Archivio News

I. Il caso

Con ricorso ex art. 152, D.Lgs. 196/03, il ricorrente chiedeva al Tribunale di Palermo che la Corte dei Conti, ovvero la Presidenza del Consiglio dei Ministri fossero condannati al risarcimento dei danni determinati da illegittima divulgazione di dati attinenti alla sua salute.

Precisava il ricorrente di aver presentato ricorso in materia pensionistica alla Corte dei Conti Sezione Giurisdizionale di Palermo: la relativa sentenza, che trattava i suoi dati personali, riguardanti la salute e riportante le sue invalidità, era stata pubblicata sulla banca dati online del sito internet della Corte dei Conti, liberamente accessibile, senza il suo consenso.

II. Le Questioni

La prima questione interpretativa risolta ed affrontata dalla Corte attiene alla portata generale dell’art. 22 rispetto all’art. 52 del D.Lgs. 196/2003 nel bilanciamento degli opposti interessi di tutela individuale della riservatezza del privato rispetto ai quelli generali e pubblici di conoscibilità del precedente giudiziario.

Segnatamente, a parere della Corte, ad applicarsi alla fattispecie in esame è l’art. 22 del Codice “Principi applicabili al trattamento di dati sensibili e giudiziari” ed in particolare il comma 8 “I dati idonei a rivelare lo stato di salute non possono essere diffusi”

Tale norma, di portata generale, segna il punto di equilibrio col successivo art. 52 (applicato dal giudice di prime cure) che  obbliga il titolare del trattamento all’oscuramento dei dati solo in talune fattispecie, tra cui non parrebbe essere ricompresa quella del ricorrente, infatti: “5. Fermo restando quanto previsto dall'articolo 734-bis del codice penale relativamente alle persone offese da atti di violenza sessuale, chiunque diffonde sentenze o altri provvedimenti giurisdizionali dell'autorità? giudiziaria di ogni ordine e grado e? tenuto ad omettere in ogni caso, anche in mancanza dell'annotazione di cui al comma 2, le generalità, altri dati identificativi o altri dati anche relativi a terzi dai quali puo? desumersi anche indirettamente l'identità? di minori, oppure delle parti nei procedimenti in materia di rapporti di famiglia e di stato delle persone.

A parere quindi, del Tribunale, in assenza di un preciso obbligo di omissione, non poteva dolersi il ricorrente della diffusione, non avendo peraltro formulato previa richiesta di oscuramento.

La seconda questione affrontata dalla Cassazione riguarda la sfera di applicabilità ed il contenuto del diritto, nonche’ le conseguenze dell’illecito, affermando quanto al risarcimento del danno che “anche in materia di diritti fondamentali, non può configurarsi in re ipsa: il richiedente deve fornire prova di tutti i presupposti di cui all’art. 2043 c.c., non solo il comportamento illegittimo, ma pure il danno occorso ed il nesso di causalità tra comportamento ed evento dannoso.”

III. I precedenti a livello interno e il diritto europeo

A ben vedere, all’epoca della presentazione del ricorso pensionistico, alcuna disciplina sui dati personali prevedeva la possibilità di chiedere l’oscuramento.

È bene ricordare che le sentenze sono atti pubblici, e la stessa Corte di Cassazione, a Sezioni Unite, con sentenza 27 gennaio 2010, n. 1629, ha statuito che "ogni cittadino ha il diritto di ottenere copia degli atti detenuti per lui da un soggetto (notaio, cancellieri, conservatori di registri, ecc.) cui la legge attribuisce la qualifica di pubblico depositario, nel senso che detiene non (soltanto) per sé (per l'esercizio di una pubblica funzione) ma (anche) per il pubblico".

Quindi, a prescindere dalla natura di atto pubblico della sentenza, la diversa attività di inserimento di informazioni ricollegabili ad una persona fisica all’interno di un sito web, è stato riconosciuto come trattamento di dati personali.

L'anonimato, che ai sensi del comma 3, dell'art. 52 del D.Lgs. n. 196/2003, si attua attraverso l'apposizione dell'annotazione "in caso di diffusione omettere le generalità e gli altri dati identificativi di" e non incide sulla pubblicazione dell'originale della sentenza (o di altro provvedimento del Giudice), che deve essere completo di tutti i dati identificativi delle parti.

