L’indicazione di una PEC non istituzionale da parte del Comune viola la privacy del cittadino

L’ente pubblico in tema di indirizzi PEC deve rispettare le procedure e le modalità di dotazione e pubblicizzazione prevista dalla normativa di settore. Pertanto, l’utilizzo di una PEC non istituzionale, anche se riferibile a una persona fisica responsabile dell’Ufficio, viola la normativa sul trattamento dei dati personali.

La vicenda. I coniugi TD e RN agivano in giudizio con ricorso al Tribunale ai sensi dell’art. 152 d.lgs. n. 196/03 ante riforma d.lgs. n. 101/2018 introdotta a seguito dell’entrata in vigore del GDPR, reg. 679/2016, nel 2016 e della successiva applicabilità nel 2018 lamentando la violazione dei propri dati personali e riservati relativi alla loro posizione amministrativa, tributaria e previdenziale da parte del Comune di residenza. Nello specifico, la violazione era conseguenza dell’indicazione sul sito del Comune di un indirizzo PEC indicato come istituzionale. Nella realtà, l’indirizzo era riconducibile ad una azienda agricola riconducibile al Responsabile del servizio finanziario del Comune. Il Tribunale rigettava la richiesta sostenendo che 1. La PEC era da considerarsi istituzionale ai sensi del d.l. n. 185/2008, secondo quanto prodotto in giudizio dal Comune. 2. La circostanza che l’indirizzo fosse in dotazione a un privato ossia l’azienda agricola era bilanciata dal fatto che si trattava di ditta individuale riconducibile proprio al soggetto che ricopriva la funzione di Responsabile del servizio finanziario del Comune interessato e pertanto al soggetto che avrebbe avuto comunque conoscenza della documentazione trasmessa dai due interessati. 3. Non era stata data prova dai ricorrenti che i dati avrebbero potuto essere conosciuti anche da soggetti terzi. Così come non era stato provato il pregiudizio materiale o morale subito. La Cassazione. I soccombenti in primo grado proponevano quindi ricorso in Cassazione avverso la sentenza del Tribunale e nei confronti del Comune che resisteva con controricorso. La Suprema Corte accoglie il ricorso chiarendo innanzitutto il quadro normativo di con specifico riferimento al Codice privacy e al Codice dell’Amministrazione Digitale. In particolare, la Corte chiarisce le finalità della normativa privacy, ossia quella di garantire la gestione dei dati personali o sensibili oggi definiti come particolari categorie di dati, a seguito dell’introduzione del GDPR da parte dei privati o enti pubblici nel rispetto dei diritti e delle libertà fondamentali della persona. Su tali presupposti, per verificare se le condotte sono illecite è necessario verificare se 1. i dati in contestazione siano personali 2. se l’utilizzazione degli stessi possa configurare un trattamento” ai fini del sistema di protezione dei dati 3. se le parti a cui sono addebitate le condotte illecite siano identificabili come Titolari del trattamento”. Presupposti che la Corte conferma esserci nel caso di specie. In tema di Codice dell’Amministrazione Digitale, la Corte richiama l’art. 6 D. Lgs. 82/2005 e il d.l. n. 185/2008, convertito nella l. n. 2/2009, art. 16, comma 8 vigente al tempo , per confermare il ruolo della PEC-Posta Elettronica Certificata nello scambio di documenti e informazioni tra la pubblica amministrazione e i soggetti interessanti, nonché per ribadire le formalità previste per l’istituzione della casella PEC. Su tali presupposti, la Cassazione chiarisce come la pubblicazione dell’indirizzo PEC sul sito di un ente pubblico non possa essere sufficiente per ritenere istituzionale la PEC dovendo essere rispettate le procedure e modalità di dotazione e pubblicizzazione prevista dalla normativa di settore. Pertanto, la PEC pubblicata sul sito del Comune non era giuridicamente riferibile all’ente configurando così una condotta illecita secondo i parametri di cui al d.lgs. n. 196/2003 al tempo vigente ma ad analoga conclusione si arriverebbe oggi . Si configurava in particolare una lesione del diritto degli interessati di conoscere, in ogni momento, chi possedeva i loro dati personali e come li adoperava, nonché sotto il profilo del diritto all’informazione e alla riservatezza dei dati personali e della corrispondenza veicolata tramite sistemi informatici quale la PEC . Inoltre, il soggetto titolare della PEC era un soggetto privato senza alcun collegamento che potesse giustificare il trattamento dei dati, quale un incarico di referente a ricevere le comunicazioni oppure un accordo di responsabile del trattamento oggi riconducibili agli art. 29 e 28 GDPR consentendo quindi a un soggetto non autorizzato l’accesso a informazioni di terzi. In definitiva, la Corte rimette al giudice di merito per l’accertamento di fatto del danno ai sensi dell’art. 15 d.lgs. n. 196/2003 articolo oggi abrogato dal d.lgs. n. 101/2018 che richiama il risarcimento del danno in conseguenza del trattamento dei dati personali , per l’adozione dei provvedimenti di cui all’art. 7, comma 3, lett. B articolo riferito alla cancellazione dei dati, abrogato dal d.lgs. n. 101/2018 e per la quantificazione delle spese legali del giudizio.

