Le Sezioni Unite della Cassazione Civile, con sentenza del 27 settembre 2017, n. 30981, si sono pronunciate per dirimere un contrasto giurisprudenziale in ordine alla qualificazione di dato sensibile quando questo risulti da un’operazione indiretta di trattamento, alla differenza concettuale tra diffusione e comunicazione nonché all’applicazione delle misure tecniche di sicurezza.
Secondo la Cassazione, “i dati sensibili idonei a rivelare lo stato di salute possono essere trattati soltanto mediante modalità organizzative, quali tecniche di cifratura o criptatura che rendono non identificabile l’interessato. Di fatto, i soggetti pubblici o le persone giuridiche private, anche quando agiscano rispettivamente in funzione della realizzazione di una finalità di pubblico interesse o in adempimento di un obbligo contrattuale, sono tenuti all’osservanza delle predette cautele nel trattamento dei dati in questione”. Era un caso in cui il ricorrente riteneva che le proprie condizioni di salute erano deducibili da un estratto di conto corrente.
In primo luogo, la cifratura o la criptatura non è una modalità organizzativa, ma una misura tecnica di sicurezza. Inoltre, le Sezioni Unite fondano l’analisi e la risoluzione del contrasto interpretativo nell’ambito del sistema di previsioni contenute nel D. Lgs. 196/2003, senza soffermarsi sulle nuove previsioni normative contenute nel Regolamento europeo n. 679/2016. Si potrebbe quindi sostenere che una pronuncia nuova, da poco pubblica, diventerà inattuale tra circa quattro mesi se consideriamo che l’impianto normativo di riferimento su cui i giudici fondano l’analisi e la risoluzione del contrasto interpretativo è destinato ad essere modificato e, in parte, sostituito dalla suddetta normativa europea (applicabile, a partire dal 25 maggio 2018).
Tuttavia, una tale ipotesi andrebbe a limitare la portata e la validità di una pronuncia giurisprudenziale che, di fatto, non contrasta né diverge dai principi sostanziali posti alla base della normativa europea. La coerenza sostanziale tra la pronuncia odierna e le previsioni indicate in tema di misure di sicurezza nel GDPR potrebbe rendere la pronuncia estendibile e applicabile anche a partire dal 25 maggio 2018.
Che cambia per i titolari del trattamento
Tuttavia, cambiano i presupposti per i titolari del trattamento nell’adozione delle misure di sicurezza.
Come è noto, nel D. Lgs. 196/2003 sono indicate puntuali misure di sicurezza da adottare per garantire un livello minimo di protezione (si pensi all’elenco analitico contenuto nell’art. 33 e all’allegato B), sono previste le misure idonee di sicurezza (si pensi all’art. 31), nonché le tecniche di cifratura o criptatura prescritte dall’art. 22, 6° comma del D. Lgs. 196/2003 per il trattamento dei dati sensibili dei soggetti pubblici. Diversamente, nel GDPR la scelta delle misure di sicurezza tecniche ed organizzative adeguate, tra queste anche la cifratura, sarà oggetto di una preventiva valutazione dei rischi effettuata dai titolari del trattamento e dai responsabili del trattamento, tenuto conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.
Nel D. Lgs. 196/2003, il presupposto per l’adozione di misure di sicurezza è (o era) l’applicazione di una prescrizione normativa, mentre nel GDPR l’approccio è (e sarà) basato sul rischio del trattamento.
L’esame logico-giuridico realizzato dai giudicanti nel corpo della sentenza si fonda sull’analisi dell’art. 22, IV comma, per i soggetti pubblici e sull’estendibilità del precetto normativo anche ai soggetti privati, atteso che, precisa la Corte, l’autorizzazione del Garante n. 5/2009 prescrive che per tutti i trattamenti “prima di iniziare o proseguire il trattamento i sistemi informativi e i programmi informatici sono configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità, in conformità all’art. 3 del Codice”. Sempre secondo i giudici, l’interpretazione sistematica delle norme di protezione dei dati sensibili, contenute nel d. lgs. 196/2003, porta ad escludere che le cautele poste a carico del soggetto pubblico non debbano essere applicate anche ai soggetti privati cui i dati siano trasmessi in virtù di un obbligo legale o di un vincolo contrattuale, al fine di completare il procedimento di riconoscimento ed erogazione dell’indennità. Diversamente ragionando, si determinerebbe un vulvus privo di ragionevolezza in ordine al trattamento dei dati nella fase successiva alla trasmissione di essi all’istituto bancario, caratterizzata dal potenziale aumento dei soggetti che ne possono venire a contatto.
