Trattamento di dati personali

37

Corte di Cassazione, civile, Ordinanza|2 luglio 2021| n. 18783.

In tema di trattamento di dati personali, integra violazione del diritto alla riservatezza e dell’art.11 del d.lgs. n.196 del 2003, sulle modalità del predetto trattamento, la condotta del creditore, il quale, nell’ambito dell’attività di recupero credito, svolta direttamente o per mezzo di incaricati, comunichi a terzi informazioni, dati e notizie relative all’inadempimento del debitore oppure utilizzi modalità che palesino ad osservatori esterni il contenuto di una comunicazione diretta al debitore senza circoscriverla ai dati strettamente necessari all’attività recuperatoria.

Ordinanza|2 luglio 2021| n. 18783. Trattamento di dati personali

Data udienza 24 marzo 2021

Integrale

Tag/parola chiave: Privacy – Dati personali – Comunicazioni – Attività di recupero crediti – Art. 11 dlgs 196/2003

REPUBBLICA ITALIANA

IN NOME DEL POPOLO ITALIANO

LA CORTE SUPREMA DI CASSAZIONE

SEZIONE PRIMA CIVILE

Composta dagli Ill.mi Sigg.ri Magistrati:

Dott. GENOVESE Francesco A. – Presidente

Dott. DI MARZIO Mauro – Consigliere

Dott. TRICOMI Laura – rel. Consigliere

Dott. TERRUSI Francesco – Consigliere

Dott. LAMORGESE Antonio Pietro – Consigliere

ha pronunciato la seguente:

ORDINANZA
sul ricorso 17687/2018 proposto da:
Ministero degli Affari Esteri e della Cooperazione internazionale, in persona del Ministro pro tempore, domiciliato in Roma, Via dei Portoghesi n. 12, presso l’Avvocatura Generale dello Stato, che lo rappresenta e difende ope legis;
– ricorrente –
contro
(OMISSIS), elettivamente domiciliata in (OMISSIS), presso lo studio dell’avvocato (OMISSIS), che la rappresenta e difende unitamente all’avvocato (OMISSIS), giusta procura a margine del controricorso e procura in calce alla comparsa costituzione nuovo difensore;
– controricorrente –
avverso la sentenza n. 8438/2018 del TRIBUNALE di ROMA, pubblicata il 07/05/2018;
udita la relazione della causa svolta nella camera di consiglio del 24/03/2021 dal cons. TRICOMI LAURA.