Corte di Cassazione, sez. I Civile, ordinanza 16 settembre – 31 dicembre 2020, n. 29978 Presidente De Chiara – Relatore Parise Fatti di causa 1. D.C.T. e N.R. adivano, con ricorso del D.Lgs. n. 196 del 2003, ex art. 152, in combinato disposto con il D.Lgs. n. 150 del 2011, art. 10, il Tribunale di Isernia esponendo di aver inviato dati personali e riservati relativi alla loro situazione amministrativa, tributaria e previdenziale alla pec drcapasso.pec.it, indicata come pec istituzionale del Comune di Castel San Vincenzo nel sito della Prefettura di , ed invece quella pec in realtà era una pec privata, in dotazione ad una azienda agricola, ovvero a azienda agricola La Cartiera di C.B.A. , ove erano confluiti tutti gli atti, con ciò consumandosi una violazione della riservatezza delle notizie personali e della normativa sulla privacy. I ricorrenti chiedevano, pertanto, accertarsi l’illecito trattamento dei loro dati personali ad opera del Comune, nonché la violazione del diritto alla riservatezza di questi ultimi, della sicurezza nelle comunicazioni e della segretezza della corrispondenza chiedevano per l’effetto ordinare alla parte resistente del D.Lgs. n. 196 del 2003, ex art. 7, comma 3, lett. B, la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati. Chiedevano altresì la condanna del Comune di omissis , in persona del Sindaco pro tempore, al risarcimento del danno non patrimoniale subito, da quantificarsi in Euro diecimila, per ciascuna delle parti, o altra somma, maggiore o minore, ritenuta equa dal giudice secondo il suo prudente apprezzamento e comunque ex artt. 2056 e 1226 c.c 2. Con sentenza n. 327/2015 depositata il 14-6-2015 il Tribunale di Isernia ha rigettato il ricorso, ritenendo insussistente, nel caso concreto, una condotta qualificabile come vero e proprio trattamento illecito di dati personali, valutata la concretezza della vicenda materiale. Il Tribunale ha rilevato che i la pec alla quale i ricorrenti avevano inoltrato tutte le comunicazioni relative alle proprie pratiche amministrative-tributarie, era quella istituzionale, ai sensi del D.L. n. 185 del 2008, del Comune di Castel San Vincenzo, in base a quanto risultante documentalmente dalla nota dello stesso Comune del 5/7/2013 e dalla nota della Prefettura di Isernia del 31/7/2013 ii la circostanza che l’indirizzo pec fosse in dotazione ad un soggetto privato, ovvero all’Azienda agricola di C.B.A. , doveva essere bilanciata dal rilievo secondo cui quest’ultima era una ditta individuale, il cui titolare, C.B.A. , ricopre la funzione di Responsabile del Servizio Finanziario del Comune di Castel San Vincenzo, sicché il suddetto soggetto, in forza della qualifica ricoperta, avrebbe, in ogni caso, avuto conoscenza dei dati personali dei ricorrenti, relativi alle loro situazioni amministrative, tributarie e previdenziali iii non era stata dimostrata dai ricorrenti l’ulteriore circostanza secondo cui i dati comunicati all’indirizzo pec del C. avrebbero potuto essere conosciuti anche da altri soggetti estranei, dovendosi, anzi, presumere l’uso esclusivo, con accesso riservato tramite apposita password, dell’indirizzo di posta elettronica in capo al soggetto titolare del medesimo indirizzo iv neppure era stato dimostrato dai ricorrenti che i loro dati personali fossero stati utilizzati per finalità diverse da quelle istituzionali, nè era stato provato, e tantomeno allegato, dai ricorrenti il pregiudizio materiale o morale subito, dovendo essere rigorosamente fornita dal danneggiato la prova dell’esistenza del danno, come da giurisprudenza di questa Corte che richiama Cass. n. 16133/2014 n. 15240/2014 e Cass. Sez. Un. N. 26972/2008 . 3. Avverso questa sentenza D.C.T. e N.R. propongono ricorso per cassazione, affidato a due motivi, nei confronti di Comune di Castel San Vincenzo, che resiste con controricorso. 