Comparsa di risposta per il risarcimento dei danni derivanti dalla comunicazione di informazioni riservate da parte dell'istituto bancarioInquadramentoCon la comparsa di costituzione e risposta in un giudizio intentato nei propri confronti dal correntista per il risarcimento dei danni derivanti dalla comunicazione di informazioni riservate, l'istituto bancario eccepisce l'insussistenza dei presupposti dell'invocata fattispecie risarcitoria ex art. 2050 c.c. ed in particolare la mancata prova del danno derivato dal presunto illecito. FormulaTRIBUNALE DI .... [1] R.G. ....GIUDICE ....UDIENZA .... COMPARSA DI COSTITUZIONE E RISPOSTA [2] PER la “Banca” ...., C.F. [3] /P.I. ...., in persona del legale rapp.te p.t., con sede legale in ...., via ...., rappresentata e difesa, come da procura per Notar ...., del ...., repertorio ...., e mandato in calce (oppure, a margine) del presente atto, dall'Avv. ...., C.F. ...., presso il cui studio elettivamente domicilia in .... Si dichiara di volere ricevere tutte le comunicazioni relative al presente procedimento al fax ...., ovvero all'indirizzo PEC .... [4] -convenuto- CONTRO il Sig. ...., rappresentato e difeso dall'Avv. .... -attore- FATTO — Con ricorso ex art. 152 d.lgs. n. 196/03, il Sig. ...., correntista presso la Banca convenuta, lamentava la violazione dell'art. 15 d.lgs. n. 196/2003, in quanto il detto istituto bancario avrebbe inopinatamente ed erroneamente inviato il suo estratto conto presso la residenza della madre. Tale circostanza lo avrebbe gravemente danneggiato dal momento che dal citato documento risultava una sua grave esposizione debitoria; in tal modo, la madre decideva di revocare la sua decisione di donargli un immobile di sua proprietà, sito in ...., via ...., identificato al catasto urbano di ...., foglio ...., particella ...., sub ...., il cui valore era di Euro .... — Per tali ragioni il Sig. .... chiedeva il risarcimento dei danni patrimoniali che quantificava in complessivi Euro ...., somma pari al valore di mercato del bene, che la sua madre aveva deciso di non donargli più. Chiedeva, inoltre, il risarcimento dei danni non patrimoniali, da determinarsi in via equitativa. Con il presente atto si costituisce la “Banca” ...., come sopra, la quale chiede rigettarsi la domanda, in quanto inammissibile, improcedibile ed improponibile, per le seguenti ragioni in DIRITTO Infondatezza della domanda per mancanza di elementi probatori a sostegno della richiesta risarcitoria. Come si evince dall'atto introduttivo, il Sig. .... chiede il ristoro di tutti i danni patrimoniali e non patrimoniali subiti a seguito della violazione della Banca convenuta del suo diritto alla privacy. In particolare a sostegno della domanda il ricorrente si limita solamente a mere allegazioni di circostanze, tuttavia prive di riscontro fattuale, senza tuttavia addurre alcun valido elemento di prova. A tal proposito giova rilevare che il Codice della privacy, art. 15, disciplina il tema della responsabilità civile per i danni procurati dal trattamento di dati personali, in virtù del quale chi ritiene di essere stato leso a seguito dell'attività di trattamento dei dati personali che lo riguardano può ottenere, in sede giudiziaria, il risarcimento dei danni senza dover provare la “colpa” del titolare che ha trattato i suoi dati. Resta ovviamente a carico dell'interessato l'onere di provare eventuali danni derivanti dal trattamento dei dati. In virtù della detta disposizione, quindi, il presunto autore dell'illecito trattamento di dati personali è tenuto al risarcimento ai sensi dell' art. 2050 c.c., il quale, pur prevedendo una presunzione di colpa a carico del danneggiante, tuttavia impone il previo accertamento dell'esistenza del nesso eziologico - la cui prova incombe al danneggiato - tra l'esercizio dell'attività e l'evento dannoso, non potendo il soggetto agente essere investito da una presunzione di responsabilità rispetto ad un evento che non è ad esso in alcun modo riconducibile. Sotto il diverso profilo della colpa, incombe invece