A rischio condanna casa automobilistica e concessionaria per avere consegnato un duplicato a un truffatore. Possibile ipotizzare un illecito trattamento di dati personali.
Brutta sorpresa per il proprietario dell'auto la vettura è stata rubata. A moltiplicare l'amarezza, poi, la scoperta che, pochi giorni prima del furto, la concessionaria ha rilasciato un duplicato della chiave elettronica a un truffatore presentatosi come l'intestatario del veicolo. Plausibile, ora, l' azione risarcitoria del vero proprietario della vettura, azione risarcitoria connessa all'illecito trattamento dei suoi dati personali concretizzatosi nella consegna del duplicato della chiave elettronica del veicolo a un truffatore Cass. civ., sez. I, 7 luglio 2021, numero 19270 . In Tribunale il proprietario della vettura cita in giudizio l'azienda automobilistica e la concessionaria, chiedendone la condanna per «l' illecito trattamento dei suoi dati personali , avvenuto attraverso il rilascio di un duplicato della chiave elettronica della sua autovettura», oggetto di furto pochi giorni dopo, «ad un soggetto non autorizzato, rivelatosi poi essere un truffatore». In particolare, l'uomo si lamenta del «comportamento tenuto dall'azienda e dalla concessionaria», sostenendo che esse «hanno trattato illecitamente un suo dato personale, omettendo di effettuare le dovute verifiche», e chiede perciò «il risarcimento di tutti i danni , patrimoniali e non patrimoniali , subiti ». Per i Giudici, però, non vi è stato «alcun illecito trattamento di dati personali», anche perché, osservano, «il trattamento poteva essere individuato nella comunicazione del numero di telaio , poiché solo questo ha le caratteristiche del dato personale, e non nella consegna del duplicato della chiave», e «poiché il numero di telaio era già in possesso del truffatore, allorché questi si era recato dal concessionario, la consegna del duplicato della chiave non ha comportato un illecito trattamento dei dati personali» del proprietario della vettura. La linea seguita in Tribunale non viene affatto condivisa dai Giudici della Cassazione. A loro parere, difatti, le considerazioni proposte dall'intestatario dell'automobile hanno un fondamento. In premessa viene ricordato che «l'illecito trattamento di dati personali è stato ricollegato» dal proprietario del veicolo «alla consegna del duplicato della chiave elettronica della sua vettura ad una terza persona» presentatasi in concessionaria e «dichiaratasi proprietario mediante l' utilizzo di documentazione falsa ». Punto di partenza nel ragionamento dei giudici di terzo grado è la considerazione che «ciò che assume rilievo decisivo, in materia di privacy, è il collegamento funzionale , ai fini identificativi, tra i dati personali e la persona fisica ». Correttamente, osservano i magistrati, in Tribunale «è stato riconosciuto al numero di telaio del veicolo il carattere di dato personale, in quanto idoneo a far pervenire all'identificazione della persona del proprietario, anche ove contenuto in una chiave elettronica». Erroneo, invece, il ragionamento successivo, poiché, «sulla premessa che il truffatore era già in possesso del numero di telaio – e cioè di un dato personale trattato senza il consenso del proprietario – quando richiese il duplicato della chiave avvalendosi di una falsa carta di circolazione», viene affermato che «la consegna del duplicato della chiave elettronica non costituì illecito trattamento di dati personali». Secondo il Tribunale «il trattamento rilevante era esclusivamente quello relativo all'acquisizione del numero di telaio, compiuto dal truffatore, quasi che lo stesso fosse incompatibile con altro e diverso trattamento di altri dati collegati anche al medesimo numero di telaio», ma invece, osservano dalla Cassazione, sarebbe stato necessario «ricostruire la fattispecie concreta considerando anche la complessa attività posta in essere dalla azienda automobilistica mediante la predisposizione di una chiave elettronica personalizzata indispensabile per l'utilizzo del veicolo – consegnata in esecuzione del contratto di acquisto e incorporante dati direttamente e indirettamente identificativi dell'autovettura e del proprietario – e successivamente mediante la indebita duplicazione e la consegna a un terzo da parte della concessionaria». Passo successivo