4. Il ricorso è stato fissato per l’adunanza in Camera di consiglio ai sensi dell’art. 375 c.p.c., u.c. e art. 380 bis.1 c.p.c Il controricorrente ha depositato memoria illustrativa. Ragioni della decisione 1. Con il primo motivo i ricorrenti lamentano, in relazione all’art. 360 c.p.c., comma 1, n. 5, l’omesso esame di un fatto decisivo per il giudizio che è stato oggetto di discussione tra le parti. Rilevano che la sentenza impugnata è partita da un presupposto fattuale errato, ossia quello secondo cui la pec era indicata come pec istituzionale , mentre documentalmente risultava che quella PEC era di proprietà e/o titolarità privata, ossia dell’Azienda agricola La Cartiera di C.B.A. , come da visura camerale prodotta in primo grado. Ad avviso dei ricorrenti, detto dato fattuale è assolutamente incompatibile con la tesi, accolta dal Tribunale, secondo cui sarebbe pacifica la natura istituzionale dell’indirizzo PEC drcapasso.pec.it. Rimarcano che la prova dell’arbitrarietà ed illiceità della condotta comunale è proprio il fatto che il Comune avesse indicato come PEC istituzionale quella dell’azienda agricola privata, facendo così pervenire la corrispondenza riservata dei ricorrenti, incolpevolmente ignari della situazione, nella casella di una PEC non istituzionale, contrariamente a quanto affermato in modo illogico nella sentenza impugnata. Sotto altro profilo rimarcano che di quella PEC era titolare non il C. , persona fisica e responsabile finanziario del Comune, ma l’azienda agricola, che aveva una diversa soggettività giuridica, ed in ogni caso gli enti pubblici devono sottostare a regole ben precise in tema di trattamento di dati personali, imposte non solo dal D.Lgs. n. 196 del 2003, ma anche dal T.U. n. 33 del 2013 e dalla L. n. 190 del 2012. 2. Con il secondo motivo i ricorrenti lamentano, in relazione all’art. 360 c.p.c., comma 1, n. 3, la violazione dell’art. 112 c.p.c., per omessa pronuncia sulla domanda con cui chiedevano di ordinare al Comune del D.Lgs. n. 196 del 2003, ex art. 7, comma 3, lett. B , la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati. Rilevano che i loro dati sono nella PEC dell’azienda agricola C. e tuttora a disposizione di chiunque abbia la password, con grave violazione del diritto alla riservatezza, anche della loro corrispondenza, come da giurisprudenza di questa Corte che richiamano. Censurano anche la statuizione sulla mancanza di prova dell’esistenza del danno, rimarcando la peculiarità del caso concreto, in particolare la ristrettezza dell’ambito geografico e territoriale in cui si sono svolti i fatti, l’anziana età della ricorrente N. , il contenuto sensibile dei dati, riguardanti la situazione reddituale e patrimoniale dei ricorrenti e il pagamento di tributi, sanzioni e quant’altro, l’appartenenza ad un partito politico del ricorrente D.C. e la possibilità che i dati, di incontrollata diffusione perché transitano sul web anche tramite pec, possano essere utilizzati da suoi avversari politici. 3. I due motivi, da esaminarsi congiuntamente per la loro connessione, sono fondati nei limiti di seguito precisati. 3.1. I ricorrenti si dolgono del trattamento dei loro dati personali in violazione del cd. codice della privacy, poiché i suddetti dati sono stati veicolati dal Comune tramite una PEC privata e non tramite la PEC istituzionale dell’Ente. Occorre brevemente richiamare il quadro normativo di riferimento sia in ordine al cd. codice della privacy, sia in ordine alla disciplina dettata dal codice dell’amministrazione digitale per l’uso della PEC da parte delle amministrazioni pubbliche, nonché i principali indirizzi di questa Corte sui temi che qui interessano. 