Una sentenza della Cassazione obbliga alla cifratura anche per un trattamento indiretto dei dati, da un caso in cui il ricorrente riteneva che le proprie condizioni di salute si potevano evincere dallโestratto di conto corrente. Ma con il Gdpr la situazione potrebbe cambiare
Le Sezioni Unite della Cassazione Civile, con sentenza del 27 settembre 2017, n. 30981, si sono pronunciate per dirimere un contrasto giurisprudenziale in ordine alla qualificazione diย dato sensibile quando questo risulti da unโoperazione indiretta di trattamento, alla differenza concettuale tra diffusione e comunicazione nonchรฉ allโapplicazione delle misure tecniche di sicurezza.
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
Secondo la Cassazione, โi dati sensibili idonei a rivelare loย stato di salute possono essere trattati soltanto mediante modalitร organizzative, quali tecniche di cifratura o criptatura che rendono non identificabile lโinteressato.ย Di fatto, i soggetti pubblici o le persone giuridiche private, anche quando agiscano rispettivamente in funzione della realizzazione di una finalitร di pubblico interesse o in adempimento di un obbligo contrattuale, sono tenuti allโosservanza delle predette cautele nel trattamento dei dati in questioneโ.ย Era un caso in cui il ricorrente riteneva che le proprie condizioni di salute erano deducibili da un estratto di conto corrente.
In primo luogo, la cifratura o la criptatura non รจ una modalitร organizzativa, ma una misura tecnica di sicurezza. Inoltre, le Sezioni Unite fondano lโanalisi e la risoluzione del contrasto interpretativo nellโambito del sistema di previsioni contenute nel D. Lgs. 196/2003, senza soffermarsi sulle nuove previsioni normative contenute nel Regolamento europeo n. 679/2016. Si potrebbe quindi sostenere che una pronuncia nuova, da poco pubblica, diventerร inattuale tra circa quattro mesi se consideriamo che lโimpianto normativo di riferimento su cui i giudici fondano lโanalisi e la risoluzione del contrasto interpretativo รจ destinato ad essere modificato e, in parte, sostituito dalla suddetta normativa europea (applicabile, a partire dal 25 maggio 2018).
Tuttavia, una tale ipotesi andrebbe a limitare la portata e la validitร di una pronuncia giurisprudenziale che, di fatto, non contrasta nรฉ diverge dai principi sostanziali posti alla base della normativa europea. La coerenza sostanziale tra la pronuncia odierna e le previsioni indicate in tema di misure di sicurezza nelย GDPRย potrebbe rendere la pronuncia estendibile e applicabile anche a partire dal 25 maggio 2018.
Che cambia per i titolari del trattamento
Tuttavia, cambiano i presupposti per i titolari del trattamento nellโadozione delle misure di sicurezza.
Come รจ noto, nel D. Lgs. 196/2003 sono indicate puntuali misure di sicurezza da adottare per garantire un livello minimo di protezione (si pensi allโelenco analitico contenuto nellโart. 33 e allโallegato B), sono previste le misure idonee di sicurezza (si pensi allโart. 31), nonchรฉ le tecniche di cifratura o criptatura prescritte dallโart. 22, 6ยฐ comma del D. Lgs. 196/2003 per il trattamento dei dati sensibili dei soggetti pubblici. Diversamente, nel GDPR la scelta delleย misure di sicurezza tecniche ed organizzative adeguate, tra queste anche la cifratura,ย sarร oggetto di una preventivaย valutazione dei rischiย effettuata dai titolari del trattamento e dai responsabili del trattamento, tenuto conto dello stato dellโarte e dei costi di attuazione, nonchรฉ della natura, dellโoggetto, del contesto e delle finalitร del trattamento, come anche del rischio di varia probabilitร e gravitร per i diritti e le libertร delle persone fisiche.
Nel D. Lgs. 196/2003, il presupposto per lโadozione di misure di sicurezza รจ (o era) lโapplicazione di una prescrizione normativa, mentre nel GDPR lโapproccio รจ (e sarร ) basato sul rischio del trattamento.
Intermezzo promozionale ... continua la lettura dopo il box:
Lโesame logico-giuridico realizzato dai giudicanti nel corpo della sentenza si fonda sullโanalisi dellโart. 22, IV comma, per i soggetti pubblici eย sullโestendibilitร del precetto normativoย anche ai soggetti privati, atteso che, precisa la Corte, lโautorizzazione del Garante n. 5/2009 prescrive cheย per tutti i trattamentiย โprima di iniziare o proseguire il trattamento i sistemi informativi e i programmi informatici sono configurati riducendo al minimo lโutilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalitร perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalitร che permettano di identificare lโinteressato solo in caso di necessitร , in conformitร allโart. 3 del Codiceโ. Sempre secondo i giudici, lโinterpretazione sistematica delle norme di protezione dei dati sensibili, contenute nel d. lgs. 196/2003, porta adย escludereche le cautele poste a carico del soggetto pubblico non debbano essere applicate anche ai soggetti privati cui i dati siano trasmessi in virtรน di un obbligo legale o di un vincolo contrattuale, al fine di completare il procedimento di riconoscimento ed erogazione dellโindennitร . Diversamente ragionando, si determinerebbe un vulvus privo di ragionevolezza in ordine al trattamento dei dati nella fase successiva alla trasmissione di essi allโistituto bancario, caratterizzata dal potenziale aumento dei soggetti che ne possono venire a contatto.
