In tema di protezione dei dati personali

36

Corte di Cassazione, civile, Ordinanza|19 febbraio 2021| n. 4475.

In tema di protezione dei dati personali, l’art. 11, lett. a), del d.lgs. n. 196 del 2003, nel testo applicabile “ratione temporis”, anteriore alle modifiche apportate da d.l. n. 70 del 2011, conv. con modif. dalla l. n. 106 del 2011, delinea la condotta per assicurare il trattamento dei dati personali in modo lecito e secondo correttezza, che il preposto al trattamento dei dati deve serbare nei confronti del loro titolare e non già verso terzi; tuttavia la successiva diffusione di quei dati ad opera di soggetto diverso dal preposto al trattamento non elide la responsabilità di quest’ultimo, non potendosi escludere l’esistenza del nesso causale tra tale comportamento ed il danno lamentato, qualora risulti che le condotte dei terzi non sarebbero state possibili se non fossero stati resi noti i dati personali dei danneggiati. (Nella specie, la S.C. ha cassato la pronuncia di merito che aveva rigettato la domanda di risarcimento per l’illecita diffusione dei propri dati bancari, proposta dai danneggiati nei confronti della compagnia assicuratrice che li aveva risarciti in occasione di un sinistro, per avere indicato i dati stesso in calce all’atto di liquidazione trasmesso al proprio assicurato, il quale li aveva poi diffusi nel corso di una assemblea condominiale).

Ordinanza|19 febbraio 2021| n. 4475

Data udienza 22 ottobre 2020

Integrale

Tag/parola chiave: Tutela della privacy – Dati bancari – Illegittima diffusione – Protezione dei dati personali – Condotte pregiudizievoli – Condizioni

REPUBBLICA ITALIANA

IN NOME DEL POPOLO ITALIANO

LA CORTE SUPREMA DI CASSAZIONE

SEZIONE PRIMA CIVILE

Composta dagli Ill.mi Sigg.ri Magistrati:

Dott. VALITUTTI Antonio – Presidente

Dott. PARISE Clotilde – Consigliere

Dott. MARULLI Marco – Consigliere

Dott. CAIAZZO Rosario – Consigliere

Dott. CAMPESE Eduardo – rel. Consigliere

ha pronunciato la seguente:

ORDINANZA
sul ricorso n. 20600/2015 r.g. proposto da:
(OMISSIS), (cod fisc. (OMISSIS)), e (OMISSIS), (cod. fisc. (OMISSIS)), entrambi rappresentati e difesi, giusta procura speciale apposta a margine del ricorso, dall’Avvocato (OMISSIS), presso il cui studio elettivamente domiciliano in (OMISSIS).
– ricorrenti –
contro
(OMISSIS) S.P.A., (cod. fisc. (OMISSIS)), gia’ (OMISSIS) s.p.a., con sede in (OMISSIS), in persona del procuratore e legale rappresentante pro tempore, Dott. (OMISSIS), rappresentata e difesa, giusta procura speciale apposta in calce al controricorso, dall’Avvocato (OMISSIS), presso il cui studio elettivamente domicilia in (OMISSIS).
– controricorrente e ricorrente incidentale –
e
(OMISSIS), (cod. fisc. (OMISSIS)), rappresentato e difeso, giusta procura speciale apposta a margine del controricorso, dall’Avvocato (OMISSIS), presso il cui studio elettivamente domicilia in (OMISSIS).
– controricorrente –
avverso la sentenza del TRIBUNALE DI ROMA depositata il 27/02/2015;
udita la relazione della causa svolta nella Camera di consiglio del giorno 22/10/2020 dal Consigliere Dott. Eduardo Campese.