3.1.1. Con il codice della privacy contenuto nel Testo Unico emanato con il D.Lgs. 30 giugno 2003, n. 196 Codice in materia di protezione dei dati personali - di riordino della materia, tenendo conto anche di quanto disposto dalla direttiva CE 2002/58 del Parlamento Europeo relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche -, la finalità perseguita è quella di garantire che la gestione di dati personali o sensibili da parte di privati o enti pubblici avvenga nel rispetto dei diritti e delle libertà fondamentali della persona per un rapporto di chiara strumentalità della prima ai secondi. Si afferma in tal modo una visione del diritto alla riservatezza che, connotata da dinamismo, meglio si declina come diritto alla protezione dei dati personali, destinato ad operare oltre la sfera della vita privata, con garanzia all’individuo dell’autodeterminazione decisionale e del controllo sulla circolazione dei dati, in una prospettiva che è quella del diritto alla protezione dell’identità personale nei diversi contesti di vita così, da ultimo, Cass. n. 9147/2020 . Il citato D.Lgs. 30 giugno 2003, n. 196, che ha abrogato la precedente legge sulla privacy, L. n. 675 del 1996, ha introdotto l’art. 7, con contenuti che già appartenevano all’art. 14, lett. a della direttiva 95/46 CE del Parlamento Europeo e del Consiglio del 24 ottobre 1995, adottata con lo specifico scopo di armonizzare le norme in materia di protezione dei dati personali per garantire un flusso libero dei dati e promuovere un elevato livello di tutela dei diritti fondamentali dei cittadini. Il principio di finalità integra un vero e proprio limite intrinseco del trattamento lecito dei dati personali Cass. n. 5525/2012 e Cass. n. 9147/2020 già citata e a tale previsione è correlato il diritto dell’interessato di conoscere, in ogni momento, chi possiede i suoi dati personali e come li adopera e di opporsi al loro trattamento ancorché pertinenti allo scopo della raccolta , ovvero di ingerirsi al riguardo, chiedendone D.Lgs. n. 196 del 2003, art. 7, comma 3, lett. a e b la cancellazione, la trasformazione, il blocco. La giurisprudenza di questa Corte ha, inoltre, chiarito che, per accertare se le condotte denunciate siano da qualificare illecite secondo i parametri stabiliti dal D.Lgs. n. 196 del 2003, occorre verificare i se i dati in contestazione siano personali ii se l’utilizzazione degli stessi possa configurare un trattamento rilevante ai fini del sistema di protezione dei dati personali previsto dal nostro ordinamento iii se le parti a cui sono addebitate le condotte illecite siano identificabili come titolari del trattamento dei dati in questione Cass. S.U. n. 30981/2017 . 3.1.2. Il codice dell’amministrazione digitale D.Lgs. 7 marzo 2005, n. 82 e successive modificazioni prevede, all’art. 6, per le amministrazioni di cui al D.Lgs. n. 165 del 2001, art. 1, comma 2, tra cui rientrano anche i Comuni, l’uso della Posta Elettronica Certificata per ogni scambio di documenti e informazioni con i soggetti interessati che ne fanno richiesta e che hanno preventivamente dichiarato il proprio indirizzo di posta elettronica certificata . Il D.L. 29 novembre 2008, n. 185, convertito, con modificazioni, nella L. 28 gennaio 2009, n. 2, recante misure urgenti per il sostegno a famiglie, lavoro, occupazione e impresa, per ridisegnare, in funzione anti-crisi, il quadro strategico nazionale, prevede a all’art. 16, comma 8 le amministrazioni pubbliche di cui al D.Lgs. 30 marzo 2001, n. 165, art. 1, comma 2 e successive modificazioni, qualora non abbiano provveduto ai sensi dell’art. 47, comma 3, lett. a , del Codice dell’Amministrazione digitale, di cui al D.Lgs. 7 marzo 2005, n. 82, istituiscono una casella di posta certificata o analogo indirizzo di posta elettronica di cui al comma 6 per ciascun registro di protocollo e ne danno comunicazione al Centro nazionale per l’informatica nella pubblica