Decreto legislativo - 30/06/2003 - n. 196 art. 15 - (Danni cagionati per effetto del trattamento)

Danni cagionati per effetto del trattamento

L'art. 15, comma 1, d.lgs. n. 196/2003 stabilisce che «chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile». La norma riproduce la previsione dell'art. 18 della precedente l. n. 675/1996 ed è volta ad inquadrare l'attività di trattamento dei dati personali come «attività pericolosa» ai sensi dell'art. 2050 c.c. sulla scia dell'art. 23 della direttiva 95/46/CE concernente la protezione dei dati personali, la quale introduce una inversione dell'onere della prova, posto sul titolare del trattamento e non sul danneggiato. Val quanto dire che incombe sul titolare del trattamento la prova che l'evento lesivo non è riconducibile alla sua condotta.

Eguale diritto al risarcimento compete anche, ai sensi del comma 2 dell'art. 15, nei casi di violazione dell'art. 11, che si riferisce ai dati personali oggetto di trattamento i quali devono essere: a) trattati in modo lecito e secondo correttezza; b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi; c) esatti e, se necessario, aggiornati; d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati; e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.

La norma, inoltre, contempla espressamente il risarcimento del danno anche non patrimoniale.Tuttavia, il danno non patrimoniale risarcibile ai sensi dell'art. 15 d.lgs. n. 196/2003 non si sottrae alla verifica della "gravità della lesione" e della "serietà del danno". E cioè, il danno non patrimoniale risarcibile ai sensi dell'art. 15 d.lgs. n. 196/2003 (codicedella privacy), pur determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli artt. 2 e 21 Cost. e dall'art. 8 della CEDU, non si sottrae alla verifica della "gravità della lesione" e della "serietà del danno", in quanto anche per tale diritto opera il bilanciamento con il principio di solidarietà ex art. 2 Cost., di cui quello di tolleranza della lesione minima è intrinseco precipitato, sicché determina una lesione ingiustificabile del diritto non la mera violazione delle prescrizioni poste dall'art. 11 del codice della privacy, ma solo quella che ne offenda in modo sensibile la sua portata effettiva, restando comunque il relativo accertamento di fatto rimesso al giudice di merito (Cass. VI, n. 17383/2020).

Determinazione della domanda

La domanda di risarcimento per il danno sofferto «per effetto del trattamento di dati personali», espressamente prevista dall'art. 15 d.lgs. n. 196/2003 danni per illecito trattamento, concernendo, quale diritto di credito a cosa generica quale è il denaro, un diritto c.d. etero determinato, cioè uno di quei diritti che sono individuati non già dall'indicazione della sola tipologia normativa di diritto fatta valere e del bene che ne è oggetto, ma anche e necessariamente dai fatti costitutivi che l'hanno originato, dev'essere proposta con la loro necessari individuazione, incorrendo altrimenti nella causa di nullità per omessa o volutamente incerta indicazione del requisito di cui al n. 3 dell'art. 163 c.p.c. (Cass. n. 17408/2012, relativa alla richiesta risarcitoria relativa a pubblicazioni su un libro e su quotidiani di articoli contenenti dati sensibili; la Corte ha stabilito che il giudice del merito avrebbe dovuto dichiarare la nullità della domanda per quegli episodi di violazione in cui non si indicavano i brani del libro e degli altri scritti idonei ad integrare l'illecito trattamento di dati sensibili).

Sussistenza del danno

In tema di violazione della privacy, determina una lesione ingiustificabile del diritto non la mera violazione delle prescrizioni poste dall'art. 11, d.lgs. n. 196/2003, ma solo quella che ne offenda in modo sensibile la sua portata effettiva. Pertanto non comporta alcun danno risarcibile il fatto di aver ricevuto 10 email indesiderate, di contenuto pubblicitario, nell'arco di 3 anni, costituendo al più un modesto disagio o fastidio senz'altro tollerabile (Cass. n. 3311/2017).

È stato escluso il diritto del risarcimento dei danni seguiti ad una illecita diffusione dei dati personali in favore di un soggetto coinvolto in un sinistro stradale allorché il marito dell'altra parte coinvolta nel sinistro abbia comunicato i dati personali del richiedente il risarcimento all'Isvap e ad una compagnia di assicurazioni. Da un lato, infatti, il marito doveva legittimamente considerarsi interessato ai risvolti patrimoniali ed assicurativi del sinistro stradale verificatosi tra la moglie (a cui era stata attribuita la responsabilità del sinistro) e il richiedente il risarcimento, essendo, da una parte, marito in regime di comunione dei beni e, dall'altra, titolare della polizza assicurativa; dall'altro, il proprietario di un veicolo è tenuto ad esporre sul mezzo il contrassegno contenente tutti gli estremi del veicolo stesso, del titolare del contratto e della società assicuratrice, perciò, secondo l'art. 24, lett. c), d.lgs. n. 196/2003, è lecito effettuare il trattamento, senza il consenso dell'interessato, dei dati personali provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, sicché nella specie non vi era stato, nel caso di specie, alcun illecito trattamento di dati personali, bensì una semplice comunicazione di dati che erano serviti solo alla legittima identificazione della controparte (Cass. n. 4231/2015).

Ripartizione degli oneri probatori

In tema di ripartizione dell'onere della prova, al correntista abilitato a svolgere operazioni on line che, alla stregua degli artt. 15 d.lgs. n. 196/2003 e 2050 c.c., agisca per l'abusiva utilizzazione (nella specie, mediante illegittime disposizioni di bonifico) delle sue credenziali informatiche, spetta soltanto la prova del danno siccome riferibile al trattamento del suo dato personale, mentre l'istituto creditizio risponde, quale titolare del trattamento di dato, dei danni conseguenti al fatto di non aver impedito a terzi di introdursi illecitamente nel sistema telematico mediante la captazione dei codici d'accesso del correntista, ove non dimostri che l'evento dannoso non gli sia imputabile perché discendente da trascuratezza, errore o frode del correntista o da forza maggiore (Cass. n. 10638/2016).

Ove uno sportivo, che abbia subìto comportamenti invasivi della vita privata, lamenti la perdita di redditizie opportunità di lavoro in ragione della malattia psichica asseritamente contratta per essere venuto a conoscenza dei predetti comportamenti, il difetto di prova in ordine alla sussistenza di una lesione all'integrità psico-fisica comporta l'impossibilità di risarcire il danno patrimoniale dedotto dall'interessato, non potendosi nemmeno dedurre tale pregiudizio in via presuntiva dall'allegazione della sua fama come calciatore, dalle pregresse esperienze lavorative con notevoli guadagni e dalle vicende professionali di alcuni colleghi (App. Milano 22 luglio 2015).

Risarcibilità del danno non patrimoniale

Il danno non patrimoniale, risarcibile ai sensi dell'art. 15 d.lgs. 30 giugno 2003 n. 196 (cd. codice della privacy), pur determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli art. 2 e 21 cost., e dall'art. 8 Cedu, non si sottrae alla verifica della «gravità della lesione» e della «serietà del danno» (quale perdita di natura personale effettivamente patita dall'interessato), in quanto anche per tale diritto opera il bilanciamento con il principio di solidarietà ex art. 2 Cost., di cui il principio di tolleranza della lesione minima è intrinseco precipitato, sicché determina una lesione ingiustificabile del diritto, non la mera violazione delle prescrizioni poste dall'art. 11 del Codice per la protezione dei dati personali ma solo quella che ne offenda in modo sensibile la sua portata effettiva (Cass. n. 4231/2015; Cass. n. 16133/2014; Trib. Bari 3 novembre 2016; Trib. Savona 6 maggio 2016).

In materia di protezione dei dati personali, ed in particolare di danni cagionati per effetto del trattamento, l'art. 15 d.lgs. n. 196/2003, prevedendo espressamente come «risarcibile» il «danno non patrimoniale», lascia impregiudicato il profilo della sussistenza, o meno, di una perdita (non patrimoniale) effettivamente subita dal danneggiato, non esibendo ulteriori indici significativi dai quali possa evincersi che l'interpositio legislatoris sia giunta a configurare un danno in re ipsa. L'accertamento di fatto rimesso al giudice, onde vagliare la sussistenza del requisito di risarcibilità in discorso, in forza di previe allegazioni e di coerenti istanze istruttorie di parte, dovrà essere ancorato alla concretezza della vicenda materiale portata alla cognizione giudiziale ed al suo essere maturata in un dato contesto temporale e sociale, dovendo l'indagine, illuminata dal bilanciamento suddetto, proiettarsi sugli aspetti contingenti dell'offesa e sulla singolarità delle perdite personali verificatesi (Trib. Rimini 27 novembre 2016).

Anche in caso di illecito trattamento dei dati personali, nella fattispecie per illegittima segnalazione alla Centrale dei rischi, la Cassazione ha ricordato che il pregiudizio non patrimoniale non può mai essere in re ipsa, ma deve essere allegato e provato da parte dell'attore, a pena di uno snaturamento delle funzioni della responsabilità aquiliana. La posizione attorea è tuttavia agevolata dall'onere della prova più favorevole, come descritto all'art. 2050 c.c., rispetto alla regola generale del danno aquiliano, nonché dalla possibilità di dimostrare il danno anche solo tramite presunzioni semplici e dal risarcimento secondo equità (Cass. n. 4443/2015).

In tema di risarcimento del danno non patrimoniale per violazione dell'art. 15 d.lgs. 30 giugno 2003 n. 196, è ammissibile la prova per testimoni di tale danno, in quanto esso non può ritenersi in re ipsa, ma va allegato e provato sia pure attraverso il ricorso a presunzioni semplici, e quindi, a maggior ragione, tramite testimonianze, che attestino uno stato di sofferenza fisica o psichica (Cass. n. 17974/2014; Cass. n. 22100/2013).

A fronte di comportamenti invasivi della vita privata di uno sportivo, è risarcibile il danno non patrimoniale da violazione della privacy, in relazione sia alla conoscenza di dati personali destinati a rimanere riservati da parte di quanti li avevano illecitamente acquisiti e trattati, sia alla sofferenza patita dall'interessato una volta resosi conto di aver subìto controlli abusivi. Viceversa non è risarcibile il danno non patrimoniale da lesione dell'integrità psico-fisica, ove non risulti prodotta alcuna documentazione clinica o prescrizione di cura risalente all'epoca in cui l'interessato è venuto a conoscenza dei controlli su di lui effettuati (App. Milano 22 luglio 2015).

Pur in presenza di un trattamento illecito di dati personali, deve ritenersi erronea la condanna del relativo titolare al risarcimento del danno non patrimoniale allorché, per un verso, i pregiudizi all'immagine, all'onore e alla reputazione dell'interessato siano stati dalla stessa pronuncia ritenuti insussistenti o comunque indimostrati e, per altro verso, quest'ultimo non abbia allegato circostanze idonee a provare in che termini si fosse verificata una sofferenza ricollegabile al trattamento (Cass. n. 18812/2014, che, in considerazione dell'assenza totale di attività probatoria circa la sussistenza di uno stato di sofferenza, ha deciso la causa nel merito, rigettando la domanda risarcitoria).

È inficiata dal vizio di omessa motivazione la statuizione con cui il giudice di merito, pur ravvisando gli estremi dell'illecito trattamento di dati personali di una persona il cui nominativo era stato iscritto tra i debitori insolventi in una banca dati gestita da un soggetto privato, non abbia riconosciuto alcun danno non patrimoniale, ancorché, se ne fosse fatta richiesta nel ricorso introduttivo e fossero state articolate istanze istruttorie che avrebbero potuto evidenziare elementi al riguardo (Cass. n. 16279/2012).

Banca

Ai sensi dell'art. 15 della l. n. 196/2003, chiunque cagiona danni ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ex art. 2050 c.c. Dunque, la banca è responsabile dei danni (e di conseguenza è tenuta al risarcimento dei danni) in quanto, non avendo predisposto tutte le misure possibili, idonee a ridurre il rischio di accesso non autorizzato, ha causato il danno al cliente, titolare dei dati personali (Trib. Salerno 4 ottobre 2016).

In materia di frodi bancarie, al correntista abilitato a svolgere operazioni online che agisca per l'abusiva utilizzazione delle sue credenziali informatiche, spetta, ai sensi dell'art. 2050 c.c. richiamato dall'art. 15 del Codice citato, soltanto la prova del danno riferibile al trattamento del suo dato personale. L'istituto bancario risponde, invece, quale titolare del trattamento, dei danni conseguenti al fatto di non aver impedito a terzi di introdursi illecitamente nel sistema telematico mediante la captazione dei codici d'accesso del correntista, ove non dimostri che l'evento dannoso non gli sia imputabile perché discendente da trascuratezza, errore o frode del correntista o da forza maggiore. Inoltre qualora il correntista abbia provato il danno subìto riferibile al trattamento del suo dato personale e abbia disconosciuto le operazioni bancarie, il mero disconoscimento delle operazioni bancarie determina un'inversione dell'onere della prova ponendo a carico della banca il compito di provare l'adeguatezza del suo sistema informatico (Trib. Roma 31 agosto 2016).

Non risponde dei danni asseritamente cagionati dal trattamento dei dati personali la società cui si addebita di aver effettuato un'erronea segnalazione a un sistema di informazione creditizia, ove risulti che l'errore era stato provocato dalla peculiare situazione di omonimia e omocodia di due soggetti differenti e che, dopo la doglianza dell'interessato, il titolare del trattamento aveva richiesto la cancellazione della segnalazione nel lasso di tempo necessario per i controlli del caso (Cass. n. 10325/2014).

In caso di bonifico online non autorizzato e disconosciuto dal correntista, quest'ultimo ha diritto al risarcimento del danno ex art. 15, d.lgs. n. 196 del 2003 ed art. 2050 c.c. nei confronti della società contraente abilitata all'operatività finanziaria online (Trib. Palermo 11 giugno 2011).

La segnalazione di una posizione di sofferenza in relazione ad un credito al consumo, inoltrata dall'istituto di credito ad un sistema di informazione creditizia di natura privata, non può scaturire dal mero ritardo nel pagamento del debito o dal volontario inadempimento ma deve essere determinata dal riscontro di una situazione patrimoniale deficitaria caratterizzata da una grave e non transitoria difficoltà economica, spettando, in caso contrario, al «segnalato» il diritto al risarcimento del danno non patrimoniale subito (Trib. Milano 22 marzo 2010).

