Il trattamento dei dati sensibili deve avvenire sempre con tecniche di cifratura

Cassazione civile, sez. unite, 27 dicembre 2017, n. 30981

382
4.12 - 153 voti

I dati sensibili, idonei a rivelare lo stato di salute, possono essere trattati soltanto mediante modalità organizzative, quali tecniche di cifratura o criptatura che rendono non identificabile l’interessato.
Ne consegue che i soggetti pubblici o le persone giuridiche private, anche quando agiscano rispettivamente in funzione della realizzazione di una finalità di pubblico interesse o in adempimento di un obbligo contrattuale, sono tenuti all’osservanza delle predette cautele nel trattamento dei dati in questione.

Le modalità organizzative, rimesse ai titolari del trattamento dei dati, devono essere dirette ad escludere il collegamento tra il dato sensibile e il soggetto beneficiario dell’indennità ed a limitare alle operazioni indispensabili ed ai soli addetti a tali specifiche operazioni la conoscenza del dato, celandone ai restanti componenti delle due organizzazioni complesse la decifrabilità ed, infine, conservando le medesime cautele nella comunicazione dei dati.
Non esclude tale obbligo la circostanza che i dati debbano essere necessariamente trattati in ragione di un obbligo legale o di un vincolo contrattuale.
Le cautele della cifratura e della criptatura sono finalizzate proprio ad evitare la conoscenza dei dati sensibili attinenti alla salute da parte di soggetti che ne possano venire a contatto per l’inclusione nelle organizzazioni complesse titolari del trattamento e, conseguentemente possano estrarli, selezionarli, farne uso e diffonderne il contenuto. Il legislatore sia nel D.Lgs. n. 196 del 2003, in linea generale, che nella L. n. 210 del 1992, ha voluto cercare di limitare al massimo il pericolo connesso alla conoscenza dei dati relativi alla salute in quanto “super sensibili”, indicando modalità di trattamento che nascondano l’identificazione dei soggetti portatori di patologie fisiche o psichiche salvo che per l’esecuzione dell’attività inevitabilmente necessaria alla realizzazione della finalità d’interesse pubblico o per l’adempimento degli obblighi contrattualmente assunti.

Testo integrale della sentenza: Cassazione civile, sez. unite, 27 dicembre 2017, n. 30981