amministrazione, che provvede alla pubblicazione di tali caselle in un elenco consultabile per via telematica b all’art. 16-bis, comma 6 per i medesimi fini di cui al comma 5, ogni amministrazione pubblica utilizza unicamente la posta elettronica certificata, ai sensi dei citati artt. 6 e 48 del codice di cui al D.Lgs. n. 82 del 2005, con effetto equivalente, ove necessario, alla notificazione per mezzo della posta, per le comunicazioni e le notificazioni aventi come destinatari dipendenti della stessa o di altra amministrazione pubblica . La L. 18 giugno 2009, n. 69, recante disposizioni per lo sviluppo economico, la semplificazione, la competitività nonché in materia di processo civile, all’art. 34, ha stabilito entro il 30 giugno 2009, le amministrazioni pubbliche che già dispongono di propri siti sono tenute a pubblicare nella pagina iniziale del loro sito un indirizzo di posta elettronica certificata a cui il cittadino possa rivolgersi per qualsiasi richiesta ai sensi del presente codice . La L. 3 agosto 2009, n. 102, ha di seguito istituito l’Indice degli indirizzi delle pubbliche amministrazioni, da affiancare all’indice associato al protocollo al fine di assicurare la trasparenza delle attività istituzionali è istituito l’Indice degli indirizzi delle amministrazioni pubbliche, nel quale sono indicati la struttura organizzativa, l’elenco dei servizi offerti e le informazioni relative al loro utilizzo, gli indirizzi di posta elettronica da utilizzare per le comunicazioni e per lo scambio di informazioni e per l’invio di documenti a tutti gli effetti di legge fra le amministrazioni e fra le amministrazioni ed i cittadini . 3.1.3. Quanto alla nozione di sistemi informatici , finalizzata ad individuare l’ambito della tutela della riservatezza e della protezione dei dati personali, con riferimento a fattispecie di rilevanza penale, ma in applicazione di principi e nozioni di carattere generale senz’altro applicabili anche in ambito civilistico, la giurisprudenza di questa Corte ha chiarito che i sistemi informatici rappresentano un’espansione ideale dell’area di rispetto pertinente al soggetto interessato, garantita dall’art. 14 Cost. e penalmente tutelata nei suoi aspetti più essenziali e tradizionali dagli artt. 614 e 615 relazione al disegno di L. n. 2773, poi trasfuso nella L. 23 novembre 1993, n. 547 , involgendo profili che - oltre la tutela della riservatezza delle comunicazioni - attengono alla definizione ed alla protezione dell’identità digitale ex se Cass. pen. Sez. V, n. 13057/2015 Cass. Sez. U. penali n. 40963/2017 . La casella di posta elettronica è senz’altro riconducibile alla nozione giuridica di sistema informatico , trattandosi di una porzione della complessa apparecchiatura destinata alla memorizzazione di messaggi, o di informazioni di altra natura immagini, video , accessibile con password e pertanto nell’esclusiva disponibilità del suo titolare, identificato da un account registrato presso il provider del servizio. Inoltre la nozione di dato personale contempla qualsiasi informazione che consenta di identificare, anche indirettamente, una determinata persona fisica e ricomprende pure i dati identificativi , quali il nome, il cognome e l’indirizzo di posta elettronica, i quali sono dati personali che permettono la detta identificazione direttamente. Da ciò consegue che anche per utilizzare questi ultimi dati è prescritta la previa informativa di cui al D.Lgs. n. 196 del 2003, art. 13 cd. codice della privacy ai fini dell’acquisizione del consenso degli interessati all’impiego dei dati di loro pertinenza Cass. civ. n. 17665/2018 . 