FATTI DI CAUSA

1. (OMISSIS) ed (OMISSIS) convennero l’ (OMISSIS) s.p.a. (poi divenuta (OMISSIS) s.p.a.) innanzi al Tribunale di Roma, del Decreto Legislativo n. 196 del 2003, ex articolo 152, chiedendone la condanna al risarcimento di asseriti danni arrecatigli per aver illegittimamente diffuso loro dati bancari. In particolare, lamentarono che: i) la menzionata compagnia assicuratrice aveva violato la normativa dettata dal Decreto Legislativo n. 196 del 2003, in materia di protezione di dati personali, allorquando aveva fornito a (OMISSIS), suo assicurato, una stampa del sistema informativo interno della medesima compagnia nonche’ un atto di liquidazione ove erano riportate, tra l’altro, le loro coordinate IBAN; tale illegittima diffusione gli aveva provocato “fastidio, preoccupazione, disagio” perche’ il (OMISSIS), successivamente, aveva prodotto quella documentazione, all’assemblea del condominio di cui erano parte gli stessi attori, tenutasi il (OMISSIS): un loro dato personale, dunque, era divenuto di dominio pubblico tra i condomini senza alcuna valida ragione e motivazione. Cio’ aveva pure inutilmente complicato una causa pendente nei confronti del medesimo condominio con il quale, peraltro, essi avevano in corso numerosi contenziosi.
1.1. L’adito tribunale, pronunciando nel contraddittorio instauratosi con la compagnia assicuratrice, che aveva contestato l’avversa pretesa, e con (OMISSIS), dalla stessa chiamato in causa al fine di essere manlevata e tenuta indenne dalle eventuali conseguenze negative della lite: a) rigetto’ la domanda degli attori; b) dichiaro’ inammissibile la chiamata del terzo (OMISSIS); c) condanno’ i primi, in solido tra loro, a rifondere le spese legali alla convenuta, a sua volta onerata del pagamento di quelle sostenute dal (OMISSIS).
1.2. Opino’ il giudicante che: i) “…l’atto di cui trattasi va ricondotto nel novero delle transazioni e con esso infatti il beneficiario (OMISSIS) accettava, quale liquidazione amichevole da parte dell’ (OMISSIS), una determinata somma che l’ente assicurativo gli erogava a copertura dell’assicurazione stipulata dal (OMISSIS)”; ii) detta compagnia, quindi, “doverosamente ha trasmesso al suo assicurato l’atto di transazione e quietanza a favore del (OMISSIS), non violando alcun obbligo di custodia e riservatezza di dati sensibili. Non vi e’ stata, pertanto, alcuna indebita ostensione del codice iban degli attori in quanto l’attivita’ della convenuta di trasmettere al (OMISSIS) la copia della quietanza era collegata evidentemente ad un adempimento di natura contrattuale nei confronti del proprio assicurato. La scelta di quest’ultimo di rendere noto, per questioni condominiali, quell’atto in sede di assemblea dei condomini nulla ha a che fare con la legge sulla protezione dei dati personali, in quanto il (OMISSIS) non e’ certo soggetto destinatario della stessa”; iii) “inammissibile (..) e’ la chiamata del terzo da parte dell’ (OMISSIS), poiche’ la normativa di cui si sta trattando investe esclusivamente l’attivita’ della convenuta e non puo’ essere certo applicata all’ulteriore attivita’ del terzo chiamato che, a nessun titolo, ha titolo per garantire la convenuta per la domanda risarcitoria come formulata dagli attori”.
2. Contro la descritta sentenza ricorrono il (OMISSIS) e la (OMISSIS), affidandosi a quattro motivi. Resistono, con distinti controricorsi, il (OMISSIS) e la (OMISSIS) s.p.a. (gia’ (OMISSIS) s.p.a.), quest’ultima proponendo anche ricorso incidentale condizionato recante due motivi, resistito, con controricorso dai ricorrenti principali. La sola (OMISSIS) s.p.a. ha depositato memoria ex articolo 380-bis.1 c.p.c..