Servizi telefonici

Il gestore del servizio telefonico risponde dei danni derivanti dai controlli effettuati sul traffico telefonico di una persona, qualora l'attività illecita sia stata posta in essere da propri dipendenti e attraverso le strutture aziendali, senza che l'impresa avesse approntato le misure necessarie per scongiurarla (App. Milano 22 luglio 2015). Il gestore del servizio telefonico, che abbia collaborato con un'agenzia investigativa incaricata di effettuare controlli su una persona, consentendo di reperire le informazioni relative all'intestazione dei numeri telefonici con cui quest'ultima entrava in contatto, risponde dei danni derivanti da tali comportamenti invasivi della vita privata dell'interessato (App. Milano 22 luglio 2015).

È illegittimo il trattamento di dati personali effettuato da un gestore del servizio di telefonia mobile, il quale invii ad un proprio cliente, titolare di una scheda prepagata, senza il suo consenso e malgrado l'opposizione dallo stesso manifestata, alcuni sms contenenti informazioni relative a servizi collegati con l'uso del telefono cellulare che, pur potendo essere abilitati gratuitamente, sono utilizzabili dietro pagamento di un prezzo; pertanto, va inibita l'utilizzazione dei dati personali dell'interessato per finalità estranee all'erogazione del servizio telefonico e il gestore va condannato a risarcire il pregiudizio subìto dal cliente per essere stato costretto a controllare i messaggi pervenutigli e ad eliminare quelli indesiderati (Trib. Latina 19 giugno 2006, che ha quantificato il danno in via equitativa nella misura di mille euro per ciascuno dei nove messaggi ricevuti).

Pubblicazioni

La persistente pubblicazione e diffusione, su un giornale on line, di una risalente notizia di cronaca (riguardante, nella specie, una vicenda giudiziaria per un fatto accaduto circa due anni e mezzo prima della instaurazione del relativo procedimento ex art. 152 d.lgs. n. 196/2003) esorbita, per la sua oggettiva e prevalente componente divulgativa, dal mero ambito del lecito trattamento di archiviazione o memorizzazione on line di dati giornalistici per scopi storici o redazionali, configurandosi come violazione del diritto alla riservatezza quando, in considerazione del tempo trascorso, sia da considerarsi venuto meno l'interesse pubblico alla notizia stessa (Cass. n. 13161/2016). L'illecito protrarsi del trattamento dati giustifica l'accoglimento della pretesa risarcitoria ex art. 15 d.lgs. n. 196/2003 quando — secondo una valutazione bilanciata del diritto di cronaca e del diritto all'oblio — il mantenimento del diretto ed agevole accesso sul web alla risalente notizia di cronaca esorbita dal fine del lecito trattamento d'archiviazione online ledendo i diritti all'identità e alla reputazione dell'interessato (Cass. n. 13161/2016).

Se è vero che un cittadino ha, oggi, il diritto e la possibilità di controllare l'andamento della condizione patrimoniale dei propri rappresentanti, proprio per fugare eventuali dubbi relativi a comportamenti illeciti degli stessi, non può dirsi che la sottoposizione di un consigliere comunale ad un processo esecutivo, per fatti non inerenti la sua funzione, rientri nel contesto sopra indicato e determini la necessità di una conoscenza da parte del pubblico. Atteso che la notizia pubblicata su un giornale che, sebbene a tiratura sicuramente limitata, viene diffuso proprio nel luogo ove il ricorrente esercita attività politica, peraltro in un piccolo centro cittadino, dove le notizie si diffondono con estrema facilità e con la inevitabile ed ovvia conseguenza che la dignità personale del ricorrente abbia subito un nocumento, il danno è ricorrente: non rilevano tanto il patema d'animo o eventuali altri aspetti emotivi, quanto invece la dignità personale, esposto alla curiosità altrui al di là dei limiti consentiti (Trib. Bari 4 giugno 2015).

L'illegittima pubblicazione dell'immagine altrui obbliga al risarcimento sia del danno non patrimoniale — sempre dovuto in forza del disposto dell'art. 15, d.lgs. n. 196/2003 — sia dei danni patrimoniali, che consistono nel pregiudizio economico di cui la persona danneggiata abbia risentito per effetto della predetta pubblicazione. A tal proposito, appare criterio minimale riconoscere in favore del danneggiato quantomeno il diritto al pagamento di una somma corrispondente al compenso che avrebbe presumibilmente richiesto per concedere il suo consenso alla pubblicazione, determinandosi tale importo in via equitativa avuto riguardo al vantaggio economico presumibilmente conseguito dall'autore dell'illecita pubblicazione in relazione alla diffusione del mezzo sul quale la pubblicazione è avvenuta, alle finalità perseguite e ad ogni altra circostanza congruente allo scopo della liquidazione (Trib. Milano 9 febbraio 2015).

La percepibilità ictu oculi, da parte dei terzi, della condizione di handicap di una persona non può considerarsi circostanza o fatto reso noto direttamente dall'interessato o attraverso un comportamento di questi in pubblico e, conseguentemente, non è applicabile in siffatta ipotesi la disciplina dettata dall'art. 137 del d.lgs. n. 196/2003 (Cass. n. 24986/2014 che ha confermato la condanna al risarcimento nei confronti del direttore editoriale di un giornale comunale che aveva pubblicato la notizia della delibera comunale di assistenza ad una minore perché diversamente abile e, conseguentemente, si era verificata una continua e insistente curiosità delle persone nei confronti della minore stessa).

Si configura il vizio di violazione di norme di diritto, qualora il giudice, investito di una controversia risarcitoria in materia di protezione dei dati personali, abbia disposto il risarcimento del danno, senza spiegare per quale ragione il trattamento per fini giornalistici dei dati concernenti la vita sessuale dell'interessata, accusata della commissione di un delitto a sfondo sessuale, particolarmente efferato e di notevolissimo impatto sociale, non era riconducibile alla nozione di indispensabilità dell'informazione (Cass. n. 17408/2012).

Condominio

In tema di diffusione dei dati personali dei condomini da parte dell'amministratore, non si realizza necessariamente una violazione della legge a tutela della privacy, dovendosi comunque effettuare una comparazione, affidata al giudice di merito, tra gli interessi coinvolti. La divulgazione di dati personali, infatti non realizza, sic et simpliciter, una violazione della privacy (Cass. n. 18421/2011; nella specie, i condomini-ricorrenti avevano inviato una comunicazione personale all'amministratore avvisandolo della loro intenzione di procedere all'installazione di un ascensore. Poiché il progetto coinvolgeva beni comuni, l'amministratore aveva diffuso tale comunicazione personale tra gli altri partecipanti al condominio. La Corte ha ritenuto che tale comunicazione non fosse lesiva della privacy proprio perché i lavori, in definitiva, avrebbero coinvolto beni comuni e, quindi, tutti gli altri condomini).

Fermo restando il diritto di ciascun condomino di conoscere, anche di propria iniziativa, gli inadempimenti degli altri condomini nei confronti della collettività condominiale, costituisce indebita diffusione di dati personali, illecita e fonte di responsabilità civile ai sensi degli art. 11 e 15 d.lgs. 196/2003, l'affissione nella bacheca dell'androne dell'edificio condominiale (e, quindi, in luogo aperto all'accesso a terzi estranei al condominio), da parte dell'amministratore, dell'informazione concernente le posizioni di debito dei singoli partecipanti al condominio in ordine all'onere di contribuzione alle spese comuni (Cass. n. 186/2011).

Trattamento dati sensibili in sede giudiziaria

Ai sensi del combinato disposto di cui agli art. 24, comma 1, lett. j), e 26, comma 4, lett. c), d.lgs. n. 196/2003, il trattamento di dati sensibili può essere effettuato in sede giudiziaria, in assenza del consenso dell'interessato, solamente qualora lo stesso sia necessario ai fini difensivi, avvenga esclusivamente per tali finalità e per il periodo necessario; pertanto, sono tenuti in solido al risarcimento dei danni, ai sensi dell'art. 15 d.lgs. n. 196 del 2003, il medico e il legale dello stesso, che abbiano prodotto in sede giudiziaria le fotografie di una paziente relative ad un intervento di mastoplastica dalla stessa subito, atteso che quest'ultima ne aveva autorizzato la pubblicazione ai soli fini scientifici, e che la divulgazione in sede processuale di tali immagini non era utile, né finalizzata alla strategia difensiva del medico citato in giudizio per responsabilità professionale con riferimento al diverso intervento di addominoplastica subito dalla stessa paziente (Cass. n. 19172/2014).

Qualora il trattamento illecito di dati personali sia stato effettuato attraverso documenti confluiti negli atti di un'indagine penale, la prescrizione del diritto al risarcimento del pregiudizio cagionato dalla predetta violazione non può decorrere prima della chiusura delle indagini preliminari, ma può anche decorrere da un momento successivo, da individuare in relazione al regime giuridico degli atti processuali penali (Cass. n. 13616/2011).

Notificazioni

Integra gli estremi del trattamento illecito dei dati personali la condotta di un comune che, dopo aver tentato infruttuosamente di notificare a mezzo posta un'ordinanza-ingiunzione emessa nel procedimento di applicazione di una sanzione amministrativa (nella specie, comminata a chi, in violazione di un'ordinanza sindacale, si era fermato per consentire la salita sul proprio veicolo a una persona che, per comportamenti e atteggiamenti, era dedita all'attività di prostituzione), si sia avvalso a tal fine dei messi del comune dove l'interessato abitava (i quali, nella specie, avevano proceduto al recapito del plico, non in busta chiusa, presso la residenza dell'ingiunto e a mani di sua madre), senza provare ad effettuare la notifica al domicilio dal medesimo eletto nell'ambito del procedimento presso lo studio del proprio legale di fiducia (Cass. n. 18812/2014).

Cambiamento di sesso

Sussiste la responsabilità civile della p.a. per danni da lesione del diritto alla riservatezza quando la p.a. non si adoperi con tutte le misure necessarie ad evitare il danno, ovvero la diffusione di dati personali sensibili, poiché l'art. 18 l. n. 675/1996 il risarcimento del danno da illecito trattamento dei dati, soprattutto se sensibili, segue la disciplina dell'art. 2050 c.c. (Cass. n. 9785/2015, che ha riconosciuto la legittimità del risarcimento del danno patito da lesione del diritto alla riservatezza di un soggetto, che aveva cambiato sesso, poiché l'ufficio elettorale del Comune dal quale il suddetto si era trasferito aveva trasmesso, senza rispettare le norme, anche tecniche, sulla diffusione dei dati super-sensibili, al Comune di destinazione il fascicolo contenente tutte le informazioni sul mutamento del sesso).

Fattispecie

In relazione al trattamento dei dati personali, ai sensi degli articoli 4 e 11 d.lgs. n. 196 del 2003, questi vanno gestiti rispettando i canoni della correttezza, pertinenza e non eccedenza rispetto alle finalità del loro nuovo utilizzo, ma non è necessario, ai sensi dell'art. 24 d.lgs. citato, il consenso dell'interessato ove i dati stessi siano impiegati per esigenza di difesa delle proprie situazioni soggettive e negli stretti limiti in cui ciò sia necessario (Cass. n. 19423/2017 concernente fattispecie in cui un correntista di un Istituto di Credito lamentava l'illegittima diffusione nel suo ambito familiare, e successiva segnalazione al sistema informatico creditizio, dei dati relativi alla propria posizione debitoria nei confronti dell'Istituto stesso).

In caso di cessione non autorizzata di un database contenente numerosissime utenze telefoniche, senza aver preventivamente offerto l'apposita informativa, oltre a non aver ottenuto il consenso degli interessati alla cessione dei loro dati, è ininfluente accertare se e quanti soggetti siano stati effettivamente raggiunti degli SMS (Cass. n. 18619/2017). In tema di credito al consumo, ai fini del trattamento dei dati personali del consumatore presso una banca dati contenente informazioni creditizie, l'onere, a carico dell'intermediario finanziario, di avvertire preventivamente il consumatore stesso dell'imminente registrazione dei suoi dati ai sensi dell'art. 4, comma 7, della delibera del Garante per la protezione dei dati personali del 16 novembre 2004, n. 8, risulta assolto soltanto quando la relativa dichiarazione abbia effettivamente raggiunto il domicilio del destinatario e salvo che quest'ultimo non provi di essere stato, senza sua colpa, nell'impossibilità di averne notizia (Cass. n. 14685/2017). L'onere di preventivo avvertimento di cui alla norma dell'articolo 4, comma 7, della Delibera del Garante Privacy 16 novembre 2004 n. 8, risulta assolto solo quando la relativa dichiarazione abbia effettivamente raggiunto il domicilio del destinatario, salva comunque restando l'eventualità che quest'ultimo provi di essere stato, senza sua colpa, nell'impossibilità di averne notizia (Cass. n. 14685/2017, la quale ha ritenuto, nella specie, che la banca non avrebbe potuto segnalare un proprio cliente come cattivo pagatore senza l'accertamento che l'invio dell'apposito preavviso fosse giunto a conoscenza del destinatario interessato). Nel regime della legge n. 675 del 1996, nel caso in cui il sanitario e la struttura sanitaria, nell'ambito del rapporto curativo, avessero acquisito dati personali sullo stato di salute di un paziente il cui trattamento risultava indispensabile per la tutela dell'incolumità e della salute dei terzi o della collettività, in presenza di una originaria autorizzazione dell'interessato a informare circa la vicenda curativa i suoi familiari e, quindi, al trattamento dei dati personali, devono non solo ritenersi autorizzati a rivelare i dati a questi ultimi senza necessità di intervento del Garante, bensì obbligati a farlo. Con la conseguenza che un comportamento omissivo, dal quale fosse conseguita, in ragione della mancata conoscenza dei dati stessi, una lesione dell'integrità o della salute dei terzi o della collettività, risulta idoneo a cagionare danno ingiusto agli effetti dell'art. 2043 c.c. (Cass. n. 11994/2017). Il provvedimento del Garante per la protezione dei dati personali, che abbia accertato l'illegittimità della raccolta e della diffusione di determinati dati personali e che non sia stato opposto ai sensi degli artt. 151 e 152 del d.lgs. n. 196 del 2003 (cd. codice della privacy), mai può acquistare un'efficacia (equiparabile a quella) di cosa giudicata nel separato giudizio che l'interessato abbia successivamente instaurato, dinanzi all'autorità giudiziaria ordinaria, per ottenere il risarcimento dei danni asseritamente provocatigli dalla lesione del diritto alla riservatezza ed alla protezione di quei dati, atteso che la natura amministrativa dell'organo e del relativo procedimento non pone il Garante in una posizione di terzietà assimilabile a quella assicurata dal giudice nel processo (Cass. n. 13151/2017). Nell'elenco delle finalità dei trattamenti dei dati idonei a rivelare lo stato di salute e la vita sessuale a cui l'art. 37 del d.lg. 196 del 2003 collega l'obbligo di notifica al Garante è inclusa anche la finalità delle indagini epidemiologiche, come finalità diversa — ed autonomamente idonea a far insorgere l'obbligo della notifica al Garante, quali che siano le patologie oggetto delle indagini stesse — rispetto a quella della rilevazione di malattie mentali, infettive e diffusione, sieropositività (Cass. n. 188/2017, che ha confermato la sanzione irrogata ad una Casa di Cura per omessa notificazione al Garante del trattamento di dati sensibili). Sussiste la giurisdizione dell'Autorità garante per la protezione dei dati personali nei confronti di una società italiana, quale stabilimento della società di diritto irlandese facente parte del medesimo gruppo che gestisce servizi di ricerca su internet in Europa, in relazione alla richiesta della rimozione dei risultati da parte di un soggetto residente in Italia. Difatti, nel caso in cui il ricorrente lamenti la lesione del proprio diritto all'oblio, il danno può legittimamente ritenersi prodotto solo nel paese di origine del soggetto che si assume leso in base alle disposizioni del Regolamento. 2012/1215/UE.

