Si applica il termine, da qualificarsi come perentorio, previsto per l’interpello preventivo del Garante, in modo da tutelare la dignità del cittadino che altrimenti risulterebbe compromessa dall’arbitrio del titolare del trattamento.
La vicenda . La fattispecie al centro della controversia in esame si incentra su una segnalazione negativa a carico di un soggetto che aveva inoltrato, tramite fax, una domanda di accesso ai propri dati personali ad una s.p.a. con cui aveva stipulato un rapporto di finanziamento. In seguito al diniego di tale domanda, il soggetto chiedeva l’esercizio giudiziale del diritto di accesso ai propri dati personali ai sensi dell’articolo 7 del codice della privacy e dell’articolo 8 del codice di deontologia dei sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti. Di contro, la società eccepiva di non avere mai ricevuto la richiesta di accesso ai dati e di avere comunque allegato alla comparsa di risposta le informazioni richieste dal soggetto, adempiendo quindi alla richiesta di accesso ai dati personali inoltrata. Il giudice di prime cure prendeva atto che la materia del contendere era dunque cessata e condannava la società a pagare le spese processuali considerando la c.d. soccombenza virtuale, in base al quale il giudice deve valutare se la domanda proposta sarebbe stata accolta o rigettata Infatti, non era contestato che la società destinataria della richiesta non avesse dato corso ad alcun adempimento, né nel termine di 15 giorni previsto dall’articolo 146 del codice della privacy , tantomeno in seguito. Il quadro normativo . Risulta opportuno ricordare come il codice della privacy agli articolo 7 e 8, dopo aver enunciato il diritto del soggetto ad accedere ai propri dati personali, stabilisce che tale articolo è esercitato per mezzo di una richiesta rivolta senza formalità al titolare o al responsabile, anche per il tramite di un incaricato, alla quale è fornito idoneo riscontro senza ritardo. L’interpretazione di tali disposizioni si avvale di argomenti letterali e sistematici, per cui in capo al titolare del trattamento si pone un onere di risposta in tempi rigorosamente consequenziali alla richiesta, che non possono superare il limite temporale previsto dal medesimo codice per l’interpello all’Autorità garante. Di conseguenza, non è possibile qualificare il termine come ordinatorio. In altre parole, tale termine imporrebbe il compimento di un atto entro un determinato momento,a pena di decadenza, con esclusione della possibilità di essere abbreviati o prorogati, nemmeno con l'accordo delle parti. A questo proposito, è opportuno ricordare come le suddette norme sono finalizzate ad assicurare la tutela della dignità e della riservatezza del soggetto interessato, la verifica dell’avvenuto inserimento, della permanenza o della rimozione dei dati personali, ciò indipendentemente dalla circostanza che l’interessato avesse per altra via avuto conoscenza degli stessi eventi. Per il Tribunale il termine entro il quale bisogna ottenere risposta è perentorio. Infatti, nell’ipotesi in cui si considerasse il suddetto termine come ordinatorio si renderebbe inutile la funzione di salvaguardia della dignità del cittadino. È pacifico infatti che quest’ultimo è invero l’unico proprietario dei dati che lo riguardano, ed egli solo, in qualità di titolare può decidere quando ottenere la risposta e, dunque, se ottenerla, e non certo il titolare del trattamento. In base a tale assunto il Tribunale non assegnava nessuna importanza alla circostanza che la società avesse puntualmente inviato al soggetto ogni comunicazione di suo interesse. Infatti, il diritto di accesso ai dati personali deve essere differenziato dal semplice diritto alla conoscenza di eventuali dati nuovi e ulteriori rispetto a quelli già conosciuto dal medesimo soggetto interessato al trattamento dei propri dati. Vale il termine previsto per l’interpello preventivo al Garante? La società proponeva dunque appello, ritenendo che il giudice di primo grado avesse erroneamente interpretato l’articolo 8 del codice della privacy . In particolare, sosteneva che alla fattispecie oggetto della controversia in esame, ossia la richiesta di accesso ai