RAGIONI DELLA DECISIONE

1. Le censure formulate con il ricorso principale prospettano, rispettivamente:
I) “Art. 360 c.p.c., comma 1, n. 3 – Violazione e falsa applicazione del Decreto Legislativo n. 196 del 2003, articoli 11, 13 e 24”. Si censura la sentenza impugnata per aver ritenuto, erroneamente, che la consegna, da parte della compagnia assicuratrice al (OMISSIS), dell’atto di liquidazione su cui erano indicate le coordinate bancarie degli odierni ricorrenti, rispondesse ad un obbligo contrattuale della prima nei confronti del proprio assicurato, nella specie, peraltro, nemmeno potendosi configurare alcuna delle ipotesi di esclusione del consenso al trattamento dei dati personali previste dal Decreto Legislativo n. 196 del 2003, articolo 24. Inoltre, non si era considerato che, nell’informativa rilasciata al fiduciario dell’assicurazione per lo svolgimento della perizia cui era seguita, poi, la liquidazione predetta, era specificato che “i dati potranno essere da noi comunicati alla Compagnia Assicurativa”, sicche’ che quest’ultima non avrebbe potuto, a sua volta, comunicarli al proprio assicurato (OMISSIS);
II) “Art. 360 c.p.c., comma 1, n. 3 – Violazione e falsa applicazione del provvedimento dell’Autorita’ di protezione dei dati personali dell’8.01.2009”, assumendosi che il decisum del tribunale fosse in contrasto con quanto sancito dall’Autorita’ per la protezione dei dati personali con il provvedimento dell’8.1.2009, secondo il quale il trattamento dei dati personali e’ ammissibile anche senza il consenso dei titolari purche’ avvenga nei “limiti delle finalita’ originarie” ovvero “…in termini compatibili con gli scopi per i quali erano stati raccolti”: ipotesi entrambe insussistenti nella vicenda in esame;
III) “Art. 360 c.p.c., comma 1, n. 3 – Violazione e falsa applicazione dell’articolo 112 c.p.c. “Corrispondenza tra chiesto e pronunciato””. Premettendosi che “oggetto del contendere non era la consegna di documentazione dall’ (OMISSIS), oggi (OMISSIS), al proprio assicurato, bensi’ la violazione dell’obbligo di riservatezza con la divulgazione dei dati personali degli odierni ricorrenti indicati sui documenti in questione e che la compagnia di assicurazione non si era premunita di eliminare; il tutto, quindi, a prescindere dalle modalita’ di diffusione”, si afferma che “su tale aspetto il Giudice non si e’ pronunciato, focalizzando la propria decisione sul rapporto tra Assicurazione e assicurato trascurando l’esame della normativa sul trattamento dei dati personali e sugli obblighi da questa derivanti nei confronti degli attori cosi’ come da questi domandato”;
IV) “Art. 360 c.p.c., comma 1, n. 3 – Violazione e falsa applicazione dell’articolo 116 c.p.c.”, per aver il tribunale capitolino erroneamente qualificato l’atto di liquidazione consegnato dall’assicurazione al (OMISSIS) come “di transazione e quietanza”, dovendosi, invece, esso annoverare, al piu’, tra gli atti “di sola transazione”.
1.1. Le doglianze di cui al ricorso incidentale condizionato di (OMISSIS) s.p.a., invece, denunciano, rispettivamente:
I) “Omesso esame di un fatto decisivo per il giudizio che e’ stato oggetto di discussione tra le parti: assenza del nesso di causalita’ e violazione, da parte del (OMISSIS), del principio costituzionale dell’articolo 15, segretezza delle comunicazioni (articolo 360 c.p.c., comma 1, n. 5)”. Si ascrive alla sentenza impugnata di aver disatteso la domanda di manleva della compagnia assicuratrice verso il (OMISSIS) senza, pero’, prendere in considerazione le eccezioni, sollevate dalla medesima compagnia, relative all’assenza del nesso di causalita’ tra l’asserito illecito e l’eventuale danno ed alla violazione del principi dettati dall’articolo 15 Cost.;
