Come deve comportarsi il Titolare del trattamento, in presenza di una richiesta di accesso ai dati personali? Può essere sufficiente una risposta generica o è necessaria una risposta più circostanziata?
Il diritto di accesso ai dati personali previsto dall’art. 7 del D.lgs 196/2003 implica che il titolare del trattamento debba non solo dare una mera conferma dell’esistenza dei dati, bensì anche comunicarli nel dettaglio all’interessato.
È quanto scaturisce dall’interessante sentenza 9 gennaio 2013, n. 346 della Cassazione, in riferimento ad una richiesta di accesso ai dati personali da parte di un consumatore ai dati concernenti una segnalazione negativa relativa ad un rapporto di finanziamento con la società convenuta.
La Cassazione, richiamando precedenti orientamenti espressi in materia dal Garante per la Protezione dei dati personali, ha chiarito che:
- Lo scopo dell’art. 7 è quello di garantire, a tutela della dignità e riservatezza del soggetto interessato, la verifica ratione temporis dell’avvenuto inserimento, della permanenza, ovvero della rimozione di dati, indipendentemente dalla circostanza che tali eventi fossero già stati portati per altra via a conoscenza dell’interessato, verifica attuata mediante l’accesso ai dati raccolti sulla propria persona in ogni e qualsiasi momento della propria vita relazionale;
- Il destinatario di una richiesta ex art. 7 non può limitarsi a dare una mera conferma dell’esistenza dei dati ma deve estrarli dai documenti in suo possesso ponendoli a disposizione dell’interessato (Garante 16 gennaio 2003 v. anche www.garanteprivacy.it: doc. web n. 1067830);
- Non fornisce adeguata risposta alla richiesta dell’interessato di conoscere i dati che lo riguardano la sola conferma da parte del titolare del trattamento dell’esistenza, nei propri archivi, di informazioni relative agli intercorsi rapporti contrattuali ed ai contenziosi che ne erano scaturiti, senza comunicazione, nel dettaglio, di tutti i dati detenuti (Garante 2 luglio 2003 v. anche www.garanteprivacy.it: doc. web n. 1079895).
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
LA CORTE SUPREMA DI CASSAZIONE
SEZIONE PRIMA CIVILE
Composta dagli Ill.mi Sigg.ri Magistrati:
Dott. CARNEVALE Corrado – Presidente –
Dott. BERRUTI Giuseppe Maria – Consigliere –
Dott. DI AMATO Sergio – Consigliere –
Dott. RAGONESI Vittorio – Consigliere –
Dott. DIDONE Antonio – rel. Consigliere –
ha pronunciato la seguente:
sentenza
sul ricorso 17371/2010 proposto da:
C. S.P.A. (c.f./p.i. (OMISSIS)), in persona dei procuratori speciali pro tempore, elettivamente domiciliata in ROMA, VIA BOEZIO 6, presso l’avvocato CALLORI MARCO, che la rappresenta e difende, giusta procura in calce al ricorso;
– ricorrente –
contro
S.L. (c.f. (OMISSIS));
– intimato –
avverso la sentenza n. 14169/2009 del TRIBUNALE di MILANO, depositata il 31/12/2009;
udita la relazione della causa svolta nella pubblica udienza del 14/12/2012 dal Consigliere Dott. ANTONIO DIDONE;
udito il P.M., in persona del Sostituto Procuratore Generale Dott. CAPASSO Lucio, che ha concluso per l’inammissibilità del ricorso.
(Fatto – Diritto)
1.- Con ricorso al Tribunale di Milano S.L., premesso di essere stato informato dalla società Experian Information Services S.p.A. dell’esistenza di una segnalazione negativa a proprio carico, relativa al rapporto di finanziamento stipulato in data 22 marzo 2003 con C. S.p.A.; di avere inoltrato un’istanza di accesso ai propri dati personali a C. il 24 ottobre 2008, rimasta senza esito; chiese l’esercizio giudiziale del diritto di accesso ai propri dati personali D.Lgs. n. 196 del 2003, ex art. 7, Codice per la protezione dei dati personali, nonchè ex art. 8, comma 4, del 16 novembre 2004, n. 8, c.d. Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti.
