L’esperto | Articoli

Protezione dei dati personali: ultime sentenze

17 Luglio 2019
Protezione dei dati personali: ultime sentenze

Leggi le ultime sentenze su: riservatezza; provvedimento del Garante per la protezione dei dati personali; inidoneità al giudicato; tutela della privacy; omessa preventiva informazione sulla privacy; rilevazione elettronica di violazioni del codice stradale e legittimità dell’accertamento; verifica della gravità della lesione e della serietà del danno.

La tutela della privacy dei dati sanitari e trasparenza amministrativa

La privacy dei dati sanitari prevale sulla trasparenza amministrativa. È legittima perciò la sanzione contro l’ente pubblico che diffonde notizie sullo stato di salute di un suo dipendente. Ad affermarlo è la Cassazione che ha accolto il ricorso del Garante della privacy contro la sentenza del tribunale che aveva accolto il ricorso della provincia di Foggia, sanzionata dalla stessa Authority per 20mila euro per illecito trattamento di dati sensibili.

Per la Corte “la tutela del dato sensibile prevale su una generica esigenza di trasparenza amministrativa, sia sotto il profilo costituzionalmente rilevante della valutazione degli interessi in discussione, sia sotto quello della sostanziale elusione della normativa sulla protezione di dati personali, accentuata nel caso di dati sensibili, ove si dovesse far prevalere una generica esigenza di trasparenza amministrativa”.

Cassazione civile sez. II, 04/04/2019, n.9382

Rilevazione elettronica di violazioni del Codice della strada

In materia di riservatezza correlata alla materia della disciplina della circolazione stradale,  l’obbligo di preventiva informazione del trattamento dei dati personali operato a mezzo di dispositivi elettronici per la rilevazione della violazioni al codice della strada, introdotto a carico dei Comuni dalla delibera del Garante per la protezione dei dati personali dell’ aprile 2010, in attuazione del d.lgs. n. 196 del 1993, è correlato funzionalmente al rispetto di un obbligo di riservatezza e non mira, invece, a disciplinare la condotta di guida, sicché la sua inosservanza, a differenza della violazione degli obblighi di informazione previsti dal codice della strada circa la presenza delle dette apparecchiature che costituiscono norme di garanzia per l’automobilista, non incide sulla legittimità dell’accertamento e l’irrogazione della sanzione.

Tribunale Parma, 23/01/2019, n.127

I dati fiscali per la verifica dello status di operatore economico autorizzato

L’art. 24, par. 1, comma 2, del regolamento di esecuzione (Ue) 2015/2447 della commissione, del 24 novembre 2015, recante modalità di applicazione di talune disposizioni del regolamento (Ue) 952/2013 del parlamento europeo e del consiglio che istituisce il codice doganale dell’Unione, letto alla luce della direttiva 95/46/Ce del parlamento europeo e del consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e del regolamento (Ue) 2016/679 del parlamento europeo e del consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/Ce (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che le autorità doganali possono esigere dal richiedente lo status di operatore economico autorizzato che esso comunichi i numeri di identificazione fiscale, attribuiti ai fini del prelievo dell’imposta sul reddito, delle sole persone fisiche che siano responsabili del richiedente o esercitino il controllo sulla sua gestione e di quelle che siano responsabili delle questioni doganali al suo interno, nonché le coordinate degli uffici delle imposte competenti nei riguardi dell’insieme di tali persone, nei limiti in cui tali dati consentono alle medesime autorità di ottenere informazioni relative alle infrazioni gravi o ripetute della normativa doganale o delle disposizioni fiscali oppure ai reati gravi commessi da tali persone fisiche in relazione alla loro attività economica.

Corte giustizia UE sez. III, 16/01/2019, n.496

Lesione del diritto alla protezione dei dati personali

Il danno non patrimoniale risarcibile ai sensi dell’articolo 15 del codice della privacy, pur determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli articoli 2 e 21 della Costituzione e dall’articolo 8 della Cedu, non si sottrae alla verifica della gravità della lesione e della serietà del danno, in quanto anche per tale diritto opera il bilanciamento con il principio di solidarietà ex articolo 2 della Costituzione, di cui il principio di tolleranza della lesione minima è intrinseco precipitato, sicché determina una lesione ingiustificabile del diritto non la mera violazione delle prescrizioni poste dall’articolo 11 del medesimo codice ma solo quella che ne offenda in modo sensibile la sua portata effettiva.

Cassazione civile sez. I, 08/01/2019, n.207

Violazione del Codice della privacy 

La sola circostanza che i dati siano stati utilizzati dal titolare o da chiunque in modo illecito o scorretto non idonea di per sè a legittimare l’interessato a richiedere il risarcimento del danno non patrimoniale. Ed invero il danno non patrimoniale risarcibile ai sensi dell’art. 15 del d.lgs. 30 giugno 2003, n. 196 (cosiddetto codice della privacy), pur determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli artt. 2 e 21 Cost. e dall’art. 8 della CEDU, non si sottrae alla verifica della “gravità della lesione” e della “serietà del danno” (quale perdita di natura personale effettivamente patita dall’interessato), in quanto anche per tale diritto opera il bilanciamento con il principio di solidarietà ex art. 2 Cost., di cui il principio di tolleranza della lesione minima è intrinseco precipitato, sicchè determina una lesione ingiustificabile del diritto non la mera violazione delle prescrizioni poste dall’art. 11 del codice della privacy ma solo quella che ne offenda in modo sensibile la sua portata effettiva.