sull'esercente l'attività pericolosa l'onere di provare di avere adottato tutte le misure idonee a prevenire il danno. [5] In base a tale principio anche a fronte di una violazione del segreto bancario e della privacy del cliente l'istituto di credito non può essere automaticamente tenuto a risarcire il danno al correntista. Invero in ipotesi come quella in esame per l'accoglimento dell'istanza risarcitoria, non è sufficiente che vi sia una mera violazione del diritto alla riservatezza in se considerato, poiché il danno deve essere provato dal ricorrente secondo quanto previsto dall'art. 2043 c.c. [6] Ne consegue che, nonostante il diritto alla privacy trovi un espresso fondamento nel d.lgs. n. 196/2003, ed ancor prima nell'art. 2 della Costituzione, la sua violazione, anche qualora sia imputabile a soggetti qualificati, non costituisce un pregiudizio automaticamente risarcibile essendo necessaria la dimostrazione del danno. Il pregiudizio anche quando è determinato dalla lesione di diritti inviolabili della persona come per esempio quello alla riservatezza, costituisce un danno - conseguenza che deve essere allegato e provato. Il danneggiato dovrà quindi allegare tutti gli elementi che, nel caso concreto, sono idonei a dimostrare il fatto da cui è dipeso il danno, nonché il nesso causale che lega gli stessi, viceversa, incomberà sulla controparte l'onere di provare di aver adottato tutte le misure necessarie per evitare il pregiudizio. Orbene, in relazione al caso in esame, come già sopra anticipato, il Sig. .... non ha fornito alcun elemento idoneo ai fini della dimostrazione tanto del nesso di causalità, quanto dei danni sofferti. Ciò in relazione sia alla richiesta di ristoro dei danni patrimoniali, sia per quel che concerne il riconoscimento dei danni non patrimoniali. Di tal che, la relativa domanda, in quanto sfornita di validi elementi probatori a sostegno, deve ritenersi infondata in fatto e diritto. CONCLUSIONI Alla luce di tutto quanto testé evidenziato, voglia l'Ill.mo Tribunale adito, respinta ogni contraria domanda, eccezione e deduzione: — In via preliminare, dichiarare l'improcedibilità, inammissibilità ed improponibilità della domanda; — Nel merito, rigettare la domanda, in quanto destituita di fondamento in fatto e diritto, nonché non provata. Con vittoria di spese ed onorari ed attribuzione in favore del procuratore antistatario. IN VIA ISTRUTTORIA (indicazione dei mezzi istruttori di cui si intende valere): (ESEMPIO) Si chiede altresì di essere ammessi alla prova contraria sulle circostanze di fatto ex adverso articolate con gli stessi testi indicati da controparte e con i seguenti propri testi: 1) Sig. ...., residente in .... ; 2) Sig. ...., residente in .... Si allegano i documenti 1), 2), 3), 4) e 5) indicati nel presente atto. Luogo e data .... Firma Avv. .... PROCURA [1] 1 Cfr. art. 152 d.lgs. n. 196/2003 nonché art. 10 d.lgs. n. 150/2011. In particolare, per quel che concerne la competenza territoriale, il d.lgs. 1 settembre 2011, n. 150, art. 63, stabilisce il foro inderogabile del consumatore (residenza e/o domicilio del consumatore). [2] In tutti gli atti introduttivi di un giudizio e in tutti gli atti di prima difesa devono essere indicati le generalità complete della parte, la residenza o sede, il domicilio eletto presso il difensore ed il codice fiscale, oltre che della parte, anche dei rappresentanti in giudizio (art. 23, comma 50, d.l. n. 98/2011, conv., con modif., dalla l. n. 111/2011). [3] L'indicazione del codice fiscale dell'avvocato è prevista, oltre che dall'art. 23, comma 50, d.l. n. 98/2011, conv. con modif. dalla l. n. 111/2011, dall'art. 125, comma 1, c.p.c., come modificato dall'art. 4, comma 8, d.l. n. 193/2009 conv. con modif. dalla l. n. 24/2010. A partire dal 18 agosto 2014, gli atti di parte, redatti dagli avvocati, che introducono il giudizio o una fase giudiziale, non devono più contenere l'indicazione dell'indirizzo di PEC del difensore: v. art. 125 c.p.c. e art. 13, comma 3-bis, d.P.R. n. 115/2002, modificati dall'art. 