Si costituì la convenuta la quale eccepì: di non aver mai ricevuto il fax menzionato dalla controparte; di aver sempre trasmesso al ricorrente in corso di rapporto ogni notizia, successivamente oggetto della richiesta in contestazione; di aver comunque allegato alla comparsa di risposta le informazioni richieste dalla controparte e chiese il rigetto del ricorso.
Con sentenza del 31.12.2009 il Tribunale, preso atto della cessazione della materia del contendere, posto che parte convenuta aveva allegato alla comparsa di costituzione e risposta le note informative afferenti la posizione del ricorrente, con ciò adempiendo alla richiesta di accesso ai propri dati personali da questi inoltrata, condannò la società convenuta al pagamento delle spese processuali in virtù della c.d. soccombenza virtuale.
Osservò il tribunale che il ricorso risultava fondato in quanto era risultato provato in via documentale che in data 24 ottobre 2008 S.L. aveva inviato alla s.p.a. C. un fax contenente la richiesta di accesso ai propri dati personali e non era contestato che la destinataria della richiesta non avesse dato corso ad alcun adempimento nè nel termine di 15 giorni previsto D.Lgs. n. 196 del 2003, ex art. 146, nè successivamente, e sino alla costituzione nel giudizio.
Nel caso in esame l’attestazione dell’avvenuto inoltro con esito positivo delle quattro pagine di cui risultava composto il messaggio trasmesso esimeva il ricorrente da qualsiasi verifica successiva.
L’art. 8 (Esercizio dei diritti) citato recita al comma 1, “I diritti di cui all’art. 7 sono esercitati con richiesta rivolta senza formalità al titolare o al responsabile, anche per il tramite di un incaricato, alla quale è fornito idoneo riscontro senza ritardo…”.
L’interpretazione letterale della norma, nonchè la lettura sistemica della stessa, imponevano al titolare del trattamento un onere di risposta in tempi strettamente consequenziali alla richiesta, certamente non superiori al limite temporale individuato ex lege per l’interpello del Garante, con conseguente impossibilità di qualificare come ordinatorio il termine indicato.
Una interpretazione di segno contrario – secondo il tribunale – finirebbe col vanificare la funzione di tutela della dignità del cittadino – unico e vero dominus dei dati che lo riguardano perseguita dal testo di legge indicato, lasciando al soggetto titolare del trattamento dei dati l’arbitrio in ordine al tempus, e quindi, di fatto, all’an della risposta.
Infine, il diritto di accesso ai dati personali non riceve alcuna differenziazione per quanto riguarda il diritto alla conoscenza dell’interessato, sia che la richiesta abbia ad oggetto dati trattati da terzi, sia per i dati raccolti e trasmessi dall’intermediario, come avvenuto per il caso di C..
Nessun rilievo poteva essere attribuito al puntuale invio in corso di rapporto da C. a S.L. di ogni comunicazione di interesse per quest’ultimo, svolgendo tali adempimenti tutt’altra funzione.
Il diritto di accesso non è il mero diritto alla conoscenza di eventuali dati nuovi ed ulteriori rispetto a quelli già entrati nel patrimonio di conoscenza e quindi nella disposizione dello stesso soggetto interessato al trattamento dei propri dati; scopo della norma invocata da parte ricorrente è infatti garantire, a tutela della dignità e riservatezza del soggetto interessato, la verifica ratione temporis dell’avvenuto inserimento, della permanenza, ovvero della rimozione di dati, indipendentemente dalla circostanza che tali eventi fossero già stati portati per altra via a conoscenza dell’interessato, verifica attuata mediante l’accesso ai dati raccolti sulla propria persona in ogni e qualsiasi momento della propria vita relazionale.
La decisione del Garante della privacy adottata il 17 luglio 2008, allegata da parte resistente, infine, era relativa a diversa fattispecie (richiesta dell’erede dell’interessato).
2.- Contro la sentenza del Tribunale la s.p.a. C. ha proposto ricorso per cassazione affidato a tre motivi. Non ha svolto difese l’intimato.
