La risarcibilità del danno non patrimoniale da lesione della riservatezza dei dati sanitari per la illecita pubblicazione di una banca dati di sentenze su Internet

Tribunale di Palermo, Sez. I. Civile, Sentenza n. 5261/2017 (conforme a 5214, 5219 e 5225) pub. il 05/10/2017, Giudice Dott. Fabrizio Lo Forte, nel giudizio di rinvio su:
Corte di Cassazione, sez. I, Sentenza 20/05/2016 n° 10510, 10511,10512,10513
La diffusione su internet (in assenza di misure tecniche di protezione) di un provvedimento giurisdizionale contenente informazioni idonee a rivelare lo stato di salute lede il diritto alla riservatezza e dà origine al risarcimento del danno. Qual è l’onere probatorio gravante sul danneggiato? Il danno per equivalente non è in re ipsa ma la prova ben può essere raggiunta per presunzioni se il pregiudizio allegato è serio e non futile.
Sommario: I. Introduzione – II. La fattispecie – III. Riservatezza: lesione di diritti fondamentali ed onere della prova: le questioni poste nel giudizio del rinvio – IV. Il responsabile è la Corte dei Conti, la tesi del Tribunale di Palermo per l’individuazione è conforme al diritto europeo
[Massima redazionale]
“Cionondimeno, deve ritenersi – alla stregua di una valutazione basata su nozioni di comune esperienza e conoscenza – che alla consapevolezza dell’indebita ostensione non già di generici dati relativi alle proprie generalità ricavabili anche aliunde, bensì di delicate informazioni di carattere personalissimo concernenti le proprie condizioni (patologiche) di salute ad una platea numericamente indefinita e potenzialmente alquanto estesa di soggetti (derivante appunto dalla diffusione di tali informazioni mediante pubblicazione su una banca dati online liberamente accessibile tramite internet) ordinariamente si accompagni uno stato di comprensibile disagio e tensione interiore: stato pregiudizievole, questo, che appare munito di connotati di “serietà” e “non futilità” (nell’accezione delineata dalla citata sentenza della Corte di Cassazione, SS.UU  n. 26972/08) tali da renderlo meritevole di ristoro per equivalente pecuniario […] vertendosi in tema di lesione di un bene giuridico immateriale, il ricorso ad una prova di tipo presuntivo appare inevitabilmente destinato ad assumere particolare rilievo.”

La fattispecie

Il Tribunale di Palermo, in diversa composizione, si è pronunciato nel giudizio di rinvio a seguito dell’annullamento – disposto dalla Corte di Cassazione – della precedente sentenza di rigetto (Trib. Civ. Palermo n. 430/10) resa nell’ambito dello stesso procedimento civile in cui il primo giudice non aveva ravvisato alcun illecito da parte della Corte dei Conti.
Il procedimento era stato promosso, con ricorso ex art. 152, D.Lgs. 30 giugno 2003, n. 196, nei confronti della Corte dei Conti e della Presidenza del Consiglio dei Ministri al fine di sentire dichiarare l’illiceità del trattamento dei relativi dati personali sensibili, posta in essere mediante l’integrale pubblicazione, sulla banca dati della giurisprudenza della Sezione Giurisdizionale per la Regione Sicilia (liberamente accessibile al pubblico tramite internet mediante la consultazione del portale online denominato “www.corteconti.it”) di numerose sentenze relative a procedimenti finalizzati al conseguimento di trattamenti pensionistici nei quali i ricorrenti medesimi erano stati parti: pronunce le cui motivazioni contenevano riferimenti, anche analitici, alle rispettive condizioni di salute e a patologie dalle quali gli stessi erano affetti (ricavabili dal contenuto degli atti processuali e dalla documentazione ad essi allegata).
I ricorrenti infatti, avevano presentato illo tempore, ciascuno in proprio, ricorsi in materia pensionistica, ora civile ora militare e di guerra, tutti decisi, dal 2001 ad 2006, dalla Corte dei Conti per la Regione Siciliana, Sezione Giurisdizionale di Palermo.
I ricorsi avevano ad oggetto il riconoscimento di benefici pensionistici, quali il trattamento di pensione privilegiata o di reversibilità o l’aggravamento della categoria di pensione già goduta, a seguito della riconosciuta invalidità o infortuni patiti durante la guerra, il servizio militare o in altri casi.
Pur con esiti diversi, la Corte dei Conti aveva valutato la ricorrenza dei presupposti medici e giuridici in capo ai richiedenti per il riconoscimento o meno del trattamento richiesto; tali valutazioni, con l’indicazione specifica della patologia sofferta, degli accertamenti medici subìti o addirittura della completa trascrizione della cartella clinica sono confluiti nelle Sentenze della Corte a definizione dei rispettivi giudizi.
 

