Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

RELAZIONE 2007 - PARTE II - L'ATTIVTÀ SVOLTA DAL GARANTE - PAR. 18 Il contenzioso giurisdizionale

[doc. web n. 1549887]

Relazione 2007 

Relazione 2007 - 16 luglio 2008
Parte II - L'attività svolta dal Garante

 

Indice generale 

Paragrafo precedente

Paragrafo successivo

18. Il contenzioso giurisdizionale
18.1. Considerazioni generali
Nel 2007 si è avuta un'importante conferma del sempre maggiore favore che incontra presso gli interessati il procedimento introdotto dall'art. 152 del Codice, volto alla tutela giurisdizionale del diritto alla protezione dei dati personali, attraverso una procedura snella e specifica, alternativa al ricorso presentato in sede amministrativa al Garante.

A fronte dei cinquantanove ricorsi del 2006, nel corso del 2007 sono stati notificati all'Autorità ben centotrentaquattro ricorsi, non coinvolgenti direttamente pronunce del Garante, con un aumento di oltre il 125%.

Tale incremento accresce il rilievo degli strumenti messi a disposizione del Garante in ordine alla conoscenza e alla gestione del contenzioso in materia di protezione dei dati, costituiti dall'obbligo di notifica all'Autorità di tutti i ricorsi presentati all'autorità giudiziaria ordinaria concernenti l'applicazione del Codice (art. 152, comma 7) e, per le cancellerie, dall'obbligo di trasmettere al Garante copia dei provvedimenti emessi in relazione a quanto previsto dal Codice o in materia di criminalità informatica (art. 154, comma 6). Oltre a fornire un'informazione ampia sull'evoluzione della giurisprudenza in materia, tali strumenti permettono all'Autorità di intervenire nelle controversie in cui, pur non essendo direttamente coinvolta, sono in discussione profili di carattere generale sulla protezione dei dati.

18.2. I profili procedurali
L'art. 152 prevede infatti che tutte le controversie riguardanti l'applicazione del Codice sono devolute all'autorità giudiziaria ordinaria (comma 1), con ricorso da depositare nella cancelleria del tribunale del luogo ove risiede il titolare del trattamento (comma 2).

Anche nel 2007, tuttavia, il giudice amministrativo si è dovuto pronunciare su di un ricorso in materia di protezione di dati personali.

Si è rivolta al Tribunale amministrativo regionale del Lazio una società operante nel settore del direct marketing chiedendo l'annullamento, previa sospensione, del provvedimento del Garante del 15 luglio 2004 [doc. web n. 1032381] concernente l'individuazione delle modalità di inserimento e di successivo utilizzo dei dati personali relativi agli abbonati negli elenchi telefonici cartacei o elettronici. Costituitasi in giudizio, l'Autorità ha eccepito il difetto di giurisdizione del giudice amministrativo, alla luce della ricordata chiara dizione normativa.

Dopo avere respinto la domanda di sospensione presentata dalla ricorrente (ordinanza del 25 maggio 2005) il Tribunale, con sentenza n. 2664 del 27 marzo 2007, ha dichiarato inammissibile il ricorso in quanto la controversia rientra appunto nella giurisdizione dell'autorità giudiziaria ordinaria.

Con sentenza n. 5091 del 2 ottobre 2007 il Consiglio di Stato ha confermato tale decisione.

In tema di competenza territoriale assume particolare interesse la decisione della Corte di cassazione concernente una fattispecie nella quale l'interessato ha proposto opposizione avverso un provvedimento emesso dal Garante nei confronti di più titolari del trattamento i quali risiedono in luoghi situati nel circondario di tribunali diversi. Adita dall'interessato con regolamento di competenza, la Suprema Corte ha rilevato che con la disposizione del comma 2 dell'art. 152 il legislatore ha istituito una competenza territoriale assoluta e inderogabile, con conseguente inapplicabilità sia del disposto dell'art. 33 c.p.c. in materia di cumulo soggettivo, che può determinare lo spostamento di competenza territoriale solo ove questa abbia carattere relativo e derogabile, sia del foro erariale di cui all'art. 25 c.p.c., norma generale sulla quale prevale la disposizione speciale posta dall'art. 152 del Codice.

