Con la sentenza n. 9382 del 2019 la Cassazione ribadisce il principio in base al quale non si possono diffondere sui siti delle Pubbliche Amministrazioni dati inerenti allo stato di salute.
La motivazione della sentenza, tuttavia, risulta censurabile sotto diversi aspetti.
In primo luogo non può passare inosservata la divergenza temporale tra la data della sentenza (7 novembre 2017) e la pubblicazione della stessa, avvenuta con il deposito in cancelleria il 4 aprile 2019, ossia 16 mesi dopo.
In questo arco temporale, infatti, il sistema normativo è stato radicalmente e profondamente modificato con il Regolamento Europeo 679/2016 e l’emanazione del d.lgs 101/2018.
La sentenza quindi dovrebbe far riferimento, proprio per la sequenza temporale, alla normativa previgente, ossia al Codice Privacy nella sua vecchia formulazione.

Nella motivazione tuttavia manca qualsiasi riferimento all’art. 22, oggi abrogato, che espressamente prevedeva il divieto di diffusione dei dati in grado di rivelare lo stato di salute, previsione oggi confluita nell’art. 2 septies del Codice Privacy. Il collegio, invece, riprende un precedente delle Sezioni Unite del quale si limita a riportare uno stralcio, tralasciando un elemento essenziale.

I Giudici, infatti, riprendono il “consolidato” principio in base al quale “i dati sensibili idonei a rilevare lo stato di salute possono essere trattati dai soggetti pubblici soltanto mediante modalità organizzative che rendano non identificabile l’interessato”.
In realtà il principio espresso dalle Sezioni Unite della Cassazione, con la sentenza 27-12-2017, n. 30981 è in parte diverso.
In quella pronuncia la Cassazione, dopo aver delineato in maniera precisa e puntuale il sistema normativo, sottolinea che le Pubbliche Amministrazioni, a norma dell’art. 22 comma 6, sono tenute ad adottare tecniche di cifratura o mediante l’utilizzazione di codici identificativi o di altre soluzioni che, considerato il numero e la natura dei dati trattati, li rendano temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e permettano di identificare gli interessati solo in caso di necessità.
Il riferimento alla cifratura dei dati è stato totalmente tralasciato dalla sentenza in commento.
Non si spiega come sia possibile una tale omissione che, è evidente, potrebbe condurre a interpretazioni errate e in contrasto con il nuovo sistema normativo oggi in vigore.

Oggi come allora la diffusione di questa particolare tipologia di dati non è possibile, proprio perché è espressamente vietata dal dato normativo ed in particolare l’art. 22 prima, l’art. 2 septies ora.
È dunque indispensabile per le Pubbliche Amministrazioni, oggi più che mai, procedere ad adottare tecniche di cifratura dei dati idonee a garantire la loro temporanea inintelligibilità per gli scopi previsti dalla norma attualmente in vigore.

Federica De Stefani, avvocato e responsabile AIDR Regione Lombardia