Riservatezza: lesione di diritti fondamentali ed onere della prova: le questioni poste nel giudizio di rinvio

La giurisprudenza di legittimità è generalmente uniforme nel ritenere che, il c.d. danno da lesione della privacy abbia natura giuridica di “danno conseguenza” e debba essere provato specificamente in giudizio (ex art. 2043 c.c.), non potendosi ritenere la prova “in re ipsa” come avviene nell’ipotesi di “danno-evento” in cui il pregiudizio è strettamente connesso all’accertamento della violazione del diritto della persona.
Infatti la Corte di Cassazione pur acclarando l’illiceità del trattamento, allorché aveva dichiarato la prevalenza dell’art. 22 rispetto all’art. 52 del D.lgs. 196/2003 nel bilanciamento degli opposti interessi di tutela individuale della riservatezza del privato rispetto a quelli generali e pubblici di conoscibilità del precedente giudiziario, tuttavia aveva affermato che, nel caso in esame, doveva considerarsi “illecita la diffusione delle generalità dei ricorrenti con riferimento a provvedimenti giurisdizionali ove si indicava il loro stato di salute e le loro invalidità”, cassando la sentenza impugnata e rimettendo gli atti al Tribunale per la valutazione degli ulteriori profili controversi, afferenti “l’esistenza e la consistenza del danno” e “l’indicazione del responsabile”.
Restava, quindi, ancora da stabilirsi quali fossero le conseguenze dell’illecito; il Tribunale ha premesso ad ogni altra considerazione che, in ordine all’esistenza ed alla prova del danno, va rilevato a mente dell’art. 15 del D.Lgs. n. 196/03, che “Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile” e che, sì come ulteriormente precisato dal comma 2 della medesima disposizione, “Il danno non patrimoniale è risarcibile anche in caso di violazione dell’articolo 11”, ossia per l’ipotesi di trattamento di dati personali in modo illecito, non conforme a correttezza ovvero comunque in violazione della vigente disciplina normativa in materia.
“Va, inoltre, osservato che in tema di risarcimento del danno non patrimoniale per violazione del cd. “Codice della privacy”, questo non può ritenersi in re ipsa ma va allegato e provato, sia pure attraverso il ricorso a presunzioni semplici (cfr. Cass. civ., ord. n. 22100/13 in ordine all’ammissibilità della prova testimoniale finalizzata ad attestare uno stato di sofferenza fisica o psichica correlato all’illecita divulgazione di dati o informazioni personali).”
Dunque, lungi dal discostarsi dal dictum della Cassazione, il Tribunale consolida l’opportunità o meglio la necessità di fornire adeguato supporto probatorio alla domanda risarcitoria in linea con quanto affermato, del resto, esplicitamente dalla Suprema Corte con la sentenza di annullamento, cassando con rinvio e riaffermando che in ordine all’esistenza ed alla consistenza del danno occorso “il ricorrente deve fornire prova di tutti i presupposti di cui all’art. 2043 c.c., non solo il comportamento illegittimo, ma pure il danno occorso e il nesso di causalità tra comportamento ed evento dannoso”).
Va, tuttavia, ora considerato che, vertendosi in tema di lesione di un bene giuridico immateriale, il ricorso ad una prova di tipo presuntivo appare inevitabilmente destinato ad assumere particolare rilievo.
Fatte queste doverose premesse, il Tribunale prosegue nell’argomentare l’accoglimento del ricorso anche in base ai principi di derivazione europea: “il danno non patrimoniale risarcibile ai sensi dell’art. 15 del d.lgs. 30 giugno 2003, n. 196 (cosiddetto “codice della privacy”), pur determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli artt. 2 e 21 Cost. e dall’art. 8 della CEDU, non si sottrae alla verifica della “gravità della lesione” e della “serietà del danno” (quale perdita di natura personale effettivamente patita dall’interessato), in quanto “anche per tale diritto opera il bilanciamento con il principio di solidarietà ex art. 2 Cost., di cui il principio di tolleranza della lesione minima è intrinseco precipitato, sicché determina una lesione ingiustificabile del diritto non la mera violazione delle prescrizioni poste dall’art. 11 del codice della privacy ma solo quella che ne offenda in modo sensibile la sua portata effettiva. Il relativo accertamento di fatto è rimesso al giudice di merito e resta ancorato alla concretezza della vicenda materiale portata alla cognizione giudiziale ed al suo essere maturata in un dato contesto temporale e sociale” (cfr. Cass. civ., n. 16133/14).

