Il trattamento dei dati personali dell’assicurato senza il suo consenso non configura nessuna violazione alla privacy

Il danno non patrimoniale, risarcibile ai sensi del D.lgs. 30 giugno 2003, n. 196, art. 15, (cd. codice della privacy), pur determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli artt. 2 e 21 Cost., e dall'art. 8 CEDU, non si sottrae alla verifica della «gravità della lesione» e della «serietà del danno» (quale perdita di natura personale effettivamente patita dall'interessato), in quanto anche per tale diritto opera il bilanciamento con il principio di solidarietà ex art. 2 Cost., di cui il principio di tolleranza della lesione minima è intrinseco precipitato, sicché determina una lesione ingiustificabile del diritto, non la mera violazione delle prescrizioni poste dall'art. 11 cod. privacy ma solo quella che ne offenda in modo sensibile la sua portata effettiva.

Tizio conveniva innanzi al Tribunale di Pescara Caio chiedendo, in relazione ad una missiva inviata da quest'ultimo, dichiararsi l'illiceità della divulgazione dei dati personali dell'istante medesimo all'Isvap e ad una compagnia assicurativa, con condanna del resistente al risarcimento del danno non patrimoniale. Tuttavia il giudice abruzzese rigettava la domanda. Avverso quest'ultima decisione Tizio azionava la tutela in legittimità facendo valere cinque motivi di censura cui resisteva Caio con controricorso. In particolare, il ricorrente contestava sia la legittimazione di Caio ad interloquire in relazione al sinistro stradale che aveva coinvolto la moglie, sia l'uso dei dati personali come gestore non autorizzato. Inoltre, Tizio lamentava che Caio con le raccomandate inviate all'Isvap nonché alla compagnia assicurativa, aveva diffuso i suoi dati personali utilizzando nei suoi confronti termini dispregiativi che esulavano del tutto dal sinistro. I supremi giudici, tuttavia, dichiarano le prospettate censure infondate e rigettano in toto il ricorso. In particolare, gli Ermellini precisano che non vi è stato trattamento di dati personali, ma semplice comunicazione di dati che sono serviti soltanto alla legittima identificazione della controparte.

In motivazione

«Correttamente l'impugnata sentenza ha ritenuto che [Caio] doveva considerarsi interessato ai risvolti patrimoniali ed assicurativi dell'incidente stradale verificatosi fra la moglie e [Tizio], in quanto, per un verso, era marito in regime di comunione dei beni e, per altro verso, era titolare della polizza assicurativa (…)».

«(…), ai sensi della L. n. 990/1969, sull'assicurazione obbligatoria, il proprietario di un veicolo è tenuto ad esporre sul mezzo il contrassegno contenente tutti gli estremi assicurativi del veicolo stesso, del titolare del contratto e della società assicuratrice. Pertanto, (…), è lecito effettuare il trattamento, senza il consenso dell'interessato, di dati personali provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque».

«In altri termini, non vi è stato trattamento di dati personali, ma semplice comunicazione di dati che sono serviti soltanto alla legittima identificazione della controparte».

«(…) problema, non rilevante in questa sede, è quello del dedotto, eventuale, contenuto diffamatorio della lettera e della sussistenza dei presupposti per la configurazione del reato di diffamazione».

La questione in esame è la seguente: nel caso di trattamento dei dati personali provenienti dai pubblici registri, relativi all'assicurazione obbligatoria, ex L. n. 990/1969, è necessario o meno il consenso del proprietario del veicolo alla diffusione degli stessi? E in caso di mancanza del predetto consenso, si configura o meno un illecito trattamento dei dati personali e quindi un'eventuale violazione del principio costituzionale di riservatezza?

Il codice sulla protezione dei dati personali, approvato con D.lgs. n. 196/2003, reca oggi, in un corpo normativo organico che ha ordinato le varie fonti di diverso livello, legislativo e regolamentare, susseguitesi in materia nell'ordinamento comunitario prima e nazionale poi, la disciplina del trattamento dei dati personali, stabilendone le condizioni di liceità e le forme di responsabilità per superamento delle stesse. In linea generale, va ricordato che il Codice della privacy ha modificato notevolmente l'orizzonte degli interessi giuridicamente tutelati dalla disciplina, che non riguardano più solo la riservatezza delle persone fisiche, o come stabilito dal legislatore italiano del 1996 al di là dei vincoli comunitari, anche giuridiche, ma riguardano, come recita l'art. 2 cod. privacy, l'esigenza che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell'interessato, con particolare riferimento alla riservatezza, all'identità personale e al diritto alla protezione dei dati personali.

Rispetto al tema del diritto alla personalità e all'attuale quadro legislativo delineato dal Codice della privacy in materia di trattamento dei dati personali posti in essere da soggetti privati, come nel caso che qui ci occupa, occorre stabilire i nessi fra «dovere giuridico di non discriminare» e «consenso al trattamento», avuto riguardo ai profili specifici della riservatezza ma soprattutto alla cosiddetta identità personale. Se si considerano i cosiddetti dati comuni, il consenso, quando sia necessario per la raccolta o la circolazione, può costituire il presupposto di individuazione di un interesse patrimoniale connesso ad attributi della personalità disponibili a titolo oneroso. In tal caso si dovrà stabilire se il ritiro del consenso, per il quale può essere previsto a sua volta un corrispettivo, sia ammissibile e in caso positivo se sia equiparabile o meno a una revoca o a un recesso e ancora se sia idoneo ad attivare gli specifici strumenti di tutela reale previsti dalla legge, ovvero configuri un'ipotesi di inadempimento contrattuale. Se si considerano, invece, i cosiddetti dati sensibili, la prospettiva è in parte diversa. Qui il consenso scritto dell'interessato o è elemento che la legge esclude ai fini dell'ammissibilità del trattamento o è elemento necessario ma non sufficiente ai fini dell'ammissibilità del trattamento.