2.1.- Con il primo motivo parte ricorrente denuncia vizio di motivazione sul seguente fatto controverso:
“Contrariamente a quanto addotto dal Giudicante non risulta provato in via documentale che in data 24 ottobre 2008 S.L. inviava a C. S.p.A. contenente la richiesta di accesso ai propri dati personali, ma soltanto la trasmissione di un fax, il cui contenuto, resta, allo stato, completamente ignoto, in quanto, ai fini probatori, in assenza di copia del frontespizio della comunicazione, l’oggetto della stessa e quindi la conoscenza del contenuto della richiesta da parte del destinatario non è assolutamente comprovato”.
2.2.- Con il secondo motivo parte ricorrente denuncia “Violazione o falsa applicazione di norme di diritto. Art. 360 c.p.c., n. 3), in relazione al D.Lgs. n. 196 del 2003, art. 8, n. 1), e art. 146, n. 2)”.
Deduce, in sintesi, che erroneamente il giudice del merito avrebbe interpretato l’art. 8 cod. privacy e falsamente applicato l’art. 146 stesso codice, ritenendo applicabile all’ipotesi disciplinata dalla prima norma il termine perentorio di quindici giorni previsto dalla seconda norma dettato in materia di “interpello preventivo”.
2.3.- Con il terzo motivo parte ricorrente denuncia “omessa, insufficiente e contraddittoria motivazione circa un fatto controverso e decisivo per il giudizio ex art. 360 c.p.c., n. 5.
Omessa considerazione della valenza delle comunicazioni preventive all’istanza di accesso. Insussistenza della soccombenza virtuale”.
Deduce, in estrema sintesi, che all’udienza del 5 novembre 2009 il ricorrente aveva dedotto che la controparte aveva soddisfatto la propria richiesta di informativa con l’istanza di accesso cui non aveva dato corso, mediante i documenti allegati da C. S.p.A. alla comparsa di risposta.
Invece la C. S.p.A. aveva espresso il proprio interesse “ad una pronuncia nel merito per le ragioni tutte esposte nella comparsa”.
“Quindi, in realtà, a fronte della asserzione del ricorrente Sig. S.L., che si dichiarava soddisfatto dalle allegazioni processuali della C. S.p.A., quest’ultima manifestava il proprio interesse e la volontà di addivenire ad una pronuncia nel merito, che acclarasse la insussistenza di ogni violazione della normativa di cui al D.Lgs. n. 196 del 2003, artt. 7 ed 8, e la correttezza del proprio operato”.
Il Giudice di merito, omettendo di considerare e trarre le dovute conseguenze dalla produzione documentale della C. S.p.A. (in punto di valutazione della sussistenza o meno di una lesione del diritto di conoscenza del soggetto richiedente l’accesso ai propri dati), aveva optato per una interpretazione, non condivisibile, che si era basata soltanto sulla affermazione di parte ricorrente di essere soddisfatta dalle allegazioni processuali avversarie, non rilevando che oggetto del giudizio era anche e soprattutto, il verificare se il ricorrente Sig. S.L., in realtà, avesse già ricevuto dalla C. S.p.A., preventivamente, le informazioni richieste. Informazioni assolutamente corrette ed esaustive, come anche riconosciuto in sede processuale, dal Sig. S.L..
3.- Il ricorso deve essere dichiarato inammissibile perchè – essendo stato notificato a mezzo posta e non essendosi costituito l’intimato – manca la prova della ricezione della raccomandata, non avendo parte ricorrente, prima della discussione, prodotto l’avviso di ricevimento del plico raccomandato.
Nondimeno, la dichiarazione di inammissibilità del ricorso per cassazione, non preclude alla Corte di usare del potere di enunciare ai sensi dell’art. 363 c.p.c., su questioni di particolare importanza, il principio di diritto nell’interesse della legge, posto che nella dichiarazione conseguente all’esercizio del potere di rinuncia delle parti, così come nell’inammissibilità del ricorso, ciò che è precluso è solo la possibilità di pronunciarsi sul fondo delle censure con effetti sul concreto diritto dedotto in giudizio (Cass. 19051/10). Sussistendo, dunque, le condizioni di cui all’art. 363 c.p.c., ritiene il collegio di doversi pronunciare sulle questioni di diritto poste dalla parte ricorrente.
