Riconosciuta la violazione compiuta dalla Regione prima e dall’istituto di credito poi sbagliato indicare addirittura la legge 210/1992, relativa agli indennizzi previsti per le persone con complicanze irreversibili provocate da vaccinazioni obbligatorie e trasfusioni, nella causale del bonifico. Necessario provvedere ad un occultamento di quel dato sensibile, relativo alla condizione di salute della persona, che dovrà anche percepire un adeguato risarcimento danni per le violazioni compiute in passato.
Riconosciuto l’indennizzo – previsto a favore dei soggetti danneggiati da complicanze di tipo irreversibile, a causa di vaccinazioni obbligatorie e trasfusioni, come da legge 210/1992 –, ovvio l’esborso da parte della Regione, effettuato con un ‘bonifico’, inviato, tramite un istituto di credito, direttamente alla persona beneficiaria. Tutto regolare, ma l’azione della Regione e dell’istituto di credito è comunque affetta da un grave vizio la lapalissiana indicazione, direttamente nella causale del bonifico, della condizione del beneficiario. Evidente la violazione della privacy, con conseguente risarcimento del danno. Cass., sent. n. 10947/2014, Prima Sezione Civile, depositata oggi Indennizzo. Chiarissima la contestazione mossa dalla persona beneficiaria – un uomo – dell’indennizzo in sostanza, egli percepisce quella somma dalla Regione, con rate bimestrali, accreditate su conto corrente presso l’istituto di credito, ma a fargli rabbia è la descrizione della ‘causale’ del ‘bonifico’ disposto dalla Regione , ove viene richiamata direttamente la legge 210/1992. Nonostante le rimostranze dell’uomo, però, i giudici del Tribunale non rilevano nessuna violazione del ‘Codice in materia di protezione dei dati personali’. ‘Oscurare’. Di avviso opposto, invece, i giudici del Palazzaccio, i quali accolgono il ricorso proposto dall’uomo, e finalizzato nuovamente a evidenziare la irregolarità della condotta della Regione e dell’istituto di credito, relativamente all’utilizzo di un ‘dato sensibile’. Rilevante, innanzitutto, la valutazione, da parte dei giudici, che il diritto alla riservatezza o all’intimità della sfera privata dell’individuo deve tener conto dell’ incessante progresso tecnologico, con il perfezionamento e la pericolosità dei mezzi di comunicazione di massa e degli strumenti di raccolta di dati e notizie, che richiede necessariamente l’individuazione di più efficaci ed adeguate difese . E ciò, aggiungono i giudici, vale a maggior ragione per i dati relativi allo stato di salute . Non a caso, alla luce del ‘Codice in materia di protezione dei dati personali’, gli enti pubblici sono tenuti a conformare il trattamento dei ‘dati sensibili’, secondo modalità volte a prevenire violazioni di diritti, delle libertà fondamentali e della dignità della persona. Difatti, viene ancora ricordato, in ogni caso, i dati idonei a rivelare lo stato di salute non possono essere diffusi , e, comunque, essi debbono essere trattati con tecniche di cifratura o mediante codici identificativi che li rendano temporaneamente inintellegibili a chi è autorizzato ad accedervi . Evidente, quindi, la violazione compiuta, in questa vicenda, ossia l’ illegittimo trattamento dei dati , sia da parte della Regione che da parte dell’istituto di credito, che avrebbero dovuto rispettivamente diffondere e conservare i dati utilizzando cifrature o numeri di codice non identificabili , e che, invece, hanno rivelato e riportato , in maniera lapalissiana, che quella cifra riguardasse l’ indennizzo previsto per le persone che hanno riportato danni permanenti a causa di vaccinazioni obbligatorie e di somministrazione di sangue o derivati . Ciò rende legittima la richiesta di risarcimento avanzata dall’uomo, e rende obbligatorio, quindi, per la Regione e per l’istituto di credito, l’‘occultamento’, per il futuro, del ‘dato sensibile’.
