È illegittimo il comportamento della compagnia assicuratrice che, nel comunicare al proprio assicurato, l’avvenuto risarcimento del danno, diffonde anche le coordinate bancarie delle persone risarcite. E’ questo il principio stabilito dalla Corte di Cassazione nell’ordinanza n. 4475/2021. Facendo un passo indietro, due soggetti presentavano ricorso per cassazione, affidandolo a quattro motivi, avverso la sentenza del Tribunale di Roma perché era stata rigettata la loro richiesta di risarcimento danni poiché la loro compagnia di assicurazioni aveva divulgato, in un documento di liquidazione, le loro coordinate bancarie asserendo che tale comportamento rientrava nei propri obblighi contrattuali e pertanto nessuna violazione della normativa speciale in tema di trattamenti dei dati personali era stata violata. Il Tribunale di Roma accolse tale tesi e respinse la domanda di risarcimento posta dagli attori e li condannò alle spese del giudizio. I quattro motivi di ricorsi si sostanziano essenzialmente in: “I) “Art. 360 c.p.c., comma 1, n. 3 – Violazione e falsa applicazione del D.Lgs. n. 196 del 2003, artt. 11, 13 e 24“. Si censura la sentenza impugnata per aver ritenuto, erroneamente, che la consegna, da parte della compagnia assicuratrice al D.B., dell’atto di liquidazione su cui erano indicate le coordinate bancarie degli odierni ricorrenti, rispondesse ad un obbligo contrattuale della prima nei confronti del proprio assicurato, nella specie, peraltro, nemmeno potendosi configurare alcuna delle ipotesi di esclusione del consenso al trattamento dei dati personali previste dal D.Lgs. n. 196 del 2003, art. 24. Inoltre, non si era considerato che, nell’informativa rilasciata al fiduciario dell’assicurazione per lo svolgimento della perizia cui era seguita, poi, la liquidazione predetta, era specificato che “i dati potranno essere da noi comunicati alla Compagnia Assicurativa”, sicchè che quest’ultima non avrebbe potuto, a sua volta, comunicarli al proprio assicurato D.B.; II) “Art. 360 c.p.c., comma 1, n. 3 – Violazione e falsa applicazione del provvedimento dell’Autorità di protezione dei dati personali dell’8.01.2009”, assumendosi che il decisum del tribunale fosse in contrasto con quanto sancito dall’Autorità per la protezione dei dati personali con il provvedimento dell’8.1.2009, secondo il quale il trattamento dei dati personali è ammissibile anche senza il consenso dei titolari purchè avvenga nei “limiti delle finalità originarie” ovvero “…in termini compatibili con gli scopi per i quali erano stati raccolti”: ipotesi entrambe insussistenti nella vicenda in esame; III) “Art. 360 c.p.c., comma 1, n. 3 – Violazione e falsa applicazione dell’art. 112 c.p.c. “Corrispondenza tra chiesto e pronunciato””. Premettendosi che “oggetto del contendere non era la consegna di documentazione dall’Ina Assitalia, oggi Generali Italia, al proprio assicurato, bensì la violazione dell’obbligo di riservatezza con la divulgazione dei dati personali degli odierni ricorrenti indicati sui documenti in questione e che la compagnia di assicurazione non si era premunita di eliminare; il tutto, quindi, a prescindere dalle modalità di diffusione”, si afferma che “su tale aspetto il Giudice non si è pronunciato, focalizzando la propria decisione sul rapporto tra Assicurazione e assicurato trascurando l’esame della normativa sul trattamento dei dati personali e sugli obblighi da questa derivanti nei confronti degli attori così come da questi domandato”; IV) “Art. 360 c.p.c., comma 1, n. 3 – Violazione e falsa applicazione dell’art. 116 c.p.c.“, per aver il tribunale capitolino erroneamente qualificato l’atto di liquidazione consegnato dall’assicurazione al D.B. come “di transazione e quietanza”, dovendosi, invece, esso annoverare, al più, tra gli atti “di sola transazione”.
Ma, prima di analizzare le questioni problematiche sottese al caso in esame è necessario effettuare dei brevi cenni sulla disciplina speciale di settore. Nell’epoca dell’era digitale, lo sviluppo tecnologico impone dei rapidi adeguamenti da parte di tutti i settori, soprattutto quello del diritto. Nelle epoche di grande complessità e rapido cambiamento, il diritto, più di ogni altra scienza sociale, è tenuto a ridefinire lessico e semantica delineando su nuovi orizzonti la propria domanda di senso, riscrivendo categorie con la duttilità necessaria ad accogliere una realtà in costante evoluzione. Quest’esigenza è tanto più forte in un momento, quale quello attuale, in cui le innovazioni connesse alle tecnologie digitali sembrano scardinare le coordinate del diritto: a partire dal principio di territorialità e dalla nozione di sovranità, fino alla stessa soggettività giuridica, in un contesto in cui si discute della responsabilità civile del robot (cfr. Pluris, rivista giuridica). Da questo punto di vista è lecito chiedersi e domandarsi quale è la tutela dei dati sensibili accordata ai soggetti che si interfacciano in queste nuove realtà tech? Il trattamento dei dati personali è disciplinato dal Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE. Premesso ciò, il concetto di trattamento ingloba tutte quelle operazioni che implicano una conoscenza di dati personali. I trattamenti possono essere vari e si sostanziano in: 1) La raccolta dei dati è la prima operazione e generalmente rappresenta l’inizio del trattamento. Consiste nell’attività di acquisizione del dato; 2) La registrazione consiste nella memorizzazione dei dati su un qualsiasi supporto; 3) L’organizzazione consiste nella classificazione dei dati secondo un metodo prescelto; 4) La strutturazione consiste nell’attività di distribuzione dei dati secondi schemi precisi; 