3.1.- Il primo motivo è inammissibile nella parte in cui formula censure in fatto in contrasto con l’accertamento del giudice di merito secondo il quale è risultato documentalmente provato che l’attore avesse inviato alla ricorrente, in data 24.10.2008, un fax “contenente la richiesta di accesso ai propri dati personali”. Nel resto la censura è infondata. Invero, sebbene in relazione ad altra materia, questa Sezione ha affermato il principio per il quale “in presenza di una comunicazione di cancelleria eseguita a mezzo telefax, ai sensi dell’art. 136 c.p.c., comma 3, l’attestato del cancelliere, da cui risulti che il messaggio è stato trasmesso con successo al numero di fax corrispondente a quello del destinatario, è sufficiente a far considerare la comunicazione avvenuta, salvo che il destinatario fornisca elementi idonei a fornire la prova del mancato o incompleto ricevimento” (Sez. 1, Sentenza n. 5168 del 30/03/2012). Con la pronuncia ora richiamata la S.C. ha chiarito, quanto “al dubbio che detto sistema di trasmissione non garantisca a sufficienza l’effettivo ricevimento dell’atto comunicato”, che, “una volta dimostrato l’avvenuto inoltro del documento a mezzo telefax al numero corrispondente a quello del destinatario, è perfettamente logico presumere che detta trasmissione sia effettivamente avvenuta e che il destinatario abbia perciò avuto modo di acquisire piena conoscenza di quanto comunicatogli. Sarà suo onere, allora, dedurre e dimostrare l’esistenza di elementi idonei a confutare l’avvenuta ricezione, non bastando certo a tal fine che egli si limiti a negarla” (Sez. 1, Sentenza n. 5168 del 30/03/2012).
Il principio enunciato da tale ultima pronuncia in relazione alla comunicazione di atti del processo è da ritenere applicabile anche alle comunicazioni a mezzo telefax al di fuori del processo.
3.2.- L’istanza di accesso ai propri dati personali alla s.p.a.
C. risulta inoltrato, dall’attore con fax del 24 ottobre 2008 mentre il ricorso al Tribunale è stato depositato soltanto il 9 gennaio 2009.
La società ricorrente, dunque, è priva di qualsiasi interesse a dedurre la brevità del termine di quindici giorni assegnato dall’attore, conformemente, peraltro, a quanto disposto dall’art. 8, comma 4, del Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti (Provvedimento del Garante n. 8 del 16 novembre 2004, Gazzetta Ufficiale 23 dicembre 2004, n. 300, come modificato dall’errata corrige pubblicata in Gazzetta Ufficiale 9 marzo 2005, n, 56), il quale richiama il termine di cui al D.Lgs. n. 196 del 2003, art. 146.
E’ vero, peraltro, che il procedimento previsto dagli artt. 145 e ss.
del Codice ha caratteri particolari e può essere proposto solo per soddisfare specifiche richieste formulate in riferimento alle particolari situazioni soggettive tutelate dall’art. 7 del Codice, avanzate precedentemente e negli stessi termini al titolare o al responsabile del trattamento e da questi disattese anche in parte, mentre la proposizione immediata del ricorso al Garante è possibile solo nell’ipotesi in cui il decorso del tempo necessario per interpellare il titolare o il responsabile “esporrebbe taluno a pregiudizio imminente e irreparabile”. Sennonchè, è irrilevante che il termine di quindici giorni sia previsto in una disposizione inserita nella sezione che disciplina il procedimento dinanzi al Garante, posto che si tratta di sezione del Codice della privacy dedicata alla “Tutela alternativa a quella giurisdizionale” e che l’art. 145, comma 1, prevede che “i diritti di cui all’articolo 7 possono essere fatti valere dinanzi all’autorità giudiziaria o con ricorso al Garante”. L’art. 1, comma 1, del Codice 196/2003 (Diritto di accesso ai dati personali ed altri diritti) prevede il diritto dell’interessato di ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile e l’art. 8, comma 1, dispone che i diritti di cui all’art. 7 sono esercitati con richiesta rivolta senza formalità al titolare o al responsabile, anche per il tramite di un incaricato, alla quale è fornito idoneo riscontro “senza ritardo”.