II) “Violazione e falsa applicazione dell’articolo 106 c.p.c. e dell’articolo 91 c.p.c. (articolo 360 c.p.c., comma 1, n. 5)”. Si lamenta la erronea ritenuta inammissibilita’, da parte del tribunale, della chiamata in causa del (OMISSIS), malgrado la connessione chiaramente ravvisabile tra la domanda degli attori e quella di manleva della convenuta verso il terzo. Cio’ si era poi riverberato anche sulla pronuncia riguardante le spese processuali del (OMISSIS), poste, ancora una volta erroneamente, a carico della compagnia assicuratrice convenuta.
2. I primi due motivi del ricorso principale sono scrutinabili congiuntamente perche’ evidentemente connessi.
2.1. Peraltro: i) in relazione ad entrambi, va rapidamente disattesa l’eccezione di inammissibilita’ proposta dalla (OMISSIS) s.p.a., ai sensi dell’articolo 366 c.p.c., comma 1, n. 6, per difetto di autosufficienza. Invero, i fatti di causa a base degli stessi sono assolutamente pacifici, cosi’ come la questione giuridica sottoposta all’attenzione di questa Corte (se l’asserito adempimento di un obbligo contrattuale tra due privati possa, o meno, giustificare l’avvenuta diffusione, da parte di uno di essi, di un dato personale di un soggetto terzo senza il proprio consenso): la loro decisione, dunque, non suppone l’esame di documenti su cui i medesimi sono fondati, sicche’ non hanno rilievo le prescrizioni dettate dall’articolo 366 c.p.c., comma 1, n. 6 e articolo 369 c.p.c., comma 2, n. 4 (cfr., in termini, Cass. n. 12417 del 2017, richiamata, in motivazione, dalla piu’ recente Cass. n. 20721 del 2018); quanto, invece, al secondo profilo di stesura deve rimarcarsi che l’ivi richiamato “provvedimento” dell’8.1.2009 dell’Autorita’ per la protezione dei dati personali certamente non riveste natura di atto normativo, bensi’ di atto amministrativo, sicche’ la sua violazione non e’ denunciabile in cassazione ai sensi dell’articolo 360 c.p.c., comma 1, n. 3.
2.2. Fermo quanto precede, le doglianze in esame meritano accoglimento esclusivamente nei limiti di cui appresso.
2.3. Costituiscono circostanze fattuali sostanzialmente incontroverse: i) che l’ (OMISSIS) s.p.a., oggi (OMISSIS) s.p.a., comunico’ al (OMISSIS), suo assicurato e responsabile per alcune infiltrazioni d’acqua verificatisi nell’appartamento del (OMISSIS) e della (OMISSIS), le coordinate bancarie di questi ultimi acquisite tramite un proprio fiduciario (tale (OMISSIS)), che aveva compiuto le indagini di rito sullo stato dei luoghi, per istruire e definire la relativa pratica tramite il pagamento dei danni dagli stessi subiti. In particolare, la menzionata compagnia assicuratrice, specificamente richiestane dal (OMISSIS), aveva trasmesso al proprio assicurato la copia dell’atto di liquidazione con in calce indicate le coordinate bancarie; ii) che, successivamente, il (OMISSIS) aveva divulgato le dette informazioni nel corso di un’assemblea condominiale depositando la documentazione rilasciatagli dall’assicurazione ed allegandola al relativo verbale di assemblea. In quell’occasione, il (OMISSIS) e la (OMISSIS), partecipi del medesimo condominio, appresero della trasmissione dei loro dati personali al (OMISSIS) ad opera della suddetta compagnia.
2.4. Quello oggetto della controversia, dunque, e’ da qualificarsi come un dato personale ai sensi del Decreto Legislativo n. 196 del 2003, articolo 4, lettera b), (nel testo, qui applicabile ratione temporis, anteriore alle modifiche apportategli dal Decreto Legge n. 201 del 2011, convertito, con modificazioni, dalla L. n. 214 del 2011), rientrando in tale nozione “qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”. Come tale esso e’ assoggettato alla disciplina dettata dal menzionato D.Lgs..
2.4.1. Come chiarito, poi, da Cass. n. 1593 del 2013 (cfr. in motivazione), i dati personali oggetto di trattamento debbono essere: a) trattati in modo lecito e secondo correttezza; b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi; c) esatti e, se necessario, aggiornati; d) pertinenti, completi e non eccedenti rispetto alle finalita’ per le quali sono raccolti o successivamente trattati; e) conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.
