Protezione dei dati personali: ultime sentenze
Provvedimento del Garante per la protezione dei dati personali; inidoneità al giudicato; tutela della privacy; verifica della gravità della lesione e della serietà del danno.
Indice
Titolare o responsabile nel trattamento dati personali
In tema di protezione dei dati personali, affinché ricorra la figura del “responsabile del trattamento”, in caso di proposizione di un soggetto al trattamento dei dati su incarico del “titolare”, è necessario che l’effettivo trattamento dei dati da parte del preposto si svolga nell’osservanza delle istruzioni impartite dal “titolare”, con la conseguenza che, ove non vi sia tale osservanza, il “responsabile” potrà essere riconosciuto come effettivo “titolare”, responsabile in concreto del trattamento, in ragione dell’autonomia decisionale e gestionale manifestata nell’aver disatteso le disposizioni impartite dal titolare.
Cassazione civile sez. I, 23/07/2021, n.21234
Azione di accertamento negativo dell’illecito
In tema di protezione dei dati personali, con riguardo alle fattispecie regolate dalle norme previgenti al d.lgs. n. 101 del 2018 (che ha adeguato la normativa nazionale al reg. UE n. 679 del 2016), l’atto di accertamento e di contestazione dell’illecito amministrativo non è irrogativo della sanzione e, come tale, non è idoneo a produrre effetti nella sfera giuridica del presunto trasgressore che, infatti, è privo di interesse ad agire in riferimento alla domanda di accertamento negativo dell’illecito solo contestato, potendo unicamente proporre opposizione avverso il provvedimento sanzionatorio successivamente emanato dal Garante a norma dell’art. 18 l. n. 689 del 1981.
Cassazione civile sez. I, 13/07/2021, n.19947
Diffusione online di dati giudiziari
In tema di protezione dei dati personali, il trattamento da parte di enti pubblici a base elettiva dei dati giudiziari riguardanti il corpo elettorale e i diritti di elettorato attivo e passivo, risponde ad una “finalità di rilevante interesse pubblico” ai sensi dell’art. 65 d.lg. n. 196/2003 (Codice in materia di protezione dei dati personali, nella stesura anteriore alle modifiche introdotte con il d.lg. n. 101/2018) ed è consentito e lecitamente esercitato, nei limiti indicati da questa disposizione, solo ove siano stati preventivamente individuati, ai sensi degli artt. 20 e 21 d.lg. n. 196/2003, ‘i tipi di dati trattati’ e ‘le operazioni eseguibili’, così da predeterminare e circoscrivere l’attività discrezionalmente consentita. Infatti, qualora questi elementi non siano stati specificati da espressa disposizione di legge o dal Garante per la protezione dei dati personali, spetta al soggetto pubblico che esegue il trattamento provvedere in proprio alla preventiva individuazione degli stessi, mediante l’adozione di un atto regolamentare in conformità del parere resto dal Garante ai sensi dell’art. 154, comma 1, lett. g) d.lg. n. 196/2003, con l’effetto che il trattamento dei dati che abbia esorbitato dall’individuazione così compiuta non può ritenersi né consentito, né lecitamente esercitato (fattispecie relativa alla diffusione online dei dati giudiziari di candidati al Collegio Professionale dei Periti industriali).
Cassazione civile sez. I, 16/06/2021, n.17208
Trattamento dati personali da parte di enti pubblici
In tema di protezione dei dati personali, il trattamento da parte di enti pubblici a base elettiva di dati giudiziari riguardanti il corpo elettorale ed i diritti di elettorato attivo e passivo, risponde ad una finalità di rilevante interesse pubblico ed è consentito, nei limiti indicati dall’art. 65 del d.lgs. n. 196 del 2003, solo ove siano stati preventivamente individuati, ai sensi dei precedenti artt. 20 e 21, i tipi di dati trattati e le operazioni eseguibili, in modo da predeterminare e circoscrivere l’attività discrezionalmente consentita.