avrebbe dovuto essere quello di valutare se la condotta della concessionaria «integrava un autonomo e specifico trattamento di dati personali che trovava la sua autonoma fonte nel contratto concluso tra le parti, passando poi a verificarne la liceità o meno e ad accertare la eventuale ricorrenza dei profili risarcitori invocati dal proprietario della vettura». Questi passaggi non possono essere omessi, chiariscono dalla Cassazione. Proprio per questo la questione viene riaffidata alle valutazioni dei Giudici del Tribunale, i quali, chiamati a valutare le lamentele del proprietario della vettura e la sua richiesta risarcitoria, dovranno tenere conto del principio secondo cui « rientra nel novero dei dati personali definiti dall'articolo 4, comma primo, lett. b del d.lgs. numero 196 del 2003 – per il quale è tale qualunque informazione relativa a una persona identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale – non solo il numero di targa del veicolo, benché esso sia visibile a tutti quando il veicolo circola per strada, ma anche i dati costituenti la chiave di accesso al sistema elettronico di apertura e chiusura dell'autoveicolo, in quanto ciò che rileva non è il numero in sé ma il suo collegamento a una persona ». Ai Giudici del Tribunale, quindi, il compito di accertare «se ed in che misura proprio la predisposizione della chiave elettronica, indispensabile per l'utilizzo dell'autovettura e riservata contrattualmente in via esclusiva alla casa automobilistica, nonché la sua successiva duplicazione e modifica a richiesta di un terzo, con la conseguente consegna, integrino un trattamento illecito di dati ove svolto al di fuori dei protocolli stabiliti dal contratto e delle sue condizioni generali da parte della società concessionaria, perché interconnessi e direttamente o indirettamente incidenti su quelli strettamente personali».
Presidente Genovese – Relatore Tricomi Ritenuto che A.R. aveva chiesto dinanzi al Tribunale di Milano la condanna di omissis SPA e di omissis SPA in solido per l'illecito trattamento dei suoi dati personali, avvenuto attraverso il rilascio in data 11/5/2012 di un duplicato della chiave elettronica della sua autovettura oggetto di furto in data 21/5/2012 ad un soggetto non autorizzato che poi si era rivelato un truffatore. A. si era doluto del comportamento dei convenuti che avrebbero trattato illecitamente un suo dato personale, omettendo di effettuare le dovute verifiche. Aveva chiesto, quindi, la condanna dei resistenti al risarcimento di tutti i danni, patrimoniali e non patrimoniali subiti, e la condanna di omissis SPA alla consegna della certificazione notarile relativa al rilascio di duplicati di chiavi delle autovetture di sua proprietà ed alla pubblicazione della sentenza, con vittoria delle spese di lite. Il Tribunale ha rigettato il ricorso di A. perché non ha ravvisato alcun illecito trattamento di dati personali in particolare ha affermato che il trattamento poteva essere individuato nella comunicazione del numero di telaio, poiché solo questo aveva le caratteristiche del dato personale, e non nella consegna del duplicato della chiave. Poiché il numero di telaio era già in possesso del truffatore, allorché questi si era recato dal Concessionario, il Tribunale ha affermato che la consegna del duplicato della chiave non aveva comportato un illecito trattamento dei dati personali di A. . Ha, quindi escluso che la condotta di consegna del duplicato della chiave, valutabile astrattamente ai sensi dell' articolo 2043 c.c. perché aveva potuto agevolare la commissione del furto, fosse stata contesta dal ricorrente che aveva agito lamentando un illecito trattamento dei propri dati personali e non il concorso nel furto. A.R. propone ricorso con quattro motivi avverso la sentenza del Tribunale di Milano pubblicata il 19/3/2015. omissis SPA e omissis SPA hanno replicato con separati controricorsi. A. e omissis hanno depositato memoria. Considerato che 1. In via preliminare è opportuno precisare che, poiché si discute di trattamento di dati personali avvenuto nel maggio 2012, al caso in esame si applica il codice della privacy D.Lgs. 30 giugno 2003, numero 196 nella stesura anteriore alle modifiche introdotte con il D.Lgs. 10 agosto 2018, numero 101 di adeguamento dell'ordinamento nazionale al regolamento UE 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016, entrato in vigore il 25 maggio 2018 articolo 99, comma 2, del Regolamento . 