ANDIG

La Cassazione si pronuncia sulla cessione di una banca dati genetica: il cessionario titolare del trattamento deve acquisire ex novo il consenso degli interessati (Cassazione civile sez. I - 07/10/2021, n. 27325)

 

Riassumendo brevemente i fatti sottoposti all'attenzione della Suprema Corte di Cassazione: la Società Alfa, nel 2016, comprava dal fallimento della Società Beta, unitamente al complesso aziendale, una banca dati genetica relativa a circa 11.700 persone, realizzata per un programma di ricerca sulle malattie complesse comuni in alcuni paesi dell'Ogliastra (Sardegna).

Il Garante Privacy - che monitorava con attenzione la ricerca in questione, dal momento che questa coinvolgeva dati particolarmente sensibili (dati personali demografici, genealogici, clinici e genetici e riguardanti rapporti di parentela risalenti fino al 1600) – ingiungeva alla Società Alfa, con provvedimento del 6 ottobre 2016, n. 389,  il blocco temporaneo del trattamento dei dati degli interessati e utilizzo dei campioni biologici ad eccezione delle sole operazioni di trattamento necessarie per garantire un'adeguata conservazione dei dati e dei campioni. Se da un lato, infatti, l'Autorità riconosceva che la Società Alfa avesse intenzione di utilizzare i dati contenuti nella banca dati acquistata in termini sostanzialmente compatibili con gli scopi per i quali questi erano stati raccolti, dall'altro evidenziava la necessità di predisporre le cautele idonee ad assicurare il rispetto della disciplina sulla protezione dei dati personali. In particolare, secondo il Garante, la Società Alfa avrebbe dovuto contattare nuovamente gli interessati per informarli dell'avvenuto mutamento nella titolarità del trattamento e degli – eventuali – nuovi dati che avrebbe voluto trattare a scopo di ricerca scientifica in ambito medico-genetico, di modo da consentir loro di  manifestare nuovamente il proprio consenso ovvero di esercitare i loro diritti con riferimento ai dati personali e all'utilizzo dei campioni biologici contenuti nella banca dati.

La Società dunque impugnava la decisione dell'Autorità Garante ex art. 152 del Codice Privacy innanzi al Tribunale di Cagliari, secondo il quale la fattispecie in esame non era disciplinata dalla legislazione appena richiamata e il mutamento soggettivo del titolare del trattamento non comportava la necessità della nuova informativa e della richiesta di consenso agli interessati. In ogni caso, poi, ad avviso del Giudice di prime cure, il provvedimento dell'Autorità aveva esorbitato rispetto alle finalità di tutela degli interessati in quanto la società acquirente perseguiva le medesime finalità della cedente.

Avverso tale decisione, il Garante Privacy proponeva ricorso innanzi alla Suprema Corte per due motivi: i) la violazione o falsa applicazione dell'art. 102 c.p.c., dal momento che il Tribunale di Cagliari non aveva concesso l'integrazione del contraddittorio, con la chiamata in causa di tutti gli interessati; ii)  la violazione o falsa applicazione degli artt. 13, 23 e 26 nonché art. 90 del Codice Privacy, il consenso al trattamento dei dati personali doveva essere legato indissolubilmente all'intuitus personae e che il mutamento soggettivo del titolare imponeva la rinnovazione dell'informativa e della prestazione del consenso.

In primo luogo i Giudici di legittimità – contrariamente  a quanto affermato dal Tribunale di Cagliari, hanno stabilito che al caso in esame si dovesse applicare la disciplina del Codice Privacy nella stesura anteriore alle modifiche introdotte dal GDPR.

Con riferimento al primo motivo del ricorso, gli Ermellini non hanno riconosciuto gli interessati come litisconsorti necessari nei giudizi che coinvolgono i poteri di controllo attribuiti al Garante Privacy, potendo piuttosto quest'ultimi agire individualmente per la tutela dei loro diritti attraverso altri e specifici strumenti di tutela. 

Avuto riguardo del secondo motivo, invece, la Suprema Corte di Cassazione ha avuto modo di ricostruire un quadro completo della cessione dei dati personali, approfondendo la disciplina del trattamento dei dati medico sanitari.

 In particolare, richiamando l'art. 16, comma 1 lett. b – secondo il quale la cessazione del trattamento dei dati avviene quando questi vengono ceduti ad altro titolare, purché destinati ad un trattamento in termini compatibili agli scopi per i quali i dati sono raccolti – e l'art. 13, comma 4  – in tema di informativa quando i dati non sono raccolti presso l'interessato - del Codice della Privacy, i Giudici di legittimità hanno stabilito che il trasferimento dei dati dal titolare originario ad un altro soggetto integra la cessazione del trattamento originario e l'inizio di un nuovo e distinto trattamento da parte di quest'ultimo, che è dunque tenuto ad adempiere ai suoi doveri in tema di informativa e di consenso.

Tuttavia, come precisato dalla Suprema Corte di Cassazione, il rinnovo dell'informativa e della raccolta del consenso possono essere derogati, in misura più o meno ampia, solo ove ricorrano le specifiche condizioni previste dal Codice Privacy: i) ai sensi dell'art. 13, comma 5, il titolare viene esentato quando l'informativa all'interessato comporti un impiego di mezzi che il Garante, prescrivendo eventuali misure appropriate, dichiari manifestamente sproporzionati rispetto al diritto tutelato, ovvero si riveli, a giudizio del Garante, impossibile; ii) in tema di dati sensibili, l'art. 26, comma 4, prevede la possibilità di procedere al trattamento dei dati anche senza consenso, previa autorizzazione del Garante, sempre che ricorra una delle fattispecie previste dal medesimo comma; iii) per quanto riguarda il trattamento dei dati relativi alla salute, a fini di ricerca scientifica in campo medico, biomedico o epidemiologico, l'art. 110, comma 1, prevede che il consenso non è necessario quando la ricerca è prevista da un'espressa disposizione di legge che prevede specificamente il trattamento, ovvero rientra in un programma di ricerca biomedica o sanitaria previsto ai sensi dell'articolo 12-bis del decreto legislativo 30 dicembre 1992, n. 502, nonché quando, a causa di particolari ragioni, non è possibile informare gli interessati e il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale ed è autorizzato dal Garante.

Con riferimento al caso di specie, dunque, la Corte di Cassazione – cassando la pronuncia del Tribunale di Cagliari - ha stabilito che, in linea generale, il cessionario di una banca dati genetica è tenuto a rispettare la normativa in tema di  consenso informato, a meno che non sussistano espressamente le soprarichiamate deroghe previste dalla disciplina in ambito privacy, che sono volte ad assicurare lo svolgimento del trattamento ritenuto meritevole di tutela per le finalità perseguite, senza intaccare in maniera significativa i diritti degli interessati.