propri dati personali, dovesse applicarsi il termine perentorio di quindici giorni previsto dall’articolo 146 in materia di interpello preventivo. Questa norma stabilisce che tranne nei casi in cui il decorso del termine esporrebbe un soggetto ad un pregiudizio imminente ed irreparabile, il ricorso all’Autorità garante può essere proposto solo dopo che sia stata avanzata richiesta sul medesimo oggetto al titolare o al responsabile ai sensi dell'articolo 8, comma 1, e sono decorsi i termini previsti dal presente articolo, ovvero è stato opposto alla richiesta un diniego anche parziale. Inoltre, il medesimo articolo 146, aggiunge che il riscontro alla richiesta da parte del titolare o del responsabile è fornito entro quindici giorni dal suo ricevimento. La comunicazione è avvenuta se il documento è stato trasmesso al numero di fax corretto. In seguito al successivo ricorso per Cassazione, la Suprema Corte premette che in presenza di una comunicazione di cancelleria eseguita per mezzo di un fax nel rispetto di quanto prevede l'articolo 136, comma 3, c.p.c. l'attestato del cancelliere da cui risulti che il messaggio sia stato trasmesso con successo al numero di fax corrispondente a quello del destinatario è sufficiente a far considerare la comunicazione avvenuta, a meno che il destinatario fornisca elementi idonei a fornire la prova del mancato o incompleto ricevimento. In relazione invece al dubbio che il suddetto sistema di trasmissione non garantisca a sufficienza l'effettivo ricevimento dell'atto comunicato, la Cassazione rileva come sia sufficiente considerare che - sia nelle comunicazioni all’interno del processo che al di fuori - una volta provato che è avvenuto l’inoltro del documento per mezzo di un fax al numero corrispondente a quello del destinatario, è perfettamente logico affermare, con un ragionamento presuntivo, che tale trasmissione sia effettivamente avvenuta e che il destinatario abbia perciò avuto modo di acquisire piena conoscenza di quanto comunicatogli. Di conseguenza, sarà onere in capo a quest’ultimo dedurre e dimostrare l'esistenza di elementi idonei a confutare l'avvenuta ricezione. A tal proposito, quindi, non sarà sufficiente che egli si limiti a negarla. Il titolare del trattamento dei dati non può decidere quando rispondere alla richiesta. Per quanto concerne la qualificazione del termine ai fini dell’esercizio del diritto di accesso ai dati personali, la Cassazione, osserva come poiché la domanda di accesso è stata inoltrata dal soggetto più di due mesi prima di quanto poi ha depositato il ricorso al Tribunale, la società non ha nessun interesse a far rilevare la brevità del termine di quindici giorni, secondo l’articolo 8, comma 4, del codice di deontologia per i sistemi informativi. Inoltre, l’articolo 7 del codice della privacy stabilisce il diritto del soggetto interessato di ottenere la conferma dell’esistenza o meno di dati personali, e il successivo articolo 8 prevede che tale diritto deve essere esercitato con richiesta alla quale deve essere fornita risposta senza ritardo. Tale interpretazione è corroborata da decisioni dell’Autorità garante in cui si sostiene che il titolare del trattamento, nella fattispecie la s.p.a., ha l’obbligo di estrarre i dati detenuti e di comunicarli all’interessato, avendo cura che questi risultino facilmente comprensibili. Inoltre, il Garante ha ritenuto non idoneo a integrare una risposta adeguata alla richiesta di accesso ai dati personali la semplice conferma da parte del titolare del trattamento dell’esistenza di informazioni relative ai rapporti contrattuali intercorsi, senza comunicare nel dettaglio tutti i dati detenuti. Concludendo . La Suprema Corte, dunque, rigetta il ricorso salvaguardando il diritto di accesso ai dati personali del cittadino, altrimenti compromesso dall’arbitrio del titolare del trattamento dei dati.