Ne consegue, ha concluso la Cassazione, che avendo il ricorrente attribuito a tutte le società convenute la titolarità di più trattamenti lesivi, egli deve impugnare il provvedimento del Garante e proporre separate domande avanti a ciascuno dei giudici nel cui territorio hanno sede le convenute. Ogni giudice possiede quindi competenza in ordine alla controversia inerente al provvedimento dell'Autorità per la parte in cui il provvedimento stesso riguarda il titolare che in quel circondario ha attratto la competenza (Cass. civ., sez. III, ord. n. 23280 del 25 settembre 2007).

Anche nel 2007 è stato proposto un ricorso straordinario al Presidente della Repubblica nei confronti di un provvedimento del Garante. Come riferito nella Relazione 2006, con parere n. 2265/2005, emesso nell'ambito di un analogo procedimento, il Consiglio di Stato ha ritenuto ammissibile tale ricorso anche nei confronti dei provvedimenti delle autorità indipendenti in quanto rimedio amministrativo previsto, ai sensi dell'art. 8, comma 1, d.P.R. 1199/1971, nei confronti di tutti gli atti amministrativi definitivi, a prescindere dall'attribuzione di una materia ad una determinata giurisdizione.

18.3. I profili di merito
Un aspetto che caratterizza le controversie concernenti la protezione dei dati personali attiene alla individuazione e liquidazione dei danni conseguenti ai trattamenti illeciti.

L'art. 15 del Codice sancisce l'obbligo a carico di ogni soggetto che effettua un trattamento di dati personali di risarcire ai sensi dell'art. 2050 c.c. il danno, anche non patrimoniale, cagionato per effetto del trattamento stesso.

Il Codice non attribuisce al Garante alcuna competenza in questa materia, riservata alla competenza esclusiva dell'autorità giudiziaria ordinaria (art. 152, comma 12) la quale nel corso del 2007, si è pronunciata più volte sulle richieste di risarcimento proposte dagli interessati con decisioni emesse in fattispecie in cui non erano in discussione provvedimenti adottati dall'Autorità.

L'esame di tali decisioni permette di rilevare che, mentre vi è uniformità di giudizio in ordine alla necessità che l'interessato assolva in maniera rigorosa all'onere della prova della sussistenza del danno patrimoniale di cui chieda il ristoro al fine della concessione del relativo risarcimento, altrettanta uniformità non si riscontra relativamente alla sussistenza della prova del danno non patrimoniale.

Premesso che il richiamo operato dall'art. 15 del Codice all'art. 2050 c.c. attiene alla dimostrazione della responsabilità e non del danno subìto, alcune pronunce attribuiscono il risarcimento per il solo fatto dell'esistenza della violazione della normativa in materia di protezione dei dati, ritenendo quindi –seppur implicitamente– che tale violazione sia di per sé produttiva di danno, anche a prescindere dalla sua concreta dimostrazione e, per quanto può evincersi dalla lettura delle decisioni, in presenza della sola generica allegazione da parte dell'interessato di alcuni profili atti astrattamente ad integrarlo, solitamente indicati nella lesione all'onore e alla reputazione o, più genericamente, alla riservatezza.

In altre decisioni, di minor numero, il difetto dell'allegazione di elementi probatori relativi all'esistenza del danno non patrimoniale ha invece condotto al rigetto della relativa domanda; ulteriori pronunce hanno liquidato tale voce di danno proprio in presenza di elementi di prova, in genere identificati in documentate alterazioni dello stato di salute dell'interessato.

Relativamente, infine, al profilo relativo alla liquidazione del danno non patrimoniale, le pronunce in esame hanno adottato concordemente il criterio equitativo, basato su parametri individuati, a seconda dei casi, nella quantità dei dati oggetto di trattamento, nell'arco di tempo nel quale questo si è protratto, nelle modalità utilizzate dall'agente, specie in casi di diffusione illecita delle informazioni personali, nel contesto generale nel quale si è concretata la condotta illecita e il suo grado di offensività.

