In base al decreto legislativo 196/2003, con cui è stato approvato il Codice della Privacy, si parla di trattamento dei dati personali con riferimento a "qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati".
NOZIONE DI DATO PERSONALE E SENSIBILE
Per dato personale si intende "qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale".
Sono definiti invece dati sensibili quei "dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale".
DIVIETO DI DIFFUSIONE DEI DATI RELATIVI ALLO STATO DI SALUTE
Nel concetto di trattamento dei dati rientra anche la loro comunicazione e diffusione; si parla di “comunicazione” quando essi vengono portati a conoscenza di soggetti terzi specificati, di “diffusione” quando sono resi pubblici ad un numero indeterminato di persone.
La legge prevede, relativamente ai dati relativi allo stato di salute, che essi non possano essere mai diffusi.
Di questo argomento si è occupata la prima sezione della Corte di Cassazione, che, con ordinanza interlocutoria n. 3455 del 09/02/2017, ha chiesto alle Sezioni Unite di dirimere il contrasto giurisprudenziale sorto sui limiti e le modalità di trattamento dei dati personali, in particolare quelli riguardanti lo stato di salute del soggetto.
IL CASO
Il caso sottoposte alla prima sezione aveva per oggetto il ricorso di un cittadino che aveva chiesto al Tribunale di ordinare alla banca convenuta di rimuovere, dagli estratti conto e da ogni altra documentazione bancaria, il riferimento normativo alla legge 210/92,riguardante il diritto ad indennizzo per i soggetti con patologie da infezione contratta per trasfusione o vaccinazione o per contatto con sangue infetto a causa del lavoro sanitario svolto.
In particolare, il ricorrente aveva ricevuto da un ente pubblico, la Regione Campania, a titolo di indennizzo ex legge 210/92, dei bonifici bancari che riportavano la predetta dicitura; ritenendosi leso nel suo diritto alla riservatezza ed alla protezione dei dati personali il cittadino aveva chiesto, pertanto, al giudice di ordinare la rimozione di quei dati, nonché la condanna della banca e dell’ente pubblico al risarcimento dei danni per aver illegittimamente comunicato e diffuso il dato.
QUESTIONE RIMESSA ALLE SEZIONI UNITE DELLA CASSAZIONE
Investita della questione, la Cassazione a Sezioni Unite, con sentenza del 27 Dicembre 2017, n. 30981, ha affermato che “i dati sensibili idonei a rivelare lo stato di salute possono essere trattati soltanto mediante modalità organizzative, quali tecniche di cifratura o criptatura, che rendono non identificabile l'interessato; ne consegue che i soggetti pubblici o le persone giuridiche private, anche quando agiscano rispettivamente in funzione della realizzazione di una finalità di pubblico interesse o in adempimento di un obbligo contrattuale, sono tenuti all'osservanza delle predette cautele nel trattamento dei dati in questione”.
TECNICHE DI CIFRATURA E CRIPTATURA
Nel caso di specie, la Corte di Cassazione ha quindi ritenuto che, tanto l’ente pubblico, quanto la banca fossero tenuti, in qualità di titolari del trattamento dei dati personali del ricorrente, nel procedimento di riconoscimento, erogazione ed accredito dell'indennizzo dovuto in base alla legge 210/1992, ad occultare, mediante tecniche di cifratura o criptatura, il riferimento alla legge sopra indicata, in quanto rivelatore dello stato di salute del beneficiario dell'indennità.
Le Sezioni Unite hanno infine precisato che le modalità organizzative, rimesse ai titolari del trattamento dei dati, devono essere dirette ad escludere il collegamento tra il dato sensibile e il soggetto beneficiario dell'indennità ed a limitare alle operazioni indispensabili ed ai soli addetti a tali specifiche operazioni la conoscenza del dato, celandone ai restanti componenti delle organizzazioni la decifrabilità ed, infine, osservando le medesime cautele nella comunicazione dei dati a terzi.