Cassazione civile sez. I, 16/06/2021, n.17208
Responsabilità del preposto al trattamento dei dati personali
In tema di protezione dei dati personali, l’art. 11, lett. a), del d.lgs. n. 196 del 2003, nel testo applicabile “ratione temporis”, anteriore alle modifiche apportate da d.l. n. 70 del 2011, conv. con modif. dalla l. n. 106 del 2011, delinea la condotta per assicurare il trattamento dei dati personali in modo lecito e secondo correttezza, che il preposto al trattamento dei dati deve serbare nei confronti del loro titolare e non già verso terzi; tuttavia la successiva diffusione di quei dati ad opera di soggetto diverso dal preposto al trattamento non elide la responsabilità di quest’ultimo, non potendosi escludere l’esistenza del nesso causale tra tale comportamento ed il danno lamentato, qualora risulti che le condotte dei terzi non sarebbero state possibili se non fossero stati resi noti i dati personali dei danneggiati.
(Nella specie, la S.C. ha cassato la pronuncia di merito che aveva rigettato la domanda di risarcimento per l’illecita diffusione dei propri dati bancari, proposta dai danneggiati nei confronti della compagnia assicuratrice che li aveva risarciti in occasione di un sinistro, per avere indicato i dati stesso in calce all’atto di liquidazione trasmesso al proprio assicurato, il quale li aveva poi diffusi nel corso di una assemblea condominiale).
Cassazione civile sez. I, 19/02/2021, n.4475
Lesione del diritto alla privacy
Determina una lesione ingiustificabile del diritto fondamentale alla protezione dei dati personali risarcibile non la mera violazione delle prescrizioni poste dall’art. 11 del codice della privacy ma solo quella che ne offenda in modo sensibile la sua portata effettiva; il relativo accertamento di fatto è rimesso al giudice di merito.
Tribunale Bergamo sez. I, 19/01/2021, n.87
Provvedimento del Garante: impugnazione
In tema di protezione dei dati personali, il privato che impugni il provvedimento del Garante non può limitarsi a denunciare la mancata comunicazione di avvio del procedimento e la lesione della propria pretesa partecipativa, ma deve indicare o allegare gli elementi di fatto o valutativi che, se acquisiti, avrebbero potuto influire sulla decisione finale, poiché le garanzie procedimentali non costituiscono un mero rituale formalistico e il menzionato difetto di comunicazione è ininfluente ove risulti che il contenuto del provvedimento non avrebbe potuto essere diverso da quello in concreto adottato.
Cassazione civile sez. I, 24/12/2020, n.29584
Individuazione del mezzo di impugnazione
Nel giudizio avente ad oggetto tanto la lesione del diritto alla protezione dei dati personali, cui si applica la disciplina processuale speciale di cui al d.lgs. n. 150 del 2011 (che non prevede la ricorribilità in appello), quanto la domanda di risarcimento del danno per la lesione dei diritti alla riservatezza ed all’immagine, cui si applica il rito ordinario, al fine di identificare il mezzo di impugnazione esperibile, in ossequio al principio dell’apparenza, deve farsi riferimento esclusivo a quanto previsto dalla legge per le decisioni emesse secondo il rito in concreto adottato in relazione alla qualificazione dell’azione effettuata dal giudice; pertanto, qualora il tribunale abbia ritenuto di giudicare unitariamente sulle domande, applicando il rito speciale, in quanto i danni risarcibili erano stati prospettati come conseguenza dell’illecita diffusione dei dati personali, il ricorso in appello avverso la decisione del tribunale é inammissibile.
Cassazione civile sez. I, 22/12/2020, n.29336
Tutela della privacy e trasparenza amministrativa
La privacy dei dati sanitari prevale sulla trasparenza amministrativa. È legittima perciò la sanzione contro l’ente pubblico che diffonde notizie sullo stato di salute di un suo dipendente. Ad affermarlo è la Cassazione che ha accolto il ricorso del Garante della privacy contro la sentenza del tribunale che aveva accolto il ricorso della provincia di Foggia, sanzionata dalla stessa Authority per 20mila euro per illecito trattamento di dati sensibili.
Per la Corte “la tutela del dato sensibile prevale su una generica esigenza di trasparenza amministrativa, sia sotto il profilo costituzionalmente rilevante della valutazione degli interessi in discussione, sia sotto quello della sostanziale elusione della normativa sulla protezione di dati personali, accentuata nel caso di dati sensibili, ove si dovesse far prevalere una generica esigenza di trasparenza amministrativa”.