RITENUTO

CHE:
Con ricorso al Tribunale di Roma, (OMISSIS) aveva agito per sentir accertare la natura illecita della condotta posta in essere dal Ministero degli Affari Esteri e della Cooperazione Internazionale (di seguito, MAECI), in violazione del combinato disposto di cui al Decreto Legislativo n. 196 del 203, articolo 15 e articolo 2050 c.c. e per l’effetto condannare l’Amministrazione al risarcimento del danno subito dalla ricorrente in dipendenza della riferita condotta nella misura di Euro 30.000,00=, ovvero nella misura riconosciuta dal giudice. La condotta contestata consisteva nell’invio da parte del MAECI all’indirizzo PEC dell’Istituto scolastico (OMISSIS), ove ella prestava servizio, di due comunicazioni, contenenti dati personali – segnatamente informazioni relative ad un contenzioso intercorso con il MAECI, nel quale ella era risultata soccombente e tenuta al pagamento delle spese di lite ed alle operazioni volte al recupero delle spese.
Il Tribunale ha accolto il ricorso, ritenendo che l’Amministrazione, utilizzando un canale di comunicazione istituzionale e con le modalita’ in concreto adottate, aveva posto in essere un trattamento in violazione degli obblighi di rispetto della riservatezza gravanti sulla stessa Amministrazione, perche’ in tal modo il dirigente scolastico ed il personale di segreteria addetto alla ricezione della corrispondenza avevano avuto accesso a dati personali della (OMISSIS).
Quanto alla prima comunicazione a mezzo PEC del gennaio 2015, indirizzata personalmente a (OMISSIS), il Tribunale ha accertato che detta comunicazione conteneva dati personali – in quanto integrava una diffida ed una messa in mora, relativa al pagamento delle spese di lite di un procedimento svoltosi con esito favorevole per l’Amministrazione dinanzi al giudice del lavoro – ed avrebbe dovuto essere comunicata privatamente, non inerendo all’attivita’ di insegnante prestata presso l’istituto stesso, mentre in tal modo vi avevano avuto accesso il dirigente scolastico ed il personale di segreteria; che l’amministrazione non aveva dimostrato di aver posto in essere le dovute cautele e la diligenza necessaria ad evitare il danno, a fronte della presunzione di responsabilita’ ex articolo 2050 c.c. in capo a chi effettua un trattamento ritenuto attivita’ pericolosa dal legislatore.
Il Tribunale ha accertato la lesivita’ del diritto alla riservatezza anche in relazione alla seconda comunicazione del novembre 2015, osservando che il canale comunicativo istituzionale (PEC) non era stato utilizzato solo per richiedere le coordinate stipendiali della (OMISSIS) funzionali al recupero forzoso del credito, perche’ nella premessa era stata esposta tutta la vicenda privata relativa all’inadempimento ed alla messa in mora, in violazione dell’orientamento espresso dal garante circa la necessita’ di modalita’ riservate per le comunicazioni di diffida e messa in mora e circa la residualita’ dell’invio delle stesse presso il luogo di lavoro, solo in caso dell’infruttuoso esito di tentativi presso l’indirizzo privato del debitore.
Ha, quindi, accolto la domanda risarcitoria, ravvisata la responsabilita’ aquiliana dell’Amministrazione ai sensi degli articoli 2043, 2050 e 2059 c.c., oltre che del Decreto Legislativo n. 196 del 2003, articolo 15, e condannato il MAECI al risarcimento del danno non patrimoniale subito da (OMISSIS), quantificato in Euro 10.000,00, in via equitativa.
Il MAECI ha proposto ricorso per cassazione con un motivo; (OMISSIS) ha replicato con controricorso corroborato da memoria.
CONSIDERATO
CHE:
1.1. In via preliminare e’ opportuno precisare che, poiche’ si discute di trattamento di dati personali avvenuto tra gennaio e novembre 2015, al caso in esame si applica il codice della privacy (Decreto Legislativo 30 giugno 2003, n. 196) nella stesura anteriore alle modifiche introdotte con il Decreto Legislativo 10 agosto 2018, n. 101 di adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016, entrato in vigore il 25 maggio 2018 (articolo 99, comma 2, del Regolamento).
1.2. Va quindi affermata la ammissibilita’ del ricorso per cassazione. In proposito va ribadito che nel giudizio avente ad oggetto tanto la lesione del diritto alla protezione dei dati personali, cui si applica la disciplina processuale speciale di cui al Decreto Legislativo n. 150 del 2011, articolo 10 – che non prevede la ricorribilita’ in appello -, quanto la domanda di risarcimento del danno per la lesione dei diritti alla riservatezza ed all’immagine, cui si applica il rito ordinario, al fine di identificare il mezzo di impugnazione esperibile, in ossequio al principio dell’apparenza, deve farsi riferimento esclusivo a quanto previsto dalla legge per le decisioni emesse secondo il rito in concreto adottato in relazione alla qualificazione dell’azione effettuata dal giudice (Cass. n. 29336 del 22/12/2020); pertanto, qualora il Tribunale – come nel caso in esame – abbia ritenuto di giudicare unitariamente sulle domande, applicando il rito speciale mutuato dal diritto del lavoro, in quanto i danni risarcibili erano stati prospettati come conseguenza dell’illecita diffusione dei dati personali, risulta rettamente proposto il ricorso per cassazione avverso la sentenza in unico grado.