Allo stesso modo, in vista dell'obiettivo della tutela efficace e completa del diritto alla vita privata, perseguito da Dir. 95/46/CE, l'espressione «nel contesto delle attività di uno stabilimento» di cui all'art. 4 della medesima direttiva, in tema di legge applicabile, non può ricevere un'interpretazione restrittiva, cosicché il trattamento dei dati personali per cui è causa deve assumersi effettuato appunto nel contesto dell'attività commerciale e pubblicitaria svolta dalla società italiana, quale stabilimento nel territorio italiano della società irlandese, titolare dei servizi di ricerca via internet (Trib. Milano 4 gennaio 2017, in Ridare.it 22 marzo 2017, con nota di Barletta). Deve essere riconosciuto il diritto dell'interessato di rivolgersi al gestore del motore di ricerca al fine di ottenere la rimozione dei risultati ottenuti inserendo come criterio di indagine il nome del soggetto cui si riferiscono le informazioni, in particolare quando le stesse, tenuto conto dell'insieme delle circostanze caratterizzanti il caso oggetto della richiesta, risultino inadeguate, non pertinenti o non più pertinenti ovvero eccessive in rapporto alle finalità per le quali sono state trattate e al tempo trascorso (Trib. Milano 4 gennaio 2017, in Diritto dell'Informazione e dell'Informatica, 2016, 6, 959). A fronte di una lesione derivante da un illecito trattamento dei dati personali avvenuto on-line e i cui effetti dannosi si sono verificati in Italia non è dato precludere l'accesso alla tutela dinanzi all'Autorità Garante per la Privacy italiana (Trib. Milano 4 gennaio 2017, in Diritto dell'Informazione e dell'Informatica, 2016, 6, 959). L'illecito trattamento di dati personali può ritenersi dannoso nel momento in cui provoca la lesione concreta del bene protetto, in relazione al soggetto che per tale lesione chiede tutela; la lesione può ritenersi consumata nel luogo e nel momento in cui il soggetto leso abbia preso consapevolezza della reperibilità e della presenza dei risultati informativi attraverso una interrogazione sul motore di ricerca effettuata con il mero inserimento del suo nome e cognome (Trib. Milano 4 gennaio 2017, in Diritto dell'Informazione e dell'Informatica, 2016, 6, 959). Facebook implica una possibile diffusione del materiale pubblicato su un profilo dell'utente a un numero imprecisato e non prevedibile di soggetti e quindi va considerato, sia pure con alcuni limiti, come un sito pubblico. È lecita, perciò, la sanzione disciplinare inflitta al militare che vi ha postato numerose foto sulle condizioni talvolta precarie in cui svolgeva la sorveglianza all'EXPO corredate da fakes: ha violato i doveri di riservatezza sottesi alla sua professione (T.A.R. Trieste 12 dicembre 2016, in Diritto & Giustizia 2016, 19 dicembre, con nota di Milizia). Ai fini della configurabilità del reato di illecito trattamento di dati personali (art. 167 d.lgs. n. 196/2003), costituiscono dati personali, ex art. 4, comma 1, lett. b) d.lgs. n. 196/2003 — in quanto tali oggetto di trattamento solo con il consenso espresso dell'interessato, ex art. 23, comma primo, d.lgs. n. 196 del 2003 — i nominativi dei clienti di uno studio legale e i documenti delle pratiche che li riguardano (Cass. pen. n. 11994/2016). Sussistendo incertezze in ordine alle modalità di raccolta del consenso da parte degli interessati all'inserimento dei propri dati all'interno di un sito web contenenti profili reputazionali e apparendo il sistema di rating basato su procedure automatizzate va vietata l'attivazione della piattaforma (Aut. protez. dati person. 24 novembre 2016, in Diritto dell'Informazione e dell'Informatica, 2016, 6, 1022). Un indirizzo di protocollo Internet dinamico registrato da un fornitore di servizi di media online in occasione della consultazione, da parte di una persona, di un sito Internet che tale fornitore rende accessibile al pubblico costituisce, nei confronti di tale fornitore, un dato personale, ai sensi della direttiva 95/46 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali (recepita in Italia con d.lg. n. 196/2003), qualora il fornitore disponga di mezzi giuridici che gli consentano di far identificare la persona grazie alle informazioni aggiuntive di cui il fornitore di accesso a Internet di detta persona dispone.

Ciò posto, tra i casi in cui un trattamento dati può essere considerato lecito rientra anche il perseguimento di un interesse legittimo da parte del responsabile del trattamento. Pertanto, le autorità nazionali non possono limitare la conservazione ai soli casi necessari a consentire e fatturare l'effettiva fruizione, escludendola laddove il fornitore di media online ovvero i servizi federali tedeschi nella specie persegue un interesse legittimo, come la difesa da attacchi cibernetici (Corte giustizia UE 19 ottobre 2016, n. 582, in Guida al diritto, 2016, 45, 26). Sussiste nel sistema della responsabilità un principio di irrisarcibilità dei c.d. danni bagatellari e quelli rientranti in una normale ed auspicabile dimensione di tollerabilità dovuta alla civile convivenza, come imposta dal contemperamento tra i principi costituzionali di solidarietà e tolleranza (Cass. n. 20615/2016 concernente un Comune che, mediante la pubblicazione di due delibere, diffondeva alcuni dati di soggetti in relazione ad un «banale» incidente stradale e ad un incidente in un locale dell'Ente). In tema di azione di risarcimento dei danni da diffamazione a mezzo della stampa, qualora la narrazione di determinati fatti sia esposta insieme alle opinioni dell'autore dello scritto, in modo da costituire nel contempo esercizio di critica, stabilire se lo scritto rispetti il requisito della continenza verbale è valutazione che non può essere condotta sulla base di criteri solo formali, richiedendosi, invece, un bilanciamento dell'interesse individuale alla reputazione con quello alla libera manifestazione del pensiero, costituzionalmente garantita (art. 21 Cost.), bilanciamento ravvisabile nella pertinenza della critica all'interesse dell'opinione pubblica alla conoscenza non del fatto oggetto di critica, ma di quella interpretazione del fatto, che costituisce, assieme alla continenza, requisito per l'esimente dell'esercizio del diritto di critica (Trib. Grosseto 13 ottobre 2016). Laddove i dati personali relativi a un personaggio pubblico, riportati in un articolo di critica politica (pubblicato nel 2010 e successivamente rimosso, a seguito di accordo transattivo, dall'archivio del quotidiano), emergano, in quanto riproposti da altro sito, nei risultati di una ricerca impostata in un motore di ricerca (nella specie, Google) col nome del detto personaggio, va disposta la deindicizzazione dell'indirizzo del sito rispetto alla ricerca avente per chiave quel nome (Trib. Milano 28 settembre 2016, in Foro it., 2016, 11, I, 3594). In materia di protezione di dati personali, quando la loro illecita diffusione abbia dato luogo a condotte pregiudizievoli poste in essere da soggetti diversi dagli autori della divulgazione, non può, per ciò solo, escludersi l'esistenza — tra tale comportamento ed il danno lamentato — del nesso causale, dovendo la sua ricorrenza essere comunque affermata qualora risulti che le condotte dei terzi non sarebbero state possibili se non fossero stati resi noti i dati personali dei danneggiati (Cass. n. 14694/2016 che ha confermato la sentenza di merito che aveva ritenuto sussistente il nesso causale per i danni causati dalla pubblicazione, nell'ambito di una campagna contro la vivisezione animale, dei nominativi dei dipendenti di una società dove si svolgeva sperimentazione animale, con i relativi numeri di telefono, indirizzi di posta elettronica e di residenza, con invito a compiere azioni di disturbo, a lungo e senza tregua, a carico dei vivisettori). La divulgazione dei dati personali effettuata direttamente o per interposta persona, mediante la gestione di siti internet accessibili dal pubblico, e tra loro collegati, lede il diritto alla riservatezza costituzionalmente garantito dall'art. 2 ed è idonea a produrre danni risarcibili ai sensi dell'art. 2043 c.c., quando manchino il consenso degli interessati, l'interesse pubblico alla diffusione dei dati e la pertinenza della divulgazione rispetto al tema trattato. In tal caso, i danni risarcibili vanno provati da parte dei danneggiati, sia pure col ricorso alla prova presuntiva, e si configurano come danni-conseguenza diversi dall'evento della lesione del diritto, purché legati a quest'ultimo da nesso di causalità). La pubblicazione di notizie (nella specie, attinte illegittimamente dagli atti di un fascicolo custodito nell'archivio del Consiglio superiore della magistratura, al fine di darne copia a un giornalista che avrebbe poi provveduto alla divulgazione) relative a procedimenti disciplinari su vicende riguardanti la vita privata di un magistrato e assai risalenti nel tempo, in mancanza di interesse pubblico attuale alla conoscenza del fatto, determina violazione del diritto all'oblio (Cass. pen. n. 39452/2016). L'installazione di un impianto di video sorveglianza all'interno di un esercizio commerciale, costituendo trattamento di dati personali, deve formare oggetto di previa informativa, ex art. 13 del d.lgs. n. 196 del 2003, resa ai soggetti interessati prima che facciano accesso nell'area video sorvegliata, mediante supporto da collocare perciò fuori del raggio d'azione delle telecamere che consentono la raccolta delle immagini delle persone e danno così inizio al trattamento stesso (Cass. n. 13663/2016, in Diritto & Giustizia 2016, 6 luglio, con nota di Ievolella). Il richiamo al principio dell'imputabilità personale della sanzione, di cui alla l. n. 689/1981, non può giustificare la sostanziale irresponsabilità dell'Ente tenuto al trattamento dei dati sensibili protetti dalla legge (Cass. n. 13657/2016).

Integra i presupposti dell'illecito trattamento di dati personali la conservazione di un articolo di cronaca nell'archivio online di una testata giornalistica che si protragga per un rilevante lasso di tempo dalla originaria pubblicazione, specie allorquando sia trascorso un significativo arco temporale dalla richiesta, inviata dall'interessato al giornale, di rimozione dell'articolo ed in mancanza di aggiornamenti della vicenda pubblicata (Cass. n. 13161/2016, in GiustiziaCivile.com 15 marzo 2017, con nota di Caputo). L'illecito protrarsi del trattamento dati giustifica l'accoglimento della pretesa risarcitoria ex art. 15 d.lg. n. 196/2003 quando — secondo una valutazione bilanciata del diritto di cronaca e del diritto all'oblio — il mantenimento del diretto ed agevole accesso sul web alla risalente notizia di cronaca esorbita dal fine del lecito trattamento d'archiviazione online ledendo i diritti all'identità e alla reputazione dell'interessato (Cass. n. 13161/2016, in Ridare.it 2016, 19 ottobre, con nota di Bianchi). La divulgazione dei dati personali effettuata direttamente o per interposta persona, mediante la gestione di siti internet accessibili dal pubblico, e tra loro collegati, lede il diritto alla riservatezza costituzionalmente garantito dall'art. 2 ed è idonea a produrre danni risarcibili ai sensi dell'art. 2043 c.c., quando manchino il consenso degli interessati, l'interesse pubblico alla diffusione dei dati e la pertinenza della divulgazione rispetto al tema trattato. In tal caso, i danni risarcibili vanno provati da parte dei danneggiati, sia pure col ricorso alla prova presuntiva, e si configurano come danni-conseguenza diversi dall'evento della lesione del diritto, purché legati a quest'ultimo da nesso di causalità (Cass. n. 14694/2016). In tema di ripartizione dell'onere della prova, al correntista abilitato a svolgere operazioni on line che, alla stregua degli artt. 15 del d.lgs. n. 196 del 2003 e 2050 c.c., agisca per l'abusiva utilizzazione (nella specie, mediante illegittime disposizioni di bonifico) delle sue credenziali informatiche, spetta soltanto la prova del danno siccome riferibile al trattamento del suo dato personale, mentre l'istituto creditizio risponde, quale titolare del trattamento di dato, dei danni conseguenti al fatto di non aver impedito a terzi di introdursi illecitamente nel sistema telematico mediante la captazione dei codici d'accesso del correntista, ove non dimostri che l'evento dannoso non gli sia imputabile perché discendente da trascuratezza, errore o frode del correntista o da forza maggiore (Cass. n. 10638/2016) I danni cagionati per effetto del trattamento dei dati personali in base all'art. 15, d.lg. n. 196/2003, sono assoggettati alla disciplina di cui all'art. 2050 c.c., con la conseguenza che il danneggiato è tenuto solo a provare il danno e il nesso di causalità con l'attività di trattamento dei dati, mentre spetta al convenuto la prova di aver adottato tutte le misure idonee ad evitare il danno (Cass. n. 10638/2016, in Diritto & Giustizia 2016, 24 maggio, con nota di Tarantino). È illecita la diffusione delle generalità di un soggetto effettuata tramite un provvedimento giurisdizionale (pubblicato su un sito web liberamente accessibile), in cui si indicavano lo stato di salute e le invalidità dello stesso, considerato che, ai sensi della normativa vigente in materia, dai provvedimenti giurisdizionali vanno omessi i dati identificativi delle parti nei procedimenti in materia di rapporti di famiglia e di stato delle persone (art. 52 d.lgs. 196/2003) e i dati sensibilissimi, quali quelli idonei a rivelare lo stato di salute, non possono essere diffusi (art. 22 d.lgs. 196/2003).