Cassazione civile sez. II, 04/04/2019, n.9382
Rilevazione elettronica di violazioni del Codice della strada
In materia di riservatezza correlata alla materia della disciplina della circolazione stradale, l’obbligo di preventiva informazione del trattamento dei dati personali operato a mezzo di dispositivi elettronici per la rilevazione della violazioni al codice della strada, introdotto a carico dei Comuni dalla delibera del Garante per la protezione dei dati personali dell’ aprile 2010, in attuazione del d.lgs. n. 196 del 1993, è correlato funzionalmente al rispetto di un obbligo di riservatezza e non mira, invece, a disciplinare la condotta di guida, sicché la sua inosservanza, a differenza della violazione degli obblighi di informazione previsti dal codice della strada circa la presenza delle dette apparecchiature che costituiscono norme di garanzia per l’automobilista, non incide sulla legittimità dell’accertamento e l’irrogazione della sanzione.
Tribunale Parma, 23/01/2019, n.127
Trattamento dei dati personali: tutela
L’art. 24, par. 1, comma 2, del regolamento di esecuzione (Ue) 2015/2447 della commissione, del 24 novembre 2015, recante modalità di applicazione di talune disposizioni del regolamento (Ue) 952/2013 del parlamento europeo e del consiglio che istituisce il codice doganale dell’Unione, letto alla luce della direttiva 95/46/Ce del parlamento europeo e del consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e del regolamento (Ue) 2016/679 del parlamento europeo e del consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/Ce (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che le autorità doganali possono esigere dal richiedente lo status di operatore economico autorizzato che esso comunichi i numeri di identificazione fiscale, attribuiti ai fini del prelievo dell’imposta sul reddito, delle sole persone fisiche che siano responsabili del richiedente o esercitino il controllo sulla sua gestione e di quelle che siano responsabili delle questioni doganali al suo interno, nonché le coordinate degli uffici delle imposte competenti nei riguardi dell’insieme di tali persone, nei limiti in cui tali dati consentono alle medesime autorità di ottenere informazioni relative alle infrazioni gravi o ripetute della normativa doganale o delle disposizioni fiscali oppure ai reati gravi commessi da tali persone fisiche in relazione alla loro attività economica.
Corte giustizia UE sez. III, 16/01/2019, n.496
Lesione del diritto alla protezione dei dati personali
Il danno non patrimoniale risarcibile ai sensi dell’articolo 15 del codice della privacy, pur determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli articoli 2 e 21 della Costituzione e dall’articolo 8 della Cedu, non si sottrae alla verifica della gravità della lesione e della serietà del danno, in quanto anche per tale diritto opera il bilanciamento con il principio di solidarietà ex articolo 2 della Costituzione, di cui il principio di tolleranza della lesione minima è intrinseco precipitato, sicché determina una lesione ingiustificabile del diritto non la mera violazione delle prescrizioni poste dall’articolo 11 del medesimo codice ma solo quella che ne offenda in modo sensibile la sua portata effettiva.
Cassazione civile sez. I, 08/01/2019, n.207
Violazione del Codice della privacy
La sola circostanza che i dati siano stati utilizzati dal titolare o da chiunque in modo illecito o scorretto non idonea di per sè a legittimare l’interessato a richiedere il risarcimento del danno non patrimoniale. Ed invero il danno non patrimoniale risarcibile ai sensi dell’art. 15 del d.lgs. 30 giugno 2003, n. 196 (cosiddetto codice della privacy), pur determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli artt. 2 e 21 Cost. e dall’art. 8 della CEDU, non si sottrae alla verifica della “gravità della lesione” e della “serietà del danno” (quale perdita di natura personale effettivamente patita dall’interessato), in quanto anche per tale diritto opera il bilanciamento con il principio di solidarietà ex art. 2 Cost., di cui il principio di tolleranza della lesione minima è intrinseco precipitato, sicchè determina una lesione ingiustificabile del diritto non la mera violazione delle prescrizioni poste dall’art. 11 del codice della privacy ma solo quella che ne offenda in modo sensibile la sua portata effettiva.
Ed inoltre i danni cagionati per effetto del trattamento dei dati personali in base all’art. 15 del d.lgs. 30 giugno 2003, n. 196, sono assoggettati alla disciplina di cui all’ art. 2050 cod. civ., con la conseguenza che il danneggiato è tenuto solo a provare il danno e il nesso di causalità con l’attività di trattamento dei dati, mentre spetta al convenuto la prova di aver adottato tutte le misure idonee ad evitare il danno.