18.4. Le opposizioni ai provvedimenti del Garante
Nel corso del 2007 sono state proposte diciotto opposizioni ad altrettanti provvedimenti del Garante, di cui nove nei confronti di decisioni assunte a seguito di ricorso, mentre tre hanno riguardato provvedimenti adottati su segnalazione degli interessati.

La casistica indica che quattro opposizioni sono state proposte nei confronti di provvedimenti assunti d'ufficio dal Garante all'esito di attività istruttorie svolte nell'ambito della verifica, compiuta anche attraverso l'espletamento di accertamenti ispettivi, della liceità dei trattamenti dei dati effettuati nei più vari settori di attività.

Due, infine, sono state le opposizioni proposte nei confronti di ordinanze ingiunzioni concernenti il pagamento di sanzioni amministrative comminate dall'Autorità sulla base dell'accertamento della violazione delle rispettive disposizioni del Codice.

Nel corso del 2007 sono intervenute undici decisioni dell'autorità giudiziaria relative a opposizioni a provvedimenti del Garante, che in tali giudizi si è sempre costituito.

Due opposizioni sono state proposte da società titolari del trattamento aventi sede in luoghi situati nel circondario di tribunali diversi, nei confronti del medesimo provvedimento del 9 febbraio 2005 [doc. web n. 1142194] con il quale il Garante ha ordinato alle due società, che gestiscono per finalità di informazione commerciale banche dati contenenti informazioni desunte dai pubblici registri immobiliari tenuti dalle agenzie del territorio, di cancellare i dati dell'interessato relativi a un pignoramento iscritto a proprio carico, di cui era stata successivamente annotata la cancellazione. Il Garante ha assunto tale decisione a seguito all'entrata in vigore della legge n. 311/2004 il cui art. 1, al comma 367, ha disposto il divieto di riutilizzazione commerciale di tali dati.

Le due opposizioni hanno trovato accoglimento.

Con la prima decisione il Tribunale di Roma, con sentenza n. 6546 del 27 marzo 2007, pur riconoscendo corretto l'esame del ricorso da parte del Garante alla luce della disposizione entrata in vigore nelle more del procedimento, ha tuttavia ritenuto che la conservazione delle informazioni da parte delle società non potesse ritenersi illegittima, in quanto la norma non prevede un divieto assoluto di riutilizzazione, che è invece ammesso seppur subordinato alla stipula di specifiche convenzioni con l'Agenzia del territorio.

Nell'accogliere la seconda opposizione il Tribunale di Monza ha osservato che l'interessato non aveva posto a base della richiesta di cancellazione la disposizione di legge applicata dal Garante; ha quindi ritenuto che non potesse applicarsi nella specie il diritto all'oblìo invocato dal ricorrente e che non potesse trovare accoglimento la richiesta di cancellazione del dato relativo al pignoramento immobiliare e dell'annotazione della sua cancellazione (sentenza n. 151 del 15 gennaio 2007).

Deve peraltro rilevarsi che in un caso di opposizione proposta avverso un analogo provvedimento l'ordine di cancellazione dei dati adottato del Garante (Provv. 17 febbraio 2005 [doc. web n. 1148378]) è stato invece confermato dal Tribunale di Roma che, con sentenza n. 22621 del 6 febbraio 2007, ha modificato la pronuncia dell'Autorità nel solo capo concernente la determinazioni sulle spese, che sono state compensate, con la motivazione che il Garante avrebbe dovuto tenere conto della legittimità del trattamento dei dati operato dalla società resistente sino alla data di entrata in vigore della normativa che ne ha successivamente vietato il riutilizzo.