45-bis d.l. n. 90/2014 conv., con modif., dalla l. n. 114/2014. [4] L'indicazione del numero di fax dell'avvocato è prevista dall'art. 125 c.p.c. e dall'art. 13, comma 3-bis, d.P.R. n. 115/2002, modificati dall'art. 45-bis d.l. n. 90/2014, conv. con modif., dalla l. n. 114/2014. Ai sensi dell'art. 13, comma 3-bis, d.P.R. cit., «Ove il difensore non indichi il proprio numero di fax ...ovvero qualora la parte ometta di indicare il codice fiscale .... il contributo unificato è aumentato della metà». [5] Cass. I, n. 8451/2012. [6] Cass., n. 17014/2011. CommentoPremessa La responsabilità della Banca per violazione della privacy può configurarsi tanto con riferimento a fattispecie omissive quanto commissive. Invero, la Banca può essere ritenuta responsabile con riferimento ad operazioni non autorizzate che siano addebitate sul conto del correntista e che questi abbia disconosciuto ai sensi dell'art. 2050 c.c., come richiamato dall'art. 15 del d.lgs. n. 196/2003: in particolare, quale soggetto titolare del trattamento dei dati personali, l'istituto bancario deve adottare tutte le misure di sicurezza e cautele necessarie per impedire a terzi di introdursi illecitamente nel sistema cagionando un danno ai propri correntisti (vale sottolineare che, in forza dell'art. 31 del citato decreto, i dati personali oggetto di trattamento devono essere custoditi e controllati in modo da ridurre al minimo, fra gli altri, i rischi di accesso non autorizzato o di trattamento non consentito). In applicazione dei predetti principi il Trib. Palermo, con sentenza del 12 gennaio 2010, ascrive all'istituto bancario la responsabilità del danno cagionato ai correntisti atteso che nessuna prova liberatoria era stata fornita al riguardo, dovendosi, pertanto, reputare il sistema di sicurezza adottato dalla stessa inadeguato, specie se raffrontato con quello utilizzato da altri operatori, cui successivamente la stessa società si era conformata. Per una disamina approfondita delle ipotesi di responsabilità della banca in relazione a fattispecie omissive v. formula su responsabilità della banca per frodi informatiche nei servizi home banking. Sul versante delle condotte commissive, ricorre, invece, la responsabilità della Banca nell'ipotesi di comunicazione diretta di informazioni riservate relative ad un correntista, nonché nell'ipotesi di segnalazione erronea o illegittima del nominativo del correntista alla centrale rischi. Di seguito, si procederà alla disamina della casistica relativa alla prima ipotesi, rinviando alle formule ad hoc per le ulteriori indicate. La nozione di informazioni personali e riservate Detta nozione viene definita dall'art. 4, lett. b), d.lgs. n. 196/2003, in termini assai estesi, potendosi riferire a qualsiasi informazione relativa all'interessato (persona fisica o giuridica), la quale identifichi quest'ultimo - o lo renda identificabile - anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale. È, dunque, verosimile che, data l'ampia accezione, numerose informazioni utilizzate nello svolgimento dell'attività economica possano assumere la veste di dato personale così come delineata. Nel settore bancario ulteriore estensione al concetto di informazione personale deriva dall'utilizzo di codici di identificazione e, in genere, di credenziali informatiche che consentono al cliente di accedere ad un'operatività on line sui suoi conti: in questo ambito, fra l'altro, valga il richiamo all'art. 1 lett. r) d.lgs. n. 11/2010 (relativo al recepimento della Direttiva 2007/64/CE sui servizi di pagamento), che ha introdotto il c.d. identificativo unico, espressamente definito come combinazione di lettere, numeri o simboli atti a identificare un utilizzatore del servizio di pagamento o il suo conto. Ulteriori spunti in ambito finanziario giungono, inoltre, dal richiamo ad adottare opportune cautele nella trasmissione di informazioni a contenuto economico sulla clientela, al fine di prevenire fenomeni di profilazione massiva (noti anche come data mining): ci si riferisce, in particolare, all'accordo