Commento a cura di Nicola Fabiano, avvocato – Esperto legale, Processo Civile Telematico – Plus Plus 24 Diritto
Corte di Cassazione – Sentenza n. 10510/2016 del 20/5/2016
Recentemente la Corte di Cassazione, con la sentenza n. 10510/2016 del 20/5/2016, si è pronunciata sul diritto di una persona fisica a non vedere pubblicati i propri dati personali nei provvedimenti giudiziari.
Il fatto: una persona promuoveva un giudizio dinanzi alla Corte dei Conti per la Regione Siciliana – Sezione giurisdizionale di Palermo – e, all’esito del giudizio, la sentenza veniva pubblicata con i dati personali del ricorrente relativi alla salute e alle sue invalidità. L’interessato, quindi, chiedeva al Tribunale di Palermo la condanna della Corte dei Conti o della Presidenza del Consiglio dei Ministri al risarcimento dei danni per illegittima divulgazione dei dati sensibili.
Il Tribunale di Palermo dichiarava la carenza di legittimazione passiva della Presidenza del Consiglio dei Ministri e nel merito rigettava la domanda proposta non ravvisando alcun illecito da parte della Corte dei Conti. L’interessato proponeva ricorso per cassazione. La Suprema Corte, con la su citata sentenza, ha accolto il ricorso, cassato la sentenza e rinviato anche per le spese al Tribunale di Palermo in diversa composizione.
La motivazione della sentenza in questione, sebbene succinta, è molto puntuale e affronta correttamente la queastio iuris. In materia di protezione dei dati personali, l’art. 52 del D.Lgs. 196/2003 statuisce:
“1. …l”interessato può chiedere per motivi legittimi, con richiesta depositata nella cancelleria o segreteria dell’ufficio che procede prima che sia definito il relativo grado di giudizio, che sia apposta a cura della medesima cancelleria o segreteria, sull’originale della sentenza o del provvedimento, un’annotazione volta a precludere, in caso di riproduzione della sentenza o provvedimento in qualsiasi forma, per finalità di informazione giuridica su riviste giuridiche, supporti elettronici o mediante reti di comunicazione elettronica, l’indicazione delle generalità e di altri dati identificativi del medesimo interessato riportati sulla sentenza o provvedimento.
2. Sulla richiesta di cui al comma 1 provvede in calce con decreto, senza ulteriori formalità, l’autorità che pronuncia la sentenza o adotta il provvedimento. La medesima autorità può disporre d’ufficio che sia apposta l’annotazione di cui al comma 1, a tutela dei diritti o della dignità degli interessati.
3. Nei casi di cui ai commi 1 e 2, all’atto del deposito della sentenza o provvedimento, la cancelleria o segreteria vi appone e sottoscrive anche con timbro la seguente annotazione, recante l’indicazione degli estremi del presente articolo: “In caso di diffusione omettere le generalità e gli altri dati identificativi di …”.
4. In caso di diffusione anche da parte di terzi di sentenze o di altri provvedimenti recanti l’annotazione di cui al comma 2, o delle relative massime giuridiche, è omessa l’indicazione delle generalità e degli altri dati identificativi dell’interessato.”
Alla luce della norma appena citata il Tribunale di Palermo aveva rigettato la domanda sulla considerazione che l’interessato non aveva richiesto la preclusione della pubblicazione dei propri dati personali. La Corte di Cassazione, invece, ha posto a supporto della propria motivazione altra norma del codice privacy e specificamente l’art. 22, il cui comma 8 dispone “I dati idonei a rivelare lo stato di salute non possono essere diffusi”.
La prevalenza dell’art. 22 rispetto al successivo art. 52 è giustificata in quanto la prima norma è collocata nella Parte I del codice privacy che contiene le disposizioni generali e specificamente nel Titolo III (Regole generali per il trattamento dei dati). L’art. 52, invece, è collocato nella Parte II che contiene le disposizioni relative a specifici settori e detta disciplina non può prescindere da quella di carattere generale.
L’importante sentenza della Cassazione offre l’opportunità per affrontare il tema – quanto mai attuale – del rapporto tra protezione dei dati personali e pubblicazione delle sentenze.