Ed inoltre i danni cagionati per effetto del trattamento dei dati personali in base all’art. 15 del d.lgs. 30 giugno 2003, n. 196, sono assoggettati alla disciplina di cui all’ art. 2050 cod. civ., con la conseguenza che il danneggiato è tenuto solo a provare il danno e il nesso di causalità con l’attività di trattamento dei dati, mentre spetta al convenuto la prova di aver adottato tutte le misure idonee ad evitare il danno.

La fattispecie delineata dai due commi dell’art. 15 del d.lgs. n. 196 del 2003 pone quindi due presunzioni: quella secondo la quale il danno è da addebitare a chi ha trattato i dati personali o a chi si è avvalso di un altrui trattamento a meno che egli non dimostri di avere adottato tutte le misure idonee per evitarlo ai sensi dell’art. 2050 c.c. e quella secondo la quale le conseguenze non patrimoniali di tale danno – sia esso di natura contrattuale che extracontrattuale – sono da considerare in re ipsa a meno che il danneggiante non dimostri che esse non vi sono state ovvero che si tratta di un danno irrilevante o bagatellare ovvero ancora che il danneggiato abbia tratto vantaggio dalla pubblicazione dei dati.

Tribunale Siena, 29/10/2018, n.1244

Affidamento del servizio di responsabile della protezione dei dati personali

È illegittimo il provvedimento con il quale la stazione appaltante avvia la procedura per l’affidamento, attraverso una procedura negoziata, del servizio di “responsabile della protezione dei dati personali” (Dpo, Data protection officer) previsto dall’articolo 37 del Regolamento Ue 2016/679, se non è stata data prima pubblicità alla fase preliminare di esplorazione del mercato, così da precludere la più ampia partecipazione degli operatori e la selezione di soggetti specializzati in materia di protezione dei dati.

T.A.R. Trieste, (Friuli-Venezia Giulia) sez. I, 18/07/2018, n.252

Accertamenti della posizione fiscale del contribuente e redditometro

In tema di protezione dei dati personali con riguardo alle attività accertative della posizione fiscale del contribuente con metodo sintetico, va cassata (con conseguente decisione nel merito di rigetto dell’originario ricorso) la sentenza che, nel presupposto della nullità del d.m. 24 dicembre 2012, istitutivo del c.d. redditometro, abbia ordinato all’agenzia delle entrate di non intraprendere tali attività di cessarle ove già iniziate rispetto al ricorrente e di distruggere i dati eventualmente raccolti e archiviati.

Cassazione civile sez. I, 04/07/2018, n.17486

Progettazione di un prodotto o di un servizio: tutela dati personali

I dati personali vanno tutelati fin dalla fase di progettazione di un prodotto o di un servizio. Va pertanto ingiunto, ai sensi del Regolamento Generale sulla Protezione dei Dati Personali 679/2016/UE a un fornitore di servizi di geolocalizzazione, di incorporare il “diritto alla privacy” direttamente nelle funzionalità del prodotto, attenendosi al principio di minimizzazione dei dati e a quello di privacy by design e privacy by default.

Aut. protez. dati person., 28/06/2018, n.396

Quando il provvedimento del Garante è inidoneo al giudicato?

Il provvedimento del Garante per la protezione dei dati personali, che abbia accertato l’illegittimità della raccolta e della diffusione di determinati dati personali, ha natura amministrativa ed è dunque inidoneo al giudicato, né possono trovare applicazione nel relativo giudizio di opposizione in unico grado innanzi al tribunale, ai sensi degli artt. 151 e 152 del d.lgs. n. 196 del 2003, i principi processuali che governano la cognizione in grado di appello.

Cassazione civile sez. I, 18/06/2018, n.16061

Omessa risposta alle richieste di informazioni del garante

In tema di privacy in materia di condominio, è punita la condotta dell’amministratore che non collabora con il Garante per la protezione dei dati personali, a prescindere dall’esito del procedimento aperto a seguito della segnalazione fatta, al cui esame era correlata la richiesta di informazioni inevasa.

Cassazione civile sez. II, 12/06/2018, n.15332

Responsabile del trattamento con sede in altro Stato membro

L’articolo 4, paragrafo 1, lettera a), e l’articolo 28, paragrafi 3 e 6, della direttiva 95/46 devono essere interpretati nel senso che, qualora l’autorità di controllo di uno Stato membro intenda esercitare, nei confronti di un organismo stabilito sul territorio di tale Stato membro, i poteri d’intervento di cui all’articolo 28, paragrafo 3, di tale direttiva a motivo di violazioni delle disposizioni relative alla protezione dei dati personali, commesse da un terzo responsabile del trattamento di tali dati che ha la propria sede in un altro Stato membro, tale autorità di controllo è competente a valutare, in modo autonomo rispetto all’autorità di controllo di quest’ultimo Stato membro, la liceità di un siffatto trattamento di dati e può esercitare i suoi poteri d’intervento nei confronti dell’organismo stabilito sul proprio territorio senza previamente richiedere l’intervento dell’autorità di controllo dell’altro Stato membro.

Corte giustizia UE grande sezione, 05/06/2018, n.210


1 Commento

Lascia un commento

Usa il form per discutere sul tema. Per richiedere una consulenza vai all’apposito modulo.

 



NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI

CERCA SENTENZA