Il responsabile è la Corte dei Conti, la tesi del Tribunale di Palermo per l’individuazione è conforme al diritto europeo

“In caso di diffusione omettere le generalità e gli altri dati identificativi dei soggetti interessati nei termini indicati.” (ESEMPIO I)
“Ritenuto che sussistano i presupposti di cui agli artt. 52 commi 1, 2 e 5 e 22, comma 8, D.lg.s. 196/2003, manda alla Segreteria di procedere, in qualsiasi ipotesi di diffusione del presente provvedimento, all’oscuramento delle generalità nonché di qualsiasi dato idoneo a rivelare lo stato di salute delle parti o di persone comunque ivi citate.” (Tar Palermo Ord. n. 714 del 2017) (ESEMPIO II)
Nel mutato contesto temporale e sociale cui parimenti fanno riferimento il Tribunale e la Corte di Cassazione, nei provvedimenti giurisdizionali è sempre più comune rilevare (in varie forme) il decreto posto in calce all’atto riportante il precetto testé indicato negli esempi.
A prescindere, quindi, dai profili di responsabilità, le Corti e le Autorità Garanti hanno avvertito da tempo il rischio di diffusione, e quindi la necessità di evitare la fuga di grandi moli di dati personali (c.d. Big Data), in assenza di specifiche misure tecniche (Cfr. Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema – in G.U. n. 300 del 24 dicembre 2008 mod. il 25 giugno 2009).
Infatti – come affermato da autorevole dottrina – si può dare per pacifica la considerazione che prima dello strumento giuridico sono le stesse misure tecnologiche a costituire il deterrente più efficace nei confronti dei comportamenti abusivi (Cfr. P. Spada, Copia privata ed opere sottochiave in Riv.dir.ind., 2002, p. 591, 596 – sulla copia indiscriminata di opere protette dalla L.D.A.).
Dunque è ormai pacifico che, a prescindere da una specifica richiesta in tal senso da parte dell’interessato, in caso di riproduzione della sentenza o provvedimento in qualsiasi forma, per finalità di informazione su riviste giuridiche, supporti elettronici o mediante reti di comunicazione elettronica, deve essere omessa l’indicazione delle generalità e di altri dati identificativi dell’interessato riportati sulla sentenza o provvedimento.
S’è detto che la conservazione dei dati personali è, infatti, sottoposta alla stretta correlazione temporale tra l’identificabilità del titolare dei dati e la finalità del relativo trattamento.
Il pericolo, allora, non riguarda tanto la pubblicazione dell’informazione, quanto la duplicazione e la permanenza della stessa nella memoria della rete, comportando l’esigenza di provvedere a un’eventuale quanto laboriosa integrazione e/o aggiornamento/rimozione del dato al fine di tutelare la proiezione sociale dell’identità personale del singolo consociato.
Infatti, in base alle fonti del diritto europeo, per come integrate dal diritto vivente delle Corti, il diritto nazionale deve assicurare la necessità ed attualità del trattamento dei dati e che i dati stessi siano rilevanti e non eccessivi in relazione alle finalità per le quali sono archiviati e conservati in una forma tale che consenta l’identificazione del titolare dei dati per una durata non maggiore di quanto necessario (Cfr. CGUE Google Spain C−131/12 – e CEDU Leander c. Svezia /Wegrzynowski – Marper C Regno Unito § 104 / Cass. Civ. Sez. I. n.15096/15 rinvio pregiudiziale ex art.267 TUF-295 c.p.c.). Deve, inoltre, prevedere adeguate garanzie che i dati personali detenuti siano efficacemente protetti contro usi illegittimi o abusi.
Sebbene la Convenzione europea dei Diritti dell’Uomo non faccia esplicito riferimento alla protezione dei dati, la Corte EDU, nei casi citati, ha fatto più volte riferimento all’Art. 8 sulla tutela della vita privata e familiare prevendendo che il ricorso a banche di dati in materia giudiziaria deve essere graduato in ragione della quantità e qualità dei dati estraibili; dando sempre la possibilità all’interessato di ottenere la rettifica o la cancellazione dei dati illegittimamente o scorrettamente archiviati.
Tornando dunque alla pronuncia in esame, ricordiamo che l’art. 2050 c.c. pone a carico di chiunque eserciti un’attività pericolosa ogni possibile conseguenza di danno a terzi, se non prova di aver adottato tutte le misure idonee ad evitare il danno (del pari la Dir.n. 95/46/CE invocata dai ricorrenti, prevedeva “il diritto di ottenere il risarcimento del pregiudizio subito dal responsabile del trattamento e che il danneggiante possa liberarsi dalla responsabilità solo con la dimostrazione che l’evento dannoso non gli è imputabile” (art. 23).  Le disposizioni ora citate pongono una questione interpretativa piuttosto complessa: quella dei rapporti fra diritto comunitario – oggi eurounitario- e diritto interno, ormai diventato un tema classico per gli operatori giudiziari che ad esso guardano, tuttavia, con una lente ancora oggi non sempre orientata a metterne a fuoco le reali coordinate (Cit. “Cinque buone ragioni pratiche per diventare giudici comuni di diritto eurounitario” di Roberto Conti in Diritto Penale Contemporaneo).
