Le amministrazioni pubbliche non possono trasmettere i dati personali sulla base di un semplice accordo, senza informare gli interessati.

Corte di Giustizia Europea, sentenza del 1 ottobre 2015 C-201/14

I ricorrenti nel procedimento principale percepiscono reddito da lavoro autonomo. L’amministrazione finanziaria ha trasmesso alla Cassa malattia e previdenza i dati relativi ai loro redditi dichiarati. Sulla base di tali dati la Cassa ha richiesto il pagamento di contributi per l’assicurazione malattia arretrati.
Gli interessati hanno adito la Corte di appello contestando la legittimità ex direttiva 95/46 della trasmissione dei dati fiscali relativi ai loro redditi. A loro avviso, tali dati personali sarebbero stati trasmessi e utilizzati, in base a un semplice protocollo interno, per finalità diverse da quelle per cui erano stati inizialmente comunicati all’amministrazione finanziaria, senza il consenso espresso degli interessati e senza che essi ne fossero previamente informati.
Le entità pubbliche sono autorizzate dalla legge n. 95/2006 a trasmettere dati personali alle casse malattia perché queste ultime possano accertare la qualità di assicurato delle persone interessate, vale a dire i dati identificativi della persona (nome, cognome, codice identificativo, indirizzo), ma non i dati relativi al reddito percepito.
Il giudice remittente domanda se il trattamento dei dati da parte della Cassa necessitasse l’informazione preventiva delle persone interessate quanto all’identità del responsabile del trattamento e all’obiettivo in vista del quale avveniva la trasmissione. Detto giudice si domanda pure se la trasmissione dei dati sulla base del protocollo tra gli enti sia contraria alle disposizioni della direttiva 95/46 ai sensi delle quali ogni restrizione ai diritti delle persone interessate deve essere prevista dalla legge e corredata di appropriate garanzie, specie se i dati sono utilizzati contro dette persone.
La Corte di Giustizia ha stabilito che gli articoli 10, 11 e 13 della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, devono essere interpretati nel senso che essi ostano a misure nazionali, come quelle di cui trattasi nel procedimento principale, che consentono a un’amministrazione pubblica di uno Stato membro di trasmettere dati personali a un’altra amministrazione pubblica, a fini di trattamento, senza che le persone interessate siano state informate né di tale trasmissione né del successivo trattamento.
privacy dati tra PPAA CGiusUe201_14 01102015