USA/UE sul trasferimento dei dati della c.d. messaggistica finanziaria, nell'ambito del Terrorist Finance Tracking Programme, approvato, nel nuovo testo, dal Parlamento Europeo alla seduta plenaria del 5-8 luglio 2010 (ivi emergono il divieto di trasferimento di dati in blocco e il ruolo dell'Europol nel verificare la fondatezza delle richieste statunitensi tese ad ottenere le informazioni in esame). Segreto bancario e trattamento dati personali Il segreto bancario può essere definito come l'obbligo del banchiere di non rivelare agli altri ciò che, nel proposito - dichiarato o sottinteso - di chi a lui si affida, è destinato a rimanere segreto (Cass. I, n. 2197/1974). La dottrina, dal canto suo, ha sottolineato che il silenzio della banca intorno ai dati del patrimonio e dell'attività finanziaria del proprio cliente costituisce un'esigenza con funzione difensiva sia nei confronti dello Stato, sia dei concorrenti, sia infine delle controparti sociali, oltre, naturalmente a rispondere alla necessità di tutelare il soggetto dai reati contro il patrimonio. A fronte dell'obbligo al segreto bancario, sussiste un diritto soggettivo in capo al cliente e un correlativo dovere della banca, dalla cui violazione consegue la possibilità di far valere la responsabilità contrattuale o extracontrattuale. Il segreto in esame obbliga il banchiere ad osservare il riserbo sui dati del proprio cliente nei confronti dei terzi interessati ad attingere dette informazioni, fatti salvi i casi in cui detto presidio debba cedere rispetto a prevalenti interessi di rango superiore, quali, ad esempio, le esigenze della giustizia. Rispetto alla disciplina del segreto, ut supra brevemente delineata, quella sul trattamento dei dati, vista la molteplicità delle posizioni soggettive tutelate, unitamente ad un concetto dinamico di informazione personale, offre all'interessato (qui, il cliente) una serie di strumenti anche per una tutela da eventuali ipotesi di utilizzo non corretto dei suoi dati che avvenga direttamente da parte della banca, all'interno del perimetro di quest'ultima. La dottrina ha, in particolare, osservato come l'applicazione dei due diversi regimi, a seconda dei casi, è tale da condurre ad alcune rilevanti ricadute sul piano pratico: in particolare, la violazione della normativa sul trattamento dei dati, da parte della banca, comporta la soggezione al più severo regime della responsabilità per attività pericolose, visto il relativo rinvio all'art. 2050 c.c.; fuori da tali ipotesi, di contro, la responsabilità della banca per violazione di obblighi di riserbo sarebbe quella di diritto comune, affondando le radici nella regola generale dell'art. 2043 c.c. (conseguendone una posizione meno gravosa per l'autore del danno). Giova segnalare che la normativa sul trattamento, con i suoi corollari, pare aver enucleato ulteriori prescrizioni di riserbo, anch'esse non riconducibili in toto all'istituto del segreto bancario: il riferimento è all'art. 11 del codice deontologico per il trattamento dei dati personali effettuato nell'ambito dei sistemi di informazioni creditizie, adottato ai sensi dell'art. 117, d.lgs. n. 196/2003, dove si sancisce un obbligo di riservatezza del partecipante al servizio di centralizzazione dei rischi, con specifico divieto di divulgazione a terzi per finalità diverse da quelle di legge, introducendosi, quindi, una corrispondente responsabilità in caso di violazione di detto obbligo (secondo parte della dottrina, si tratterebbe di una figura di segreto presidiata da un regime più stringente di quello comune). Sul tema della responsabilità civile da trattamento dei dati nei sistemi di informazioni creditizie, si segnala, inoltre, il profilo della errata segnalazione pregiudizievole del cliente, da parte di una banca, nella Centrale dei Rischi gestita dalla Banca d'Italia (per cui v. formula ad hoc). Gli orientamenti del Garante della Privacy Secondo quanto affermato dal Garante della Privacy in una comunicazione del 21 maggio 2001, le banche non possono comunicare