2.1. Con l’unico motivo il MAECI ha denunciato la violazione del Decreto Legislativo n. 196 del 2003, articoli 11 e 15 e dell’articolo 2050 c.c. in combinato disposto, sostenendo la liceita’ del trattamento di cui si discute.
Quanto alla prima comunicazione del 23 gennaio 2015, inviata all’indirizzo PEC dell’Istituto dove la (OMISSIS) prestava servizio, sostiene che si trattava, e’ vero, di una diffida rivolta alla dipendente, ma che andava considerato che la comunicazione costituiva “un provvedimento datoriale, come tale di competenza del Dirigente scolastico Decreto Legislativo n. 165 del 2001, ex articolo 25, comma 4” che prevede che “nell’ambito delle funzioni attribuite alle istituzioni scolastiche, spetta al dirigente l’adozione dei provvedimenti di gestione delle risorse e del personale”.
Sostiene che il Dirigente scolastico aveva, ad ogni modo, pieno titolo a conoscere e che l’Amministrazione avrebbe potuto incaricarlo di procedere al recupero.
Infine, osservando che la quantificazione del danno era stata compiuta dal Tribunale tenendo conto della recidiva, in ragione dell’invio della seconda mail, il MAECI ha rappresentato che ove venisse ritenuta lecita anche una sola mail la decisione andrebbe comunque cassata per consentire la nuova quantificazione del risarcimento.
2.2. Il motivo e’ infondato.
2.3. Risulta incontestato che delle due mail inviate all’indirizzo PEC dell’Istituto scolastico ove la (OMISSIS) prestava servizio, la prima diretta alla (OMISSIS) – conteneva una diffida ad adempiere ed una messa in mora per spese legali, conseguenti ad un pregresso contenzioso, mentre la seconda – indirizzata all’Istituto, e solo per conoscenza alla (OMISSIS) – conteneva, oltre la richiesta dei dati stipendiali necessari a promuovere l’azione di recupero forzoso, la dettagliata esposizione di tutta la vicenda debitoria e della inutile diffida e messa in mora. Risulta altresi’ incontestato che, in ragione dell’utilizzo della PEC istituzionale vennero a conoscenza del contenuto di entrambe le mail il Dirigente scolastico ed il personale di segreteria, condotta ritenuta lesiva del diritto alla riservatezza della (OMISSIS).
2.4. Sul piano normativo va rammentato che il Decreto Legislativo n. 196 del 2003, articolo 11, comma 1, (vigente ratione temporis), nel fissare le modalita’ del trattamento ed i requisiti dei dati, stabilisce “1. I dati personali oggetto di trattamento sono: a) trattati in modo lecito e secondo correttezza; b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi; c) esatti e, se necessario, aggiornati; d) pertinenti, completi e non eccedenti rispetto alle finalita’ per le quali sono raccolti o successivamente trattati; e) conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti successivamente trattati”.
Per quanto riguardo lo specifico campo dell’attivita’ di recupero crediti, si registra altresi’ l’intervento dell’Autorita’ per la protezione dei dati personali che, con un provvedimento generale emesso in data 30 novembre 2005, ai sensi del Decreto Legislativo n. 196 del 2003, articolo 154, comma 1, lettera c), ha prescritto le misure necessarie perche’ l’attivita’ di recupero crediti, sia che si realizzi direttamente a cura del creditore, sia che venga attuata nel suo interesse da terzi, si svolga nel rispetto dei principi di liceita’, correttezza e pertinenza fissati dall’articolo 11, comma 1 cit., evitando comportamenti che possano ledere la riservatezza del debitore in merito alle sue vicende personali.
Il provvedimento e’ stato emanato per contrastare l’esistenza di alcune prassi finalizzate al recupero stragiudiziale dei crediti, caratterizzate da modalita’ di ricerca e di presa di contatto invasive e, talora, lesive della riservatezza e della dignita’ personale.
Tra l’altro, l’Autorita’ ha puntualizzato che il trattamento dei dati personali del debitore, nell’ambito dell’attivita’ di recupero crediti deve rispettare:
il “principio di liceita’ nel trattamento”, che puo’ ritenersi violato, ad esempio, dal comportamento consistente nel comunicare ingiustificatamente a soggetti terzi rispetto al debitore (quali, ad esempio, familiari, coabitanti, colleghi di lavoro o vicini di casa), informazioni relative alla condizione di inadempimento nella quale versa l’interessato;
il “principio di correttezza nel trattamento”, in ragione del quale devono ritenersi preclusi, sia in fase di raccolta delle informazioni sul debitore, sia nel tentativo di prendere contatto con il medesimo (anche attraverso terzi), comportamenti suscettibili di incidere sulla sua dignita’, qui riguardata sul solo piano della disciplina di protezione dei dati personali; tale principio puo’ ritenersi violato, tra l’altro, quando le sollecitazioni di pagamento siano portate a conoscenza di persone diverse dal debitore, come puo’ accadere nel caso di utilizzo di cartoline postali o tramite l’invio di plichi recanti all’esterno la scritta “recupero crediti” (o locuzioni simili, dalle quali possa comunque desumersi l’informazione relativa all’asserito stato di inadempimento del destinatario);