Né l'oscuramento delle generalità degli interessati pregiudica la finalità di informazione giuridica, risultando, anzi, necessaria, in una prospettiva di bilanciamento dei diversi interessi per tutelare la sfera di riservatezza dei soggetti coinvolti (Cass. n. 10510/2016). In tema di trattamento dei dati personali cd. comuni per finalità promozionali e commerciali mediante SMS su utenze telefoniche mobili, la regola dell'art. 23, comma 3, del d.lgs. n. 196 del 2003, secondo cui il consenso al trattamento è validamente prestato, tra l'altro, se è documentato per iscritto, attiene non alla forma di manifestazione del consenso in questione — come, invece, stabilito per il trattamento dei dati sensibili di cui al comma 4 dello stesso art. 23 — ma al contenuto dell'onere probatorio gravante sul titolare dei dati personali, al quale, quindi, è imposto di documentare per iscritto l'assenso, anche orale, esplicitato dall'utente del servizio al trattamento dei suoi dati per scopi promozionali aggiuntivi rispetto al servizio di telefonia mobile, e potendo tale documentazione essere integrata anche dalle riproduzioni meccaniche o informatiche di cui all'art. 2712 c.c., effettuate dal titolare del trattamento, salva l'eventuale successiva verifica dell'idoneità del contenuto dell'acquisita annotazione (Cass. n. 9982/2016).

La regola introdotta dall'art. 23, comma 3, d.lg. n. 196 del 2003, secondo cui il consenso al trattamento è validamente prestato, tra l'altro, se è documentato per iscritto, attiene non alla forma di manifestazione del consenso in questione — come invece stabilito per il trattamento dei dati sensibili di cui al comma 4 dello stesso art. 23 — ma al contenuto dell'onere probatorio gravante sul titolare dei dati personali (Cass. n. 9982/2016, in Ridare.it 2016, 29 luglio, con nota di Pannullo). Il danno non patrimoniale risarcibile ai sensi dell'art. 15 d.lg. 30 giugno 2003 n. 196 (c.d. codice della privacy), pur determinato da una lesione del diritto fondamentale alla protezione dei dati personali, non si sottrae alla verifica della gravità della lesione e della serietà del danno sicché determina una lesione ingiustificabile di tale diritto non la mera violazione delle prescrizioni poste dall'art. 11 del codice della privacy ma solo quella che ne offenda in modo sensibile la sua portata effettiva (Trib. Savona 6 maggio 2016). In materia di trattamento di dati personali, il principio dell'alternatività del ricorso all'Autorità giudiziaria rispetto al ricorso al Garante, previsto nell'ipotesi in cui entrambe le suddette iniziative abbiano il medesimo oggetto, per essere compatibile con l'art. 24 Cost. deve essere inteso nel senso che può applicarsi solo quando le due domande siano tali che, in ipotesi di contestuale pendenza davanti a più giudici, potrebbero, in via generale, essere assoggettate al regime processuale della litispendenza o della continenza. Ne consegue che il detto principio non opera tutte le volte in cui, in sede giurisdizionale, si faccia valere l'inottemperanza, da parte del gestore del trattamento dei dati personali, ai provvedimenti assunti dal Garante, o venga proposta una domanda di risarcimento del danno, riservata all'esame del giudice ordinario e che ha causa petendi e petitum autonomi e diversi (Cass. n. 6775/2016). Il doloso impedimento, frapposto dall'amministrazione sanitaria, all'esecuzione dell'autorizzazione rilasciata dal giudice, volta a interrompere un trattamento sanitario nei confronti di una persona in stato vegetativo e in fase terminale della vita, configura sia l'elemento oggettivo della responsabilità dell'amministrazione stessa, ossia il fatto lesivo e la sua ingiustizia, sia l'elemento soggettivo e il nesso di causalità (in quanto la Regione si è rifiutata deliberatamente e scientemente di dare seguito all'ordine del giudice), con conseguente condanna dell'amministrazione al risarcimento sia del danno patrimoniale sia del danno non patrimoniale cagionato alla paziente e ai suoi congiunti, voce, quest'ultima, da quantificarsi in via equitativa (T.A.R. Milano 6 aprile 2016, in Guida al diritto 2016, 19, 98). In un contesto di coabitazione e di condivisione di spazi e strumenti di uso comune quale quello familiare, la possibilità di entrare in contatto con dati personali del coniuge sia evenienza non infrequente, che non si traduce necessariamente in una illecita acquisizione di dati. È la stessa natura del vincolo matrimoniale che implica un affievolimento della sfera di riservatezza di ciascun coniuge, e la creazione di un ambito comune nel quale vi è una implicita manifestazione di consenso alla conoscenza di dati e comunicazioni di natura anche personale, di cui il coniuge in virtù della condivisione dei tempi e degli spazi di vita, viene di fatto costantemente a conoscenza a meno che non vi sia una attività specifica volta ad evitarlo. In un simile contesto, non può ritenersi illecita la scoperta casuale del contenuto di messaggi, per quanto personali, facilmente leggibili su di un telefono lasciato incustodito in uno spazio comune dell'abitazione familiare. Non occorre dunque addentrarsi nel dibattito non del tutto sopito sulla utilizzabilità a fini di prova nel giudizio civile, di documenti acquisiti in violazione di normative pubblicistiche, dal momento che la produzione non può dirsi frutto di acquisizione illecita (Trib. Roma 30 marzo 2016). Il giornalista è legittimato a divulgare i dati senza il consenso del loro titolare né l'autorizzazione del Garante per la protezione dei dati personali, a condizione che la divulgazione sia essenziale ai sensi dell'art. 6 del codice deontologico dei giornalisti, ovvero indispensabile in considerazione dell'originalità del fatto o dei modi in cui è avvenuto, e che la valutazione della sussistenza di tale requisito costituisce accertamento in fatto, che il giudice di merito deve compiere caso per caso (Cass. n. 4685/2016, in Diritto & Giustizia 2016, 11 marzo, con nota di Alovisio). In materia di trattamento illecito di dati personali, il presupposto per la punibilità del reato previsto dall'art. 167 d.lgs. n. 196 del 2003 è l'esistenza di un nocumento per la persona offesa, che costituisce elemento essenziale per la configurazione del reato, ovvero una condizione obiettiva di punibilità. Il reato è pertanto inquadrabile nella categoria dei reati di danno e non di mero pericolo.

Il concetto di nocumento alla persona deve ritenersi, poi, ben più ampio di quello di danno comprendendo, qualsiasi effetto pregiudizievole che possa conseguire alla arbitraria condotta invasiva altrui. Non sono punibili, invece, le condotte che non abbiano determinato alcuna conseguenza (Trib. Bari 3 marzo 2016, in Guida al diritto 2016, 24, 54, che ha assolto, per assenza di nocumento per la persona offesa, due soci di un'associazione che, senza autorizzazione, avevano pubblicato l'immagine di un altro socio all'interno dell'opuscolo della medesima associazione). La competenza del foro del consumatore sussiste anche con riguardo a controversie aventi ad oggetto il risarcimento di danni da trattamento illecito di dati personali acquisiti dal professionista nell'ambito di un contratto di consumo (finanziamento), prevalendo la norma speciale di cui all'art. 33 d.lgs. n. 206 del 2005 su quella di cui all'art. 152 d.lgs. n. 196 del 2003 (codice privacy) (Cass. n. 2687/2016). In tema di protezione dei dati personali, è legittimo il rigetto dell'istanza di accesso ai tabulati telefonici, da parte di privati per finalità di repressione dei reati diversi da quelli previsti dall'art. 407, comma 2, lett. a), c.p.p., inoltrata oltre i termini previsti dall'art. 132 cod. privacy (nel testo applicabile ratione temporis, risultante dalle modifiche apportate dal d.l. n. 144 del 2005) (Cass. n. 1625/2016). Il blog, ancorché gestito da persona che non esercita professionalmente l'attività giornalistica, rientra tra le attività di manifestazione del pensiero cui sono applicabili le disposizioni concernenti il trattamento dei dati personali in ambito giornalistico (Aut. protez. dati person. 27 gennaio 2016, in Foro it. 2016, 6, III, 375). In tema di tutela dei dati personali, la mancata preventiva formale informativa ex art. 13 del d.lgs. n. 196 del 2003, non è sanzionabile ove l'utente fruisca di un meccanismo, azionabile a sua iniziativa, che consente l'erogazione di specifiche prestazioni programmate, dovendosi escludere, in ragione di tale automatismo e del consenso dell'interessato, una preventiva informazione che resta connaturata all'azione posta in essere. (nella specie, il Garante aveva sanzionato una società di gestione di impianti sciistici per l'omessa comunicazione formale agli sciatori della presenza di etichette RFID che verificavano, nel momento in cui gli stessi si avvicinavano al tornello muniti di tesserino, che non avessero superato il credito prepagato per poter accedere a luoghi riservati) (Cass. n. 1422/2016). In tema di trattamento di dati personali, i termini per rispondere all'interpello preventivo a norma dell'art. 146, commi 2 e 3, d.lgs. n. 196/2003 devono ritenersi perentori; tuttavia, il diritto di accesso di cui all'art. 7 non deve essere esercitato in modo arbitrario, o per il conseguimento di finalità diverse da quelle cui detto diritto è preordinato, bensì solo in presenza di un ragionevole interesse. (nella specie, il giudice ha reputato giustificata la pronuncia di compensazione delle spese, adottata dal Garante per la Protezione dei Dati Personali con il provvedimento opposto, constatando come l'istante fosse già a conoscenza dei dati personali in possesso del legale, destinatario dell'interpello preventivo, che lo aveva assistito, e che l'interpello era stato inoltrato durante il periodo delle ferie di agosto) (Trib.Roma 18 gennaio 2016). In tema di tutela della riservatezza, costituisce violazione dell'art. 13 del d.lgs. n. 196 del 2003, interpretato in combinazione con le disposizioni di cui al provvedimento dell'Autorità garante per la protezione dei dati personali del 7 settembre 2005, cd. decalogo elettorale, l'invio, tramite sms sul telefono cellulare, di messaggi di propaganda elettorale non preceduti dalla prescritta preventiva informativa obbligatoria all'interessato, acquisibile anche una tantum attraverso il consenso espresso alla ricezione di chiamate o messaggi per le indicate e specifiche finalità (Cass. n. 25079/2015). Il delitto di trattamento illecito dei dati personali rientra nella categoria dei reati di danno. Per ritenere integrato siffatto reato è necessario che dalla realizzazione della condotta criminosa derivi un nocumento per la vittima, da intendersi, a differenza del danno, come qualsiasi effetto pregiudizievole che possa scaturire dall'arbitrario comportamento invasivo dell'autore dell'azione delittuosa (Cass. n. 40356/2015, in Diritto & Giustizia 2015, 9 ottobre, con nota di Gentile). In tema di trattamento dei dati personali, tra i dati concernenti le persone decedute, ai quali hanno diritto di accesso gli eredi, a norma dell'art. 9, comma 3, del d.lgs. n. 196 del 2003, non rientrano quelli identificativi di terze persone, quali sono i beneficiari della polizza sulla vita stipulata dal de cuius, ma soltanto quelli riconducibili alla sfera personale di quest'ultimo (Cass. n. 17790/2015) L'installazione di un impianto di videosorveglianza a scopo di vigilanza e deterrenza all'interno di un esercizio commerciale privato, al fine di seguire l'accesso degli avventori, costituisce trattamento di dati personali ai sensi e per gli effetti del d.lgs. 30 giugno 2003, n. 196, e deve, perciò, formare oggetto di una informativa chiara, completa, inequivoca, non ambigua pur se in termini sintetici, nonché visibilissima, rivolta ai soggetti che facciano ingresso nel locale (Cass. n. 17440/2015). Costituisce illecito amministrativo ex art. 161 del d.lg. n. 196 del 2003 la mancata affissione dell'apposito cartello che avverte della presenza, all'interno del un negozio, di una telecamera collegata ad un monitor ubicato sul soppalco dell'esercizio commerciale utilizzata dal titolare dell'attività con lo scopo di sorvegliare l'accesso degli avventori nel proprio negozio quando si recava al piano superiore (Cass. n. 17440/2015, in Diritto & Giustizia 2015, 3 settembre, con nota di Alovisio). In tema di tutela della privacy, la revoca del consenso al trattamento dei dati personali può essere espressa dall'interessato con richiesta rivolta senza formalità al titolare o al responsabile del trattamento, anche per il tramite di un difensore di fiducia (Cass. n. 17399/2015). A fronte di comportamenti invasivi della vita privata di uno sportivo, è risarcibile il danno non patrimoniale da violazione della privacy, in relazione sia alla conoscenza di dati personali destinati a rimanere riservati da parte di quanti li avevano illecitamente acquisiti e trattati, sia alla sofferenza patita dall'interessato una volta resosi conto di aver subìto controlli abusivi (App. Milano 22 luglio 2015, in Foro it. 2015, 10, I, 3312). Il trattamento illecito dei dati personali, per essere penalmente perseguibile, deve essere caratterizzato dal dolo specifico, ossia dal fine perseguito dall'agente di trarre per sé o per altri profitto, ovvero di recare ad altri pregiudizio, e comportare altresì la produzione del nocumento, che è prevista quale condizione obiettiva di punibilità. Di conseguenza, la condotta non è penalmente perseguibile nell'ipotesi in cui il trattamento dei dati personali, seppur avvenuto senza il consenso dell'interessato, non abbia prodotto alcun danno a carico dello stesso (Trib. Firenze 23 giugno 2015, in Guida al diritto 2016, 8, 102). L'obbligo per la P.A. di procedere alla cifratura dei dati sensibili contenuti in banche dati, sancito dall'art. 22, comma 6, del d.lgs. 30 giugno 2003, n. 196, è finalizzato esclusivamente a prevenire abusi nella gestione e nell'accesso a queste ultime, sicché esso non sussiste per quei dati, anche sensibili, che la stessa, in adempimento di obblighi di legge, trasmetta al titolare o al soggetto da questi indicato. Ne consegue che non costituisce illegittimo trattamento di dati sensibili, da parte della P.A., l'indicazione della causale di un pagamento effettuato per ragioni di assistenza o previdenza pubbliche, a nulla rilevando che quella causale possa, in astratto, rivelare le condizioni di salute del percettore (Nella specie, la S.C. ha cassato la sentenza impugnata che aveva ritenuto illegittima la condotta tenuta dalla Regione e dalla banca per aver trasmesso e indicato un dato sensibile, costituito dal riferimento alla legge 25 febbraio 1992, n. 210, la prima inoltrandolo e la seconda riportandolo nell'estratto conto quale causale del bonifico disposto in favore della sua cliente) (Cass. n. 10280/2015). Non costituisce illegittimo trattamento di dati sensibili, da parte della pubblica amministrazione, l'indicazione della causale d'un pagamento effettuato per ragioni di assistenza o previdenza pubbliche, a nulla rilevando che quella causale possa in astratto rivelare le condizioni di salute del percettore (Cass. n. 10280/2015, in fattispecie relativa all'azione nei confronti di una banca e di un ente pubblico per diffusione illecita di dati sensibili, a seguito dell'indicazione, nell'ordine di bonifico e nel conto corrente, della causale di un indennizzo di un danno alla salute). La trasmissione di dati personali al rappresentante del titolare, effettuata col consenso di quest'ultimo, equivale a quella effettuata direttamente al titolare, e non costituisce perciò una comunicazione ai sensi dell'art. 4, comma 1, lettera (l), d.lg. 196 del 2003 (Cass. n. 10280/2015, in fattispecie relativa all'azione nei confronti di una banca e di un ente pubblico per diffusione illecita di dati sensibili, a seguito dell'indicazione, nell'ordine di bonifico e nel conto corrente, della causale di un indennizzo di un danno alla salute). Sussiste la responsabilità civile della p.a. per danni da lesione del diritto alla riservatezza quando la p.a. non si adoperi con tutte le misure necessarie ad evitare il danno, ovvero la diffusione di dati personali sensibili, poiché l'art. 18 l. n. 675/1996 il risarcimento del danno da illecito trattamento dei dati, soprattutto se sensibili, segue la disciplina dell'art. 2050 c.c. (Cass. n. 9785/2015, con la quale veniva riconosciuto il risarcimento del danno patito da lesione del diritto alla riservatezza di un soggetto, che aveva cambiato sesso, poiché l'ufficio elettorale del Comune dal quale il suddetto si era trasferito aveva trasmesso, senza rispettare le norme, anche tecniche, sulla diffusione dei dati super-sensibili, al Comune di destinazione il fascicolo contenente tutte le informazioni sul mutamento del sesso). In caso di illecito trattamento dei dati personali, nella fattispecie per illegittima segnalazione alla Centrale dei rischi, la Cassazione ha ricordato che il pregiudizio non patrimoniale non può mai essere in re ipsa, ma deve essere allegato e provato da parte dell'attore, a pena di uno snaturamento delle funzioni della responsabilità aquiliana. La posizione attorea è tuttavia agevolata dall'onere della prova più favorevole, come descritto all'art. 2050 c.c., rispetto alla regola generale del danno aquiliano, nonché dalla possibilità di dimostrare il danno anche solo tramite presunzioni semplici e dal risarcimento secondo equità. La tendenza al rifiuto dei danni in re ipsa è dunque costante, nonostante la celebre ma isolata «sentenza Scarano» che ha dipinto uno scenario diverso, accostando il danno tanatologico – in caso di morte immediata – al danno-evento: sul punto, potrà far luce il responso delle Sezioni Unite (Cass. n. 4443/2015, in GiustiziaCivile.com 2015, 13 luglio, con nota di Alberti) Ai sensi dell'art. 1, d.lg. n. 196 del 2003 chiunque ha diritto alla protezione dei dati personali che lo riguardano, chiarendo quindi che il corretto trattamento dei dati personali costituisce oggetto di un vero e proprio diritto soggettivo. Ne consegue che la denunciata previsione di pubblicazione di dati personali, nel caso in questione a contenuto economico, al di fuori dei limiti stabiliti dalla legge, lede un diritto soggettivo in quanto costituisce un illecito trattamento dei dati personali. Ne consegue che nei confronti degli atti impugnati sussiste la giurisdizione del g.o. Infatti, la giurisdizione si determina sulla base della domanda e, ai fini del riparto tra g.o. e g.a., rileva non già la prospettazione delle parti, bensì il petitum sostanziale, il quale va identificato non solo e non tanto in funzione della concreta pronuncia che si chiede al giudice, ma anche e soprattutto in funzione della causa petendi, ossia dell'intrinseca natura della posizione dedotta in giudizio ed individuata dal giudice con riguardo ai fatti allegati e al rapporto giuridico del quale detti fatti sono manifestazione (T.A.R. Milano 3 marzo 2015, n. 615, in Foro Amministrativo, 2015, 3, 871). Il danno non patrimoniale, risarcibile ai sensi dell'art. 15 d.lg. 30 giugno 2003 n. 196 (cd. codice della privacy), pur determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli art. 2 e 21 cost., e dall'art. 8 Cedu, non si sottrae alla verifica della gravità della lesione e della serietà del danno (quale perdita di natura personale effettivamente patita dall'interessato), in quanto anche per tale diritto opera il bilanciamento con il principio di solidarietà ex art. 2 Cost., di cui il principio di tolleranza della lesione minima è intrinseco precipitato, sicché determina una lesione ingiustificabile del diritto, non la mera violazione delle prescrizioni poste dall'art. 11 cod. privacy ma solo quella che ne offenda in modo sensibile la sua portata effettiva (Cass. n. 4231/2015, in Ridare.it 2015, 22 aprile, con nota di Papagni). In tema di illecito trattamento di dati personali, il nocumento deve essere previsto e voluto come conseguenza della propria azione, indipendentemente dal fatto che costituisca o si identifichi con il fine dell'azione stessa; è sufficiente, quando ciò non accada (quando cioè il fine sia quello di trarre profitto dall'illecito trattamento dei dati o di recare danno a persona diversa da quella oggetto di trattamento), che il nocumento sia anche solo previsto e accettato come conseguenza della condotta.