Corte di Cassazione, sez. I Civile, sentenza 14 dicembre 2012 - 9 gennaio 2013, numero 349 Presidente Carnevale – Relatore Didone Ritenuto in fatto e in diritto 1.- Con ricorso al Tribunale di Milano S.L. , premesso di essere stato informato dalla società Experian Information Services S.p.A. dell'esistenza di una segnalazione negativa a proprio carico, relativa al rapporto di finanziamento stipulato in data 22 marzo 2003 con Compass S.p.A. di avere inoltrato un'istanza di accesso ai propri dati personali a Compass il 24 ottobre 2008, rimasta senza esito chiese l'esercizio giudiziale del diritto di accesso ai propri dati personali ex articolo 7 decreto legislativo numero 196 del 2003, Codice per la protezione dei dati personali, nonché ex articolo 8, comma 4, del 16 novembre 2004, numero 8, c.d. Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti. Si costituì la convenuta la quale eccepì di non aver mai ricevuto il fax menzionato dalla controparte di aver sempre trasmesso al ricorrente in corso di rapporto ogni notizia, successivamente oggetto della richiesta in contestazione di aver comunque allegato alla comparsa di risposta le informazioni richieste dalla controparte e chiese il rigetto del ricorso. Con sentenza del 31.12.2009 il Tribunale, preso atto della cessazione della materia del contendere, posto che parte convenuta aveva allegato alla comparsa di costituzione e risposta le note informative afferenti la posizione del ricorrente, con ciò adempiendo alla richiesta di accesso ai propri dati personali da questi inoltrata, condannò la società convenuta al pagamento delle spese processuali in virtù della c.d. soccombenza virtuale. Osservò il tribunale che il ricorso risultava fondato in quanto era risultato provato in via documentale che in data 24 ottobre 2008 S.L. aveva inviato alla s.p.a. Compass un fax contenente la richiesta di accesso ai propri dati personali e non era contestato che la destinataria della richiesta non avesse dato corso ad alcun adempimento né nel termine di 15 giorni previsto ex articolo 146 D. Lgs. numero 196 del 2003, né successivamente, e sino alla costituzione nel giudizio. Nel caso in esame l'attestazione dell'avvenuto inoltro con esito positivo delle quattro pagine di cui risultava composto il messaggio trasmesso esimeva il ricorrente da qualsiasi verifica successiva. L'articolo 8 Esercizio dei diritti citato recita al comma 1. I diritti di cui all'articolo 7 sono esercitati con richiesta rivolta senza formalità al titolare o al responsabile, anche per il tramite di un incaricato, alla quale è fornito idoneo riscontro senza ritardo . L'interpretazione letterale della norma, nonché la lettura sistemica della stessa, imponevano al titolare del trattamento un onere di risposta in tempi strettamente consequenziali alla richiesta, certamente non superiori al limite temporale individuato ex lege per l'interpello del Garante, con conseguente impossibilità di qualificare come ordinatorio il termine indicato. Una interpretazione di segno contrario - secondo il tribunale - finirebbe col vanificare la funzione di tutela della dignità del cittadino - unico e vero dominus dei dati che lo riguardano perseguita dal testo di legge indicato, lasciando al soggetto titolare del trattamento dei dati l'arbitrio in ordine al tempus, e quindi, di fatto, all'an della risposta. Infine, il diritto di accesso ai dati personali non riceve alcuna differenziazione per quanto riguarda il diritto alla conoscenza dell'interessato, sia che la richiesta abbia ad oggetto dati trattati da terzi, sia per i dati raccolti e trasmessi dall'intermediario, come avvenuto per il caso di Compass. Nessun rilievo poteva essere attribuito al puntuale invio in corso di rapporto da Compass a S.L. di ogni comunicazione di interesse per quest'ultimo, svolgendo tali adempimenti tutt'altra funzione. Il diritto di accesso non è il mero diritto alla conoscenza di eventuali dati nuovi ed ulteriori rispetto a quelli già entrati nel patrimonio di conoscenza e quindi nella disposizione dello stesso soggetto interessato al trattamento dei propri dati scopo della norma invocata da parte ricorrente è infatti garantire, a tutela della dignità e riservatezza del soggetto interessato, la verifica ratione temporis dell'avvenuto inserimento, della permanenza, ovvero della rimozione di dati, indipendentemente dalla circostanza che tali eventi fossero già stati portati per altra via a conoscenza dell'interessato, verifica attuata mediante l'accesso ai dati raccolti sulla propria persona in ogni e qualsiasi momento della propria vita relazionale. La decisione del Garante della privacy adottata il 17 luglio 2008, allegata da parte resistente, infine, era relativa a diversa fattispecie richiesta dell'erede dell'interessato . 