2.4.2. La liceita’ del trattamento, inoltre, trova fondamento pure nella finalita’ del medesimo, quest’ultima costituendo un vero e proprio limite intrinseco del trattamento lecito dei dati personali, che fonda l’attribuzione all’interessato del potere di relativo controllo (tanto con riferimento alle finalita’ originarie che ai successivi impieghi), con facolta’ di orientarne la selezione, la conservazione e l’utilizzazione. L’interessato, quindi, ha diritto a che l’informazione oggetto di trattamento risponda ai criteri di proporzionalita’, necessita’, pertinenza allo scopo, esattezza e coerenza con la sua attuale ed effettiva identita’ personale o morale (cd. principi di proporzionalita’, pertinenza e non eccedenza, di cui al Decreto Legislativo n. 196 del 2003, articolo 11, aventi carattere generale, nel senso che trovano applicazione in riferimento a tutti i trattamenti, pubblici e privati, segnando i confini di liceita’ degli stessi, ove la stessa regolamentazione specifica di settore non ne limiti o conformi diversamente la portata. Cfr. Cass. n. 16133 del 2014). Allo stesso, pertanto, e’ attribuito il diritto di conoscere in ogni momento chi possiede i suoi dati personali e come li adopera, nonche’ di opporsi al trattamento dei medesimi, ancorche’ pertinenti allo scopo della raccolta, ovvero di ingerirsi al riguardo, chiedendone la cancellazione, la trasformazione, il blocco, ovvero la rettificazione, l’aggiornamento, l’integrazione (articolo 7 del citato D.Lgs.).
2.4.3. Al di la’ delle specifiche fonti normative, e’ in ogni caso il principio di correttezza (quale generale principio di solidarieta’ sociale – che trova applicazione anche in tema di responsabilita’ extracontrattuale – in base al quale il soggetto e’ tenuto a mantenere nei rapporti della vita di relazione un comportamento leale, specificantesi in obblighi di informazione e di avviso, nonche’ volto alla salvaguardia dell’utilita’ altrui – nei limiti dell’apprezzabile sacrificio -, dalla cui violazione conseguono profili di responsabilita’ in ordine ad affidamenti anche solo colposamente ingenerati nei terzi. Cfr., ex multis, Cass. n. 3651 del 2006; Cass. n. 23273 del 2006; Cass. n. 3462 del 2007; Cass. n. 8826 del 2007; Cass. n. 16315 del 2007; Cass. n. 22860 del 2007; Cass., SU, n. 28056 del 2008; Cass. n. 9404 del 2011; Cass. n. 17685 del 2011; Cass. n. 1593 del 2013) a fondare in termini generali l’esigenza del bilanciamento in concreto degli interessi, e, conseguentemente, il diritto dell’interessato ad opporsi al trattamento, quand’anche lecito, dei propri dati (cfr. Cass. n. 5524 del 2012; Cass. n. 1593 del 2013).
2.4.4. Imprescindibile rilievo assume, a tale stregua, il bilanciamento tra contrapposti diritti e liberta’ fondamentali, dovendo al riguardo tenersi conto del rango di diritto fondamentale assunto dal diritto alla protezione dei dati personali, tutelato agli articoli 21 e 2 Cost., nonche’ all’articolo 8 Carta dei diritti fondamentali dell’U.E., quale diritto a mantenere il controllo sulle proprie informazioni che, spettando a “chiunque” (Decreto Legislativo n. 196 del 2003, articolo 1) e ad “ogni persona” (articolo 8 della Carta predetta), nei diversi contesti ed ambienti di vita, “concorre a delineare l’assetto di una societa’ rispettosa dell’altro e della sua dignita’ in condizioni di eguaglianza” (cfr. Cass. n. 186 del 2011).
2.4.5. Va ricordato, infine, che, come sottolineato da Cass. n. 1655 del 2016, del Decreto Legislativo n. 196 del 2003, articolo 24, lettera b), (per quanto qui di specifico interesse, nel testo, applicabile ratione temporis, anteriore alle modifiche apportategli dal Decreto Legge n. 70 del 2011, convertito, con modificazioni, dalla L. n. 106 del 2011) indica tra i casi nei quali il trattamento dei dati puo’ essere effettuato senza consenso quello in cui il trattamento stesso sia necessario per eseguire obblighi derivante da un contratto del quale e’ parte l’interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste di questi. La norma, al pari di quelle contenute nelle lettera d) ed i-ter), e’ evidentemente intesa a favorire lo svolgersi dei rapporti commerciali e richiede che il trattamento sia necessario ai fini della conclusione o dell’esecuzione del contratto.
