La vicenda. I coniugi TD e RN agivano in giudizio con ricorso al Tribunale ai sensi dell'art. 152 del d.lgs. n. 196/2003 (ante riforma d.lgs. n. 101/2018 introdotta a seguito dell'entrata in vigore del G.D.P.R. Reg. n. 679/2016, nel 2016 e della successiva applicabilità nel 2018) lamentando la violazione dei propri dati personali e riservati relativi alla loro posizione amministrativa, tributaria e previdenziale da parte del Comune di residenza.
Nello specifico, la violazione era conseguenza dell'indicazione sul sito del Comune di un indirizzo PEC indicato come istituzionale, ma in realtà riconducibile ad una azienda agricola facente capo al Responsabile del servizio finanziario del Comune.
Il Tribunale rigettava la richiesta sostenendo che:
1. La PEC era da considerarsi istituzionale ai sensi del d.l. n. 185/2008, secondo quanto prodotto in giudizio dal Comune.
2. La circostanza che l'indirizzo fosse in dotazione a un privato (ossia l'azienda agricola) era bilanciata dal fatto che si trattava di ditta individuale riconducibile proprio al soggetto che ricopriva la funzione di Responsabile del servizio finanziario del Comune interessato e pertanto al soggetto che avrebbe avuto comunque conoscenza della documentazione trasmessa dai due interessati.
3. Non era stata data prova dai ricorrenti che i dati avrebbero potuto essere conosciuti anche da soggetti terzi. Così come non era stato provato il pregiudizio materiale o morale subito.
La Cassazione. I soccombenti in primo grado proponevano quindi ricorso per Cassazione avverso la sentenza del Tribunale e nei confronti del Comune che resisteva con controricorso.
La Suprema Corte accoglie il ricorso chiarendo innanzitutto il quadro normativo di con specifico riferimento al Codice privacy e al Codice dell'Amministrazione Digitale.
In particolare, la Corte chiarisce le finalità della normativa privacy, ossia quella di garantire la gestione dei dati personali o sensibili (oggi definiti come particolari categorie di dati, a seguito dell'introduzione del G.D.P.R. cit.) da parte dei privati o enti pubblici nel rispetto dei diritti e delle libertà fondamentali della persona. Su tali presupposti, per verificare se le condotte sono illecite è necessario verificare se:
1. i dati in contestazione siano personali;
2. se l'utilizzazione degli stessi possa configurare un «trattamento» ai fini del sistema di protezione dei dati;
3. se le parti a cui sono addebitate le condotte illecite siano identificabili come «Titolari del trattamento».
Presupposti che la Corte conferma esserci nel caso di specie.
In tema di Codice dell'Amministrazione Digitale, la Corte richiama l'art. 6 del d. lgs. n. 82/2005 e il d.l. n. 185/2008, convertito nella l. n. 2/2009, art. 16 comma 8 (vigente all'epoca), per confermare il ruolo della PEC-Posta Elettronica Certificata nello scambio di documenti e informazioni tra la pubblica amministrazione e i soggetti interessati, nonché per ribadire le formalità previste per l'istituzione della casella PEC.
Su tali presupposti, la Cassazione chiarisce come la pubblicazione dell'indirizzo PEC sul sito di un ente pubblico non possa essere sufficiente per ritenere istituzionale la PEC, dovendo essere rispettate le procedure e modalità di dotazione e pubblicizzazione prevista dalla normativa di settore.
Pertanto, la PEC pubblicata sul sito del Comune non era giuridicamente riferibile all'ente configurando così una condotta illecita secondo i parametri di cui al d.lgs. n. 196/2003 al tempo vigente (ma ad analoga conclusione si arriverebbe oggi). Si configurava in particolare una lesione del diritto degli interessati di conoscere, in ogni momento, chi possedeva i loro dati personali e come li adoperava, nonché sotto il profilo del diritto all'informazione e alla riservatezza dei dati personali e della corrispondenza veicolata tramite sistemi informatici (quale la PEC). Inoltre, il soggetto titolare della PEC era un soggetto privato senza alcun collegamento che potesse giustificare il trattamento dei dati, quale un incarico di referente a ricevere le comunicazioni oppure un accordo di responsabile del trattamento (oggi riconducibili agli artt. 28 e 29 G.D.P.R.) consentendo quindi a un soggetto non autorizzato l'accesso a informazioni di terzi.
In definitiva, la Corte rimette al giudice di merito per l'accertamento di fatto del danno ai sensi dell'art. 15 del d.lgs. n. 196/2003 (articolo oggi abrogato dal d.lgs. n. 101/2018 che richiama il risarcimento del danno in conseguenza del trattamento dei dati personali), per l'adozione dei provvedimenti di cui all'art. 7 comma 3 lett. b (articolo riferito alla cancellazione dei dati, abrogato dal d.lgs. n. 101/2018) e per la quantificazione delle spese legali del giudizio.
(Fonte: www.dirittoegiustizia.it)