Pertanto, la suddetta apposizione opera soltanto in caso di successiva divulgazione della sentenza per finalità di informazione giuridica (cfr. Circ. 17 gennaio 2006, n. 47/06/SG della Corte di Cassazione).

Dunque, l’imponente effetto comunicativo generato dalla sommaria visualizzazione nell’elenco dei risultati, ha condotto generalmente ad affermare la risarcibilità dell’illecita diffusione.

In materia è soventemente intervenuto anche il Garante della privacy, il quale ha avuto modo di evidenziare che la diffusione di un gran numero di dati personali riferiti a un medesimo interessato e relativi a vicende anche risalenti nel tempo riverbera i propri effetti sugli interessati per un tempo indeterminato, tale da arrecare un sacrificio sproporzionato dei diritti e interessi legittimi dei singoli.

La conservazione dei dati personali è, infatti, sottoposta alla stretta correlazione temporale tra l’identificabilità del titolare dei dati e la finalità del relativo trattamento.

Il tema, dunque, non riguarda tanto la pubblicazione dell’informazione, quanto la permanenza della stessa nella memoria della rete, comportando l’esigenza di provvedere a un’eventuale integrazione e/o aggiornamento del dato al fine di tutelare la proiezione sociale dell’identità personale del singolo consociato.

Occorre evidenziare che l’orientamento comunitario in tema di bilanciamento della libertà di espressione e del diritto all’oblio nei casi di pubblicazioni elettroniche è stato oggetto della recente sentenza Google Spain che ha disposto l’eliminazione dei link dalla rete mentre sullo stesso tema la Corte EDU, nel caso  Wegrzynowski, ha ritenuto sempre necessaria l’attualità dell’interesse alla pubblicazione (su internet), con soluzione parzialmente difforme.

Il trattamento posto in essere non è conforme alla direttiva 46/95/CE.

Infatti, in base alle fonti del diritto europeo, per come integrate dal diritto vivente delle Corti, il diritto nazionale deve assicurare che tali dati siano rilevanti e non eccessivi in relazione alle finalità per le quali sono archiviati e conservati in una forma tale che consenta l’identificazione del titolare dei dati per una durata non maggiore di quanto necessario.

Deve, inoltre, prevedere adeguate garanzie che i dati personali detenuti siano efficacemente protetti contro usi illegittimi o abusi (misuse or abuse).

Tale chiave di lettura è stata già adottata dalla Cassazione (vedasi la recentissima Ordinanza di rinvio pregiudiziale ex art.267 TUF-295 c.p.c. Cass. Civ. Sez I. n.15096/15 Rel. L. Nazzicone) per la protezione di “particolari” categorie di dati sensibili, quale, per l'appunto, quella relativa ai dati sanitari, che vengono definiti “ultrasensibili”.

Inoltre e più in generale, le Corti (Cfr. CEDU Marper C Regno Unito § 104) sono chiamate ad un esame rigoroso di qualsiasi misura statale che, in assenza dello specifico consenso della persona interessata, consenta alle autorità amministrative di conservare ed utilizzare i suoi dati personali.

Con riguardo ai dati giudiziari delle persone la Corte EDU ha, inoltre, affermato, nel recente caso M.B., che i dati (es. biometrici) possono essere conservati anche per un lungo periodo di tempo, ma solo a condizione che:

I) possano essere utilizzati soltanto dalle autorità competenti per le finalità per le quali sono stati raccolti, e siano cancellati o distrutti alla scadenza del termine di utilizzo;

II) i titolari di tali dati abbiano accesso a un procedimento avanti un organo decidente indipendente ed imparziale al fine di ottenere la rettificazione o la cancellazione dei dati illegittimamente o scorrettamente archiviati.