Non è perciò sufficiente che esso costituisca conseguenza non voluta (ancorché prevista o prevedibile) dell'illecito trattamento dei dati personali (Cass. pen. n. 40103/2015, in Diritto & Giustizia 2015, 7 ottobre, con nota di Alovisio). Ai sensi del Codice in materia di protezione dei dati personali (d.lg. n. 196 del 2003), si considera titolare la società che proceda a segnalare il nominativo di un uomo e della sua possibile insolvenza — da considerare come dato personale — all'organismo che si occupi di informazione creditizia. Sicché, tale comunicazione, avvenuta in contrasto con la normativa predetta, è da qualificare come trattamento di quel dato e potrà essere proposta domanda risarcitoria per l'illegittima segnalazione del nominativo (Cass. n. 23330/2014). In caso di dati personali nella disponibilità di un ufficio giudiziario (nella specie, relativi ad un procedimento disciplinare disposto nei confronti di un dipendente dell'ufficio), giudice territorialmente competente per l'azione di risarcimento per la loro indebita diffusione è il tribunale del luogo di residenza del capo dell'ufficio giudiziario (da intendersi, peraltro, in senso funzionale ed oggettivo, quale luogo della stanzialità e della stabile ubicazione del medesimo e, dunque, della sede dell'ufficio stesso), il quale riveste la qualità di titolare del trattamento dei dati, e non quello del cancelliere del medesimo ufficio, che ha la diversa veste di responsabile del trattamento dei dati (Cass. n. 22526/2014). L'illecito trattamento di dati personali giustifica l'accoglimento della pretesa risarcitoria azionata ai sensi dell'art. 15 del d.lgs. 30 giugno 2003, n. 196, solo a condizione che sia dimostrata dall'interessato l'esistenza di un pregiudizio di natura non patrimoniale sofferto in sua conseguenza (Cass. n. 18812/2014, concernente fattispecie in cui, pur essendosi accertata l'illecita propalazione di circostanze idonee a rivelare le abitudini sessuali del soggetto interessato, costui non si era neppure preoccupato di dimostrarne l'incidenza negativa che tale evento aveva prodotto nella sfera delle proprie relazioni parentali e sociali, ovvero eventuali riflessi sul diritto di visita del figlio riconosciutogli nel procedimento di separazione personale ancora pendente all'epoca del fatto). La realizzazione di fotografie all'interno di luoghi di privata dimora con mezzi tecnici invasivi, tali da superare gli ostacoli alla visibilità, integra una condotta punibile ai sensi dell'art. 615 bis c.p., cui conseguono l'illiceità del trattamento dei dati acquisiti e l'obbligo del responsabile di risarcire il danno non patrimoniale connesso al pregiudizio all'inviolabilità del domicilio (Cass. n. 16647/2014). Non è necessario il consenso dell'interessato al trattamento dei dati personali ove questi siano utilizzati nei limiti in cui ciò sia reso necessario da esigenze di difesa in giudizio (Cass. n. 16284/2014). L'illegittimo trattamento di dati sensibili ex art. 4 del d.lgs. 30 giugno 2003, n. 193, configurabile come illecito ai sensi dell'art. 2043 c.c., non determina un'automatica risarcibilità del danno, dovendo il pregiudizio (morale e/o patrimoniale) essere provato secondo le regole ordinarie, quale ne sia l'entità e quale che sia la difficoltà di assolvere l'onere probatorio, trattandosi di un danno-conseguenza e non di un danno-evento, non rilevando in senso contrario neppure il suo eventuale inquadramento quale pregiudizio non patrimoniale da lesione di diritti costituzionalmente garantiti (Cass. n. 15240/2014). L'invio di un fax promozionale ad un numero estratto dagli elenchi telefonici, se non preceduto dall'informativa sul trattamento del dato personale e dall'acquisizione del consenso del titolare, integra due illeciti amministrativi, consistenti, da un lato, dall'omessa informativa ex artt. 13 e 161 del codice della privacy, e, dall'altro, dalla non assentita comunicazione automatizzata ex artt. 23, 130, 162, comma 2 bis, e 167 del medesimo codice (Cass. n. 14326/2014).