2.5. Orbene, alla stregua dei principi tutti finora esposti, che il Collegio condivide integralmente, deve ritenersi erroneo, nella specie, il convincimento del tribunale capitolino quanto alla legittimita’ della condotta di (OMISSIS) s.p.a. (oggi (OMISSIS) s.p.a.) concretatasi nella comunicazione al (OMISSIS), suo assicurato, della copia dell’atto di liquidazione dei danni accertati dal proprio fiduciario, nell’appartamento degli odierni ricorrenti, recante in calce le coordinate bancarie (codice IBAN) di questi ultimi. Ne’, in contrario, puo’ essere dirimente l’assunto di quel giudice secondo cui, sostanzialmente, tale condotta era da ricondursi ad un adempimento di natura contrattuale della compagnia assicuratrice nei confronti del proprio assicurato.
2.5.1. Invero, occorre immediatamente sottolineare che il comportamento richiesto dal Decreto Legislativo n. 196 del 2003, articolo 11, lettera a), (I dati personali oggetto di trattamento sono trattati in modo lecito e secondo correttezza), ripetutamente invocato dalla suddetta compagnia per legittimare il proprio operato, si riferisce chiaramente alla condotta che deve essere tenuta dal preposto al trattamento dei dati, nello specifico, (OMISSIS) s.p.a., ora (OMISSIS) s.p.a., nei confronti del titolare dei dati medesimi e non gia’ nei confronti di altri e diversi soggetti, quale e’ il (OMISSIS).
2.5.2. Quanto, poi, al preteso obbligo della medesima compagnia assicuratrice di fornire una prova al proprio assicurato dell’avvenuto risarcimento del danno in favore del (OMISSIS) e della (OMISSIS), esso non puo’ in alcun modo ricomprendere anche la diffusione delle coordinate bancarie delle persone risarcite, atteso che tale trasmissione dei dati – come affatto condivisibilmente osservato dalla difesa dei ricorrenti – oltre a non essere funzionale all’attivita’ per cui gli stessi erano stati raccolti, neppure era necessaria per adempiere al predetto obbligo. Infatti, sarebbe stato sufficiente inviare al (OMISSIS) una comunicazione in cui si dava atto dell’intervenuto ristoro dei danni, come solitamente d’uso nelle compagnie, e/o, al piu’, consegnargli la quietanza dopo averne debitamente oscurato le informazioni sui dati personali non divulgabili ai sensi della normativa sulla privacy.
2.5.2.1. In altri termini, esigenze di mera prova, da parte dell’assicurato, dell’avvenuto adempimento dell’obbligo contrattualmente assunto dall’assicuratore nei suoi confronti di tenerlo indenne dalle pretese risarcitorie di soggetti terzi rientranti nell’oggetto dello stipulato contratto di assicurazione, non possono considerarsi prevalenti sul diritto alla riservatezza ed alla tutela dei dati personali di quei soggetti terzi, assumendo fondamentale rilievo, al riguardo, il rispetto dei cd. principi di proporzionalita’, pertinenza e non eccedenza di cui al Decreto Legislativo n. 196 del 2003, citato articolo 11. A tale stregua, nella specie, le informazioni, in calce alla copia dell’atto di liquidazione, circa le coordinate bancarie del (OMISSIS) e della (OMISSIS), dovevano essere comunicati dalla compagnia assicuratrice solamente agli aventi diritto alla relativa conoscenza, e cioe’ agli odierni ricorrenti, non anche, a chi, l’assicurato (OMISSIS), non vi avrebbe avuto specifico interesse, atteso che a quest’ultimo sarebbe bastato ricevere una comunicazione di intervenuto ristoro dei danni, e/o, al piu’, la quietanza priva delle informazioni (ovvero debitamente oscurate) sui dati personali non divulgabili ai sensi della disciplina in tema di privacy.