Correttamente, dunque, il giudice del merito ha fatto riferimento al termine previsto in relazione all’interpello preventivo al fine di individuare un congruo spatium deliberandi al destinatario della richiesta di accesso.
3.3.- Il giudice del merito ha correttamente evidenziato che lo scopo della norma invocata da parte attrice è quello di garantire, a tutela della dignità e riservatezza del soggetto interessato, la verifica ratione temporis dell’avvenuto inserimento, della permanenza, ovvero della rimozione di dati, indipendentemente dalla circostanza che tali eventi fossero già stati portati per altra via a conoscenza dell’interessato, verifica attuata mediante l’accesso ai dati raccolti sulla propria persona in ogni e qualsiasi momento della propria vita relazionale. Peraltro, in caso di esercizio del diritto di accesso previsto dalla normativa sul trattamento dei dati personali il titolare del trattamento, ovvero il responsabile se nominato, non possono limitarsi a dare una mera conferma dell’esistenza dei dati ma devono estrarli dai documenti in loro possesso ponendoli a disposizione dell’interessato (Garante 16 gennaio 2003 v. anche www.garanteprivacy.it: doc. web n. 1067830).
In particolare il titolare del trattamento è tenuto ad estrarre i dati detenuti ed a comunicarli all’interessato, curandone l’agevole comprensione e, ove richiesto, a trasporli su supporto cartaceo o, se necessario, informatico (Garante 29 gennaio 2003 v. anche www.garanteprivacy.it: doc. web n. 1067903) mentre non fornisce adeguata risposta alla richiesta dell’interessato di conoscere i dati che lo riguardano la sola conferma da parte del titolare del trattamento dell’esistenza, nei propri archivi, di informazioni relative agli intercorsi rapporti contrattuali ed ai contenziosi che ne erano scaturiti, senza comunicazione, nel dettaglio, di tutti i dati detenuti (Garante 2 luglio 2003 v. anche www.garanteprivacy.it:
doc. web n. 1079895). Il D.Lgs. n. 196 del 2003, art. 10, dispone – tra l’altro – che, per garantire l’effettivo esercizio dei diritti di cui all’articolo 7, il titolare del trattamento è tenuto ad adottare idonee misure volte ad agevolare l’accesso ai dati personali da parte dell’interessato, anche attraverso l’impiego di appositi programmi per elaboratore finalizzati ad un’accurata selezione dei dati che riguardano singoli interessati identificati o identificabili e a semplificare le modalità e a ridurre i tempi per il riscontro al richiedente, anche nell’ambito di uffici o servizi preposti alle relazioni con il pubblico.
I dati sono estratti a cura del responsabile o degli incaricati e possono essere comunicati al richiedente anche oralmente, ovvero offerti in visione mediante strumenti elettronici, sempre che in tali casi la comprensione dei dati sia agevole, considerata anche la qualità e la quantità delle informazioni. Se vi è richiesta, si provvede alla trasposizione dei dati su supporto cartaceo o informatico, ovvero alla loro trasmissione per via telematica. Salvo che la richiesta sia riferita ad un particolare trattamento o a specifici dati personali o categorie di dati personali, il riscontro all’interessato comprende tutti i dati personali che riguardano l’interessato comunque trattati dal titolare e quando l’estrazione dei dati risulta particolarmente difficoltosa il riscontro alla richiesta dell’interessato può avvenire anche attraverso l’esibizione o la consegna in copia di atti e documenti contenenti i dati personali richiesti. L’assunto della società ricorrente, per contro, confonde il diritto all’accesso e il corrispondente obbligo di risposta di cui al D.Lgs. n. 196 del 2003, artt. 7, 8 e 10, con gli altri adempimenti richiesti da tale provvedimento legislativo (come l’art. 13) per l’acquisizione, ai fini del successivo trattamento, dei dati personali.
P.Q.M
La Corte dichiara inammissibile il ricorso e pronuncia ex art. 363 c.p.c. come in motivazione.