Corte di Cassazione, sez. I Civile, sentenza 22 gennaio – 19 maggio 2014, n. 10947 Presidente Salmè – Relatore Dogliotti Svolgimento del processo Con ricorso ex art. 152 D.Lgs. 196/03, depositato in data 13/07/2010, L.R.M. conveniva in giudizio, davanti al Tribunale di Napoli, la Regione Campania e Unicredit Banca di Roma s.p.a., perché fosse assunta ogni misura idonea a prevenire la diffusione di un proprio dato sensibile essendo egli beneficiario di indennizzo riconosciuto ai sensi della L. 210 del 1992 , e per sentir condannare le convenute al conseguente risarcimento dei danni. Precisava il ricorrente di percepire il predetto indennizzo dalla Regione Campania, con rate bimestrali, accreditate su conto corrente presso l'Unicredit, lamentando l'illegittimo trattamento dei dati sensibili, da parte della Regione, che richiamava nella causale di accredito la legge 210 del 1992, e, per l'istituto di credito, l'illegittima detenzione di tale dato sensibile. Costituitosi regolarmente il contraddittorio, la Regione Campania chiedeva il rigetto della domanda l'istituto di credito chiedeva l'estromissione dal giudizio per carenza di legittimazione passiva e, in subordine, il rigetto dei ricorso. Il Tribunale di Napoli , con sentenza in data 7 aprile 2011, escludeva l'estromissione dell'Unicredit, ma rigettava il ricorso. Ricorre per cassazione il L.R. Resistono,con due controricorsi, la Regione Campania e l'Unicredit. Motivi della decisione Con un unico, articolato motivo, il ricorrente lamenta violazione e/o falsa applicazione degli articoli 5, 18, 20, 21, 22 D.Lgs. n. 196 del 2003 nonché vizio di motivazione della sentenza impugnata, nella parte in cui ha ritenuto che il comportamento della Regione Campania fosse legittimo, essendosi essa limitata a trasmettere il dato sensibile in questione ad un soggetto determinato, l'istituto di credito, attraverso una rete informatica non accessibile a tutti , e parimenti legittimo quello della Banca, che si era limitata ad adempiere ad un preciso obbligo contrattuale, con la descrizione della causale del bonifico disposto dalla Regione, nell'estratto conto, inviato periodicamente al L.R. Il motivo va accolto. Va precisato che il diritto alla riservatezza o all'intimità della sfera privata dell'individuo , appare, ben più di altri aspetti di tutela della personalità, strettamente collegato alle profonde trasformazioni operate dalla società industriale e post-industriale accresciuto contatto e ad un tempo maggiore estraneità tra gli individui, più ampio dinamismo e circolazione dei soggetti, che possono inserirsi in ambienti e situazioni tra loro del tutto indipendenti, talora rivestendo ruoli differenziati e mostrando così profili diversi della propria personalità. Ma è soprattutto l'incessante progresso tecnologico, con il perfezionamento e la pericolosità dei mezzi di comunicazione di massa e degli strumenti di raccolta di dati e notizie che, attraverso inedite, per il passato del tutto impensabili, e talora gravissime aggressioni agli aspetti più intimi della personalità, richiede necessariamente l'individuazione di più efficaci ed adeguate difese. Per molti anni mancò, nel nostro ordinamento, un riscontro normativo specifico alla tutela di tale diritto anche se la giurisprudenza e la dottrina man mano ne riconoscevano la protezione, magari ancorandolo all'art. 10 c.c., relativo all'immagine, ovvero agli artt. 2 e 3 della Costituzione e alle garanzie di sviluppo della personalità di ogni soggetto. Solo in tempi relativamente recenti si è pervenuti ad una disciplina organica della materia, con la L. n. 675 del 1996, e, successivamente, con il d.lgs. n. 196 del 2003. Assai significativamente, l'art. 2 del predetto decreto legislativo precisa che il trattamento dei dati personali deve svolgersi nel rispetto dei diritti e delle libertà fondamentali, con particolare riferimento alla riservatezza e alla identità