Orbene, l’individuazione del titolare (e quindi del responsabile), in assenza di specifiche contestazioni in merito è stata valutata dal Tribunale “ai sensi e per gli effetti di cui all’art. 4, lett. f) del D.Lgs. n. 196/03 (ossia di “persona fisica, persona giuridica, pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza”) nel titolare del sito www.corteconti.it.
In sintesi, i diritti della personalità sanciti dalla Costituzione non vengono affievoliti per il fatto che i dati personali sono trattati dal personale di una Corte anziché da un privato, conseguentemente il Tribunale ha considerato applicabili le norme generali relative al trattamento, in assenza di una diversa previsione. Del resto non pare che il Legislatore abbia voluto attuare livelli inferiori di tutela se il soggetto che effettua il trattamento è un soggetto pubblico.
Chiarito dunque il contesto di riferimento, il Tribunale di Palermo afferma che “In ordine ai criteri di quantificazione del danno (aventi natura necessariamente equitativa) può, in questa sede, farsi riferimento, per un verso, all’oggettiva modalità di diffusione dei dati (pacificamente realizzata, sì come sostanzialmente non contestato dalla parte resistente e dianzi anticipato, mediante la pubblicazione delle sentenze sulla banca dati della giurisprudenza delle Sezioni Giurisdizionali della Corte dei Conti liberamente accessibile al pubblico senza necessità di abbonamenti o dell’uso di password), tale da renderne obiettivamente agevole la consultazione da parte dei terzi.
Per altro verso, pure va considerato un altro dato obiettivo che depone nel senso di una, verosimile, modesta concretizzazione del rischio di divulgazione dei dati, rappresentato dalla natura eminentemente tecnica dei provvedimenti all’interno dei quali i dati medesimi erano citati (costituiti, secondo quanto allegato dagli stessi ricorrenti, in sentenze e provvedimenti resi nell’ambito di procedimenti finalizzati al conseguimento di trattamenti pensionistici): natura tale da circoscrivere estremamente l’area dei soggetti potenzialmente interessati alla relativa consultazione, tendenzialmente escludendo soggetti non specializzati ovvero comunque non operanti nel settore giuridico di riferimento.”
Con motivazione stringente, il Giudice del rinvio ha pertanto valutato la fattispecie concreta in base al principio di non contestazione, in relazione alla modalità di diffusione, ed al contesto effettivo nel quale la vicenda è verosimilmente maturata, ritenendo che la pubblicazione dei dati fosse limitata nel tempo ad alcuni mesi e valutando “l’ulteriore fatto (anch’esso pacifico tra le parti in quanto espressamente riconosciuto dai ricorrenti medesimi) costituito dall’adozione, ad opera della Corte dei Conti, di misure tecniche idonee ad interrompere la pubblica accessibilità alle sentenze in questione a decorrere “dai primi giorni del mese di Luglio 2009”.
Conseguentemente il Tribunale ha commisurato in € 2000,00, per ciascun ricorrente, l’ammontare del risarcimento dovuto in ragione dello “stato di consapevolezza – da parte dei ricorrenti – circa l’indebita conoscenza delle proprie condizioni di salute ed il conseguente disagio psicologico, costituente lo specifico (ed unico) pregiudizio di carattere non patrimoniale al quale può essere accordato ristoro”.
Conclusivamente ci si concede di osservare che la pronuncia esaminata coglie pienamente la ratio legis: l’ordinamento garantisce ad ogni soggetto il ristoro dei danni patiti, anche di natura non patrimoniale, senza duplicazione delle voci, ma senza esclusione dalla tutela dei pregiudizi effettivamente sofferti. Infatti, principio cardine dell’ordinamento europeo della tutela risarcitoria è costituito dal dualismo (material damages / moral damages) solco nel quale si è ben inserita la giurisprudenza italiana con la storica sentenza (Cass. n. 22884/2007) per cui «Non è possibile creare nuove categorie di danni ma solo adottare per chiarezza del percorso liquidatorio, voci o profili di danno con contenuto descrittivo, in virtù del fatto che il danno subito deve essere liquidato in toto, non lasciando privi di risarcimento profili del danno non patrimoniale».
The post La risarcibilità del danno non patrimoniale da lesione della riservatezza dei dati sanitari per la illecita pubblicazione di una banca dati di sentenze su Internet appeared first on Diritto.it.
Source: Diritto.it