2.5.3. A tanto va solo aggiunto che: i) come si e’ gia’ detto, del Decreto Legislativo n. 196 del 2003, articolo 24, lettera b), il trattamento dei dati personali puo’ essere effettuato senza consenso dell’interessato allorquando il trattamento stesso sia necessario per eseguire obblighi derivante da un contratto del quale e’ parte l’interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste di questi. Entrambe tali fattispecie, pero’, non sono configurabili nell’odierna vicenda, in cui il contratto di assicurazione del cui adempimento si tratta non aveva come suoi contraenti gli odierni ricorrenti; ii) il consenso al trattamento dei propri dati personali rilasciato dal (OMISSIS) e dalla (OMISSIS) al fiduciario della compagnia assicuratrice, del Decreto Legislativo n. 196 del 2003, ex articolo 13, consentiva allo stesso, ragionevolmente, di comunicare quei dati alla compagnia medesima, ma non certamente a quest’ultima di diffonderli ulteriormente ed affatto inutilmente; iii) il richiamo al provvedimento dell’Autorita’ garante per la tutela della privacy dell’8.1.2009, al di la’ di quanto si e’ gia’ detto circa l’impossibilita’ di dedurne oggi l’inosservanza come violazione di legge, e’ comunque non pertinente, riguardando una fattispecie (operazioni di cessione di complessi di beni e contratti) assolutamente diversa da quella di cui oggi in esame; iv) la successiva divulgazione, ad opera, del (OMISSIS), di quelle informazioni, nel corso di un’assemblea del condominio di cui erano partecipi anche il (OMISSIS) e la (OMISSIS), non elide la descritta, originaria condotta illegittima della compagnia assicuratrice (cfr. Cass. n. 14694 del 2016, a tenore della quale, “in materia di protezione di dati personali, quando la loro illecita diffusione abbia dato luogo a condotte pregiudizievoli poste in essere da soggetti diversi dagli autori della divulgazione, non puo’, per cio’ solo, escludersi l’esistenza – tra tale comportamento ed il danno lamentato – del nesso causale, dovendo la sua ricorrenza essere comunque affermata qualora risulti che le condotte dei terzi non sarebbero state possibili se non fossero stati resi noti i dati personali dei danneggiati”), avendo, al piu’, ulteriormente contribuito all’eventuale verificarsi degli asseriti danni pretesi da questi ultimi, il cui concreto accertamento, pero’ – pretermesso dal tribunale a quo fermatosi all’insussistenza dell’an di un tale pregiudizio, senza indagarne il quantum – andra’ rimesso al giudice di rinvio, unitamente a quello concernente il necessario, corrispondente nesso di causalita’, implicando valutazioni fattuali non consentite a questa Corte.
3. Il terzo ed il quarto motivo del ricorso principale possono essere considerati assorbiti.
4. L’accoglimento, nei limiti di cui si e’ detto, del ricorso principale impone, a questo punto, l’esame del ricorso incidentale condizionato della (OMISSIS) s.p.a., le cui doglianze sono scrutinabili congiuntamente perche’ chiaramente connesse e si rivelano fondate nei limiti di cui appresso.
4.1. Il tribunale romano ha considerato “inammissibile” la chiamata del (OMISSIS) da parte della predetta compagnia assicuratrice “…poiche’ la normativa di cui si sta trattando investe esclusivamente l’attivita’ della convenuta e non puo’ essere certo applicata all’ulteriore attivita’ del terzo chiamato che, a nessun titolo, ha titolo per garantire la convenuta per la domanda risarcitoria come formulata dagli attori”.
4.2. Una siffatta conclusione non convince posto che, come si e’ gia’ riferito, l’avvenuta divulgazione, ad opera, del (OMISSIS), delle coordinate bancarie degli originari attori, nel corso di un’assemblea del condominio di cui erano partecipi anche questi ultimi, pur non avendo eliso la descritta, originaria condotta illegittima della compagnia assicuratrice, potrebbe avere ulteriormente contribuito all’eventuale verificarsi degli asseriti danni dagli stessi pretesi.