5) La conservazione consiste nel mantenere memorizzate le informazioni su un qualsiasi supporto; 6) La consultazione è la lettura dei dati personali. Anche la semplice visualizzazione dei dati è un trattamento che può rientrare nell’operazione di consultazione; 7) L’elaborazione consiste nell’attività con la quale il dato personale subisce una modifica sostanziale. La modificazione differisce dall’elaborazione in quanto può riguardare anche solo parte minima del dato personale; 8) La selezione consiste nell’individuazione di dati personali nell’ambito di gruppi di dati già memorizzati; 9) L’estrazione consiste nell’attività di estrapolazione di dati da gruppi già memorizzati; 10) Il raffronto è un’operazione di confronto tra dati, sia un conseguenza di elaborazione che di selezione o consultazione; 11) L’utilizzo è un’attività generica che ricopre qualsiasi tipo di impiego dei dati; 12) L’interconnessione consiste nell’utilizzo di più banche dati, e si riferisce all’impiego di strumenti elettronici; 13) Il blocco consiste nella conservazione con sospensione temporanea di ogni altra operazione di trattamento; 14) La comunicazione (o cessione)consiste nel dare conoscenza di dati personali ad uno o più soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati. In caso di comunicazione il dato viene trasferito a terzi, ed è quindi attività particolarmente delicata; 15) Per diffusione, invece, si intende il dare conoscenza dei dati a soggetti indeterminati, in qualunque forma anche mediante la loro messa a disposizione o consultazione. Si ha, quindi, diffusione anche quando si pubblica online, ad esempio una fotografia su un social network. In assenza di consenso tale attività deve ritenersi illecita; 16) La cancellazione consiste nell’eliminazione di dati tramite utilizzo di strumenti elettronici; 17) La distruzione è l’attività di eliminazione definitiva dei dati.
Orbene, espletate tali premesse è opportuno capire quale è la tutela accordata al privato quando vi è un trattamento illegittimo dei dati sensibili. L’articolo 1 del d.lgs n. 196 del 2003 dispone che il trattamento dei dati personali avviene secondo le norme del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, di seguito «Regolamento», e del presente decreto, nel rispetto della dignità umana, dei diritti e delle libertà fondamentali della persona. Pertanto, un primo limite al “libero” trattamento dei dati sensibili è dato dai diritti fondamentali della persona. Se non ci fosse tale limite, vi sarebbe un uso arbitrario dei dati sensibili con conseguenze nefaste sui rapporti personali all’interno del contesto sociale in cui vive il soggetto. Si pensi al diritto all’oblio ovvero, come nel caso in esame, alla diffusione di un codice IBAN senza il previo consenso scritto da parte dell’interessato. Ed è proprio in questo solco che si inserisce il provvedimento in esame posto che la Corte di Cassazione non ha ritenuto la condotta della compagnia assicurativa legittima in quanto, l’articolo 11 del d.lgs n. 196 del 2003, il quale disciplina le modalità del trattamento e i requisiti dei dati, prevede al comma 1, lett. a che: I dati personali oggetto di trattamento sono: a) trattati in modo lecito e secondo correttezza. A tal fine, vengono richiamate due clausole generali del nostro ordinamento ossia la liceità e la correttezza, che assumono in tal senso il ruolo di canoni su cui parametrare la legittimità del trattamento stesso. Occorre sottolineare dunque, che il comportamento richiesto dall’art. 11 lett. a) d. lgs. n. 196 del 2003, ripetutamente invocato dalla compagnia assicurativa per legittimare il proprio operato, si riferisce chiaramente alla condotta che deve essere tenuta dal preposto al trattamento dei dati nei confronti del titolare dei dati medesimi e non già nei confronti di altri e diversi soggetti. Quanto, poi, al preteso obbligo della medesima compagnia assicuratrice di fornire una prova al proprio assicurato dell’avvenuto risarcimento del danno in favore di F.M. e di A.C., esso non può in alcun modo ricomprendere anche la diffusione delle coordinate bancarie delle persone risarcite, atteso che tale trasmissione dei dati, oltre a non essere funzionale all’attività per cui gli stessi erano stati raccolti, neppure era necessaria per adempiere al predetto obbligo. In altri termini, esigenze di mera prova da parte dell’assicurato dell’avvenuto adempimento dell’obbligo contrattualmente assunto dall’assicuratore nei suoi confronti di tenerlo indenne dalle pretese risarcitorie di soggetti terzi rientranti nell’oggetto dello stipulato contratto di assicurazione, non possono considerarsi prevalenti sul diritto alla riservatezza ed alla tutela dei dati personali di quei soggetti terzi, assumendo fondamentale rilievo il rispetto dei principi di proporzionalità, pertinenza e non eccedenza, di cui al già citato art. 11 d. lgs. n. 196 del 2003 (cfr. Pluris, rivista giuridica). In conclusione, la Corte di Cassazione ha affermato che: “A tale stregua, le informazioni in calce alla copia dell’atto di liquidazione circa le coordinate bancarie di FM e di AC dovevano essere comunicati dalla compagnia assicuratrice solamente agli aventi diritto alla relativa conoscenza, e cioè agli odierni ricorrenti, non anche a chi, l’assicurato MD non vi avrebbe avuto specifico interesse, atteso che a quest’ultimo sarebbe bastato ricevere una comunicazione di intervenuto ristoro dei danni e/o al più la quietanza priva delle informazioni sui dati personali non divulgabili ai sensi della disciplina in tema di privacy.“
Dr Maurizio Muto – Junior Trainee Lawyer – Studio Legale Associato Lacava Spina.
Studio legale Lacava & Spina 