informazioni sui conti dei loro clienti a persone estranee, quand'anche esse motivassero la richiesta con l'esigenza di tutelare le proprie ragioni in sede giudiziaria (art. 24 comma 1 d.lgs. n. 196/03): in particolare, anche la sola conferma dell'esattezza dei dati relativi ad un cliente, fornita ad un terzo, rappresenterebbe una illegittima divulgazione e una violazione del segreto bancario (nella fattispecie, si trattava del legale di una parte in una causa di separazione tra coniugi). Sul medesimo tema, in un ulteriore contributo (provvedimento a carattere generale 12 maggio 2011) l'Authority, constatata un'anomala circolazione delle informazioni riferite ai clienti delle aziende bancarie, prescriveva a queste ultime l'adozione di misure tecniche atte a consentire la tracciabilità degli accessi ai rapporti della clientela effettuati dai dipendenti, sia per quanto attiene alle transazioni operative, che per quelle di mera interrogazione (il detto provvedimento costituiva la risposta alle lamentele di molti clienti circa la diffusione di alcuni dati patrimoniali a loro riferiti, conservati negli archivi informatici delle banche ed oggetto di indebita comunicazione a terzi, verosimilmente da parte di alcuni dipendenti delle aziende di credito, con successivo utilizzo per varie finalità, ivi compresa quella della loro produzione in giudizio, solitamente a svantaggio del cliente). Nell'ambito dei rapporti tra segreto bancario e interesse del terzo all'informazione si colloca altresì il caso del cd. benefondi di assegno: secondo la giurisprudenza della S.C., detto fenomeno consiste nell'uso interbancario di richiedere e dare, a mezzo del telefono o con altri strumenti di comunicazione, conferma dell'esistenza di una sufficiente provvista in relazione al pagamento di assegni di conto corrente, fenomeno riconducibile ad una prassi interna nei rapporti tra gli istituti di credito. Esso, in particolare, ha la funzione di assicurare la sussistenza, nel momento in cui l'informazione è resa, di fondi presso la banca trattaria, congrui a coprire l'importo del titolo, emesso su quell'istituto (Cass. I, n. 9103/2003; Cass. I, n. 10067/1998). Il Garante ha affermato, al riguardo, che le banche possono fornire informazioni sulla validità o copertura di un assegno al soggetto nei confronti del quale è stato tratto, nel rispetto, ovviamente, dei principi generali che la stessa legge prevede per tutti i dati personali, purchè detta pratica sia svolta correttamente e che le informazioni siano fornite ai soli soggetti legittimati all'incasso o alla negoziazione dell'assegno e non ad estranei. Vale, altresì, sottolineare, sotto il profilo delle misure di sicurezza che la banca deve apprestare a tutela della riservatezza dei clienti, che le zone di attesa per i clienti della banca devono essere organizzate dall'istituto di credito salvaguardando la c.d. distanza di cortesia, al fine di non violare la riservatezza di chi si trova a compiere operazioni allo sportello (cfr. lettera ABI LG n. 3149 dell'11 maggio 1998). Da ultimo, si segnala l'intervento relativo alle comunicazioni di dati della clientela fra intermediari finanziari appartenenti al medesimo gruppo in materia di antiriciclaggio, nella cui occasione il Garante ha fatto ricorso al criterio di bilanciamento degli interessi fra esigenze di riserbo del correntista ed opposta esigenza di circolazione delle informazioni in capo all'operatore bancario (fra l'altro, dettata da specifiche prescrizioni di legge; cfr. provvedimento del 10 settembre 2009). Casistica Trib. Orvieto 25 novembre 2002: due correntisti evocano in giudizio una banca lamentando che, mentre attendevano di essere ricevuti da un funzionario, avevano rinvenuto, in una zona accessibile al pubblico, alcuni stampati contenenti notizie riservate sulla loro posizione finanziaria. Nell'occasione, si eccepiva, altresì, l'attivazione, da parte dell'istituto bancario, di indagini sulla solvibilità dei clienti svolte illecitamente. Nella fattispecie, tuttavia, non ricorreva alcun danno