2.- Contro la sentenza del Tribunale la s.p.a. Compass ha proposto ricorso per cassazione affidato a tre motivi. Non ha svolto difese l'intimato. 2.1.- Con il primo motivo parte ricorrente denuncia vizio di motivazione sul seguente fatto controverso “Contrariamente a quanto addotto dal Giudicante non risulta provato in via documentale che in data 24 ottobre 2008 S.L. inviava a Compass S.p.A. contenente la richiesta di accesso ai propri dati personali, ma soltanto la trasmissione di un fax, il cui contenuto, resta, allo stato, completamente ignoto, in quanto, ai fini probatori, in assenza di copia del frontespizio della comunicazione, l'oggetto della stessa e quindi la conoscenza del contenuto della richiesta da parte del destinatario non è assolutamente comprovato”. 2.2.- Con il secondo motivo parte ricorrente denuncia “Violazione o falsa applicazione di norme di diritto. articolo 360 numero 3 c.p.c. in relazione agli articolo 8 numero 1 e 146 numero 2 D.Lvo 196/2003”. Deduce, in sintesi, che erroneamente il giudice del merito avrebbe interpretato l'articolo 8 cod. privacy e falsamente applicato l'articolo 146 stesso codice, ritenendo applicabile all'ipotesi disciplinata dalla prima norma il termine perentorio di quindici giorni previsto dalla seconda norma dettato in materia di “interpello preventivo”. 2.3.- Con il terzo motivo parte ricorrente denuncia “omessa, insufficiente e contraddittoria motivazione circa un fatto controverso e decisivo per il giudizio ex articolo 360 numero 5 c.p.c. Omessa considerazione della valenza delle comunicazioni preventive all'istanza di accesso. Insussistenza della soccombenza virtuale”. Deduce, in estrema sintesi, che all'udienza del 5 novembre 2009 il ricorrente aveva dedotto che la controparte aveva soddisfatto la propria richiesta di informativa con l'istanza di accesso cui non aveva dato corso, mediante i documenti allegati da Compass S.p.A. alla comparsa di risposta. Invece la Compass S.p.A. aveva espresso il proprio interesse ad una pronuncia nel merito per le ragioni tutte esposte nella comparsa . “Quindi, in realtà, a fronte della asserzione del ricorrente Sig. L S. , che si dichiarava soddisfatto dalle allegazioni processuali della Compass S.p.A., quest'ultima manifestava il proprio interesse e la volontà di addivenire ad una pronuncia nel merito, che acclarasse la insussistenza di ogni violazione della normativa di cui agli articolo 7 ed 8 del D.Lvo 196/2003 e la correttezza del proprio operato”. Il Giudice di merito, omettendo di considerare e trarre le dovute conseguenze dalla produzione documentale della Compass S.p.A. in punto di valutazione della sussistenza o meno di una lesione del diritto di conoscenza del soggetto richiedente l'accesso ai propri dati , aveva optato per una interpretazione, non condivisibile, che si era basata soltanto sulla affermazione di parte ricorrente di essere soddisfatta dalle allegazioni processuali avversarie, non rilevando che oggetto del giudizio era anche e soprattutto, il verificare se il ricorrente Sig. S.L. , in realtà, avesse già ricevuto dalla Compass S.p.A., preventivamente, le informazioni richieste. Informazioni assolutamente corrette ed esaustive, come anche riconosciuto in sede processuale, dal Sig. S.L. . 3.- Il ricorso deve essere dichiarato inammissibile perché - essendo stato notificato a mezzo posta e non essendosi costituito l'intimato - manca la prova della ricezione della raccomandata, non avendo parte ricorrente, prima della discussione, prodotto l'avviso di ricevimento del plico raccomandato. Nondimeno, la dichiarazione di inammissibilità del ricorso per cassazione, non preclude alla Corte di usare del potere di enunciare ai sensi dell'articolo 363 c.p.c., su questioni di particolare importanza, il principio di diritto nell'interesse della legge, posto che nella dichiarazione conseguente all'esercizio del potere di rinuncia delle parti, così come nell'inammissibilità del ricorso, ciò che è precluso è solo la possibilità di pronunciarsi sul fondo delle censure con effetti sul concreto diritto dedotto in giudizio Cass. 19051/10 . Sussistendo, dunque, le condizioni di cui all'articolo 363 c.p.c., ritiene il collegio di doversi pronunciare sulle questioni di diritto poste dalla parte ricorrente. 