In tema di riconoscibilità delle persone oggetto di servizi giornalistici, l'individuabilità della persona offesa o di cui sono stati resi pubblici dati sensibili non ne postula l'esplicita indicazione del nominativo, essendo sufficiente che essa possa venire individuata anche per esclusione in via deduttiva, tra una categoria di persone, a nulla rilevando che in concreto tale individuazione avvenga nell'ambito di un ristretto gruppo di persone (Cass. n. 1608/2014, in Dir. inf. e inf., 2014, 345, con nota di Ciani). Va accolto il ricorso del contribuente con il quale si richiede che venga ordinato alla Agenzia delle Entrate di non intraprendere alcuna ricognizione, archiviazione, o comunque attività di conoscenza ed utilizzo dei dati relativi a quanto previsto dall'art. 38, comma 4 e 5 del d.P.R. n. 600 del 1973 e di cessare, ove iniziata, ogni attività di accesso, analisi, raccolta dati di ogni genere relativi alla posizione contributiva del ricorrente, nonché di ordinare all'Agenzia delle Entrate di comunicare formalmente al ricorrente se è in atto un'attività di raccolta dati nei suoi confronti al fine dell'applicazione del redditometro e, in caso positivo, di distruggere tutti i relativi archivi formatisi dopo l'entrata in vigore del d.m. del 24 dicembre 2012 n. 65648 e previa specifica informazione a parte del ricorrente (Trib. Napoli 24 settembre 2013). In materia di trattamento dei dati personali, il diritto di difesa in giudizio prevale sul diritto alla inviolabilità della corrispondenza in virtù del generale principio di cui all'art. 51 c.p. (riguardante l'esimente dell'esercizio di un diritto) nonché delle più specifiche norme del codice dei dati personali (art. 24 del d.lgs. 30 giugno 2003, n. 196) e degli artt. 93 e 94 della legge 22 aprile 1941, n. 633, in tema di diritto d'autore, norme queste ultime secondo cui la corrispondenza, allorché abbia carattere confidenziale o si riferisca alla intimità della vita privata, può essere divulgata senza autorizzazione quando la conoscenza dello scritto sia richiesta ai fini di un giudizio civile o penale (Cass. n. 21612/2013). È legittima la decisione del Garante per la protezione dei dati personali che, ancorché non sia stato accertato l'elemento soggettivo del dolo o della colpa in ordine all'illecito contestato, inibisca l'utilizzazione di dati genetici acquisiti e trattati senza il preventivo consenso dell'interessato, posto che l'accertamento dell'illiceità della condotta secondo i parametri dell'art. 2043 c.c. non riveste alcuna utilità al fine di ottenere la verifica dell'illegittimità del trattamento dei dati personali e l'ordine di impedirne l'utilizzazione (Cass. n. 21014/2013). È illecito il trattamento di dati genetici senza il consenso dell'interessato, destinato ad orientare la successiva scelta di promuovere un'azione di disconoscimento di paternità mediante l'accertamento preventivo della consanguineità fra due soggetti, in quanto non può essere equiparata una valutazione di opportunità ante causam, diretta a verificare le probabilità di successo di una futura azione, con la necessaria utilizzazione di alcuni dati come strumenti indispensabili per ottenere tutela giurisdizionale. Anche alla luce della fonte integrativa dell'art. 90 d.lgs. 196 del 2003, costituita dall'Autorizzazione generale del 22 febbraio 2007 del Garante per la protezione dei dati personali, non può, pertanto, ritenersi che un testo genetico meramente predittivo e non indispensabile al fine di valutare se esercitare un diritto, ancorché di pari rango di quello del controinteressato, possa essere svolto senza il consenso del titolare dei dati, dovendosi rilevare al riguardo una netta continuità di regime giuridico nel trattamento dei dati genetici tra la fase anteriore e quella successiva all'emanazione dell'apposita autorizzazione prescritta all'art. 90 d.lgs. n. 196 del 2003 (Cass. n. 21014/2013). Ai sensi degli artt. 4 e 11 del d.lgs. 30 giugno 2003, n. 196, i dati personali oggetto di trattamento vanno gestiti rispettando i canoni della correttezza, pertinenza e non eccedenza rispetto alle finalità del nuovo loro utilizzo. Risulta, quindi, eccedente rispetto al suo scopo un siffatto trattamento allorquando il datore di lavoro, pur potendo diversamente dimostrare l'illiceità della condotta di un suo dipendente, consistita in reiterati e non autorizzati accessi alla rete effettuati sul luogo di lavoro, diffonda numerose informazioni, non indispensabili per far valere o difendere un diritto in sede giudiziaria, indicative anche degli specifici contenuti degli accessi ai singoli siti web visitati dal medesimo dipendente durante le varie navigazioni (Cass. n. 18443/2013). In tema di trattamento dei dati personali, l'eventuale segreto professionale della fonte della notizia non fa venire meno il dovere del giornalista di acquisire lecitamente i documenti relativi alle intercettazioni. In questi casi, il parametro della liceità, al pari di quello della correttezza, entrambi disciplinati dall'art. 11 d.lg. 30 giugno 2003 n. 196 (già art. 9 comma 1 lett. a) l. 31 dicembre 1996 n. 675), trova sostanza e contenuto anche nel rinvio che tale norma reca alle disposizioni dei codici penale e di procedura penale in ordine alla segretezza ed alla pubblicazione arbitraria degli atti del procedimento penale, le quali, così, assurgono ad ulteriore canone di valutazione di liceità delle pubblicazioni, anche a prescindere dagli eventuali profili penalistici della vicenda (Cass. n. 17602/2013). Costituisce trattamento illecito dei dati personali relativi a minori, punibile ai sensi dell'art. 167, comma 2, del d.lgs. 30 giugno 2003 n. 196, la pubblicazione non autorizzata, in un articolo di cronaca giornalistica, delle generalità e della fotografia di un minore rimasto vittima di un incidente stradale, quand'anche lo scopo perseguito sia stato quello di richiamare più efficacemente l'attenzione dell'opinione pubblica e delle competenti autorità sulla ritenuta necessità di interventi atti ad eliminare le condizioni di insicurezza presentate dal tratto stradale in cui l'incidente si era verificato, non presentandosi comunque, la detta pubblicazione, come connotata dal carattere dell'essenzialità ai fini della completezza dell'informazione, né potendosi escludere tanto la sussistenza del nocumento (ravvisabile anche con riferimento a soggetti terzi) quanto quella della quanto meno concorrente finalità di profitto, correlata al possibile incremento delle vendite del giornale (Cass. pen. n. 7504/2013). Ritenuto che il condominio edilizio è un luogo in cui i singoli condomini non sono obbligati a sopportare, senza il loro consenso, una ingerenza nella loro riservatezza, seppure per il fine della sicurezza del condomino che videoriprende, e ritenuto, altresì, che nell'ottica del cd. balancing costituzionale, anche qualora la videoripresa di sorveglianza e tutela non può essere sostituita da altri sistemi di sicurezza e tutela, è pur sempre necessario che la videoripresa non comprometta la riservatezza degli altri condomini, offrendo loro un baricentro in cui i contrapposti interessi possano essere salvaguardati; l'istallazione di vere e proprie telecamere ad iniziativa di singoli condomini all'interno di edifici in condominio e loro pertinenze (ad es., posti-auto, box) richiede, comunque, l'adozione di cautele tecniche adeguate a tutela dei terzi: in particolare, l'angolo visuale prospettico, lineare ed aereo, delle riprese deve essere rigorosamente commisurato agli spazi, alle distanze, alle angolazioni, agli effetti magnetici e sonori, alle immissioni, alle luci, pertinenti al bene goduto dal condomino istallatore, escludendo ogni forma di ripresa, anche senza registrazione di immagini, relativa ad aree comuni o antistanti l'abitazione degli altri condomini, fermo restando che, per legittimare la videosorveglianza, è, comunque, sempre necessaria la preventiva cd. valutazione di proporzionalità (Trib. Trani 28 maggio 2013, in Dir. fam. pers. 2014, 1, 196, con nota di Pennisi). In tema di protezione dei dati personali, ai fini dell'individuazione del giudice territorialmente competente, il termine residenza del titolare del trattamento, utilizzato dall'art. 152, comma 2, del d.lgs. 30 giugno 2003, n. 196, non modifica il criterio di radicamento della competenza nel senso di ricollegarlo all'elemento oggettivo del fatto (trattamento dei dati personali), invece che a quello soggettivo, corrispondendo, infatti, con il luogo della stanzialità e della stabile ubicazione del soggetto titolare del trattamento, cioè della sua residenza se persona fisica, o della sua sede se persona giuridica, o comunque ente collettivo (Cass. n. 12749/2013).

Non sussiste il diritto di accesso alla cartella clinica del proprio coniuge, attenendo questa a dati sensibilissimi della persona, qualora abbia solo una finalità esplorativa e non sia evidenziato come la documentazione richiesta possa rilevare nell'ambito della domanda di nullità del matrimonio proposta sia in sede civile che ecclesiastica (T.A.R. Bari 22 maggio 2013, in Guida al diritto 2013, 25, 80). Il reato di trattamento illecito di dati personali (art. 167 d.lgs. n. 196 del 2003) non è integrato se l'utilizzo dei dati avvenga per fini esclusivamente personali, senza una loro diffusione o destinazione ad una comunicazione sistematica (Cass. pen. n. 29071/2013, che ha escluso il reato nei confronti dei delegati alla raccolta delle firme per la presentazione di liste elettorali che avevano formato un elenco di sottoscrittori con firme false, utilizzando nominativi effettivamente esistenti presso l'ufficio anagrafe). La pretesa alla trasparenza dell'attività amministrativa è una situazione attiva meritevole di autonoma protezione indipendentemente dall'esistenza e dalla sorte di un processo in cui venga fatta valere la situazione sottostante la domanda ostensiva: pertanto, ogni considerazione su quest'ultimo non può trovare ingresso ai fini della decisione in materia di accesso. Tale considerazione, però, può essere ritenuta valida in relazione a documenti contenenti dati comuni. Laddove, invece, vengano richiesti, per motivi di difesa giudiziaria, documenti contenenti dati sensibili, deve ritenersi che il giudice dell'accesso abbia il dovere di effettuare un più pregnante esame circa l'effettiva necessità della richiesta documentazione ai fini della difesa giudiziaria dell'istante, perché l'ostensione viene ammessa dalla legge solo nella misura in cui sia effettivamente necessaria a tal fine. La rigida necessità di detta conoscenza implica che la pretesa alla trasparenza amministrativa possa essere tutelata nella misura in cui sia strumentale alla difesa in giudizio della situazione sottostante l'istanza ostensiva (T.A.R. Milano 12 febbraio 2013, in Diritto & Giustizia 2013, 18 marzo). I dati idonei a rivelare lo stato di salute (e la vita sessuale), qualificati come dati super sensibili ai sensi dell'art. 60 d.lgs.n. 196/2003, possono essere oggetto di accesso solo se la situazione giuridicamente rilevante che si intende tutelare con la richiesta di ostensione sia di rango pari al diritto alla riservatezza dell'interessato o consista in un diritto della personalità o in altro diritto o libertà fondamentale e inviolabile (T.A.R. Milano 12 febbraio 2013, in Diritto & Giustizia 2013, 18 marzo). Ai sensi dell'art. 4 d.lgs. 30 giugno 2003 n. 196, dato personale, oggetto di tutela, è qualunque informazione relativa a persona fisica, giuridica, ente o associazione, che siano identificati o identificabili, anche indirettamente mediante riferimento a qualsiasi altra informazione ed in tale nozione sono riconducibili i dati dei singoli partecipanti ad un condominio, raccolti ed utilizzati per le finalità di cui agli art. 1117 ss. c.c.; tuttavia ragioni di buon andamento e di trasparenza giustificano una comunicazione di questi dati a tutti i condomini, non solo su iniziativa dell'amministratore in sede di rendiconto annuale, di assemblea, o nell'ambito delle informazioni periodiche trasmesse nell'assolvimento degli obblighi scaturenti dal mandato ricevuto, ma anche su richiesta di ciascun condomino, il quale è investito di un potere di vigilanza e di controllo sull'attività di gestione delle cose, dei servizi e degli impianti comuni, che lo facoltizza a richiedere in ogni tempo all'amministratore informazioni sulla situazione contabile del condominio, comprese quelle che riguardano eventuali posizioni debitorie degli altri partecipanti (Cass. n. 1593/2013). Il reato di trattamento illecito di dati personali di cui all'art. 167 d.lg. n. 196/2003 non è integrato se il trattamento dei dati avvenga per fini esclusivamente personali, senza una loro diffusione o destinazione ad una comunicazione sistematica (Cass. n. 11412/2012, che ha annullato l'ordinanza che aveva rigettato la richiesta di riesame del decreto di sequestro di alcuni fogli contenenti elenchi degli alunni ai quali il ricorrente insegnava religione in alcuni istituti, nonché di tutti i computer e degli strumenti informatici in uso allo stesso, ritenendo insussistente il fumus del reato contestato). La pubblicazione sul sito Internet di un'azienda regionale per il diritto allo studio universitario dell'atto che determina la concessione di benefici economici a favore di studenti disabili, nel quale sono riportati il nome e cognome e il riferimento alla condizione di disabilità dei beneficiari, nonché l'importo del contributo concesso, costituisce un trattamento illecito di dati personali, di cui va inibita la prosecuzione; va, inoltre, prescritto all'azienda: a) di conformare per il futuro la pubblicazione di atti e documenti in Internet alle disposizioni contenute nel codice in materia di protezione dei dati personali e nelle linee guida emanate dal Garante per la protezione dei dati personali, rispettando, in particolare, il divieto di diffusione dei dati idonei a rivelare lo stato di salute degli interessati; b) di attivarsi presso i gestori dei principali motori di ricerca, al fine di sollecitare la rimozione della copia web del predetto atto dagli indici e dalla cache (memoria informatica temporanea) dei motori di ricerca (Aut. protez. dati person. 19dicembre 2012, in Foro it. 2013, 4, III, 238). Considerata l'articolazione dell'onere della prova nel rito avente ad oggetto la verifica della legittimità dell'atto datoriale di recesso e l'esistenza di una situazione precontenziosa tra le parti, dovuta alla contestazione stragiudiziale del licenziamento avanzata dal lavoratore, la conoscenza da parte del dipendente dell'origine delle informazioni poste alla base del recesso nonché del nominativo del responsabile del trattamento costituisce un pregiudizio effettivo e concreto alla difesa delle ragioni datoriali nella successiva (ed eventuale) sede giudiziaria. Pertanto, fino alla costituzione in giudizio, il datore può impedire al lavoratore di conoscere tali informazioni e quindi differire l'esercizio del diritto di accesso da questi invocato ai sensi degli art. 7 e 8 comma 1 d.lg. n. 196/2003 (Aut. protez. dati person. 13 dicembre 2012, in Riv. it. dir. lav. 2013, 2, II, 498). La pubblicazione sul proprio sito Internet istituzionale, da parte di un comune, dei dati personali contenuti nella graduatoria provvisoria di un concorso costituisce un trattamento illecito di dati personali, di cui va inibita la prosecuzione (Aut. protez. dati person. 6 dicembre 2012, in Foro it., 2013, 4, III, 238). La diffusione sul proprio sito Internet istituzionale, da parte di una scuola pubblica, dei nominativi degli studenti distinti per classe, in assenza di una norma di legge o di regolamento che ammetta tale operazione, costituisce un trattamento illecito di dati personali, di cui va inibita la prosecuzione (Aut. protez. dati person. 6 dicembre 2012, in Foro it. 2013, 4, III, 238). Quando il trattamento di dati personali avviene nell'ambito dell'esercizio del diritto di cronaca, il giudizio in ordine al rispetto del requisito dell'essenzialità deve essere condotto tenendo conto delle peculiarità del caso, ai sensi degli art. 5 e 6 del codice deontologico per l'attività giornalistica e la motivazione dei provvedimenti resi dall'autorità deve essere particolarmente rigorosa. Ne consegue che la comunicazione di dati personali deve essere valutata in termini di indispensabilità rispetto all'informazione sulla vicenda giudiziaria che viene fornita, avendo specifico riguardo allo stato in cui questa si trova e alla necessità di fornire particolari e dettagli sulla questione e sui suoi protagonisti, per informare compiutamente il pubblico (Cass. n. 17408/2012). In materia di videosorveglianza, il proprietario unico di un immobile, ancorché parzialmente concesso in locazione o in comodato, deve considerarsi, ai sensi dell'art. 5 comma 3 d.lgs. 30 giugno 2003 n. 196 (cd. codice della privacy), persona fisica che agisce per fini esclusivamente personali, come tale non assoggettabile alla disciplina del codice nei casi in cui i dati non siano destinati ad una comunicazione sistematica o alla diffusione (Cass. n. 14346/2012, in Diritto e Giustizia online 2012, 3 settembre, con nota di Villa). Poiché l'art. 37 comma 1 lett. b) d.lgs. n. 196 del 2003, individua in positivo i casi in cui l'obbligo di notificazione del trattamento sussiste, deve ritenersi che la norma non assoggetti all'onere medesimo il trattamento a fini di prestazione di servizi sanitari generalmente inteso, bensì il solo trattamento che presenti specifiche finalità (quali prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti), cosicché è da escludere che l'adempimento della notifica sia connesso al trattamento di dati sensibili per lo svolgimento di attività generali di diagnosi e cura del paziente, tipiche, peraltro, di ogni struttura sanitaria (Trib. Chiavari 12 giugno 2012, in Rass. dir. farmaceutico 2012, 3, 483). Il reato di trattamento illecito di dati personali, di cui all'art. 167 d.lgs. n. 196/03, è un reato di pericolo effettivo e non meramente presunto; conseguentemente, la illecita utilizzazione dei dati personali è punibile, non già in sé e per sé, ma in quanto suscettibile di produrre nocumento alla persona dell'interessato e/o del suo patrimonio. Il nocumento può essere non solo economico, ma anche più immediatamente personale, come, ad esempio, la perdita di tempo nel vagliare mail indesiderate e nelle procedure da seguire per evitare ulteriori invii (Cass. pen. n. 23798/2012, in Diritto & Giustizia 2012, 18 giugno, con nota di Ferretti, che ha confermato la condanna nei confronti dell'amministratore delegato ed il direttore finanziario di una società a cui era stata contestata l'attività di spamming con invio di una newsletter a soggetti che non l'avevano richiesta e che al contempo inviavano mail di protesta al gestore del database). Il consenso prestato da una persona ai fini dell'utilizzo della propria immagine mediante apposizione sugli imballaggi e sulle confezioni dei prodotti destinati al commercio (cd. packaging) non include anche quello allo sfruttamento della stessa immagine a fini pubblicitari su giornali e riviste, pur se la pubblicità riguarda i medesimi prodotti.

