(Cass. civ., sez. III, ord. 7 Luglio 2021, n. 19270)
di seguito uno stralcio della pronuncia
(a cura di Ilaria Marrone)
“2.4. Innanzi tutto, la doglianza è ammissibile perchè contrariamente a quanto sostengono i controricorrenti - sin dal primo grado - l'illecito trattamento di dati personali è stato ricollegato da A. alla consegna del duplicato della chiave elettronica del suo autoveicolo ad un terzo, dichiaratosi proprietario mediante l'utilizzo di documentazione falsa.
2.5. Sul piano normativo, va rammentato che, ai sensi del D.Lgs. n. 196 del 2003, art. 4, comma 1, lett. b) e c), si intende per "dato personale", qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;" e per ""dati identificativi", i dati personali che permettono l'identificazione diretta dell'interessato;".
Alla luce di questa definizione, tendenzialmente espansiva, sono dati personali le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc. Particolarmente importanti sono i dati che permettono l'identificazione diretta - come i dati anagrafici (ad esempio: nome e cognome), le immagini, ecc. - e i dati che permettono l'identificazione indiretta, come un numero di identificazione (ad esempio, il codice fiscale, l'indirizzo IP, il numero di targa).
Inoltre, con l'evoluzione delle nuove tecnologie, altri dati personali hanno assunto un ruolo significativo, come quelli relativi alle comunicazioni elettroniche (via internet o telefono) e quelli che consentono la geolocalizzazione, fornendo informazioni sui luoghi frequentati e sugli spostamenti.
Passando alla definizione di trattamento, va osservato che essa è nozione ampia e inclusiva poichè contempla condotte anche complesse, volte non solo alla raccolta ed alla conservazione del dati (o alla loro comunicazione), ma anche condotte come l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati (D.Lgs. n. 196 del 2003, art. 4, comma 1, lett. a)).
Va aggiunto che, per l'utilizzazione di questi dati è prescritta, in via di principio, la previa informativa di cui al D.Lgs. n. 196 del 2003, art. 13 ai fini dell'acquisizione del consenso degli interessati all'impiego dei dati di loro pertinenza. Il D.Lgs. n. 196 del 2003, art. 24, tuttavia, disciplina i casi in cui la regola del consenso è derogata, tra i quali, alla lett. c), rientra il trattamento riguardante "dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati".
2.6. La giurisprudenza di legittimità ha avuto modo di rimarcare, in tema di dati che permettono l'identificazione diretta, che la nozione di "dato personale" contempla qualsiasi informazione che consenta di identificare, anche indirettamente, una determinata persona fisica e ricomprende pure i "dati identificativi", quali il nome, il cognome e l'indirizzo di posta elettronica, i quali sono dati personali che permettono la detta identificazione, direttamente (Cass. n. 17665 del 05/07/2018).
Ha, inoltre, affermato, in tema di dati che consentono l'identificazione indiretta, sia pure in relazione ad una fattispecie di illecito trattamento di rilievo penale (art. 167 codice della privacy), che "rientra nel novero dei dati personali definiti dall'art. 4, comma 1, lett. b) del predetto D.Lgs. n. 196 del 2003 - per il quale è tale qualunque informazione relativa a una persona fisica, giuridica ecc, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale - il numero di targa del veicolo, a nulla rilevando che esso sia visibile a tutti quando il veicolo circola per strada, in quanto ciò che rileva non è il numero in sè ma il suo abbinamento ad una persona." (Cass. pen. 44940 del 28/09/2011).
Ciò che assume rilievo decisivo, in materia di privacy, è, dunque, il collegamento funzionale, ai fini identificativi, tra i dati personali e la persona fisica, in presenza di condotte astrattamente riconducibili nell'alveo del trattamento.
2.7. Passando al caso in esame, si deve osservare che nella decisione impugnata correttamente è stato riconosciuto il carattere di dato personale al numero di telaio dell'autoveicolo, in quanto idoneo a far pervenire all'identificazione della persona del proprietario dello stesso, anche ove contenuto in una chiave elettronica (fol. 5 della sent. imp.), e tale arresto - in linea con i precedenti di legittimità ricordati - va senza dubbio condiviso.