A parere di chi scrive, il ragionamento seguito dagli Ermellini, sebbene astrattamente corretto, non considera che – nel caso di specie – il dato personale nel momento in cui entra nella sfera di controllo dell’istituto di credito ricade nella sfera di responsabilità giuridica dello stesso, in qualità di nuovo titolare del trattamento (o titolare autonomo) con poteri decisionali autonomi in ordine alle modalità e finalità del trattamento, incluso il profilo della sicurezza.
Che cambia con il GDPR
Di conseguenza, l’analogica applicazione delle misure di sicurezza a seguito di trasmissione non può trovare lo stesso fondamento giuridico (ovvero l’art. 22, IV comma del codice). Tuttalpiù sarebbe stato più opportuno individuare in tale fondamento giuridico le misure idonee di sicurezza per ridurre al minimo i rischi connessi al trattamento previste dall’art. 31 del Codice Privacy e dai punti 20 a 24 dell’Allegato B dello stesso Codice; misure, che tra l’altro, avrebbero garantito maggior coerenza e continuità con il GDPR che prescrive l’adozione di idonee misure in relazione al rischio individuato in relazione al trattamento specifico.
Di conseguenza, poiché la Corte individua nell’art. 22, IV comma e nell’autorizzazione generale per il trattamento dei dati sensibili, il presupposto per l’adozione della cifratura anche ai soggetti privati, ed essendo tali norme destinate, rispettivamente, ad essere modificate ed abrogate il 24 maggio 2018, la sentenza in esame, a parere di chi scrive, rischia di perdere la propria validità ed efficacia nel momento in cui il GDPR sarà pienamente applicabile e con esso i nuovi presupposti per l’adozione delle misure di sicurezza. In tal senso, con il GDPR, il titolare – su cui grava l’accountability – sarà tenuto ad individuare le misure di sicurezza idonee per proteggere i dati personali che, in astratto e salvo casi particolari, le misure di sicurezza idonee a proteggere i dati sensibili o le particolari categorie di dati saranno, in ogni caso, le tecniche di cifratura. Tuttavia, la scelta sarà il frutto di una valutazione dei rischi e non del recepimento di un precetto normativo (che nel caso di specie è stato applicato in via analogica).
È doveroso ricordare che il D. Lgs. 196/2003 non verrà abrogato, ma armonizzato alla normativa europea a seguito della delega conferita al nostro Governo che lo incarica di abrogare le disposizioni del D. Lgs. 196/2003 incompatibili con le disposizioni di cui al GDPR, modificare le norme del D. Lgs. 196/2003 al fine di dare puntuale attuazione alle disposizioni del Regolamento non direttamente applicabili, coordinare le disposizioni vigenti del D. Lgs. 196/2003 con le disposizioni di cui al Regolamento, prevedere, ove opportuno, il ricorso a provvedimenti attuativi e integrativi del Garante nell’ambito e per le finalità previste dal Regolamento; adeguare, nell’ambito delle modifiche al D. Lgs. 196/2003 l’attuale regime sanzionatorio penale e amministrativo, alle disposizioni del Regolamento, prevedendo sanzioni penali e amministrative efficaci, dissuasive e proporzionate alla gravità della violazione delle disposizioni stesse.
Inoltre, nel caso in esame, il ricorrente ha dedotto l’illecito trattamento e diffusione (semmai comunicazione!) di dati sensibili relativi alla propria condizione di salute leggibili dalla dizione “pagamento rateo arretrati bimestrali e posticipati (…) L. n. 210 del 1992” (indennizzo a favore delle vittime del sangue infetto) nella causale di accredito dell’indennità da parte della regione (quale ente pubblico erogatore dell’indennità), riportata nell’estratto conto inviato al cliente dalla banca, essendo i ratei bimestrali accreditati su un suo conto corrente acceso presso l’istituto. Tali dati non erano stati trattati secondo tecniche di cifratura che li avrebbero resi inintelligibili ai sensi dell’art. 22 comma 6 D. Lgs. n. 196 del 2003.
In merito al tema indicato, gli Ermellini si erano già pronunziati in modo antitetico e precisamente, il trattamento de quo per la Cassazione n. 1097/14 era illegittimo, mentre per la Cassazione. n. 10280/15 era legittimo; così la Sezione I, ravvisando un contrasto di giurisprudenza ha richiesto la rimessione alle Sezioni Unite con ordinanza n. 3455/17. Gli Ermellini hanno composto la discrasia in modo unanime stabilendo che – salvo deroghe ex lege – i dati relativi allo stato di salute possono essere trattati dalla banca solo previo consenso specifico scritto e solo mediante applicazione delle misure crittografiche necessarie. Inoltre, hanno chiarito la corretta qualificazione di comunicazione in relazione alla trasmissione dei dati, attraverso la dicitura nella causale di bonifico, dalla regione alla banca.