PRIVACY: risarcimento del danno da diffusione di dati per chi non prende le misure idonee ad evitarlo

Cassazione civile sez. I, 19/05/2014 n. 10947

Molto interessante la pronuncia della Corte di Cassazione che, nel ribaltare la pronuncia del Tribunale di Napoli, condanna al risarcimento del danno il Titolare del trattamento che non ha adottato idonee misure di sicurezza.

Vediamo il fatto.

La Regione chiamata a pagare un indennizzo ad un cittadino/interessato inseriva "in chiaro" nella causale del bonifico la L. 210 del 1992, così comunicando un dato sensibile alla Banca. In  sostanza al cittadino era stato riconosciuto un indennizzo ai sensi della   legge n. 210 del 1992, che riconosce il diritto ad un indennizzo a chi abbia riportato, a causa di vaccinazioni obbligatorie, una menomazione permanente dell'integrità psicofisica o a chi risulti contagiato da infezioni HIV, a seguito di somministrazione di sangue o derivati, nonché gli operatori sanitari che, in occasione e durante il servizio, abbiano riportato danni permanenti, conseguenti ad infezione a seguito di contatto con sangue o derivati provenienti da soggetti affetti da HIV.

Il cittadino/ interessato del trattamento dati ricorreva al Tribunale di Napoli affinché fosse assunta ogni misura idonea ad evitare la diffusione di un proprio dato sensibile e fosse risarcito del relativo danno.

Il Tribunale di Napoli respinge il ricorso. Secondo il Tribunale, infatti, il comportamento della Regione  era legittimo, essendosi essa limitata a trasmettere il dato sensibile in questione ad un soggetto determinato, l'Istituto di credito, attraverso una rete informatica non accessibile a tutti. Legittimo per il tribunale anche l'operato della Banca, che si era limitata ad adempiere ad un preciso obbligo contrattuale, con la descrizione della causale del bonifico disposto dalla Regione, nell'estratto conto, inviato periodicamente all'interessato.

L'interessato impugna la sentenza del Tribunale di Napoli avanti la Corte di Cassazione che accoglie in toto il ricorso.

La Corte dopo aver sottolineato l'importanza del diritto alla riservatezza e del rispetto degli adempimenti di cui al D.Lgs. 196/2003 ha riconosciuto come illegittimo il trattamento dei dati della Regione e della Banca, che, secondo le indicazione dell'art. 22 del D.lgs. 196/2003, avrebbero dovuto rispettivamente diffondere e conservare i dati stessi, utilizzando cifrature o numeri di codice non identificabili.

In merito poi al risarcimento danni, la Corte considera che il "D.Lgs. n. 196, definisce l'attività di trattamento dei dati personali come attività pericolosa, secondo i parametri indicati dall'art. 2050 c.c., per cui chi determina un danno, è tenuto al risarcimento se non prova di aver adottato tutte le misure idonee ad impedirlo: la cifratura dei dati, negli adempimenti previsti per comunicazioni e notificazioni, devono essere considerate misure minime idonee ad impedire il danno."