4.3. Nella specie, poi, la chiamata in garanzia esercitata da (OMISSIS) s.p.a., oggi (OMISSIS) s.p.a., nei confronti del (OMISSIS), per essere tenuta indenne dalle conseguenze della eventuale condanna, e’ chiaramente avvenuta sul presupposto dell’esistenza di una connessione tra i titoli delle domande principale e quella di garanzia: precisamente di un rapporto di pregiudizialita’ – dipendenza tra la prima e la seconda, nel senso che l’eventuale condanna della menzionata compagnia assicuratrice, nell’ipotesi di accoglimento della domanda del (OMISSIS) e della (OMISSIS), concorre necessariamente a costituire il titolo della richiesta di eventuale manleva.
4.3.1. In altri termini, come emerge dall’esame dei suoi scritti di primo grado oggi riportati nel suo controricorso (cfr. pag. 24 e ss.), la citata compagnia ha fatto valere verso il chiamato una pretesa sostanziale lato sensu risarcitoria che discende non dal titolo giudiziale dipendente da quello azionato dagli attori, ma da un titolo autonomo ancorche’ fondato su analoghe pretese in fatto.
4.4. E’ intuitivo, allora, che, sussistendone i presupposti di cui all’articolo 106 c.p.c., quella chiamata in causa non poteva essere dichiarata inammissibile. Invero, la nozione di garanzia su cui la citata norma fonda in via alternativa alla comunanza di causa – il diritto di chiamare in giudizio un terzo, ricomprende anche la cd. garanzia impropria. Quest’ultima si verifica – a differenza della garanzia propria, che si ha quando la domanda principale e quella di garanzia hanno lo stesso titolo, o quando si verifica una connessione obiettiva tra i titoli delle due domande o quando sia unico il fatto generatore della responsabilita’ prospettata con l’azione principale e con quella di regresso – quando il convenuto tende a riversare sul terzo (come nella specie) le conseguenze del proprio inadempimento o, comunque, della lite in cui e’ coinvolto, in base ad un titolo diverso da quello dedotto con la domanda principale (cfr. Cass. n. 17688 del 2009).
4.4.1. Resta fermo, ovviamente, che la diversa valutazione riguardante la fondatezza, o non, della domanda tramite essa veicolata dovra’ essere effettuata dal giudice di rinvio all’esito, ove positivo, degli accertamenti gia’ demandatigli in relazione all’esistenza, o meno, della prova del quantum della pretesa risarcitoria degli attori e della sussistenza del relativo nesso di causalita’ con la illegittima condotta della compagnia assicuratrice, nonche’ tenendo conto dell’incidenza, sul quantum predetto, del concreto contributo causale riconducibile alla specifica condotta del (OMISSIS).
4.5. Ogni altra argomentazione del ricorso incidentale condizionato puo’ considerarsi assorbita.
5. In conclusione, il ricorso principale deve essere accolto, nei limiti di cui si e’ detto, in relazione ai primi due motivi, con assorbimento degli altri, e parimenti va accolto, nei termini appena descritti, il ricorso incidentale condizionato della (OMISSIS) s.p.a.. Pertanto, la sentenza impugnata deve essere cassata con rinvio al Tribunale di Roma, in persona di diverso magistrato, per il corrispondente nuovo esame e la regolamentazione delle spese di questo giudizio di legittimita’.
6. Va, disposta, infine, per l’ipotesi di diffusione del presente provvedimento, l’omissione delle generalita’ e degli altri dati identificativi a norma del Decreto Legislativo n. 196 del 2003, articolo 52.
P.Q.M.
La Corte accoglie, nei limiti di cui in motivazione, il primo ed il secondo motivo del ricorso principale, con assorbimento degli altri; accoglie, altresi’, il ricorso incidentale condizionato della (OMISSIS) s.p.a..
Cassa la sentenza impugnata e rinvia al Tribunale di Roma, in persona di diverso magistrato, per il corrispondente nuovo esame e la regolamentazione delle spese di questo giudizio di legittimita’.
Disposta, per l’ipotesi di diffusione del presente provvedimento, l’omissione delle generalita’ e degli altri dati identificativi a norma del Decreto Legislativo n. 196 del 2003, articolo 52.

In caso di diffusione omettere le generalità e gli altri dati identificativi dei soggetti interessati nei termini indicati.

Per aprire la pagina facebook @avvrenatodisa
Cliccare qui