Il trattamento dei dati personali. Contrapponendosi a

può dubitare che l’immagine costituisca dato personale in quanto dato idoneo a identificare una persona e richiama il proprio recente orientamento, la direttiva europea n. 97/46 CE, l’art. 134 della l. n. 196 del 2003, la convenzione n. 108/1981 del Consiglio di Europa, il documento sulla videosorveglianza WP67 del 2002 del gruppo di lavoro dei Garanti europei costituito ai sensi dell’art. 29 della direttiva. Ne consegue, pertanto, che il trattamento delle immagini deve essere oggetto di apposita informativa ai sensi della l. n. 106 del 2003, sicché le aziende non possono installare telecamere senza informare gli interessati che stanno per accedere o che si trovano in una zona videosorvegliata e dell’eventuale registrazione.

La sentenza in esame è di particolare interesse in quanto riguarda la videosorveglianza, considerato uno dei settori di maggior sviluppo in Italia nonché in continua trasformazione.

4.2. Il trattamento dei dati personali. Contrapponendosi a

precedente giurisprudenza di legittimità in fattispecie analoga (Sez. 1, n. 10947/2014, Dogliotti, Rv. 631481), la Sez. 3, n. 10280/2015, Rossetti, Rv. 635371 ha stabilito che l’obbligo per la Pubblica Amministrazione di procedere alla cifratura dei dati sensibili contenuti in banche dati, sancito dall’art. 22, comma 6, del d.lgs. n. 196 del 2003, è finalizzato esclusivamente a prevenire abusi nella gestione e nell’accesso a queste ultime, sicché esso non sussiste per quei dati, anche sensibili, che la stessa, in adempimento di obblighi di legge, trasmetta al titolare o al soggetto da questi indicato. Ne consegue che non costituisce illegittimo trattamento di dati sensibili, da parte della Pubblica Amministrazione., l’indicazione della causale di un pagamento effettuato per ragione di assistenza e previdenza, a nulla rilevando che quella causale possa, in astratto, rivelare le condizioni di salute del percettore.

Nella specie, la Corte ha cassato la sentenza impugnata che aveva ritenuto illegittima la condotta tenuta dalla Regione e dalla banca per aver trasmesso ed indicato un dato sensibile, costituito dal riferimento alla legge n. 210 del 1992, la prima inoltrandolo e la seconda riportandolo nell’estratto conto quale causale del bonifico disposto in favore della sua cliente. In particolare, la Corte, ha, chiarito che la generica informazione secondo cui un soggetto è percettore di un indennizzo ai sensi della legge n. 210 del 1992, non è, di per sé, idonea a rivelare lo stato di salute del beneficiario alla stregua dell’art. 2 della menzionata legge, in quanto l’erogazione suddetta potrebbe avvenire tanto in via diretta, quanto in via di “reversibilità”, ed in questo caso l’elargizione dipende non da una

CAP. I – PERSONE E ASSOCIAZIONI

5

malattia dell’accipiens, bensì da una patologia del suo dante causa, altresì precisandosi che l’idoneità di un dato sensibile a rivelare stati personali va valutata in base al contenuto oggettivo di esso, e non in base all’opinione o al pregiudizio che il pubblico possa concepire in merito. La Corte ha peraltro affermato che la comunicazione del dato sensibile ad un soggetto determinato non costituisce “diffusione” dello stesso, atteso che solo la indeterminatezza dei destinatari dell’informazione consente di qualificare come “diffusione” il trattamento dei dati concernenti lo stato di salute.

Successivamente, muovendo dall’analisi dell’art. 22 del d.lgs. n. 196 del 2003, ed in particolare del suo comma 6, la Corte ha evidenziato che la riportata disposizione esige la cifratura: a) solo dei dati contenuti in banche dati o registri elettronici; b) esclusivamente ai fini della gestione ed interrogazione degli stessi, come rende evidente il riferimento alle persone autorizzate ad accedervi, sottolineando che il senso della norma è di impedire che, attraverso la consultazione d’una banca dati per fini di lavoro, studio o ricerca, possano essere identificati i titolari dei dati inseriti nella banca stessa.

Ha poi sottolineato la Corte che i soggetti privati, diversamente da quelli pubblici, hanno l’obbligo di cifrare i soli dati idonei a rivelare lo stato di salute del titolare e trattati con strumenti elettronici.

Si è, quindi, affermato che la trasmissione di dati personali al rappresentante del titolare, avvenuta con il consenso di quest’ultimo, equivale a quella effettuata direttamente al titolare, e non integra, pertanto, una «comunicazione» ai sensi dell’art. 4, comma 1, lett. l), del d.lgs. n. 196 del 2003, in virtù del principio di imputazione degli effetti dal rappresentante al rappresentato e considerato, altresì, che la nomina di un rappresentante per ricevere dichiarazioni recanti dati sensibili costituisce un implicito consenso alla comunicazione degli stessi al rappresentante medesimo.