in concreto non essendo pervenute le dette notizie nella sfera di conoscenza di terzi. Garante, provvedimento del 19 novembre 2003: trattasi della vicenda di un correntista di banca on line, il quale, nel consultare via internet la propria posizione contabile, aveva accidentalmente avuto la visibilità su informazioni riservate (numeri di conti correnti e carte di credito, operazioni bancarie, bonifici, emolumenti, assegni, titoli, polizze assicurative) di altri ignari correntisti. In tale occasione era emerso che la banca non aveva adottato le misure minime di sicurezza in grado di ridurre il rischio di accesso non autorizzato ai dati personali da parte di terzi su reti telematiche. Anche in tal caso, a fronte di una fuoriuscita di dati dal perimetro della banca, non vi era stato un utilizzo abusivo da parte del terzo, venendo quindi a mancare il profilo del danno economico. Decisioni dell'Arbitro Bancario Finanziario (n. 46 del 15 febbraio 2010). La banca non aveva adottato le cautele necessarie ad assicurare una adeguata tutela del deposito del correntista e ciò in quanto la stessa, nel momento in cui offre servizi on line, ha il dovere di adempiere al proprio obbligo di custodia dei patrimoni dei clienti con la diligenza professionale richiesta dall'art. 1176, comma 2, c.c., predisponendo misure di protezione idonee ad evitare l'accesso fraudolento di terzi, o a neutralizzarne gli effetti. Nondimeno, veniva riconosciuto il concorso di colpa del correntista, per incauta custodia dei codici di accesso al servizio, nella ipotesi in cui l'operazione fraudolenta sia avvenuta mediante l'uso delle codifiche in suo possesso. Questo secondo profilo appare più marcato in altra recente decisione, nella quale, essendo emersa in atti l'ammissione, da parte del correntista, di aver fornito i propri codici personali di accesso dietro richiesta giuntagli tramite e-mail (poi rivelatasi ingannevole), il concorso di colpa del medesimo ha inciso fino a comportare la riduzione del rimborso, da parte dell'intermediario, al 40% della somma portata dal bonifico contestato (si rinvia per approfondimenti alla formula su responsabilità della banca per frodi informatiche nei servizi home banking). Cass. I, n. 3455/2017: un soggetto danneggiato da complicanze irreversibili a causa di vaccinazioni obbligatorie, trasfusioni percepiva un indennizzo ai sensi della l. 210 /1992 erogato dalla Regione mediante accredito sul conto corrente con la specifica annotazione “pagamento ratei arretrati bimestrali e posticipati ai sensi della l. n. 210/1992”; con la medesima dizione la Banca contraddistingueva i relativi movimenti dell'estratto conto inviato al cliente. Il soggetto lamentava che la detta indicazione in quanto idonea a rivelare il proprio stato di salute rappresentasse un illegittimo trattamento dei dati personali che gli aveva causato un danno del quale chiedeva il risarcimento citando tanto la Regione quanto la banca. La richiesta veniva dapprima rigettata dal Tribunale, secondo cui, pur costituendo la citazione della Legge n. 210/1992 nella causale dell'accredito un dato sensibile perché rivelatore dello stato di salute del beneficiario del pagamento, non era nella specie ravvisabile un'indebita diffusione dello stesso ai sensi del d.lgs. n. 196/2003, in quanto la comunicazione del pagamento era stata effettuata dalla Regione ad un soggetto determinato, ovvero l'istituto di credito designato dallo stesso interessato, sulla base di un rapporto di conto corrente. La statuizione veniva poi confermata dalla Corte di Cassazione, sulla scorta dei seguenti motivi: 1) non costituisce violazione delle norme sulla riservatezza comunicare i dati sensibili ad un terzo rappresentante del titolare, e da questi indicato come destinatario della comunicazione (la banca); 2) la PA non viola le norme sulla riservatezza se adempie precisi obblighi di legge; allo stesso modo, la banca non viola le norme sulla riservatezza se adempie obblighi scaturenti da un contratto; 3) la trasmissione dei dati dalla banca al cliente