Com’è noto la ormai prossima entrata in vigore del Regolamento eIDAS (910/2014) fissata all’1/7/2016 impone la modifica delle norme del CAD (D.Lgs. 82/2005) che siano incompatibili con il citato Regolamento, prevalente quale fonte di rango comunitario, sulla normativa nazionale. Allo stesso modo, ma ancor prima della entrata in vigore (24/5/2016) del Regolamento 679/2016 che riforma la disciplina europea della protezione dei dati personali, sono state proposte alcune modifiche al codice sulla protezione dei dati personali (c.d. codice privacy – D.Lgs. 196/2003). In tale fase di modifica normativa lo schema di decreto legislativo da adottare, con l’art. 62, introdurrebbe all’art. 52 del codice privacy il seguente comma
“4-ter. Le sentenze e le altre decisioni rese dall’autorità giudiziaria successivamente al 1° gennaio 2016 sono pubblicate sui siti Internet istituzionali delle autorità che le hanno emanate, su quelli di terzi e in qualsiasi forma, per finalità di informazione giuridica su riviste giuridiche, supporti elettronici o mediante reti di comunicazione elettronica, previa anonimizzazione dei dati personali in esse contenuti, fatti salvi quelli dei giudici e degli avvocati”.
Il Consiglio di Stato si è pronunciato nuovamente (a seguito del precedente parere 785 del 23/3/2016) con il parere n. 1204/2016 del 17/5/2016 nella Adunanza della Commissione speciale dell’11 maggio 2016, reso appunto in ordine allo Schema di decreto legislativo recante “modifiche e integrazioni al Codice dell’Amministrazione Digitale di cui al decreto legislativo 7 marzo 2005, n. 82, ai sensi dell’articolo 1 della legge 7 agosto 2015, n. 124, in materia di riorganizzazione delle Amministrazione pubbliche”.
Orbene, il parere appena citato sostanzialmente sembra contrario al testo sopra riportato poiché si afferma che “la generalizzata “anonimizzazione” delle decisioni dell’autorità giudiziaria, svincolata da una valutazione caso per caso da parte degli organi giudicanti già prevista dalla vigente normativa, potrebbe comportare – come esposto nel parere interlocutorio in epigrafe – un “ingiustificato” appesantimento dell’attività amministrativa connessa con l’esercizio della funzione giurisdizionale, con conseguenti effetti negativi sull’efficacia e sulla speditezza della stessa”.
Il parere su menzionato fa riferimento a “un “ingiustificato” appesantimento dell’attività amministrativa connessa con l’esercizio della funzione giurisdizionale, con conseguenti effetti negativi sull’efficacia e sulla speditezza della stessa”. C’è da domandarsi se costituisca “ingiustificato appesantimento” un sistema (magari software” che provveda alla anonimizzazione dei provvedimenti oppure l’evasione delle richieste (magari numerose) ex art. 52 codice privacy. Questo è lo scenario de iure condendo in ordine alle nuove norme che modificheranno quelle del CAD e, con l’entrata in vigore del Regolamento europeo sulla protezione dei dati personali, anche del codice privacy.
Tuttavia, sull’argomento afferente la pubblicazione sui siti web istituzionali delle sentenze e – specificamente – dei dati personali degli interessati non si può prescindere dai diversi provvedimenti emanati dal Garante per la protezione dei dati personali, tra cui l’Autorizzazione n. 7/2007 al trattamento dei dati a carattere giudiziario da parte di privati, di enti pubblici economici e di soggetti pubblici del 28 giugno 2007, le “Linee guida in materia di trattamento di dati personali nella riproduzione di provvedimenti giurisdizionali per finalità di informazione giuridica del 2 dicembre 2010 (in G. U. n. 2 del 4 gennaio 2011)” – entrambi citati nella motivazione della sentenza della Cassazione in commento – nonché la Relazione annuale 2014 e la Lettera di Antonello Soro al Presidente della Camera arbitrale per i contratti pubblici presso l’A.N.A.C. avente ad oggetto “pubblicazione nel sito Internet dell’A.N.A.C. dei lodi arbitrali depositati presso la Camera arbitrale per i contratti pubblici” del 17/3/2016.
Peraltro, anche in occasione dell’evento organizzato dalla FIIF-CNF “I Fori fanno rete” che si è tenuto a Roma il 3/7/2015, il Garante europeo dott. Giovanni Buttarelli ha stigmatizzato la pubblicazione sui siti web dei provvedimenti giudiziari con i dati personali in chiaro, anche perché sembrerebbe che non vi siano in Europa istituzioni che provvedono alla pubblicazione integrale dei provvedimenti.