2.8. La pronuncia impugnata, tuttavia, non è corretta laddove, sulla premessa che il sedicente B. era già in possesso del numero di telaio - e cioè di un dato personale trattato senza il consenso del proprietario - quando richiese il duplicato della chiave avvalendosi della falsa carta di circolazione, viene affermato che la consegna del duplicato della chiave elettronica ad un terzo da parte della OMISSIS e di OMISSIS non costituì illecito trattamento di dati personali.
Il Tribunale, infatti, ha ritenuto, assertivamente, che il trattamento rilevante fosse esclusivamente quello relativo all'acquisizione del numero di telaio, compiuto dal sedicente B., quasi che lo stesso fosse incompatibile con altro e diverso trattamento di altri dati collegati anche al medesimo numero di telaio, tanto da esaurite le condotte valutabili; ma così facendo non solo ha omesso di prendere in esame e di valutare i fatti contestati dal ricorrente nei confronti di OMISSIS e di OMISSIS, ma ha altresì violato il D.Lgs. n. 196 del 2003, art. 4.
Il Tribunale avrebbe dovuto, con accertamento che compete al giudice del merito, ricostruire la fattispecie concreta considerando anche la complessa attività posta in essere da OMISSIS mediante la predisposizione di una chiave elettronica personalizzata indispensabile per l'utilizzo dell'autoveicolo - consegnata in esecuzione del contratto di acquisto e incorporante dati direttamente e indirettamente identificativi dell'autovettura e del proprietario, nella prospettazione del ricorrente, - e successivamente mediante la indebita duplicazione e la consegna a un terzo da parte di OMISSIS; avrebbe quindi dovuto valutare, alla stregua dei principi prima rammentati, se la stessa integrava ed in che misura un autonomo e specifico trattamento di dati personali che trovava la sua autonoma fonte nel contratto concluso tra le parti, passando poi a verificarne la liceità o meno, anche D.Lgs. n. 196 del 2003, ex art. 11, e ad accertare la eventuale ricorrenza dei profili risarcitori invocati dal ricorrente.
La decisione impugnata risulta del tutto carente sotto questo profilo e va cassata in applicazione del seguente principio di diritto: rientra nel novero dei dati personali definiti dall'art. 4, comma 1, lett. b) del predetto D.Lgs. n. 196 del 2003 - per il quale è tale qualunque informazione relativa a una persona identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale - non solo il numero di targa del veicolo, benchè esso sia visibile a tutti quando il veicolo circola per strada, ma anche i dati costituenti la chiave di accesso al sistema elettronico di apertura e chiusura dell'autoveicolo, in quanto ciò che rileva non è il numero in sè ma il suo collegamento a una persona.
Nè può costituire argomento decisivo la considerazione, pure incidentalmente svolta dal Tribunale, in merito al fatto che il trattamento del numero di telaio e della conseguente intestazione del veicolo è dato pubblico, reperibile presso il PRA, che ricade nell'ambito di applicazione del D.Lgs. n. 169 del 2003, art. 24, perchè le condotte di cui si dolgono i ricorrenti non attengono se non marginalmente al trattamento del numero di telaio, che peraltro era già contenuto nella chiave elettronica, prima dell'iniziativa del sedicente B..
Ciò che va accertato è se ed in che misura proprio la predisposizione della chiave elettronica, indispensabile per l'utilizzo dell'autovettura e riservata contrattualmente in via esclusiva alla casa automobilistica, nonchè la sua successiva duplicazione e/o modifica a richiesta di un terzo, con la conseguente consegna, integrino un trattamento illecito di dati ove svolto al di fuori dei protocolli stabiliti dal contratto (e delle sue condizioni generali) da parte della società concessionaria, perchè interconnessi e direttamente o indirettamente incidenti su quelli strettamente personali, valutando quindi le ulteriori domande svolte dal ricorrente”.
Per ulteriori pronunce degli anni 2018, 2019, 2020, 2021 iscriviti al gruppo Le Sentenze del 2020-2021 più rilevanti per l'esame di Avvocato e Magistratura
Comments