3.2. Tanto sinteticamente precisato, nel caso di specie il Tribunale ha scrutinato i fatti storici, la cui materiale ricostruzione non è censurata i dati personali dei ricorrenti sono stati dagli stessi inviati, su indicazione del Comune resistente e della Prefettura di Isernia, ad una PEC in titolarità e dotazione di un soggetto privato, C.B.A. , responsabile del servizio finanziario dello stesso Comune e titolare di un’impresa agricola. 3.2.1. Ciò posto, non ricorre il denunciato vizio di mancato esame di fatti decisivi dedotto con il primo motivo, in aggiunta a censure riferite alla natura non istituzionale della PEC utilizzata , dal momento che il Tribunale ha esaminato tutti i fatti storici sopra riassunti, considerato, altresì, che lo stesso Comune dava atto, nel costituirsi in primo grado, dell’obbligo a suo carico di dotarsi di PEC, richiamando il D.P.C.M. 22 luglio 2011 e deduceva di non avere avuto la disponibilità immediata della PEC per un disguido incolpevole, non meglio precisato, e di aver perciò deciso di utilizzare la PEC personale del C. cfr. pag. n. 3 controricorso e pag. n. 2 della sentenza impugnata . 3.2.2. Considerazioni diverse si impongono in ordine alle conseguenze giuridiche che discendono dall’utilizzo della suindicata PEC privata nelle comunicazioni istituzionali del Comune con i cittadini. Il Tribunale, pur richiamando il D.L. n. 185 del 2008, senza affatto menzionarne il contenuto precettivo, afferma che la PEC utilizzata fosse quella istituzionale del Comune di Castel San Vincenzo, in base a quanto risultante documentalmente dalla nota dello stesso Comune del 5/7/2013 e dalla nota della Prefettura di Isernia del 31/7/2013, così effettuando non l’esame di un fatto, ma una qualificazione della PEC che si pone in contrasto con la normativa dettata dal codice dell’amministrazione digitale e dalla successiva disciplina di riferimento cfr. § 3.1.2. . All’evidenza, infatti, non può essere, di per sé sola, l’indicazione effettuata dall’Ente pubblico di una data PEC come istituzionale a renderla tale, qualora non risulti osservata, come nella specie, la normativa che ne regola, in dettaglio, le procedure e modalità di dotazione e pubblicizzazione. In base a quanto accertato dal Tribunale e neppure mai in contestazione nel giudizio di merito, i dati personali dei ricorrenti non sono stati veicolati tramite la PEC di cui l’Ente locale era obbligato a dotarsi ai sensi del citato art. 6 del codice dell’amministrazione digitale ed alla quale sono inscindibilmente correlate sia tutte le garanzie di legge, ivi comprese quelle del codice della privacy art. 2, comma 5, del codice dell’amministrazione digitale , sia la giuridica riferibilità del mezzo di trasmissione telematica al Comune. Mediante la veicolazione della corrispondenza informatica dei ricorrenti tramite una PEC non giuridicamente riferibile al Comune non solo si è determinata la comunicazione dell’indirizzo di posta elettronica dei ricorrenti a soggetto non autorizzato, che ha avuto accesso alla corrispondente casella di posta elettronica, ma è anche avvenuta la contestuale trasmissione, con lo stesso mezzo, di documentazione di carattere riservato. 3.2.3. Ritiene il Collegio che le suindicate condotte del Comune siano illecite secondo i parametri stabiliti dal D.Lgs. n. 196 del 2003, poiché i dati in questione sono personali, l’utilizzazione degli stessi, con le modalità sopra descritte, configura un trattamento rilevante ai fini del sistema di protezione dei dati personali previsto dal nostro ordinamento e il Comune controricorrente è identificabile come titolare del trattamento dei dati in questione, così concretandosi la violazione degli artt. 7 e 13 del cd. codice della privacy. Nello specifico, il mancato uso della PEC istituzionale ha comportato, sotto un primo profilo, la lesione del diritto degli interessati di conoscere, in ogni momento, chi possedeva i loro dati personali e come li adoperava, nonché, sotto un secondo e correlato profilo, la lesione del diritto all’informazione e alla riservatezza dei dati personali e della corrispondenza veicolata tramite i sistemi informatici cfr. § 3. 