Il tema è particolarmente delicato e non v’è dubbio che si debba valutare se esista la preminenza dell’interesse alla diffusione del provvedimento rispetto all’altro di protezione dei dati personali. La pubblicazione dei provvedimenti giudiziari sui siti web costituisce diffusione dei dati personali, soprattutto se si tratti di dati sensibili.
Il Garante, con la relazione 2014, ha messo in rilievo quanto la società dell’informazione abbia inciso profondamente sulla vita e sulle modalità lavorative tanto da non sottovalutare i rischi della rete Internet seppur sommariamente indicati. La disponibilità in rete di dati personali costituisce fonte di altissimo rischio per gli interessati poiché proliferano attività criminose i cui autori – anche nel c.d. black market – mercificano e sfruttano illecitamente i dati personali. In sostanza, i dati personali sono di assoluto interesse per ogni tipo di attività illecita, con effetti molto spesso devastanti per gli individui (si immagini al furto d’identità che capita sempre più frequentemente). Il dato personale costituisce un valore, proprio perché connesso a quello assoluto della persona.
È vero che le esigenze di documentazione, di studio, di accrescimento della cultura giuridica sono rilevanti ma non è possibile prescindere dalle norme contenute nell’art. 8 della Carta dei diritti fondamentali dell’Unione europea (ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano) e dall’art. 8 della Convenzione europea per la salvaguardia dei diritti dell’uomo (CEDU), testi entrambi richiamati nella su menzionata lettera inviata dal Garante relativa alla pubblicazione sul sito ANAC, che esprimono principi fondamentali. Allo stesso modo è necessario valutare il contemperamento tra le esigenze di trasparenza e quelle di protezione dei dati personali la cui diffusione favorisce l’illecito utilizzo degli stessi.
Del resto, l’esame dei provvedimenti giudiziari per esigenze di studio, di accrescimento della cultura giuridica, prescindono dai dati personali delle parti e riguardano unicamente il contenuto della motivazione. Pertanto, non si comprende quale sia la ratio sottesa alla diffusione incondizionata dei dati personali contenuti nei provvedimenti giudiziari. Peraltro, il nuovo Regolamento UE sulla protezione dei dati personali (GDPR), recentemente entrato in vigore e la cui applicazione è differita al 25/5/2018, disciplina un nuovo istituto – fra gli altri – che è quello della “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita” (art. 25) ciò che è noto ai più come data protection by design and by default.
Ai sensi del citato art. 25 “il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati”.
Se è vero che la concreta applicazione del citato Regolamento decorrerà dal 25 maggio 2018, è altrettanto vero che la soluzione adottata si inserisce nel solco di quanto deliberato dalla Conferenza mondiale dei Garanti nel 2010, mediante l’adozione della storica risoluzione sulla Privacy by Design (PbD).
Al di là delle differenze concettuali e metodologiche tra le due definizioni l’approccio è quello di considerare la protezione preventiva dell’interessato rispetto a qualsiasi attività progettuale
In linea con questi principi non è difficile pensare alle soluzioni che potrebbero, anche in tempi rapidi, contribuire alla protezione dei dati personali. Una prima ipotesi – sebbene non definitiva ma certamente contenitiva dei potenziali danni che si possono causare con la diffusione – potrebbe essere quella di evitare la divulgazione incondizionata erga omnes dei dati personali contenuti nei provvedimenti semplicemente pubblicando questi ultimi in un’area riservata e magari con una connessione protetta con protocollo https.
Altra ipotesi non complessa potrebbe essere quella di dotare le piattaforme sul processo telematico o le cancellerie/segreterie dei giudici di un algoritmo che provveda ad anonimizzare i dati personali delle parti anche in assenza di una specifica richiesta della parte ex art. 52 del codice privacy. Tuttavia, di soluzioni ce ne sono diverse e, comunque, non risolvono la questione di principio che – a parere di chi scrive – vede la prevalenza dell’interesse pubblico della protezione della persona e, quindi, dei dati personali.
Resta una questione culturale che, rispetto alla protezione dei dati personali, non può prescindere dall’approccio user centric dell’individuo.
Non resta altro che attendere le modifiche che saranno adottate sia con riferimento al CAD sia al codice privacy.