La fattispecie delineata dai due commi dell’art. 15 del d.lgs. n. 196 del 2003 pone quindi due presunzioni: quella secondo la quale il danno è da addebitare a chi ha trattato i dati personali o a chi si è avvalso di un altrui trattamento a meno che egli non dimostri di avere adottato tutte le misure idonee per evitarlo ai sensi dell’art. 2050 c.c. e quella secondo la quale le conseguenze non patrimoniali di tale danno – sia esso di natura contrattuale che extracontrattuale – sono da considerare in re ipsa a meno che il danneggiante non dimostri che esse non vi sono state ovvero che si tratta di un danno irrilevante o bagatellare ovvero ancora che il danneggiato abbia tratto vantaggio dalla pubblicazione dei dati.
Tribunale Siena, 29/10/2018, n.1244
Affidamento del servizio di responsabile della protezione dei dati personali
È illegittimo il provvedimento con il quale la stazione appaltante avvia la procedura per l’affidamento, attraverso una procedura negoziata, del servizio di “responsabile della protezione dei dati personali” (Dpo, Data protection officer) previsto dall’articolo 37 del Regolamento Ue 2016/679, se non è stata data prima pubblicità alla fase preliminare di esplorazione del mercato, così da precludere la più ampia partecipazione degli operatori e la selezione di soggetti specializzati in materia di protezione dei dati.
T.A.R. Trieste, (Friuli-Venezia Giulia) sez. I, 18/07/2018, n.252
Progettazione di un prodotto o di un servizio: tutela dati personali
I dati personali vanno tutelati fin dalla fase di progettazione di un prodotto o di un servizio. Va pertanto ingiunto, ai sensi del Regolamento Generale sulla Protezione dei Dati Personali 679/2016/UE a un fornitore di servizi di geolocalizzazione, di incorporare il “diritto alla privacy” direttamente nelle funzionalità del prodotto, attenendosi al principio di minimizzazione dei dati e a quello di privacy by design e privacy by default.
Aut. protez. dati person., 28/06/2018, n.396
Quando il provvedimento del Garante è inidoneo al giudicato?
Il provvedimento del Garante per la protezione dei dati personali, che abbia accertato l’illegittimità della raccolta e della diffusione di determinati dati personali, ha natura amministrativa ed è dunque inidoneo al giudicato, né possono trovare applicazione nel relativo giudizio di opposizione in unico grado innanzi al tribunale, ai sensi degli artt. 151 e 152 del d.lgs. n. 196 del 2003, i principi processuali che governano la cognizione in grado di appello.
Cassazione civile sez. I, 18/06/2018, n.16061
Omessa risposta alle richieste di informazioni del Garante
In tema di privacy in materia di condominio, è punita la condotta dell’amministratore che non collabora con il Garante per la protezione dei dati personali, a prescindere dall’esito del procedimento aperto a seguito della segnalazione fatta, al cui esame era correlata la richiesta di informazioni inevasa.
Cassazione civile sez. II, 12/06/2018, n.15332
Responsabile del trattamento con sede in altro Stato membro
L’articolo 4, paragrafo 1, lettera a), e l’articolo 28, paragrafi 3 e 6, della direttiva 95/46 devono essere interpretati nel senso che, qualora l’autorità di controllo di uno Stato membro intenda esercitare, nei confronti di un organismo stabilito sul territorio di tale Stato membro, i poteri d’intervento di cui all’articolo 28, paragrafo 3, di tale direttiva a motivo di violazioni delle disposizioni relative alla protezione dei dati personali, commesse da un terzo responsabile del trattamento di tali dati che ha la propria sede in un altro Stato membro, tale autorità di controllo è competente a valutare, in modo autonomo rispetto all’autorità di controllo di quest’ultimo Stato membro, la liceità di un siffatto trattamento di dati e può esercitare i suoi poteri d’intervento nei confronti dell’organismo stabilito sul proprio territorio senza previamente richiedere l’intervento dell’autorità di controllo dell’altro Stato membro.
Corte giustizia UE grande sezione, 05/06/2018, n.210
1 Commento
Lascia un commento
NEWSLETTER
Iscriviti per rimanere sempre informato e aggiornato.
Hai bisogno di una consulenza? Contattaci subito
Oppure iscriviti alla nostra newsletter per rimanere sempre aggiornato.
Interessante…che fanno a pugni uno con l’altro : Chi dice Si e Chi dice NO