2.1. Con il primo motivo il ricorrente lamenta la omessa pronuncia sulla domanda effettivamente proposta. Segnatamente, il ricorrente puntualizza di non essersi doluto della comunicazione del numero di telaio dell'autovettura, ma dell'indebito trattamento e comunicazione del codice individuale Personality Code che viene abbinato alla vettura di ogni cliente, è indispensabile per accedere all'utilizzo dell'automezzo ed è gestito direttamente ed esclusivamente dal Gruppo OMISSIS codice individuale che - a seguito della richiesta dei malfattori - era stato immagazzinato nel duplicato della chiave loro rilasciato ed utilizzato, quindi, per trafugare l'autovettura. Perciò il ricorrente si duole che il Tribunale abbia omesso di pronunciarsi sulla contestazione concernente la denunciata illiceità della comunicazione dei codici personali Personality Code , avvenuta mediante la consegna del duplicato della chiave a persona diversa dal proprietario dell'autoveicolo. La stessa questione è proposta anche come denuncia per violazione o falsa applicazione degli articolo 112 e 277 c.p.c. e come violazione del D.Lgs. numero 169 del 2003, articolo 4 e 15. Viene denunciato, inoltre, l'omesso esame di un fatto decisivo per il giudizio rispetto alla domanda di condanna a titolo di violazione della normativa in materia di privacy, individuato nel fatto che i codici Personality Code , immagazzinati nel chip della chiave elettronica e necessari per aprire ed avviare l'automobile, erano diversi dal numero di telaio della vettura, anche se abbinati allo stesso da parte dell'organizzazione OMISSIS , per consentirne la riproducibilità in caso di richiesta di duplicati da parte dei clienti. 2.2. La prima censura, sotto i molteplici profili, si appunta sulla statuizione con cui il Tribunale ha affermato Nel caso in esame il trattamento potrebbe essere rinvenuto non nella consegna del duplicato della chiave, come dedotto da parte attrice, bensì nella comunicazione del numero di telaio al B. . Al momento della richiesta del duplicato della chiave dell'autovettura, il sedicente B. era già in possesso del numero di telaio dato personale relativo all'autovettura del ricorrente come risulta dalla carta di circolazione presentata all'impiegato della omissis . La consegna del duplicato, pertanto, integra una condotta realizzata quando il dato personale, trattato senza il consenso del proprietario, era già nella disponibilità del terzo. Erroneamente, pertanto, l'A. ha ritenuto che nella consegna del duplicato della chiave elettronica ad un terzo i resistenti hanno illecitamente trattato i suoi dati personali, atteso che nella condotta in esame astrattamente valutabile, eventualmente ai sensi dell' articolo 2043 c.c. non si ravvisa alcun illecito trattamento di dati personali fol. 6 della sent. imp. il Tribunale ha quindi aggiunto che, comunque, il trattamento del dato, costituito dal numero di telaio , non richiedeva il consenso perché proveniente da pubblici registri P.R.A. . 2.3. Il motivo è fondato e va accolto. 2.4. Innanzi tutto, la doglianza è ammissibile perché contrariamente a quanto sostengono i controricorrenti - sin dal primo grado l'illecito trattamento di dati personali è stato ricollegato da A. alla consegna del duplicato della chiave elettronica del suo autoveicolo ad un terzo, dichiaratosi proprietario mediante l'utilizzo di documentazione falsa. 2.5. Sul piano normativo, va rammentato che, ai sensi del D.Lgs. numero 196 del 2003, articolo 4, comma 1, lett. b e c , si intende per dato personale , qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale e per dati identificativi , i dati personali che permettono l'identificazione diretta dell'interessato . Alla luce di questa definizione, tendenzialmente espansiva, sono dati personali le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc. Particolarmente importanti sono i dati che permettono l'identificazione diretta - come i dati anagrafici ad esempio nome e cognome , le immagini, ecc. - e i dati che permettono l'identificazione indiretta, come un numero di identificazione ad esempio, il codice fiscale, l'indirizzo IP, il numero di targa . Inoltre, con l'evoluzione delle nuove tecnologie, altri dati