1.3 . Riguardo al primo aspetto, seppure il Comune ha dato riscontro all’invio, e quindi ha ricevuto quei dati, la trasmissione è avvenuta tramite un mezzo informatico riferibile solo ed esclusivamente ad un soggetto privato, neppure indicato come referente incaricato dal Comune di ricevere le comunicazioni telematiche indirizzate al Comune stesso, nè tanto meno come responsabile del trattamento dei dati personali degli utenti. Infatti, nel giudizio di merito, in base a quanto esposto nella sentenza impugnata e negli atti difensivi del controricorrente, il Comune non risulta aver allegato le suddette circostanze o una formale ragione giustificativa della mancata dotazione della PEC istituzionale, nè risulta aver spiegato con quali modalità e cautele fosse in concreto avvenuta la trasmissione telematica delle informazioni e se e come gli interessati potessero conoscere, in ogni momento, chi possedeva i loro dati personali e come li adoperava. Riguardo all’altro aspetto, ricorre la violazione del diritto dei ricorrenti alla protezione dei dati personali e alla riservatezza in ordine alle informazioni contenute nei documenti trasmessi, stante il carattere privato e personale della corrispondenza telematica veicolata tramite la PEC privata. Ciò non solo perché i documenti trasmessi riguardavano la situazione amministrativa, tributaria e previdenziale dei ricorrenti, secondo quanto dai medesimi allegato ed implicitamente accertato il Tribunale, ma anche perché è stato consentito ad un soggetto non autorizzato, nei cui confronti, cioè, non era stato espresso il consenso di cui al D.Lgs. n. 196 del 2003, art. 13, l’accesso alla cartella di posta elettronica dei ricorrenti e, prima ancora, gli è stata data l’informazione sull’indirizzo di posta elettronica degli stessi. Infine, risultano inconferenti le considerazioni espresse nella sentenza impugnata circa il fatto che il soggetto titolare e gestore della PEC, oltre che titolare di impresa agricola individuale, fosse anche funzionario del servizio finanziario del Comune e, in tale qualità, sarebbe in ogni caso venuto a conoscenza di quei dati. Dette considerazioni non risultano, infatti, pertinenti rispetto alla tutela del diritto degli interessati assicurata dagli artt. 7 e 13 del cd. codice della privacy. Dalle considerazioni che precedono consegue la fondatezza delle censure relative al vizio di violazione di legge nei termini di cui si è detto, mentre non può che rimettersi al giudice di merito l’accertamento di fatto del danno eventualmente risarcibile ai sensi del D.Lgs. n. 196 del 2003, art. 15, nonché l’adozione dei provvedimenti di cui all’art. 7, comma 3 lett. B del medesimo D.Lgs., restando assorbita la doglianza avente ad oggetto l’omessa pronuncia in ordine alla violazione della disciplina da ultimo citata. 4. In conclusione, il ricorso va accolto nel senso precisato, la sentenza impugnata va cassata e la causa va rinviata al Tribunale di Isernia, in diversa composizione monocratica, anche per la decisione sulle spese del giudizio di legittimità. 5. Va disposto che in caso di diffusione della presente ordinanza siano omesse le generalità delle parti e dei soggetti in essa menzionati, a norma del D.Lgs. 30 giugno 2003, n. 196, art. 52. P.Q.M. La Corte accoglie il ricorso nei sensi di cui in motivazione, cassa la sentenza impugnata e rinvia la causa al Tribunale di Isernia, in diversa composizione monocratica, anche per la decisione sulle spese del giudizio di legittimità. Dispone che in caso di diffusione della presente ordinanza siano omesse le generalità delle parti e dei soggetti in essa menzionati, a norma del D.Lgs. 30 giugno 2003, n. 196, art. 52.