Analogamente, la Corte Europea ha affermato la violazione dell'art.8 CEDU, già a partire dal caso Leander c. Svezia (riguardante i dati biometrici delle persone) in considerazione delle informazioni sensibili desumibili (proprio come quelli riguardanti lo stato di salute) con i seguenti limiti:

1) il ricorso a simili tecniche deve essere graduato in ragione della quantità e qualità dei dati estraibili, nonché della natura e della gravità degli illeciti;

2) deve essere assicurata la facoltà dei titolari dei diritti di accedere ad un procedimento avanti un organo decidente indipendente ed imparziale al fine di ottenere la rettifica o la cancellazione dei dati illegittimamente o scorrettamente archiviati.

Alcune esempi pratici e rilevanti di violazione:                                   

1)   Centrale rischi e privacy: profili di responsabilità in capo alla Banca d'Italia secondo (Cfr. Cass. civ. Sez. I, 01/04/2009, n. 7958). Un cliente, venne a conoscenza, nel corso del giudizio di separazione personale dalla moglie, che la stessa aveva richiesto l’erogazione di un finanziamento senza la sua approvazione. Successivamente il suo nominativo era stato segnalato presso la Banca d’Italia, tra le posizioni di rischio in “sofferenza”.

La Banca d’Italia non è stata sottratta, in questo caso, alla disciplina dell’art. 15 del D.Lgs. 196 del 2003, rispondendo dei danni cagionati per effetto del trattamento di dati ai sensi dell’art. 2050 c.c.

2)   Motori di ricerca: In questo quadro, la Corte di giustizia si è recentemente espressa affermando che il parametro dell’effettiva conoscenza (fonte di inapplicabilità dell’esenzione di cui all’art. 15 dir. n. 31/2000 CE), debba essere valutato rispetto al ruolo «attivo» svolto dal prestatore con riguardo alla conoscenza e al controllo dei dati memorizzati (v. anche Corte giust. CE, 23.3.2010, cause riunite C-236/08-C-238/08 e 12.7.2011, causa C-324/09 e in tema di tutela penale della privacy Cass. pen., 17.12.2013, n. 5107)

IV. La configurazione del danno: onere della prova

La direttiva n. 95/46/CE, ha imposto agli Stati Membri misure tali da assicurare che il danneggiato abbia “ il diritto di ottenere il risarcimento del pregiudizio subito dal responsabile del trattamento e che il danneggiante possa liberarsi dalla responsabilità solo con la dimostrazione che l’evento dannoso non gli è imputabile ” (art. 23).

L’art. 2050 c.c. pone a carico di chiunque eserciti un’attività pericolosa ogni possibile conseguenza di danno a terzi, se non prova di aver adottato tutte le misure idonee ad evitare il danno.

La responsabilità è fondata sulla colpa, tuttavia deve esaminarsi se la disciplina dettata dal legislatore riguardi chi svolge materialmente l’attività, o chi la organizzi, o entrambi, potendosi configurare, in tale ipotesi, una responsabilità solidale

Si ritiene che la responsabilità vada valutata ed accertata caso per caso, potendosi piuttosto ipotizzare una responsabilità solidale ai sensi dell’art. 2055 c.c. dei soggetti coinvolti (titolare, responsabili, incaricati).

Tuttavia è chiaro che la giurisprudenza sia piuttosto ritrosa a configurare un’ipotesi di responsabilità c.d. oggettiva e un risarcimento “automatico” per ogni violazione; infatti l’orientamento più recente sembra riassumersi nella massima che segue:

“Il danno previsto dall'art. 15 del Codice della privacy (D.Lgs. n. 196 del 2003) non può identificarsi nell'evento dannoso, ovvero nell'illecito trattamento dei dati personali, essendo necessario che si concreti in un pregiudizio della sfera non patrimoniale di interessi del danneggiato. Tale danno, quale danno-conseguenza, deve essere allegato dal danneggiato e, dunque, da lui provato. Cass. civ., Sez. VI - 3, 05/09/2014, n. 18812”

In attesa, dunque, di criteri più certi ed univoci adottati dalle Corti di merito e di legittimità, per la quantificazione dei danni, ed il riparto probatorio, non resta che attendere le prossime pronunce, in auspicata armonia col le fonti del diritto europeo, secondo l’esegesi effettuata dalle Corti Europee.

 

Fonte: www.altalex.com