non costituisce 'comunicazione' ai sensi del d.lgs. n. 196/2003, essendo il cliente titolare dei dati medesimi; né costituisce 'comunicazione' nel senso sopra indicato, la trasmissione dei dati dalla Regione alla banca, in quanto, in virtù del rapporto di conto corrente, la seconda si qualifica come mandatario con rappresentanza del correntista, tal che l'imputazione del pagamento (causale) con la quale la Regione ha contraddistinto l'accredito, vale come se fosse compiuta dal debitore (la Regione) direttamente al creditore (il correntista). Peraltro la Corte sottolinea come il trattamento dei dati a fini previdenziali da parte delle banche sia consentito dal provvedimento del garante della privacy (n. 5/2009). In analogo senso v. anche Cass. I, n. 10280/2015, ove la Corte ribalta la decisione di merito che aveva condannato tanto la Regione quanto la banca evidenziando che: 1) l'informazione che un soggetto è percettore di un indennizzo, ai sensi della legge n. 210/1992, non è di per sé idonea a rivelare lo stato di salute del beneficiario di quell'indennizzo in quanto le provvidenze sono erogate sia a coloro che hanno patito un'infezione per effetto di trasfusione o vaccinazione; sia ai prossimi congiunti di persone decedute a causa dell'infezione da trasfusione e vaccinazione, soggetti che malati non sono; 2) la Regione non ha effettuato il trattamento di diffusione del dato ma ha effettuato l'operazione di trattamento con un semplice pagamento, indicato e trasmesso la relativa causale non ad un soggetto terzo ma al mandatario stesso (l'istituto bancario) indicato dal cliente-titolare del conto. La Cassazione specifica inoltre che non si applica alle banche l'obbligo di cifratura dei dati previsto dall'art. 22 del Codice della Privacy, precisando altresì che l'illegittimo trattamento dei dati non determina un'automatica risarcibilità del danno, poiché il pregiudizio (morale e/o patrimoniale) deve essere provato secondo regole ordinarie, quale ne sia l'entità e la difficoltà di assolvere all'onere probatorio, trattandosi di danno conseguenza e non di danno evento, senza che rilevi in senso contrario il suo eventuale inquadramento quale pregiudizio non patrimoniale da lesione di diritti costituzionalmente garantiti. Cass. I, n. 4475/2021: gli attori convenivano in giudizio la propria compagnia di assicurazione, lamentando che la stessa avrebbe indebitamente diffuso i propri dati personali, segnatamente tramite la consegna ad altro assicurato di una stampa del sistema informativo interno della compagnia, nonché un atto di liquidazione ove erano riportate le coordinate IBAN. Il danno per il cui ristoro gli attori avanzavano domanda risarcitoria era determinato dalla successiva produzione di tale documentazione da parte del soggetto destinatario nell'ambito di una assemblea condominiale di cui erano parti gli stessi attori, divenuta di dominio pubblico senza alcuna ragione o motivazione. Il giudice di prime cure rigettava la domanda, rilevando la correttezza dell'operato della compagnia di assicurazione che si era limitata a trasmettere al suo assicurato un atto di transazione stipulato da uno degli attori che accettava la liquidazione amichevole da parte della compagnia a copertura dell'assicurazione stipulata dal terzo chiamato in causa. Il Tribunale altresì riteneva che in alcun modo la successiva scelta del terzo di divulgare la documentazione ricevuta in sede di assemblea condominiale potesse essere ascritta alla violazione dei dati personali, non essendo il terzo subordinato al rispetto della stessa. La Corte di Cassazione nella vicenda de qua, cassando la pronuncia di merito, precisa che la successiva diffusione dei dati personali ad opera di soggetto diverso dal preposto al trattamento non elide la responsabilità di quest'ultimo, non potendosi escludere l'esistenza del nesso causale tra tale comportamento ed il danno lamentato, qualora risulti che le condotte dei terzi non sarebbero state possibili se non fossero stati resi noti i dati personali dei danneggiati. |