È stata respinta (Tribunale di Roma, sentenza n. 15454 del 28 giugno 2007) l'opposizione proposta nei confronti del provvedimento adottato dal Garante il 17 febbraio 2005 [doc. web n. 1148335] con il quale, ai sensi dell'art. 8 del Codice, è stata ribadita l'inammissibilità di un ricorso proposto nei confronti della Banca d'Italia.

Nel settore del trattamento dei dati nello svolgimento dell'attività giornalistica è stato respinto il ricorso proposto da una società editrice di una trasmissione televisiva avverso il provvedimento del 12 gennaio 2006 [doc. web n. 1213631] con il quale l'Autorità ha vietato l'ulteriore diffusione di dati personali sensibili, idonei a rivelare informazioni sulla sfera sessuale, relativi a un noto personaggio pubblico in quanto ritenuta esorbitante dal legittimo esercizio del diritto di cronaca e lesiva dei diritti della personalità dell'interessato. Il Tribunale di Roma, con sentenza n. 10455 del 15 maggio 2007, ha in particolare ritenuto che, fermo restando che la pubblicazione di notizie relative alle abitudini sessuali di una persona può essere lecita se questa riveste una posizione di particolare rilevanza sociale o pubblica (art. 11, comma 2 del codice di deontologia del settore), nel caso in esame il servizio giornalistico non presentasse alcuna attinenza con le ragioni della notorietà del personaggio.

Ancora, in materia di trattamento dei dati in ambito giornalistico ha trovato conferma la pronuncia del 5 ottobre 2006 [doc. web n. 1356268] con cui il Garante ha ritenuto lecita la pubblicazione su di un quotidiano di un articolo contenente ampi stralci di un verbale di interrogatorio reso dall'interessata all'autorità giudiziaria quale persona informata sui fatti, nonché di talune intercettazioni telefoniche acquisite nell'ambito di una nota vicenda giudiziaria. Nella specie il Tribunale di Roma, con sentenza n. 8174 del 19 aprile 2007, ha respinto l'opposizione proposta dalla società editrice, ritenendo che la pubblicazione dell'articolo fosse espressione del legittimo esercizio del diritto di cronaca, riportando notizie pertinenti e non più coperte dal segreto istruttorio.

È stata infine proposta opposizione anche avverso due provvedimenti di divieto del trattamento del 14 dicembre 2006 [doc. web. n. 1370954] adottati dal Garante in sostituzione dei provvedimenti provvisori di blocco assunti nei confronti di una società concessionaria di reti televisive (Provvedimenti 10 ottobre 2006 e 19 ottobre 2006 [doc. web nn. 1345622 e 1350853], v. Relazione 2006). Il Tribunale ha dichiarato la cessazione della materia del contendere in relazione alle opposizioni proposte nei confronti dei provvedimenti di blocco, sostituiti e pertanto non più efficaci. I giudizi relativi alle opposizioni avverso i provvedimenti di divieto sono in corso.

Si è definitivamente concluso il giudizio avente per oggetto l'opposizione proposta da un'associazione senza scopo di lucro nei confronti di una contestazione di violazione amministrativa elevata dal Garante in relazione all'omessa notifica, ai sensi dell'art. 37 del Codice, del trattamento dei dati sensibili relativi agli associati. Con sentenza n. 25097 del 5 dicembre 2006 il Tribunale di Roma, nel confermare l'ordinanza di rigetto dell'istanza di sospensione dell'efficacia esecutiva della contestazione (ordinanza del 13 luglio 2006, v. Relazione 2006), ha dichiarato inammissibile il ricorso, in quanto il giudizio di opposizione disciplinato dagli artt. 22 e 23 della legge n. 689/81 va instaurato contro il provvedimento che applica la sanzione amministrativa e non avverso il verbale di accertamento della violazione, che non è di per sé lesivo di situazioni giuridiche soggettive e costituisce solo un atto di natura procedimentale.