3.1.- Il primo motivo è inammissibile nella parte in cui formula censure in fatto in contrasto con l'accertamento del giudice di merito secondo il quale è risultato documentalmente provato che l'attore avesse inviato alla ricorrente, in data 24.10.2008, un fax contenente la richiesta di accesso ai propri dati personali . Nel resto la censura è infondata. Invero, sebbene in relazione ad altra materia, questa Sezione ha affermato il principio per il quale “in presenza di una comunicazione di cancelleria eseguita a mezzo telefax, ai sensi dell'articolo 136, terzo comma, cod. proc. civ., l'attestato del cancelliere, da cui risulti che il messaggio è stato trasmesso con successo al numero di fax corrispondente a quello del destinatario, è sufficiente a far considerare la comunicazione avvenuta, salvo che il destinatario fornisca elementi idonei a fornire la prova del mancato o incompleto ricevimento” Sez. 1, Sentenza numero 5168 del 30/03/2012 . Con la pronuncia ora richiamata la S.C. ha chiarito, quanto “al dubbio che detto sistema di trasmissione non garantisca a sufficienza l'effettivo ricevimento dell'atto comunicato”, che, “una volta dimostrato l'avvenuto inoltro del documento a mezzo telefax al numero corrispondente a quello del destinatario, è perfettamente logico presumere che detta trasmissione sia effettivamente avvenuta e che il destinatario abbia perciò avuto modo di acquisire piena conoscenza di quanto comunicatogli. Sarà suo onere, allora, dedurre e dimostrare l'esistenza di elementi idonei a confutare l'avvenuta ricezione, non bastando certo a tal fine che egli si limiti a negarla” Sez. 1, Sentenza numero 5168 del 30/03/2012 . Il principio enunciato da tale ultima pronuncia in relazione alla comunicazione di atti del processo è da ritenere applicabile anche alle comunicazioni a mezzo telefax al di fuori del processo. 3.2.- L'istanza di accesso ai propri dati personali alla s.p.a. Compass risulta inoltrato, dall'attore con fax del 24 ottobre 2008 mentre il ricorso al Tribunale è stato depositato soltanto il 9 gennaio 2009. La società ricorrente, dunque, è priva di qualsiasi interesse a dedurre la brevità del termine di quindici giorni assegnato dall'attore, conformemente, peraltro, a quanto disposto dall'articolo 8, comma 4, del Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti Provvedimento del Garante numero 8 del 16 novembre 2004, Gazzetta Ufficiale 23 dicembre 2004, numero 300, come modificato dall'errata corrige pubblicata in Gazzetta Ufficiale 9 marzo 2005, n, 56 , il quale richiama il termine di cui all'articolo 146 d.lgs. numero 196/2003. È vero, peraltro, che il procedimento previsto dagli articolo 145 e ss. del Codice ha caratteri particolari e può essere proposto solo per soddisfare specifiche richieste formulate in riferimento alle particolari situazioni soggettive tutelate dall'articolo 7 del Codice, avanzate precedentemente e negli stessi termini al titolare o al responsabile del trattamento e da questi disattese anche in parte, mentre la proposizione immediata del ricorso al Garante è possibile solo nell'ipotesi in cui il decorso del tempo necessario per interpellare il titolare o il responsabile esporrebbe taluno a pregiudizio imminente e irreparabile . Sennonché, è irrilevante che il termine di quindici giorni sia previsto in una disposizione inserita nella sezione che disciplina il procedimento dinanzi al Garante, posto che si tratta di sezione del Codice della privacy dedicata alla “Tutela alternativa a quella giurisdizionale” e che l'articolo 145, comma 1, prevede che “i diritti di cui all'articolo 7 possono essere fatti valere dinanzi all'autorità giudiziaria o con ricorso al Garante”. L'articolo 1, comma 1, del Codice 196/2003 Diritto di accesso ai dati personali ed altri diritti prevede il diritto dell'interessato di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile e l'articolo 8, comma 1, dispone che i diritti di cui all'articolo 7 sono esercitati con richiesta rivolta senza formalità al titolare o al responsabile, anche per il tramite di un incaricato, alla quale è fornito idoneo riscontro senza ritardo . Correttamente, dunque, il giudice del merito ha fatto riferimento al termine previsto in relazione all'interpello preventivo al fine di individuare un congruo spatium deliberandi al destinatario della richiesta di accesso. 