Cassazione Civile, sez. I, ordinanza 13 gennaio 2021 n. 368

Con l'ordinanza in commento, la Suprema Corte ha confermato che la normativa a tutela della privacy ha ad oggetto anche i dati già pubblici o pubblicati, atteso che dalla loro analisi congiunta il titolare del trattamento può ricavare ulteriori informazioni qualificabili come un valore aggiunto informativo.

Nel caso oggetto della pronuncia della Suprema Corte, i ricorrenti avevano convenuto in giudizio una società chiedendo la cancellazione dei loro dati personali dal sistema di informazione creditizio e da ogni banca dati della società.

Secondo gli odierni ricorrenti, i dati si riferivano a domande revocatorie riguardanti debiti di un soggetto terzo e pertanto tali esposizioni debitorie non erano pertinenti nei confronti dei ricorrenti e, comunque, il trattamento era eccedente rispetto alla finalità perseguita (fornire informazioni circa l’affidabilità e la puntualità nei pagamenti).

Gli stessi agivano inoltre per il risarcimento dei danni non patrimoniali per via del trattamento illegittimo dei loro dati.

Il Tribunale aveva rigettato la domanda attorea accertando che la società convenuta aveva inserito nella propria banca dati informazioni conformi e in linea con quelli che risultavano già dai pubblici registri.

La Suprema Corte accoglie invece il ricorso, rammentando per l'appunto che in tema di trattamento dei dati personali, la normativa sulla privacy ha ad oggetto della tutela anche i dati già pubblici o pubblicati.

Colui che compie operazioni di trattamento di informazioni già pubbliche o pubblicate può infatti compiere diverse operazioni (accostamento, comparazione, esame, analisi, congiunzione, rapporto od incrocio) e ricavare ulteriori informazioni, ovvero un valore aggiunto informativo, un quid pluris che non sarebbe estraibile dai dati isolatamente considerati.

È proprio questo quid pluris ad essere potenzialmente lesivo della dignità dell'interessato (ai sensi dell'art. 3 Cost., comma 1, e dell'art. 2 Cost.).

La Suprema Corte ha rilevato tuttavia che, nel presente caso, il Tribunale aveva omesso di indagare la finalità del trattamento dei dati personali e, pertanto, non aveva verificato la pertinenza e non eccedenza del trattamento.

Invero, l’art. 11 del D.Lgs. n. 196 del 2003 prescrive, tra l’altro, che i dati personali debbano essere trattati in modo lecito e secondo correttezza, essere pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati.

In base a tale norma, la Suprema Corte ha quindi ritenuto che il giudice di merito dovrà accertare se l'informazione che riguardava i ricorrenti fosse stata trattata in modo non pertinente e in modo eccedente rispetto alla finalità perseguita dalla società titolare del trattamento.

***

I fatti del presente caso erano avvenuti nel 2014 e pertanto la Cassazione ha fatto riferimento alle disposizioni del D.Lgs. n. 196 del 2003.

Si rammenta tuttavia che oggi il trattamento dei dati personali è disciplinato dalle norme del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, che ha modificato e in parte abrogato le disposizioni del D.Lgs. n. 196 del 2003.

Ad esempio, l’art. 11 del D.Lgs. n. 196 del 2003 è tra le disposizioni che sono state abrogate ed è stato sostituito dall’art. 5 del Regolamento (UE) 2016/679. Tale disposizione riprende i principi già espressi dalla precedente normativa (liceità e correttezza del trattamento), ma li integra ulteriormente:

Articolo 5

Principi applicabili al trattamento di dati personali

1. I dati personali sono:

a) trattati in modo lecito, corretto e trasparente nei confronti dell'interessato («liceità, correttezza e trasparenza»);

b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all'articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);

c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);

d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);

e) conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all'articolo 89, paragrafo 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell'interessato («limitazione della conservazione»);

f) trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).

2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»).