Il Tribunale di Milano (sentenza n. 835 del 23 gennaio 2007) ha confermato il provvedimento del 18 maggio 2006 [doc. web n. 1299100] con il quale il Garante ha ritenuto legittime sia la segnalazione effettuata alla Centrale rischi della Banca d'Italia da una società di intermediazione finanziaria abilitata all'esercizio di attività di cartolarizzazione dei crediti, in quanto soggetta al potere di vigilanza della Banca e destinataria dell'obbligo di segnalazione, sia la cessione del credito ad altra società in virtù di informativa semplificata, ammessa in caso di cessione in blocco di crediti. Il Tribunale ha, altresì, rilevato che i dati oggetto delle segnalazioni alla Centrale rischi non possono ritenersi inclusi nell'ambito dei dati sensibili, come definiti dall'art. 4, comma 1, lett. d), del Codice.

È stata respinta (Tribunale di Milano, sentenza n. 1207 del 31 gennaio 2007) l'opposizione al provvedimento del 24 maggio 2006 [doc. web n. 1298784] con il quale il Garante ha dichiarato l'illiceità del trattamento dei dati personali effettuato da una società operante nel settore dell'arredamento in occasione del rilascio di carte di fidelizzazione della clientela. In particolare, il Tribunale ha confermato i rilievi mossi dall'Autorità in ordine all'inidoneità dell'informativa resa alla clientela e alla conseguente mancata acquisizione di un autonomo, libero e specifico consenso per lo svolgimento dei distinti trattamenti di marketing e di quelli connessi alla definizione dei profili individuali dei clienti. La decisione ha sottolineato la particolare pertinenza del richiamo, nel provvedimento del Garante impugnato, alle regole di correttezza e di buona fede che devono disciplinare la formulazione dell'informativa e che impongono il ricorso a modalità chiare e inequivoche.

È stato, infine, confermato dall'autorità giudiziaria (Tribunale di Milano, sentenza n. 13671 del 13 novembre 2007) anche il provvedimento del 5 ottobre 2006 [doc. web n. 1357375] con il quale l'Autorità ha ritenuto lecito il trattamento di dati personali di un dipendente, effettuato da un istituto di credito al fine di esercitare il proprio potere di controllo sul corretto svolgimento delle mansioni affidate. È stata in particolare confermata la legittimità dell'utilizzo da parte della banca, al fine di verificare la complessiva correttezza dell'operato del dipendente, anche di informazioni relative a rapporti personali da questi intrattenuti con l'istituto in qualità di correntista, alla luce del particolare ambito lavorativo considerato e dell'importanza e delicatezza del ruolo ricoperto nella banca dall'interessato.

18.5. L'intervento del Garante nei giudizi relativi all'applicazione del Codice
Conformemente agli indirizzi giurisprudenziali e al parere espresso dall'Avvocatura generale dello Stato –che si è pronunciata in termini favorevoli alla costituzione in giudizio del Garante, ritenendo essenziale che l'Autorità possa far valere le proprie ragioni, a tutela unicamente dell'interesse pubblico, tenendo conto delle sue specifiche e caratteristiche funzioni– il Garante ha limitato la propria attiva presenza, nei giudizi che non coinvolgono direttamente pronunce dell'Autorità, ai soli casi in cui sorge, o può sorgere, la necessità di difendere o comunque far valere particolari questioni di diritto.

In questo quadro, l'Autorità ha comunque seguito con attenzione tutti i contenziosi nei quali non ha ritenuto opportuno intervenire, chiedendo alle avvocature distrettuali dello Stato di essere informata sullo svolgimento delle vicende processuali e di riceverne comunicazione in merito agli esiti.

Per la novità e la rilevanza della questione, che investiva un aspetto generale concernente la corretta applicazione del Codice in ordine alle modalità di acquisizione in Internet e utilizzazione in giudizio di dati di traffico telematico, il Garante (v. par. 14.1), si è costituito presso il Tribunale di Roma nei sopra menzionati giudizi con i quali alcune società intendevano ottenere da taluni fornitori di servizi di comunicazione elettronica le generalità di soggetti ritenuti responsabili di avere scambiato file protetti dal diritto d'autore tramite reti peer to peer. Il Tribunale ha accolto quanto prospettato dal Garante.