il “principio di pertinenza e finalita’”, desunto sempre dal Decreto Legislativo n. 196 del 2003, articolo 11, in ragione del quale possono formare oggetto di trattamento i soli dati necessari all’esecuzione dell’incarico, con particolare riferimento ai dati anagrafici riferiti al debitore, codice fiscale (o partita Iva del medesimo), ammontare del credito vantato (unitamente alle condizioni del pagamento) e recapiti (anche telefonici), di norma forniti dall’interessato in sede di conclusione del contratto o comunque desumibili da elenchi o registri pubblici.
2.5. Nel caso in esame entrambe le comunicazioni, indubitabilmente, hanno comportato il trattamento dei dati personali e sono state espressione di attivita’ volta al recupero del credito vantato dall’Amministrazione.
La decisione impugnata risulta immune dal vizi denunciati in quanto, in applicazione degli anzidetti principi, ha rettamente ravvisato la illiceita’ del trattamento, posto che i dati concernenti la debitoria della (OMISSIS) – in violazione del principio di correttezza – non sono stati comunicati a lei personalmente, ma ingiustificatamente avvalendosi della PEC istituzionale del datore di lavoro, il che ha consentito l’accesso e la conoscenza di tali dati – insita nell’utilizzo del mezzo di comunicazione adoperato – da parte dal dirigente scolastico e dal personale di segreteria, nonostante il carattere privato degli stessi; inoltre, per quanto riguarda la seconda comunicazione va osservato che la liceita’ della richiesta dei dati stipendiali della debitrice rivolta al datore di lavoro, pur ravvisata dal Tribunale, non esonerava il creditore dal rispettare i canoni di pertinenza e di finalita’, che impongono di limitare allo stretto necessario i dati e le informazioni sulla posizione debitoria dell’interessato, e che – come accertato dal Tribunale – nel presente caso sono stati palesemente violati.
2.6. Ne’ quanto dedotto, peraltro in via solo ipotetica dal MAECI, circa la possibilita’ di delegare il Dirigente scolastico per l’esecuzione del recupero credito, e’ idoneo a mutare tali conclusioni: da un lato, cio’ non integra una giustificazione alla ampia propalazione dei dati accertata nel caso specifico; dall’altro non appare decisiva, posto che il creditore, anche nel caso in cui intenda avvalersi di un terzo per il recupero del credito deve ugualmente rispettare i principi prima ricordati e deve altresi’ assicurarsi che cio’ avvenga anche a cura dell’incaricato, mentre le modalita’ in concreto attuate non appaiono in alcun modo conformi ai principi anzidetti per le ragioni esposte.
2.7. Va pertanto affermato il seguente principio:
“In tema di trattamento dei dati personali, di cui al Decreto Legislativo n. 196 del 2003, integra una violazione del diritto alla riservatezza e dell’articolo 11 del cit. Cod. Privacy, il comportamento di un creditore il quale, nell’ambito dell’attivita’ di recupero credito, svolta direttamente ovvero avvalendosi di un incaricato, comunichi a terzi (familiari, coabitanti, colleghi di lavoro o vicini di casa), piuttosto che al debitore, le informazioni, i dati e le notizie relative all’inadempimento nel quale questo versi oppure utilizzi modalita’ che palesino a osservatori esterni il contenuto della comunicazione senza rispettare il dovere di circoscrivere la comunicazione, diretta al debitore, ai dati strettamente necessari all’attivita’ recuperatoria”.
3. In conclusione, il ricorso va rigettato.
Le spese seguono la soccombenza nella misura liquidata in dispositivo.
Va disposto che in caso di diffusione della presente ordinanza siano omesse le generalita’ delle parti e dei soggetti in essa menzionati, a norma del Decreto Legislativo n. 196 del 2003, articolo 52.
Non trova applicazione l’obbligo di versare, ai sensi del Decreto del Presidente della Repubblica n. 115 del 2002, articolo 13, comma 1 quater, nel testo introdotto dalla L. n. 228 del 2012, articolo 1, comma 17, un ulteriore importo a titolo di contributo unificato, nei confronti dell’Amministrazione dello Stato che, mediante il meccanismo della prenotazione a debito ex articolo 158 del Decreto del Presidente della Repubblica cit., e’ esentata dal pagamento delle imposte e tasse che gravano sul processo (Cass. n. 1778 del 29/01/2016; Cass. n. 20682 del 29/09/2020).

P.Q.M.

– Rigetta il ricorso;
– Condanna il ricorrente alla rifusione delle spese processuali, che liquida in Euro 2.000,00=, oltre Euro 200,00 per esborsi, spese generali liquidate forfettariamente nella misura del 15% ed accessori di legge;
– Dispone che in caso di diffusione della presente ordinanza siano omesse le generalita’ delle parti e dei soggetti in essa menzionati, a norma del Decreto Legislativo n. 196 del 2003, articolo 52.

 

In caso di diffusione omettere le generalità e gli altri dati identificativi dei soggetti interessati nei termini indicati.

Per aprire la pagina facebook @avvrenatodisa
Cliccare qui