personale. Particolare tutela deve essere assicurata ai dati c.d. sensibili al riguardo, viene, tra l'altro, in considerazione, accanto alla protezione della riservatezza, la tutela della salute, ad essa strettamente collegata un riscontro ulteriore della circolarità stretta, nei contenuti, dei diritti della personalità al riguardo, Cass. n. 19635 del 2011 18980 del 2013 . E infatti se la tutela più circoscritta dell'integrità fisica di cui all'art. 5 c.c. richiama gli aspetti esteriori della condizione del soggetto ed è valore eminentemente statico, la salute si configura, al contrario, come nozione relativa e dinamica, coinvolgendo soprattutto gli aspetti interiori, come avvertiti e vissuti in concreto dal soggetto, valore non solo da garantire ma da promuovere ed accrescere, secondo le indicazioni degli artt. 2, 3, e 32 Cost. Del d.lgs. n. 196 del 2003 va pure ricordato, come del resto non manca di precisare la sentenza impugnata, l'art. 4, relativo appunto ai dati personali idonei a rivelare lo stato di salute e la vita sessuale dell'interessato è dato personale ogni informazione relativa al soggetto, individuabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale. Ai sensi dell'art. 22, gli enti pubblici sono tenuti a conformare il trattamento dei dati sensibili, secondo modalità volte a prevenire violazioni di diritti, delle libertà fondamentali e della dignità dell'interessato, soltanto ove tali dati siano indispensabili per svolgere attività istituzionali che non possono essere adempiute con il trattamento di dati anonimi o personali di diversa natura in ogni caso i dati idonei a rivelare lo stato di salute non possono essere diffusi. Lo stesso articolo , al comma 6, stabilisce che tali dati devono essere trattati con tecniche di cifratura o mediante codici identificativi che li rendano temporaneamente inintellegibili a chi è autorizzato ad accedervi. Nella specie, il dato, che la Regione ha rivelato e la Banca ha riportato, riguardava la legge n. 210 del 1992, che riconosce il diritto ad un indennizzo a chi abbia riportato, a causa di vaccinazioni obbligatorie, una menomazione permanente dell'integrità psicofisica o a chi risulti contagiato da infezioni HIV, a seguito di somministrazione di sangue o derivati, nonché gli operatori sanitari che, in occasione e durante il servizio, abbiano riportato danni permanenti , conseguenti ad infezione a seguito di contatto con sangue o derivati provenienti da soggetti affetti da HIV. Da quanto osservato emerge l'illegittimo trattamento dei dati, della Regione e della Banca, che, secondo le indicazione dell'art. 22, avrebbero dovuto rispettivamente diffondere e conservare i dati stessi, utilizzando cifrature o numeri di codice non identificabili. Quanto al risarcimento del danno, va considerato che il predetto d.lgs. n. 196 definisce l'attività di trattamento dei dati personali come attività pericolosa, secondo i parametri indicati dall'art. 2050 c.c., per cui chi determina un danno, è tenuto al risarcimento se non prova di aver adottato tutte le misure idonee ad impedirlo la cifratura dei dati, negli adempimenti previsti per comunicazioni e notificazioni, devono essere considerate misure minime idonee ad impedire il danno. Va pertanto accolto il ricorso, e cassata la sentenza impugnata, con rinvio al Tribunale di Napoli, in persona di diverso magistrato , che si atterrà ai principi suindicati nel valutare la domanda, relativamente alle misure idonee ad inibire il trattamento, e al risarcimento del danno a favore dell'odierno ricorrente. Il predetto Tribunale si pronuncerà anche sulle spese del presente giudizio. P.Q.M. La Corte accoglie il ricorso cassa la sentenza impugnata e rinvia al Tribunale di Napoli in persona di diverso magistrato che si pronuncerà sulle spese del presente giudizio di legittimità. In caso di diffusione, omettere generalità e atti identificativi, ai sensi dell’art. 52 d.lgs. 196/03.