Il nucleo forte dei valori della persona, espressi nella garanzia che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell'interessato, con particolare riferimento alla riservatezza, all'identità personale e al diritto alla protezione dei dati personali, si risolve non tanto e non solo in limiti legali esterni alla disponibilità negoziale di alcuni attributi della persona, quanto nella definizione di un ambito entro cui la logica del consenso è affiancata o addirittura sostituita dall'intervento del Garante, ex art. 3, D.lgs. n. 196/2003.

Per quanto riguarda la diffusione e la comunicazione dei dati personali, il Codice della privacy prevede un regime molto articolato; in particolare, l'art. 13, lettera d), D.lgs. n. 196/2003 dispone in linea generale che nell'informativa all'interessato siano indicati i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi. Limitandoci ai trattamenti posti in essere da soggetti privati, per i dati comuni l'art. 23 cod. privacy, parla di necessità del consenso al trattamento, dovendosi comprendere nell'espressione anche la comunicazione e la diffusione. Peraltro, il successivo art. 24 cod. privacy indica una serie di casi in cui si esclude indistintamente la necessità del consenso al trattamento, anche agli effetti della diffusione e della comunicazione, con l'eccezione del consenso alla diffusione per le fattispecie di cui alle lettere f) e g) e del consenso alla comunicazione esterna e alla diffusione per la fattispecie di cui alla lettera h). In particolare, l'art. 24 lett.c) cod. privacy espressamente esclude il consenso quando il trattamento riguarda dati personali provenienti da pubblici registri, elenchi, o documenti conoscibili da chiunque.

Ed è proprio la predetta norma che risolve l'odierna questione. Difatti il proprietario di un veicolo, ex L. n. 990/1969 deve esporre il contrassegno dell'assicurazione obbligatoria contente tutti gli estremi assicurativi del mezzo, del titolare del contratto e della società assicuratrice. Tali dati, pertanto, possono essere trattati senza il consenso dell'interessato. Di conseguenza, nel caso in esame, non si configura alcun trattamento illecito dei dati personali ed anche l'assenza di una più generale violazione del principio costituzionale della riservatezza.

I dati personali trattati in violazione della disciplina rilevante in materia de qua non possono essere utilizzati. Inoltre, la violazione delle regole legali che presiedono al trattamento rileva ai sensi della responsabilità civile per il trattamento illecito dei dati personali: infatti, l'art. 15, comma 2, cod. privacy richiama espressamente la violazione delle regole ex art. 11, cod. privacy, e gli attribuisce rilevanza ai fini dell'applicazione del regime di responsabilità civile, ex art. 2050 c.c..

Il richiamo all'art. 2050 c.c. configura, secondo l'indirizzo prevalente, un'ipotesi di responsabilità oggettiva (v. Cass., sent. n. 26516/2009), fondata sulla sola dimostrazione del nesso di causalità tra attività svolta ed evento dannoso senza che assuma rilievo l'analisi del profilo soggettivo: la norma dunque inverte l'onere della prova richiedendo all'agente, per andare esente da responsabilità, di aver adottato tutte le misure idonee ad evitare il danno, allegando precise ed oggettive circostanze di fatto, estranee alla sfera di dominio dell'esercente e a lui non imputabili, e dunque a fortuito. Il secondo comma dell'art. 15, cod. privacy, prevede che il danno non patrimoniale sia risarcibile anche nei casi di violazione dell'art. 11 cod. privacy. È poi applicabile in favore del soggetto leso dai detti trattamenti quelle forme di tutela reintegratoria in forma specifica di cui all'art. 7 cod. privacy, e specialmente l'aggiornamento, la rettificazione o l'integrazione dei dati, ovvero la loro cancellazione. Peraltro, nel decisum che qui ci occupa, i supremi giudici ribadiscono un precedente del luglio 2014, v. Cass. civ., sez. III, sent., 15 luglio 2014, n. 16133, chiarendo che la risarcibilità del danno non patrimoniale, ex art. 15, cod. privacy, non si sottrae alla verifica della gravità della lesione (concernente il diritto fondamentale alla protezione dei dati personali, quale intimamente legato ai diritti ed alle libertà indicate dall'art. 2 cod. privacy, convergenti tutti funzionalmente alla tutela piena della persona umana e della sua dignità) e della serietà del danno (quale perdita di natura personale effettivamente patita dall'interessato), che, in linea generale si richiede in applicazione dell'art. 2059 c.c. nelle ipotesi di pregiudizio inferto ai diritti inviolabili previsti in Costituzione. Ciò in quanto, anche nella fattispecie di danno non patrimoniale di cui al citato art. 15, opera il bilanciamento del diritto tutelato da detta disposizione con il principio di solidarietà – di cui il principio di tolleranza è intrinseco precipitato, il quale, nella sua immanente configurazione, costituisce, il punto di mediazione che permette all'ordinamento di salvaguardare il diritto del singolo nell'ambito di una concreta comunità di persone che deve affrontare i costi di una esistenza collettiva.

La sensazione è che ancora una volta si sia provato a ricostruire un quadro quanto più possibile coerente ed uniforme per evitare un proliferare di richieste di risarcimento e soprattutto per escludere che il trattamento dei dati personali potesse costituire una vera e propria ipotesi di attività pericolosa, rectius di responsabilità oggettiva. Tuttavia le conclusioni raggiunte continuano inequivocabilmente a fondarsi sulla nozione di ingiustizia del danno, ex art. 2043 c.c., sulla quale a tutt'oggi non si riesce a trovare un'univoca posizione interpretativa.