A parere di chi scrive, il ragionamento seguito dagli Ermellini, sebbene astrattamente corretto, non considera che โ nel caso di specie โย il dato personale nel momento in cui entra nella sfera di controllo dellโistituto di credito ricade nella sfera di responsabilitร giuridica dello stesso, in qualitร di nuovo titolare del trattamento (o titolare autonomo) con poteri decisionali autonomi in ordine alle modalitร e finalitร del trattamento, incluso il profilo della sicurezza.
Che cambia con il GDPR
Di conseguenza,ย lโanalogica applicazione delle misure di sicurezza a seguito di trasmissione non puรฒ trovare lo stesso fondamento giuridico (ovvero lโart. 22, IV comma del codice).Tuttalpiรน sarebbe stato piรน opportuno individuare in tale fondamento giuridico le misure idonee di sicurezza per ridurre al minimo i rischi connessi al trattamento previste dallโart. 31 del Codice Privacy e dai punti 20 a 24 dellโAllegato B dello stesso Codice;ย misure, che tra lโaltro, avrebbero garantito maggior coerenza e continuitร con il GDPR che prescrive lโadozione di idonee misure in relazione al rischio individuato in relazione al trattamento specifico.
Di conseguenza, poichรฉ la Corte individua nellโart. 22, IV comma e nellโautorizzazione generale per il trattamento dei dati sensibili, il presupposto per lโadozione della cifratura anche ai soggetti privati, ed essendo tali norme destinate, rispettivamente, ad essere modificate ed abrogate il 24 maggio 2018, la sentenza in esame, a parere di chi scrive,ย rischia di perdere la propria validitร ed efficacia nel momento in cui il GDPR sarร pienamente applicabile e con esso i nuovi presupposti per lโadozione delle misure di sicurezza.ย In tal senso,ย con il GDPR, il titolare โ su cui grava lโaccountability โ sarร tenuto ad individuare le misure di sicurezza idonee per proteggere i dati personaliย che, in astratto e salvo casi particolari, le misure di sicurezza idonee a proteggere i dati sensibili o le particolari categorie di dati saranno, in ogni caso, le tecniche di cifratura. Tuttavia, la scelta sarร il frutto di una valutazione dei rischi e non del recepimento di un precetto normativo (che nel caso di specie รจ stato applicato in via analogica).
ร doveroso ricordare che il D. Lgs. 196/2003 non verrร abrogato, ma armonizzato alla normativa europea a seguito della delega conferita al nostro Governo che lo incarica diย abrogareย le disposizioni del D. Lgs. 196/2003ย incompatibiliย conย le disposizioni di cui al GDPR,ย modificareย le norme del D. Lgs. 196/2003 al fine diย dare puntuale attuazione alle disposizioni del Regolamentoย non direttamente applicabili,ย coordinareย le disposizioni vigenti del D. Lgs. 196/2003 conย le disposizioniย di cui alย Regolamento, prevedere, oveย opportuno,ย il ricorso aย provvedimentiย attuativi e integrativiย del Garanteย nellโambito e per le finalitร previste dal Regolamento;ย adeguare,ย nellโambito delle modifiche al D. Lgs. 196/2003ย lโattuale regime sanzionatorioย penaleย eย amministrativo, alle disposizioni del Regolamento,ย prevedendo ย ย sanzioniย penali e amministrative efficaci, dissuasive e proporzionate alla gravitร dellaย violazione delle disposizioni stesse.
Inoltre, nel caso in esame, il ricorrente ha dedotto lโillecito trattamento e diffusione (semmai comunicazione!) di dati sensibili relativi alla propria condizione di salute leggibili dalla dizione โpagamento rateo arretrati bimestrali e posticipati (โฆ) L. n. 210 del 1992โ ย (indennizzo a favore delle vittime del sangue infetto) nella causale di accredito dellโindennitร da parte della regione (quale ente pubblico erogatore dellโindennitร ), riportata nellโestratto conto inviato al cliente dalla banca, essendo i ratei bimestrali accreditati su un suo conto corrente acceso presso lโistituto.ย Tali dati non erano stati trattati secondo tecniche di cifratura che li avrebbero resi inintelligibili ai sensi dellโart. 22 comma 6 D. Lgs. n. 196 del 2003.
In merito al tema indicato, gli Ermellini si erano giร pronunziati in modo antitetico e precisamente, il trattamento de quo per la Cassazione n. 1097/14 era illegittimo, mentre per la Cassazione. n. 10280/15 era legittimo; cosรฌ la Sezione I, ravvisando un contrasto di giurisprudenza ha richiesto la rimessione alle Sezioni Unite con ordinanza n. 3455/17. Gli Ermellini hanno composto la discrasia in modo unanime stabilendo che โ salvo deroghe ex lege โ i dati relativi allo stato di salute possono essere trattati dalla banca solo previo consenso specifico scritto e solo mediante applicazione delle misure crittografiche necessarie. Inoltre, hanno chiarito la corretta qualificazione di comunicazione in relazione alla trasmissione dei dati, attraverso la dicitura nella causale di bonifico, dalla regione alla banca.
Trattamento indiretto di dati sensibili, che dicono giurisprudenza e Gdpr
