Sull’argomento del trattamento e della comunicazione dei dati sensibili vi è da tempo contrasto giurisprudenziale, con particolare riferimento alle modalità con cui essi devono essere svolti, alla luce delle norme in materia contenute nel decreto legislativo 196/2003, cosiddetto “codice della privacy”.
L. 196/2003
I primi articoli del decreto definiscono dato personale "qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale".
Sono definiti dati sensibili quei "dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale".
Il trattamento di dati personali consiste in "qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati".
MODALITA’ DI TRATTAMENTO
Sono esclusi dalla disciplina i trattamenti effettuati da persone fisiche a fini esclusivamente personali, quando gli stessi non vengano diffusi, purchè custoditi nel rispetto delle regole di sicurezza.
I titolari del trattamento, cioè coloro che raccolgono i dati, devono rispettare, oltre alle norme di legge, anche le regole deontologiche e di buona condotta predisposte dall'Autorità garante, a seconda del tipo di attività svolta.
INFORMATIVA E CONSENSO
Nel momento in cui i dati vengono raccolti o inseriti per la registrazione, al soggetto interessato che li fornisce dev'essere data informativa relativa all'utilizzo degli stessi e ai suoi diritti; deve, inoltre, essere richiesto il consenso del soggetto interessato in forma scritta, riferito ad ogni singolo trattamento chiaramente individuato.
In alcuni casi non è necessario il consenso, ad esempio se il trattamento dei dati è funzionale all’adempimento di obblighi di legge, oppure a salvaguardare la vita o l'incolumita' fisica di un terzo o dello stesso soggetto interessato.
COMUNICAZIONE E DIFFUSIONE DEI DATI
Nel concetto di trattamento rientra anche la comunicazione e diffusione dei dati; si parla di “comunicazione” quando essi vengono portati a conoscenza di soggetti terzi specificati, di “diffusione” quando sono resi pubblici ad un numero indeterminato di persone.
Comunicazione e diffusione sono sempre vietate quando riguardano dati personali dei quali è stata ordinata la cancellazione, oppure quando è decorso il periodo di tempo necessario ai fini dell’utilizzo.
I divieti non valgono per le comunicazioni e diffusioni richieste dalle forze di polizia all'autorità giudiziaria, da organismi di informazione e sicurezza o da altri soggetti pubblici per finalità di difesa o sicurezza dello Stato o di prevenzione, accertamento e repressione di reati.
Se per qualsiasi ragione il trattamento cessa, i dati possono essere distrutti o ceduti ad altro titolare, purchè destinati ad un trattamento compatibile agli scopi per i quali i dati sono stati raccolti, oppure conservati per fini esclusivamente personali e non destinati alla diffusione, o ancora conservati o ceduti ad altro titolare per scopi storici, statistici o scientifici.
DATI RELATIVI ALLO STATO DI SALUTE
La legge prevede, relativamente ai dati relativi allo stato di salute, che essi non possano essere mai diffusi.
Proprio riguardo a questo tipo di dati sensibili, in un caso giunto al vaglio della Corte di Cassazione, un soggetto chiedeva al Tribunale competente la rimozione di un riferimento normativo (L. 210/92, riguardante il diritto ad indennizzo per i soggetti con patologie da infezione contratta per trasfusione o vaccinazione o per contatto con sangue infetto a causa del lavoro sanitario svolto) dall’indicazione riportata come causale di bonifici bancari periodici effettuati da un ente pubblico a suo favore, nonché il risarcimento danni da parte dell’ente stesso e della banca d’appoggio dei bonifici, per aver comunicato e diffuso il dato.
QUESTIONE RIMESSA ALLE SEZIONI UNITE DELLA CASSAZIONE
La Prima sezione della Corte di Cassazione, investita del giudizio di legittimità, ha quindi dato atto – richiamando precedenti giurisprudenziali della stessa Corte – dell’insanabile contrasto sorto sulla definizione delle nozioni di trattamento e di comunicazione dei dati sensibili; da qui la decisione di trasmettere gli atti al Primo Presidente per valutare l’opportunità di rimessione alle Sezioni Unite, al fine di dirimere il contrasto (Ordinanza interlocutoria n. 3455 del 09/02/2017).
Attendiamo, dunque, una pronuncia unitaria della Suprema Corte che individui i limiti entro i quali può considerarsi legittimo il trattamento dei dati sensibili, con particolare riguardo agli aspetti più delicati relativi allo stato di salute degli individui.