Trattamento dei dati personali e “comunicazione sistematica”: una mail inviata ad un numero definito di destinatari è disciplinata dal Codice Privacy?
30 Aprile 2015
Massima
La fattispecie relativa all'invio di una mail contenente dati personali ad un numero definito di destinatari può essere ricondotta nel «trattamento» senza consenso di dati personali avvenuto mediante la «comunicazione» degli stessi a più persone determinate diverse dall'interessato (art. 4, D.Lgs. n. 196/2003), ma non ricade nell'ambito di applicazione delle disposizioni stabilite dal Codice Privacy in quanto non può essere ritenuta destinata ad una «comunicazione sistematica».
Il caso
Caia ha agito in giudizio nei confronti di Tizia chiedendone la condanna al risarcimento dei danni non patrimoniali subiti per illecito trattamento dei suoi dati personali. A fondamento delle sue pretese Caia ha dedotto che Tizia aveva inviato una comunicazione di posta elettronica - spedita all'attrice dal suo difensore (e relativa ad una procedura esecutiva intrapresa ai suoi danni) - a 54 destinatari, al solo scopo di ledere la sua reputazione. Evidenziava che tale trattamento era avvenuto senza il suo consenso e chiedeva la liquidazione dei danni non patrimoniali, ex art. 15 D.Lgs. n. 196/2003.
In motivazione
Le questioni
Le principali questioni esaminate nella sentenza in commento concernono:
Le soluzioni giuridiche
La sentenza in commento esclude dall'applicazione del Codice Privacy l'invio di una mail, effettuato da una persona fisica, ad un numero determinato di destinatari, per finalità esclusivamente personali in considerazione del fatto che detta comunicazione non era destinata ad una “comunicazione sistematica”. In primo luogo, il Tribunale meneghino precisa che oggetto della domanda, così come risulta dalla prospettazione di parte attrice, è l'accertamento della pretesa illiceità della condotta tenuta dalla convenuta in asserita violazione delle disposizioni sul trattamento dei dati personali contenute nel D.Lgs. n. 196/2003. Trattandosi di diritti eterodeterminati, poiché per la loro individuazione è indispensabile il riferimento al relativo fatto costitutivo così come allegato dalla parte, il giudice ha correttamente omesso di valutare l'eventuale valenza diffamatoria (non allegata) delle espressioni contenute nella comunicazione di posta elettronica. Il thema decidendum, affrontato dal giudice nella pronuncia in commento, attiene alla corretta interpretazione del disposto dell'art. 5, comma 3, D.lgs. n. 196/2003. Appare imprescindibile partire dall'individuazione del concetto di “dato personale”, costituiti, ai sensi dell'art. 4, comma 1, lett. b), da «qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale». All'interno della prima Parte del Codice, il titolo III individua i presupposti di liceità per ogni trattamento di informazioni personali. Tali disposizioni si aprono con una serie di principi applicabili a qualunque tipo di trattamento, indipendentemente dal dato elaborato o dalla natura giuridica del titolare. Affianco a tali regole si pongono quelle ulteriori per i soggetti pubblici e per i privati e gli enti pubblici economici. Nel complesso delle disposizioni in esame, esistono, pertanto alcune differenze, in punto di disciplina, in ragione del fatto che il trattamento venga effettuato da soggetti privati o soggetti pubblici. Con particolare riferimento al trattamento effettuato da persone fisiche per finalità esclusivamente personali, nel trasporre nell'ordinamento interno la direttiva 95/46/CE, coerentemente a quanto stabilito nel suo art. 3, comma 2, n. 2, e nel suo dodicesimo «considerando», il legislatore statale ha disposto che «il trattamento dei dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all'applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione» (aggiungendo, poco dopo, nell'inciso terminale: «Si applicano in ogni caso le disposizioni in tema di responsabilità e di sicurezza di cui agli articoli 15, rubricato “danni cagionati per effetto del trattamento” e 31, rubricato “obblighi di sicurezza”»). In ragione del chiaro disposto normativo, il Tribunale di Milano ha ritenuto che una mail, inviata da una persona fisica ad un numero determinato di destinatari, contenente dati personali di una terza persona che a tale trattamento non aveva consentito, per finalità esclusivamente personali e non destinata ad una comunicazione sistematica, ma esauritasi in un'unica trasmissione, non possa essere ricondotta nell'ambito di applicazione del Codice Privacy. L'indicazione della caratteristica della comunicazione e la sua sistematicità impongono all'interprete di valutare se, sulla base delle allegazioni e delle prove fornite dalla parte, la comunicazione di un dato per finalità esclusivamente personali si limiti ad un'isolata ed unica trasmissione o se, al contrario, sia destinata a circolare, in più occasioni ed in modo ripetuto. Così esclusa la possibilità di applicare al caso in esame il Codice Privacy, il giudice nel provvedimento in commento ha poi sottolineato che il danno non patrimoniale previsto dall'art. 15, D.lgs. n. 196/2003 non potrebbe comunque essere ritenuto in re ipsa, ma, costituendo pur sempre un danno conseguenza dell'illecito, andrebbe provato sulla base di idonee e specifiche allegazioni dalle quali il giudice possa ravvisare, facendo ricorso alle presunzioni, l'esistenza di un danno risarcibile. Osservazioni
La pronuncia in esame appare particolarmente significativa alla luce delle scarse applicazioni fatte dalla giurisprudenza civile sul significato da attribuire al concetto di «comunicazione sistematica». Si rinvengono, invece, alcune pronunce della Cassazione penale e delle corti di merito relative al reato di trattamento illecito di dati personali (art. 167, D.lgs. n. 196/2003), che non si ritiene integrato se l'utilizzo dei dati avvenga per fini esclusivamente personali, senza una loro diffusione o destinazione ad una comunicazione sistematica. In particolare, è stato escluso il reato nei confronti dei delegati alla raccolta delle firme per la presentazione di liste elettorali che avevano formato un elenco di sottoscrittori con firme false, utilizzando nominativi effettivamente esistenti presso l'ufficio anagrafe. In un diverso caso, è stato ritenuto che la registrazione di immagini effettuata con un impianto di videosorveglianza apposto dal gestore in un esercizio commerciale costituisca un trattamento di dati effettuato da persona fisica per fini esclusivamente personali, che, a norma dell'art. 5 D.lgs. n. 196/2003, non è soggetto al codice della privacy. La chiara formulazione legislativa dell'art. 5 comma 3, l'esigenza di definire e delimitare il campo di applicazione del Codice a tutela di un autonomo diritto positivo (art. 1 del D.lgs. n. 196/2003), l'ampia estensione delle definizioni dei concetti chiave della disciplina sulla protezione dei dati personali rendono necessario una rigorosa attività ermeneutica, volta a delimitare le ipotesi di trattamento effettuato da persone fisiche per finalità esclusivamente personali. Da tali elementi consegue che chi invoca la protezione dei dati personali in relazione ad un trattamento effettuato da una persona fisica per finalità esclusivamente personali deve allegare (e provare) la sussistenza di elementi tali dai quali poter ricavare, anche in via presuntiva, che il dato sia destinato ad una comunicazione sistematica (elementi relativi, ad esempio, alla non unicità della condotta, alla sua potenziale ripetitività, all'esistenza di altri indici che dimostrano la ulteriore comunicazione del dato, ecc.).
|