgs. 196/03, come sopra delimitato; in terzo luogo non sembra avere considerato che trasmettere una informazione ad una sola persona giuridica non costituisce “diffusione” del dato, quale che sia il numero dei dipendenti della destinataria.
13 Per tutte le ragioni che precedono la sentenza impugnata va dunque cassata, in applicazione dei seguenti principi di diritto:
(a) Non costituisce “diffusione” di dati sensibili, ai sensi dell’art. 4, comma 1, lettera (m), d.lgs. 196/03, la trasmissione di informazioni ad una singola persona giuridica, a nulla rilevando che la destinataria abbia un rilevante numero di dipendenti.
(b) La trasmissione di dati personali al rappresentante del titolare, effettuata col consenso di quest’ultimo, equivale a quella effettuata direttamente al titolare, e non costituisce perciò una “comunicazione” ai sensi dell’art. 4, comma 1, lettera (l), d.lgs. 196/03.
(c) L’obbligo per la pubblica amministrazione di procedere alla cifratura dei dati sensibili contenuti in banche dati, di cui all’art. 22, comma 6, d.lgs. 196/03, è finalizzato unicamente a prevenire abusi nella gestione e nell’accesso alle banche dati stesse. Non vi è alcun obbligo di cifratura, pertanto, per i dati anche sensibili che la pubblica amministrazione trasmetta, in adempimento di obblighi di legge, al titolare od al soggetto da questi indicato.
(d) Non costituisce illegittimo trattamento di dati sensibili, da parte della pubblica amministrazione, l’indicazione della causale d’un pagamento effettuato per ragioni di assistenza o previdenza pubbliche, a nulla rilevando che quella causale possa in astratto rivelare le condizioni di salute del percettore.
14. Il terzo motivo del ricorso principale.
14.1. Col terzo motivo di ricorso la banca sostiene che la sentenza
impugnata sarebbe affetta da una violazione di legge, ai sensi all’art. 360, n. 3, c.p.c..
Si assumono violati gli artt. 15 d.lgs. 196/03, cit., e 1226 c.c..
Espone, al riguardo, che la Corte d’appello avrebbe errato nel liquidare in via equitativa un danno del quale non vi era prova alcuna.
14.2. Il motivo è assorbito dall’accoglimento del motivo precedente. Non sarà superfluo in ogni caso ricordare che l’illegittimo trattamento di dati sensibili ex art. 4 del d.lgs. 30 giugno 2003, n. 193, configurabile come illecito ai sensi dell’art. 2043 cod. civ., non determina un’automatica risarcibilità del danno poiché il pregiudizio (morale e/o patrimoniale) deve essere provato secondo le regole ordinarie, quale ne sia l’entità e la difficoltà di assolvere l’onere probatorio, trattandosi di un danno-conseguenza e non di un danno-evento, senza che rilevi in senso contrario il suo eventuale inquadramento quale pregiudizio non patrimoniale da lesione di diritti costituzionalmente garantiti (Sez. 3, Sentenza n. 15240 del 03/07/2014, Rv. 631712; Sez. 6 – 3, Sentenza n. 18812 del 05/09/2014, Rv. 632941; Sez. 3, Sentenza n. 16133 del 15/07/2014, Rv. 632536).
15. Il ricorso incidentale della Regione Campania.
15.1. Col proprio ricorso incidentale la Regione ha censurato la sentenza del Tribunale per due motivi (l’uno attinente la liceità della propria condotta, l’altro attinente il quantum debeatur), sovrapponibili al secondo ed al terzo motivo del ricorso principale. Anche essi andranno dunque accolti per le medesime ragioni già indicate.
16. La decisione nel merito.
16.1. L’accoglimento del ricorso principale e di quello incidentale non impone, nel presente giudizio, la cassazione con rinvio della sentenza impugnata. Infatti, una volta escluso che la condotta ascritta dall’attrice ai due enti convenuti possa qualificarsi come illecita, ne segue il rigetto della domanda senza bisogno di alcun ulteriore accertamento.
17. Le spese.
La novità della questione ed i contrasti giurisprudenziali cui ha dato luogo costituiscono giusto motivo per la compensazione integrale delle spese del presente grado di giudizio e di quelle di merito.
P.Q.M.
la Corte di cassazione, visto l’art. 380 c.p.c.:
-) accoglie il ricorso principale;
-) accoglie il ricorso incidentale;
-) cassa la sentenza impugnata e, decidendo nel merito, rigetta la domanda proposta da D.A. nei confronti della Banco di Napoli s.p.a. e della Regione Campania;
-) compensa integralmente tra le parti le spese del giudizio di merito e di quello di legittimità.
Leave a Reply