Ne consegue che, in assenza di uno specifico consenso, la riproduzione del ritratto della persona ai predetti fini pubblicitari è abusiva ed illegittima. Tuttavia, per conseguire il risarcimento del danno causato dall'utilizzo abusivo dell'immagine, divulgata senza il necessario consenso dell'interessato, la prova dell'esistenza del danno non patrimoniale rimane sempre a carico di colui che assume di essere stato danneggiato, il quale deve allegarlo e provarlo, anche a mezzo presunzioni, non potendo tale danno essere ritenuto in re ipsa ossia verificatosi per effetto del mero utilizzo illegittimo dell'immagine altrui (Trib. Roma 27 aprile 2012, in Giur. merito 2013, 10, 2085, con nota di Pirruccio). Premesso che la protezione assegnata ai dati sensibili è più forte e qualitativamente diversa da quella assegnata ai dati meramente personali, il dato relativo alla salute di un minore costituisce dato personale e sensibile e come tale tutelabile sia dal minore stesso sia da altre persone, come i genitori, ai quali la legge (nella specie, la legge n. 104/92) riconosca il diritto di ottenere un beneficio come conseguenza di un obbligo di assistenza (Cass. n. 19365/2011). L'utilizzo dei dati biometrici può essere giustificato solo in casi particolari tenuto conto delle finalità e del contesto in cui essi sono trattati e, in relazione ai luoghi di lavoro, per presidiare accessi ad “aree sensibili”, considerata la natura delle attività ivi svolte. Pertanto il trattamento dei dati biometrici non è ammissibile per finalità di ordinaria gestione del rapporto di lavoro. L'attestazione della presenza sul luogo di lavoro può infatti, essere fatta con modalità meno invasive, tali da non incidere sulla dignità della persona, che non trova invece compressione nel caso in cui il trattamento dei dati biometrici sia finalizzato ad evitare l'accesso ad aree sensibili da parte di persone non legittimate (Trib. Prato 19 settembre 2011). Ove vi sia stata una divulgazione di dati personali, non si realizza necessariamente una violazione della relativa legge, dovendosi comunque effettuare una comparazione tra gli interessi coinvolti. Tale valutazione comparativa è riservata al giudice di merito e non è censurabile in sede di legittimità se motivata in modo adeguato e corretto. (Cass. n. 18421/2011, in fattispecie nella quale i dati oggetto di divulgazione non erano contenuti in un documento condominiale, bensì in una lettera privata spedita dai ricorrenti all'amministratore condominiale e relativa all'esistenza dell'iniziativa privata di costruzione di un ascensore. La Cassazione ha ritenuto di dover confermare la decisione di merito non ravvisando nella diffusione dei dati personali posta in essere dall'amministratore — il quale anziché limitarsi a riferire, aveva spedito a tutti i condomini una fotocopia della documentazione riservata ricevuta in visione — un comportamento lesivo della privacy degli interessati ma — al contrario — un atto dovuto nell'ambito dei compiti e delle funzioni proprie dell'amministratore). Qualora il trattamento illecito di dati personali sia stato effettuato attraverso documenti confluiti negli atti di un'indagine penale, la prescrizione del diritto al risarcimento del pregiudizio cagionato dalla predetta violazione non può decorrere prima della chiusura delle indagini preliminari, ma può anche decorrere da un momento successivo, da individuare in relazione al regime giuridico degli atti processuali penali (Cass. n. 13616/2011).

Il privato cittadino che sia, anche solo occasionalmente, venuto a conoscenza di un dato sensibile rientra tra i titolari deputati, ai sensi dell'art. 4 d.lgs. n. 196/2003, ad assumere le decisioni in ordine alle finalità e alle modalità di trattamento dei dati personali, sicché, ove indebitamente lo diffonda, risponde del reato di trattamento illecito di dati dicui all'art. 167 d.lg. cit. (Cass. pen. n. 21839/2011, in Cass. pen. 2012, 4, 1484, con nota di Lotierzo, concernente fattispecie di indebita diffusione, attraverso una chat line pubblica, del numero di utenza cellulare altrui).

Non viola la normativa sulla tutela dei dati personali il difensore di una delle parti di un giudizio civile che, nel rispetto delle norme del codice di rito e in conformità alle indicazioni del giudice istruttore, abbia notificato a diversi destinatari l'ordine di esibizione di documenti e alcuni verbali d'udienza, che contenevano dati personali, anche sensibili, della controparte (Cass. S.U., n. 3034/2011) Fermo restando il diritto di ciascun condomino di conoscere, anche di propria iniziativa, gli inadempimenti degli altri condomini nei confronti della collettività condominiale, costituisce indebita diffusione di dati personali, illecita e fonte di responsabilità civile ai sensi degli art. 11 e 15 d.lgs. 196/2003, l'affissione nella bacheca dell'androne dell'edificio condominiale (e, quindi, in luogo aperto all'accesso a terzi estranei al condominio), da parte dell'amministratore, dell'informazione concernente le posizioni di debito dei singoli partecipanti al condominio in ordine all'onere di contribuzione alle spese comuni (Cass. n. 186/2011). Non può definirsi libero, e risulta indebitamente necessitato, il consenso ad un ulteriore trattamento dei dati personali che l'interessato debba prestare quale condizione per conseguire una prestazione richiesta; gli interessati devono essere messi in grado di esprimere consapevolmente e liberamente le proprie scelte in ordine al trattamento dei dati che li riguardano, manifestando il proprio consenso — allorché richiesto per legge — per ciascuna distinta finalità perseguita dal titolare. In caso di comunicazione e/o cessione di dati personali a terzi non solo deve essere richiesto uno specifico e libero consenso all'interessato, ma è anche necessario che questi, mediante idonea informativa, sia reso edotto almeno della categoria di soggetti cui sono trasmessi i suoi dati personali; in mancanza di tale indicazione, l'informativa resa deve considerarsi inidonea (Aut. protez. dati person. 15 luglio 2010, in Publica 2010). Colui che violi il diritto alla riservatezza per aver divulgato immagini relative ad un processo penale, senza l'espresso consenso alla divulgazione prestato dalla vittima del reato, è responsabile civilmente per il fatto illecito commesso e, in presenza di un'eventuale domanda inibitoria, può essere destinatario di un provvedimento che decreti la cessazione dell'abusivo utilizzo dell'immagine altrui: la riservatezza della parte lesa dal reato è preminente rispetto finanche all'interesse pubblico della notizia (che permetterebbe, ex art. 137 comma 3 cod. privacy, al giornalista di diffondere, nei limiti del diritto di cronaca e dell'essenzialità dell'informazione, dati personali anche senza il consenso degli interessati), posto che la vittima ha già subito le conseguenze dannose del crimine e non deve subire ulteriori sfregi alla propria persona, quale effetto indiretto che conseguirebbe ad un'indiscriminata liberalizzazione delle attività giornalistiche e di cronaca. La dignità della vittima nel processo penale costituisce un momento talmente delicato da generare una sorta di ispessimento della tutela ordinaria, cosicché il guscio che protegge il diritto viene ad essere avvolto da una coltre più solida. Si tratta, dunque, di una particolare forma della tutela del diritto alla riservatezza, vale a dire il diritto a non vedere appresi e diffusi dati e notizie relativi alla propria sfera privata (Trib. Varese 10 luglio 2010, in Resp. civ. e prev. 2011, 2, 407, con nota di Peron). L'invio di comunicazioni commerciali mediante telefax effettuato senza aver fornito l'informativa ex art. 130 del codice e senza l'acquisizione del prescritto consenso configura un trattamento illecito di dati (Aut. protez. dati person. 1 luglio 2010, in Publica 2010). Nella diffusione di notizie idonee a rivelare lo stato di salute di una persona devono essere osservate particolari garanzie a tutela della persona medesima, tanto più ove si consideri che il giornalista, nel far riferimento allo stato di salute di una determinata persona, identificata o identificabile, è tenuto a rispettarne la dignità (Aut. protez. dati person. 1 luglio 2010, in Publica 2010). Rispetto alla domanda di risarcimento del danno, previo accertamento della illiceità del trattamento dei dati, legittimati passivi sono i soggetti che hanno concorso alla pubblicazione degli stessi, stante l'espressa previsione dell'art. 15 d.lgs. n. 196/2003.

Il diritto al risarcimento del danno è subordinato non solo all'accertamento dell'illegittimo trattamento, richiedendo la norma la prova di un fatto potenzialmente produttivo di danno (l'illecito appunto) ma anche del danno stesso (Trib. Livorno 19 febbraio 2010, in Dir. informatica 2011, 4-5, 591, con nota di Maffei). È da ritenersi illecita, ai sensi degli art. 143, comma 1, lett. c), e 154, comma 1, lett. d), del codice, la diffusione di dati idonei a rivelare lo stato di salute di un soggetto contenuti nella delibera di Giunta comunale relativa all'erogazione di contributi economici per la compartecipazione alle spese di ricovero in strutture residenziali mediante la consultazione sia sul sito istituzionale del Comune, sia attraverso il documento in formato elettronico consultabile all'indirizzo internet, sia attraverso altri indirizzi o maschere di ricerca che potrebbero rendere ostensibile il medesimo documento in altro modo (Aut. protez. dati person. 7 ottobre 2009,). Mentre la normativa sul diritto d'autore (applicata specificamente dal primo giudice) richiede il semplice consenso della persona ritratta in fotografia e l'art. 11 l. n. 675/1996 richiede il consenso espresso in materia di dati personali comuni (tra cui rientra pacificamente anche l'immagine), il successivo art. 22 che attiene al trattamento dei dati personali sensibili — postula viceversa il rilascio del consenso scritto che, pertanto, sarebbe del tutto inefficace ove prestato in altra forma. Posto, quindi, che in materia di dati personali semplici il consenso previsto dalla legge non necessariamente va prestato per iscritto, ma dev'essere comunque espresso (intendendosi con tale aggettivo un consenso chiaro ed esplicito all'utilizzazione dell'immagine), è evidente come la prova documentale richiesta dalla legge possa ritenersi superata là dove l'interpretazione del comportamento della persona ritratta non lasci alcun margine di dubbio sulla esistenza di un assenso chiaro, ancorché tacito, all'uso giornalistico delle fotografie che si concreti, pertanto, nell'accettazione della sua pubblicazione (App. Roma 4 settembre 2009). L'inesistenza di un rapporto di concorrenzialità tra chi ha usurpato l'immagine di una imbarcazione e i soggetti che avrebbero dovuto autorizzare un simile utilizzo e che avevano i diritti di sfruttamento economico dell'imbarcazione se vale ad escludere rispetto all'autore del fatto l'ipotesi di concorrenza sleale, non impedisce però di configurare nei suoi confronti la responsabilità per fatto illecito ai sensi dell'art. 2043 c.c. con tutte le conseguenti differenze in tema di prova dell'elemento soggettivo dell'illecito. Questo, infatti, può essere presunto nelle ipotesi di concorrenza sleale, a norma dell'art. 2600 c.c., comma 3; deve, invece, essere dimostrato per integrare l'illecito di cui all'art. 2043 c.c. (Cass. n. 18218/2009). In tema di trattamento dei dati personali, la l. 21 dicembre 1996 n. 675 non si applica in via generalizzata ad ogni situazione soggettiva comunque riconducibile al novero dei diritti della persona, ma soltanto a quelle attinenti al fenomeno da essa normativamente delineato, precludendo l'accesso soltanto ai documenti relativi ai dati sensibili della persona, dovendosi ritenere che l'interesse alla riservatezza dei dati personali receda qualora il relativo trattamento sia esercitato per la difesa di un interesse giuridicamente rilevante e nei limiti in cui sia necessario per la tutela. Ne consegue che, ove vi sia stata una divulgazione di dati personali, non si realizza necessariamente una violazione della citata legge, dovendosi comunque effettuare una comparazione, affidata al giudice di merito, tra gli interessi coinvolti (Cass. n. 15327/2009). Deve, d'ufficio, disporsi l'oscuramento dei dati personali, sì che in caso di diffusione della pronuncia devono omettersi le generalità e gli altri dati identificativi di tutte le parti, in presenza di sentenza — resa dalla Cassazione — in controversia tra coniugi separati e avente a oggetto lo scioglimento della comunione legale tra gli stessi, quanto ai beni acquisti in costanza di matrimonio (Cass. n. 11141/2009). La produzione in giudizio di una lettera contenente informazioni relative a persona fisica costituisce una forma di utilizzazione che l'art. 11 l. n. 675/1996 subordina al consenso dell'interessato, nel senso che, in difetto di quel consenso, il trattamento non è consentito ed è dunque suscettibile di provocare un danno risarcibile. Esistono tuttavia dei casi nei quali dal consenso dell'interessato può prescindersi: infatti, ai sensi dell'art. 12 lett. h) della citata legge (e della corrispondente disposizione del successivo d.lgs. n. 196/2003), quali che siano le modalità con le quali la conoscenza dei dati è acquisita, la loro utilizzazione è comunque consentita dall'interessato, se lo sia per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tale finalità e per il periodo strettamente necessario al loro perseguimento e nella cornice dei principi generali di correttezza, pertinenza e non eccedenza, essendo così nella stessa legge assunto che, per gli effetti perseguiti e dalle condizioni predette, l'esercizio del diritto di difesa prevale rispetto a quello alla riservatezza (Cass. n. 3358/2009). A seguito di operazioni di cessione di complessi di beni e contratti, il cessionario, ai sensi dell'art. 13, comma 5, del Codice Privacy, può essere esonerato dal Garante dal rendere l'informativa in relazione ai trattamenti di dati personali conseguenti alle operazioni di cessione, singolarmente a ciascuno dei soggetti coinvolti nell'operazione, se il numero dei soggetti coinvolti sia eccessivamente elevato e l'impiego dei mezzi necessari a rendere l'informativa risulti sproporzionato rispetto all'interesse che il precetto contenuto nel suddetto art. 13, comma 4, del Codice intende tutelare, e purchè la finalità dei trattamenti dei dati oggetto di cessione resti immutata o comunque compatibile con gli scopi per i quali i dati sono stati raccolti (Aut. protez. dati person. 8 gennaio 2009, in Publica 2009). In tema di tutela penale della privacy, ai fini della configurabilità del reato d'illecito trattamento di dati (art. 167, d.lg. 30 giugno 2003 n. 196), tra i dati personali definiti dall'art. 4, comma 1, lett. b), del citato decreto rientra anche il numero di utenza cellulare (Cass. pen. n. 46203/2008). Il reato di trattamento illecito di dati personali, già previsto dall'art. 35 l. 31 dicembre 1996 n. 675 (ora previsto, in rapporto di continuità normativa, dall'art. 167 d.lgs. 30 giugno 2003 n. 196), non è configurabile allorché ricorrano le condizioni di cui alla clausola limitativa introdotta dall'art. 5, comma 3, d.lgs. n. 196/2003, secondo cui il trattamento di dati personali se effettuato da persone fisiche per fini esclusivamente personali è soggetto all'applicazione del presente codice (ergo, il codice della privacy) solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione (Cass. pen. n. 46454/2008, in una fattispecie in cui gli imputati si erano introdotti abusivamente nella rete informatica del gestore telefonico Tim e avevano acquisito i dati del tabulato telefonico di una persona per raccogliere prove da fornire alla committente circa l'infedeltà del marito; la Corte, mentre ha rigettato il ricorso relativamente al reato di cui all'art. 615-ter c.p., ha annullato la condanna limitatamente al reato di cui all'art. 35 l. n. 675 del 1996, apprezzando come nel caso concreto difettasse la destinazione dei dati raccolti alla comunicazione sistematica o alla diffusione, per essere stati questi acquisiti per fini esclusivamente personali della committente). In tema di trattamento dei dati personali, l'art. 152, comma 13, d.lg. 30 giugno 2003 n. 196, nel prevedere l'inappellabilità e l'immediata ricorribilità per cassazione delle sentenze adottate dal giudice ordinario, opera uno specifico riferimento alle decisioni di cui al precedente comma 12, ovvero a quelle sentenze con le quali il giudice abbia nel merito rigettato od accolto la domanda; d'altra parte, il comma 4 dello stesso articolo stabilisce espressamente l'immediata ricorribile per cassazione nella sola ipotesi di dichiarazione di inammissibilità per tardiva proposizione del ricorso. Conseguentemente va, affermata l'esperibilità dell'ordinario rimedio dell'appello ed esclusa l'immediata impugnabilità per cassazione delle sentenze che abbiano pronunciato «in rito», in ordine all'ammissibilità del ricorso, o alla competenza territoriale o (come nella specie) alla giurisdizione (Cass. S.U., n. 24708/2008). In caso di indagini eseguite dalla Guardia di Finanza per la repressione di violazioni tributarie, nessuna infrazione del diritto alla privacy può ravvisarsi qualora gli agenti, nel condurre le indagini, abbiano fatto trapelare nei confronti di altri soggetti coinvolti, informazioni inerenti la persona e i fatti compiuti dall'indagato emerse nel corso delle indagini, e la cui conoscenza sia stata ritenuta indispensabile ai fini delle deposizioni rese dalle persone interrogate perché informate dei fatti (App. Milano 14 luglio 2008, in Giur. merito 2009, 1, 122).