personali hanno assunto un ruolo significativo, come quelli relativi alle comunicazioni elettroniche via internet o telefono e quelli che consentono la geolocalizzazione, fornendo informazioni sui luoghi frequentati e sugli spostamenti. Passando alla definizione di trattamento, va osservato che essa è nozione ampia e inclusiva poiché contempla condotte anche complesse, volte non solo alla raccolta ed alla conservazione del dati o alla loro comunicazione , ma anche condotte come l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati D.Lgs. numero 196 del 2003, articolo 4, comma 1, lett. a . Va aggiunto che, per l'utilizzazione di questi dati è prescritta, in via di principio, la previa informativa di cui al D.Lgs. numero 196 del 2003, articolo 13 ai fini dell'acquisizione del consenso degli interessati all'impiego dei dati di loro pertinenza. Il D.Lgs. numero 196 del 2003, articolo 24, tuttavia, disciplina i casi in cui la regola del consenso è derogata, tra i quali, alla lett. c , rientra il trattamento riguardante dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati . 2.6. La giurisprudenza di legittimità ha avuto modo di rimarcare, in tema di dati che permettono l'identificazione diretta, che la nozione di dato personale contempla qualsiasi informazione che consenta di identificare, anche indirettamente, una determinata persona fisica e ricomprende pure i dati identificativi , quali il nome, il cognome e l'indirizzo di posta elettronica, i quali sono dati personali che permettono la detta identificazione, direttamente Cass. numero 17665 del 05/07/2018 . Ha, inoltre, affermato, in tema di dati che consentono l'identificazione indiretta, sia pure in relazione ad una fattispecie di illecito trattamento di rilievo penale articolo 167 codice della privacy , che rientra nel novero dei dati personali definiti dall'articolo 4, comma 1, lett. b del predetto D.Lgs. numero 196 del 2003 - per il quale è tale qualunque informazione relativa a una persona fisica, giuridica ecc, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale - il numero di targa del veicolo, a nulla rilevando che esso sia visibile a tutti quando il veicolo circola per strada, in quanto ciò che rileva non è il numero in sé ma il suo abbinamento ad una persona. Cass. penumero 44940 del 28/09/2011 . Ciò che assume rilievo decisivo, in materia di privacy, è, dunque, il collegamento funzionale, ai fini identificativi, tra i dati personali e la persona fisica, in presenza di condotte astrattamente riconducibili nell'alveo del trattamento. 2.7. Passando al caso in esame, si deve osservare che nella decisione impugnata correttamente è stato riconosciuto il carattere di dato personale al numero di telaio dell'autoveicolo, in quanto idoneo a far pervenire all'identificazione della persona del proprietario dello stesso, anche ove contenuto in una chiave elettronica fol. 5 della sent. imp. , e tale arresto - in linea con i precedenti di legittimità ricordati - va senza dubbio condiviso. 2.8. La pronuncia impugnata, tuttavia, non è corretta laddove, sulla premessa che il sedicente B. era già in possesso del numero di telaio - e cioè di un dato personale trattato senza il consenso del proprietario - quando richiese il duplicato della chiave avvalendosi della falsa carta di circolazione, viene affermato che la consegna del duplicato della chiave elettronica ad un terzo da parte della omissis e di omissis non costituì illecito trattamento di dati personali. Il Tribunale, infatti, ha ritenuto, assertivamente, che il trattamento rilevante fosse esclusivamente quello relativo all'acquisizione del numero di telaio, compiuto dal sedicente B. , quasi che lo stesso fosse incompatibile con altro e diverso trattamento di altri dati collegati anche al medesimo numero di telaio, tanto da esaurite le condotte valutabili ma così facendo non solo ha omesso di prendere in esame e di valutare i fatti contestati dal ricorrente nei confronti di omissis e di omissis , ma ha altresì violato il D.Lgs. numero 196 del 2003, articolo 4 . Il Tribunale avrebbe dovuto, con accertamento che compete al giudice del merito, ricostruire la fattispecie concreta considerando anche la complessa attività posta in essere da OMISSIS mediante la predisposizione di una chiave elettronica personalizzata indispensabile per l'utilizzo