3.3.- Il giudice del merito ha correttamente evidenziato che lo scopo della norma invocata da parte attrice è quello di garantire, a tutela della dignità e riservatezza del soggetto interessato, la verifica ratione temporis dell'avvenuto inserimento, della permanenza, ovvero della rimozione di dati, indipendentemente dalla circostanza che tali eventi fossero già stati portati per altra via a conoscenza dell'interessato, verifica attuata mediante l'accesso ai dati raccolti sulla propria persona in ogni e qualsiasi momento della propria vita relazionale. Peraltro, in caso di esercizio del diritto di accesso previsto dalla normativa sul trattamento dei dati personali il titolare del trattamento, ovvero il responsabile se nominato, non possono limitarsi a dare una mera conferma dell'esistenza dei dati ma devono estrarli dai documenti in loro possesso ponendoli a disposizione dell'interessato Garante 16 gennaio 2003 v. anche www.garanteprivacy.it doc. web numero 1067830 . In particolare il titolare del trattamento è tenuto ad estrarre i dati detenuti ed a comunicarli all'interessato, curandone l'agevole comprensione e, ove richiesto, a trasporli su supporto cartaceo o, se necessario, informatico Garante 29 gennaio 2003 v. anche www.garanteprivacy.it doc. web numero 1067903 mentre non fornisce adeguata risposta alla richiesta dell'interessato di conoscere i dati che lo riguardano la sola conferma da parte del titolare del trattamento dell'esistenza, nei propri archivi, di informazioni relative agli intercorsi rapporti contrattuali ed ai contenziosi che ne erano scaturiti, senza comunicazione, nel dettaglio, di tutti i dati detenuti Garante 2 luglio 2003 v. anche www.garanteprivacy.it doc. web numero 1079895 . L'articolo 10 del d.lgs. numero 196/2003 dispone - tra l'altro - che, per garantire l'effettivo esercizio dei diritti di cui all'articolo 7, il titolare del trattamento è tenuto ad adottare idonee misure volte ad agevolare l'accesso ai dati personali da parte dell'interessato, anche attraverso l'impiego di appositi programmi per elaboratore finalizzati ad un'accurata selezione dei dati che riguardano singoli interessati identificati o identificabili e a semplificare le modalità e a ridurre i tempi per il riscontro al richiedente, anche nell'ambito di uffici o servizi preposti alle relazioni con il pubblico. I dati sono estratti a cura del responsabile o degli incaricati e possono essere comunicati al richiedente anche oralmente, ovvero offerti in visione mediante strumenti elettronici, sempre che in tali casi la comprensione dei dati sia agevole, considerata anche la qualità e la quantità delle informazioni. Se vi è richiesta, si provvede alla trasposizione dei dati su supporto cartaceo o informatico, ovvero alla loro trasmissione per via telematica. Salvo che la richiesta sia riferita ad un particolare trattamento o a specifici dati personali o categorie di dati personali, il riscontro all'interessato comprende tutti i dati personali che riguardano l'interessato comunque trattati dal titolare e quando l'estrazione dei dati risulta particolarmente difficoltosa il riscontro alla richiesta dell'interessato può avvenire anche attraverso l'esibizione o la consegna in copia di atti e documenti contenenti i dati personali richiesti. L'assunto della società ricorrente, per contro, confonde il diritto all'accesso e il corrispondente obbligo di risposta di cui agli articolo 7, 8 e 10 d.lgs. numero 196/2003 con gli altri adempimenti richiesti da tale provvedimento legislativo come l'articolo 13 per l'acquisizione, ai fini del successivo trattamento, dei dati personali. P.Q.M. La Corte dichiara inammissibile il ricorso e pronuncia ex articolo 363 c.p.c. come in motivazione.