Il trattamento dei dati personali da parte di privati o di enti pubblici economici è ammesso, salve le deroghe di cui all'art. 24 d.lgs. n. 196/2003, solo con il consenso espresso dell'interessato sì che, in difetto di tale requisito, lo stesso integra, laddove ne sia derivato nocumento, il reato di cui all'art. 25 d.lgs. citato (Cass. pen. n. 38406/2008 in fattispecie di trattamento illecito ravvisato nella comunicazione, da parte di un istituto di credito, al promissario acquirente di un immobile, di dati patrimoniali relativi alla controparte contrattuale). Spetta a chi contesta la legittimità del trattamento di dati personali che lo riguardano, effettuato mediante la produzione di documenti in una precedente controversia, dimostrare che tale produzione era estranea alle finalità difensive, che giustificano il trattamento anche in mancanza del consenso dell'interessato (Cass. n. 12285/2008, concernente fattispecie in cui erano stati trattati dati contenuti in due certificati formati ed esibiti in giudizio dal comune presso cui l'interessato prestava servizio, nell'ambito di una causa che coinvolgeva l'ente locale e il coniuge dell'interessato). In materia di pubblicazione degli elenchi nominativi dei contribuenti su Internet, il provvedimento del direttore dell'Agenzia delle Entrate può solo stabilire i termini e le modalità per la formazione di tali elenchi. La conoscibilità di quest'ultimi è, infatti, regolata direttamente da disposizione di legge che prevede, quale unica modalità, la distribuzione ai soli uffici territorialmente competenti dell'Agenzia e la loro trasmissione, anche mediante supporti magnetici ovvero sistemi telematici, ai soli comuni interessati; in entrambi i casi ai soli contribuenti dell'ambito territoriale interessato. Ciò ai fini del loro deposito per la durata di un anno e della loro consultazione – senza che sia prevista la facoltà di estrarre copia – da parte di chiunque (Aut. protez. dati person. 6 maggio 2008, in Publica 2008).

In tema di tutela della riservatezza, l'esonero dal consenso dell'interessato e dalla autorizzazione del Garante (art. 137 d.lgs. n. 196 del 2003) per il trattamento dei dati sensibili nell'esercizio della professione di giornalista, fermo restando il rispetto dei limiti del diritto di cronaca, e in particolare dell'essenzialità dell'informazione riguardo a fatti di interesse pubblico, è condizionato alla intervenuta divulgazione dei fatti ad opera degli stessi interessati, direttamente od attraverso un loro comportamento pubblico (Cass. pen. n. 23086/2008, in Cass. pen. 2009, 12, 4863, con nota di Andreazza). La rilevazione delle impronte digitali e l'utilizzo dei dati da esse ricavate per verifiche e raffronti integrano un'ipotesi di trattamento di dati personali: come tali, sono soggetti alla disciplina contenuta nel codice della Privacy (Aut. protez. dati person. 15 febbraio 2008). Non è sanzionata da nessuna norma penale l'installazione d'apparati idonei all'intercettazione ambientale tra presenti in autovetture private: in particolare, il fatto non rientra nell'area di tutela dell'art. 617-bis c.p., che − anche in combinato disposto con l'art. 623-bis c.p. − sanziona l'installazione d'apparecchi idonei alla captazione delle sole comunicazioni a distanza, e non tra presenti; e nemmeno rientra nell'area di tutela penale dell'art. 615-bis c.p., che, tramite il rinvio all'art. 614 c.p., sanziona la captazione di notizie sull'altrui vita privata che si svolge nell'abitazione e negli altri luoghi di privata dimora, o nelle loro pertinenze, alveo concettuale in cui l'autovettura non rientra (Cass. pen. n. 12042/2008, in Resp. civ. e prev. 2008, 12, 2486, con nota di Manca). Non può ritenersi lecito l'uso dei dati biometrici per generiche esigenze di sicurezza e di mero ausilio al rispetto delle regole scolastiche e deontologiche, specie laddove esso riguardi la raccolta di dati particolari, come le impronte digitali, per i quali occorre peraltro individuare specifici accorgimenti volti a prevenire eventuali utilizzi impropri e possibili abusi; verifiche più rispettose della sfera personale degli individui possono essere disposte, ad esempio, attraverso l'utilizzazione di tesserini magnetici o controlli a vista dei partecipanti (nel caso di specie per disciplinare gli ingressi in aula di praticanti avvocati che seguono i corsi di formazione forense) (Aut. protez. dati person. 23 gennaio 2008). Le informazioni contenute nella violazione del codice della strada contestata, rientrano tra i dati personali di cui all'art. 4, comma 1, lett. b) del codice in materia di protezione dei dati personali: pertanto, la p.a. è tenuta a riscontrare la richiesta effettuata dal ricorrente ai sensi dell'art. 7 del codice, in quanto tali informazioni non rientrano tra le ipotesi (specificamente enumerate nell'art. 53) nelle quali non è possibile proporre ricorso in ordine ai trattamenti svolti da parte delle forze di polizia (Aut. protez. dati person. 10 gennaio 2008, in Publica 2008). L'art. 24 comma 1 lett. f) d.lgs. n. 196/2003 che consente il trattamento dei dati personali senza il consenso dell'interessato, quando sia necessario per fare valere o difendere un diritto in giudizio — non può interpretarsi nel senso restrittivo di consentire il trattamento solo da parte del titolare dei dati e per le esigenze di difesa proprie di questo, ma anche a favore di terzi, purché portatori di un interesse tutelabile in sede giudiziaria e per la cui realizzazione sia indispensabile conoscere i dati personali richiesti (Trib. Milano 19 dicembre 2007, in Il merito 2008, 5, 6). Sul cedolino della pensione non si può utilizzare la dicitura «pignoramento» ma si devono utilizzare altre espressioni più rispettose della riservatezza della persona, come formule generiche o codici identificativi; ciò, anche in considerazione del fatto che i cedolini della pensione, essendo spesso presentati per permettere acquisti con agevolazioni fiscali o per richiedere mutui e finanziamenti, possono circolare tra più persone (Aut. protez. dati person. 31 ottobre 2007). Le modalità con cui vengono resi noti e gestiti i dati personali tratti da registri pubblici aggregati in un database, devono rispettare i principi di liceità, correttezza e non eccedenza nel loro trattamento e nei tempi di conservazione (in particolare si trattava di dati inseriti in un database utilizzato nel mondo degli affari per ottenere informazioni circa l'affidabilità e la solvibilità di persone o società e inerenti al fallimento, avvenuto più di vent'anni prima e poi chiuso per assenza di passivo, di una società di cui il ricorrente era socio) (Aut. protez. dati person. 31 ottobre 2007). Per utilizzare lecitamente un sistema di videosorveglianza, il comune deve adottare ogni accorgimento volto ad evitare la ripresa di persone in abitazioni private; dovrà delimitare, quindi, la dislocazione, l'uso dello zoom e, in particolare, l'angolo visuale delle telecamere in modo da escludere ogni forma di ripresa, anche quando non c'è registrazione, di spazi interni di abitazioni private, attraverso eventuali sistemi di settaggio e oscuramento automatico, non modificabili dall'operatore; il comune dovrà integrare inoltre il modello di informativa indicando, oltre al monitoraggio del traffico, le finalità di sicurezza e di controllo di sua competenza (Aut. protez. dati person. 4 ottobre 2007). Posto che ciascuno dei destinatari di un provvedimento inibitorio del Garante per la protezione dei dati personali è titolare di una posizione giuridica differenziata, qualora avverso la pronuncia resa dal tribunale in sede di opposizione sia stato proposto ricorso per cassazione solo da uno dei soggetti investiti dall'inibitoria, senza la notifica agli altri che pure avevano preso parte al giudizio di merito, non sussiste la necessità di disporre l'integrazione del contraddittorio nei loro confronti (Cass. n. 15076/2005). Va cassato, in parte qua, il decreto emesso in sede di opposizione avverso il provvedimento con cui il Garante per la protezione dei dati personali aveva respinto il ricorso proposto da un ispettore di polizia per chiedere il blocco e la distruzione di dati personali trattati dall'amministrazione dell'interno, ove il tribunale, pur essendo stata lamentata la mancanza dei presupposti di legittimità del trattamento, non abbia esaminato se all'amministrazione era consentito, in relazione alle finalità disciplinari nell'ambito del rapporto di lavoro il trattamento di dati riguardanti i presunti gusti, atteggiamenti e comportamenti sessuali dell'interessato (Cass. n. 14390/2005). È legittimo il provvedimento con cui il Garante per la protezione dei dati personali ha segnalato all'agenzia delle entrate, quale titolare del trattamento, ed alla concessionaria del servizio pubblico radiotelevisivo, quale responsabile, la necessità di interrompere la raccolta e di astenersi dall'ulteriore trattamento dei dati personali relativi agli acquirenti di apparecchi radiotelevisivi, che venivano acquisiti dalla società concessionaria, per conto dell'amministrazione finanziaria ed al fine di accertare l'adempimento degli obblighi fiscali gravanti sul possessori di tali apparecchi, attraverso la comunicazione ad opera dei rivenditori, in virtù di specifici accordi che prevedevano il pagamento di premi incentivanti (Trib. Roma 12 maggio 2005, in Foro it. 2006, 2, I, 619). Ancorché la disciplina sulla protezione dei dati personali trattati nell'esercizio dell'attività giornalistica si estenda a quelli non destinati all'archiviazione in una banca dati strutturata, non sussistono i presupposti per ordinare la cancellazione di notizie divulgate in articoli di stampa, ove riguardino soggetti che occupano posti di rilievo in un'azienda di primaria rilevanza sociale ed economica (Cass. n. 11864/2004). Poiché l'immagine rientra fra i dati personali protetti dalla normativa sulla privacy, il consenso al suo utilizzo non può essere tacito o implicito (secondo quando stabiliva la giurisprudenza formatasi sulle disposizioni dettate dalla legge sul diritto d'autore in materia di diritto all'immagine), ma deve essere espresso ai sensi dell'art. 23 del codice della privacy (Trib. Roma 12 marzo 2004, in Danno e resp. 2005, 879, con nota di Tassone).