dell'autoveicolo - consegnata in esecuzione del contratto di acquisto e incorporante dati direttamente e indirettamente identificativi dell'autovettura e del proprietario, nella prospettazione del ricorrente, - e successivamente mediante la indebita duplicazione e la consegna a un terzo da parte di omissis avrebbe quindi dovuto valutare, alla stregua dei principi prima rammentati, se la stessa integrava ed in che misura un autonomo e specifico trattamento di dati personali che trovava la sua autonoma fonte nel contratto concluso tra le parti, passando poi a verificarne la liceità o meno, anche D.Lgs. numero 196 del 2003, ex articolo 11, e ad accertare la eventuale ricorrenza dei profili risarcitori invocati dal ricorrente. La decisione impugnata risulta del tutto carente sotto questo profilo e va cassata in applicazione del seguente principio di diritto rientra nel novero dei dati personali definiti dall'articolo 4, comma 1, lett. b del predetto D.Lgs. numero 196 del 2003 - per il quale è tale qualunque informazione relativa a una persona identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale - non solo il numero di targa del veicolo, benché esso sia visibile a tutti quando il veicolo circola per strada, ma anche i dati costituenti la chiave di accesso al sistema elettronico di apertura e chiusura dell'autoveicolo, in quanto ciò che rileva non è il numero in sé ma il suo collegamento a una persona. Nè può costituire argomento decisivo la considerazione, pure incidentalmente svolta dal Tribunale, in merito al fatto che il trattamento del numero di telaio e della conseguente intestazione del veicolo è dato pubblico, reperibile presso il PRA, che ricade nell'ambito di applicazione del D.Lgs. numero 169 del 2003, articolo 24, perché le condotte di cui si dolgono i ricorrenti non attengono se non marginalmente al trattamento del numero di telaio, che peraltro era già contenuto nella chiave elettronica, prima dell'iniziativa del sedicente B. . Ciò che va accertato è se ed in che misura proprio la predisposizione della chiave elettronica, indispensabile per l'utilizzo dell'autovettura e riservata contrattualmente in via esclusiva alla casa automobilistica, nonché la sua successiva duplicazione e/o modifica a richiesta di un terzo, con la conseguente consegna, integrino un trattamento illecito di dati ove svolto al di fuori dei protocolli stabiliti dal contratto e delle sue condizioni generali da parte della società concessionaria, perché interconnessi e direttamente o indirettamente incidenti su quelli strettamente personali, valutando quindi le ulteriori domande svolte dal ricorrente. 3.1. Con i successivi tre motivi, il ricorrente denuncia secondo motivo l'omessa motivazione e la violazione e/o falsa applicazione degli articolo 112 e 277 c.p.c. , rispetto alle domande di condanna dei convenuti al risarcimento del danno non patrimoniale terzo motivo l'omessa pronuncia e la violazione degli articolo 112 e 277 c.p.c. rispetto alle domande subordinate proposte dal ricorrente a titolo di responsabilità contrattuale ed extracontrattuale quarto motivo l'omessa pronuncia e la violazione e/o falsa applicazione degli articolo 112 e 277 c.p.c. rispetto alla domanda di condanna alla certificazione periodica del mancato rilascio di duplicati di chiavi delle vetture del ricorrente. 3.2. Accolto il primo motivo, i restanti vanno dichiarati assorbiti in quanto sono logicamente subordinati all'esito dell'esame della questione proposta con il primo motivo. 4. In conclusione, va accolto il primo motivo di ricorso, assorbiti gli altri la sentenza impugnata va cassata con rinvio della causa al Tribunale di Milano, in persona di altro magistrato, per il riesame e la statuizione sulle spese anche del presente del presente giudizio. Va disposto che in caso di diffusione della presente ordinanza siano omesse le generalità delle parti e dei soggetti in essa menzionati, a norma del D.Lgs. 30 giugno 2003, numero 196, articolo 52 . P.Q.M. - Accoglie il primo motivo del ricorso, cassa la sentenza impugnata e rinvia la causa al Tribunale di Milano, in persona di altro magistrato, anche per le spese - Dispone che in caso di diffusione della presente ordinanza siano omesse le generalità delle parti e dei soggetti in essa menzionati, a norma del D.Lgs. 30 giugno 2003, numero 196, articolo 5 2.