Secondo i principi enunciati, il trattamento di dati personali da parte della P.A., per i propri fini istituzionali, non richiede il relativo consenso dell’interessato (art. 18, comma 4, del d.lgs. n. 196 del 2003), mentre il trattamento di dati sensibili da parte della stessa, anche se necessario per i propri fini istituzionali, esige invece una norma di legge che lo autorizzi (art. 20, comma 1 d.lgs. n. 196 del 2003). Nella concreta fattispecie alla sua attenzione, la S.C., per quanto si è già detto, ha ritenuto che la dizione “assegno ex lege 210/92” non costituiva un dato sensibile, e dunque la sua comunicazione non richiedeva una norma di legge autorizzatrice, né

CAP. I – PERSONE E ASSOCIAZIONI

6

il consenso della titolare. Ma anche se quella dizione fosse stata inquadrabile tra i “dati sensibili”, comunque la sua comunicazione sarebbe stata lecita, in quanto autorizzata da specifiche disposizioni di legge (l’art. 409 del r.d. 23 maggio 1924, n. 827; l’art. 185 del d.lgs. 10 agosto 2000, n. 267; il Provvedimento del Garante per la protezione dei dati personali del 16 dicembre 2009, n. 5, il quale ha autorizzato il trattamento di dati sensibili per fini previdenziali da parte delle banche). Pertanto, la comunicazione della causale di pagamento da parte della Regione all’istituto bancario era stata lecita, sia perché le P.A hanno l’obbligo di tale indicazione, sia perché il pagamento aveva ad oggetto una prestazione rientrante nel genus delle prestazioni assistenziali e previdenziali, cui la Regione non poteva sottrarsi. Una siffatta comunicazione, dunque, tenuto conto di quanto desumibile dagli artt. 24, comma 1, 26, comma 4, 68, comma 1, e 73, comma 1, del d.lgs. n. 196 del 2003, non richiedeva alcun consenso da parte dell’interessata.

Quanto, invece, all’adempimento di obblighi contrattuali da parte della banca, è stata ritenuta legittima la comunicazione da parte della banca alla propria correntista della “causale” per la quale la Regione aveva effettuato l’accredito dell’emolumento dovutole ai sensi della l. n. 210 del 1992: e ciò in quanto, come già detto, quel dato non doveva qualificarsi come “sensibile”, e perché la comunicazione della causale costituiva un obbligo scaturente dal contratto (art. 24 del d.lgs. n. 196 del 2003).

La Suprema Corte ha infine sottolineato nella predetta pronuncia che tali conclusioni sono le uniche consentite, oltre che dal diritto nazionale, anche da quello comunitario, il quale non ha mai posto un divieto assoluto di uso dei dati anche sensibili, ma, al contrario, l’ha consentito espressamente per l’adempimento di obblighi contrattuali o scaturenti dalla legge, e comunque per finalità di interesse pubblico. E, nell’interpretazione di tali principi, la Corte di giustizia dell’Unione Europea ha ripetutamente affermato che la deroga al divieto di trattamento di dati personali senza il consenso dell’interessato è legittima, se finalizzata a perseguire interessi pubblici “proporzionali e necessari” rispetto al sacrificio imposto al diritto alla riservatezza, e che tale conclusione è coerente sia con la Direttiva 95/46/CE, sia con l’art. 8, comma 2, CEDU, che prevede come i diritti dei singoli alla riservatezza possano essere sacrificati a fronte del «benessere economico del paese».

In coerenza con i principi dianzi esposti, la Sez. 1, n. 11223/2015, Didone, Rv. 635584 ha affermato che costituisce illecito trattamento di dati sensibili l’avvenuta comunicazione,

CAP. I – PERSONE E ASSOCIAZIONI

7

benché effettuata in maniera riservata, da un soggetto pubblico ad un altro, della copia integrale del verbale relativo all’accertamento sanitario eseguito dalla Commissione medica di verifica, in relazione alla richiesta della parte interessata volta ad ottenere il riconoscimento della pensione di inabilità, recante, oltre alla necessaria valutazione medico legale circa l’idoneità all’impiego, altri suoi dati personali che, in quanto relativi alla diagnosi, agli esami obbiettivi ed agli accertamenti clinici e strumentali svolti, nonché ad informazioni anamnestiche, tra cui quelle relative all’infezione da HIV dalla stessa precedentemente contratta, debbono considerarsi irrilevanti ai fini del buon esito del procedimento e, pertanto, da omettere.

Secondo Sez. 6-1, n. 25079/2015, Ragonesi, in corso di massimazione, nel caso di invio di messaggi di propaganda elettorale tramite posta elettronica, che implichino il trattamento di dati personali (nella fattispecie del numero di cellulare), sussiste la violazione dell’art. 13 del d.lgs. n. 196 del 2003 in quanto in base all’art. 4 lett. c) del c.d. decalogo elettorale è obbligatorio acquisire “una tantum” prima della chiamata o del messaggio il consenso dell’abbonato che deve essere raccolto con formule chiare che specifichino le finalità di propaganda non essendo a tal fine sufficiente il mero silenzio-assenso del medesimo.

Sempre in tema di trattamento dei dati personali, la Sez. 1, n. 17790/2015, Lamorgese, Rv. 637096, ha precisato che tra i dati concernenti le persone decedute, cui un erede potrebbe volere accedere per tutelare i propri diritti, non rientrano in base all’art. 9, comma 3, del d.lgs. n. 196 del 2003, quei dati che identificano terze persone, quali i beneficiari di una polizza sulla vita stipulata dal de cuius, atteso che i dati cui si ha diritto di accedere sono soltanto quelli riconducibili alla sfera personale di questi.