Trattamento di dati biometrici da parte dell’Università col software che controlla lo svolgimento delle prove di accesso (sul software Respondus usato da Bocconi in epoca pandemica)

Cass. sez. I, ord. 13/05/2024   n. 12.967, rel. Tricomi:

<<3.1. – In sintesi, per quanto interessa nel presente caso, il trattamento dei dati biometrici intesi a identificare in modo univoco una persona fisica in mancanza del consenso dell’interessato è vietato ai sensi del Regolamento 2016/6790; il divieto viene meno e il trattamento è ammesso quando è necessario per motivi di interesse pubblico rilevante, in specifiche materie, tra cui rientra l’istruzione e la formazione in ambito scolastico, professionale, superiore o universitario, secondo quanto previsto dal D.Lgs. n. 196/2003, con la precisazione che il trattamento “deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato”, in linea anche con il principio di “responsabilizzazione” dettato dall’art.5, par. 2 del Regolamento 2016/679.

3.2. – Il Tribunale ha affermato che Respondus, descritto come un software che “cattura le immagini video e lo schermo dello studente identificando e contrassegnando con un flag i momenti in cui sono rilevati comportamenti insoliti e/o sospetti mediante registrazione video e istantanee scattate a intervalli casuali per tenere traccia di comportamenti anomali… Al termine della prova, il sistema elabora il video, inserendo segnali di allerta in merito a possibili indici di comportamenti scorretti … affinché il docente … possa poi valutare se effettivamente sia stata commessa un’azione non consentita nel corso della prova” (fol.12), realizza la mera acquisizione di una foto (o una registrazione video) e non configura un trattamento di dati biometrici.

In questa sequenza, secondo il Tribunale, non vi sarebbe trattamento dei dati biometrici tesi a identificare in modo univoco una persona fisica, posto che lo studente esaminato dal software non sarebbe identificato attraverso i suoi dati biometrici raccolti e trattati dal sistema Respondus, ma dal docente chiamato a vagliare il video finale.

3.3. – La conclusione è in contrasto con le norme in materia di trattamento dei dati personali e l’errore che segna la ricostruzione del Tribunale riguarda la sussunzione della fattispecie concreta nella fattispecie astratta di trattamento di dati personali, genus nel quale rientrano i dati biometrici.

3.4. – Come si evince dalla descrizione del funzionamento del software Respondus (prima ricordata e desunta dalla sentenza impugnata), questo non si limita a registrare a video la prova di esame, ma nel corso della ripresa cattura immagini della persona fisica che svolge la prova di esame e seleziona, mediante la realizzazione di video, lo scatto di istantanee ad intervalli casuali e i momenti in cui rileva comportamenti insoliti. Proprio in ragione della contestuale selezione del materiale raccolto in merito a comportamenti anomali, al termine della prova, lo stesso software realizza un video in cui confluiscono gli elementi anomali (contrassegnati da flag) che possono attenere alla conferma o meno della corrispondenza fisica della persona esaminata con lo studente (già identificato dall’Università come da sottoporre alla prova) e a ulteriori anomalie registrate; video che viene sottoposto al docente, per la sua valutazione finale in ordine alla regolarità della prova sostenuta dalla persona.

Risulta da ciò palese che le riprese video e foto realizzate da Respondus non hanno solo la funzione di documentare la prova di esame, ma si connotano per la contestuale elaborazione e selezione del materiale, di momento in momento raccolto, selezione che converge nella individuazione ed alla segnalazione di comportamenti anomali, attraverso la produzione del video finale.

Il Tribunale ha mancato di considerare che questa complessiva attività integra un autonomo e articolato trattamento dei dati biometrici acquisiti ed elaborati dallo stesso software, e attiene anche alla conferma dell’identità della persona fisica esaminata, come previsto dall’art.4, n.14 del Regolamento, giacché l’esito di detta elaborazione risulta sottoposto solo ex post al docente per la sua valutazione in ordine alla regolarità della prova.

Come ricordato dallo stesso Tribunale, il ciclo di vita dei dati biometrici è costituito dalla sequenza in quattro fasi – secondo la Descrizione accreditata dal Garante per la protezione dei dati personali, Linee Guida in materia di riconoscimento biometrico e firma grafometrica, 12 novembre 2014 – che vede:

a) Una prima fase, con un rilevamento tramite sensori specializzati (ad es. scanner per il rilevamento dell’impronta digitale) o dispositivi di uso generale (ad es. videocamera) di caratteristiche biometriche (ad es. viso dell’individuo);

b) Una seconda fase: a seguito del rilevamento si acquisisce un campione biometrico (ad es. immagine del viso);

c) Una terza fase: dal campione biometrico vengono estratti tratti (ad es. specifici punti del viso) idonei a costituire il modello biometrico che sarà conservato in una banca dati;

d) Una quarta fase, cd. del confronto (o di match): il modello biometrico viene confrontato con le effettive caratteristiche dell’individuo ed il confronto in parola consente la identificazione univoca della persona fisica.

La decisione impugnata non risulta avere tenuto conto, rettamente, di tali indicazioni, perché ha trascurato di considerare che, nel procedimento attuato mediante l’utilizzo del software Respondus, per come descritto dalla stesso Tribunale, la quarta fase di confronto appare svolgersi nel corso di tutta la ripresa, sulla scorta della elaborazione informatica dei dati di volta in volta acquisiti ed elaborati mediante la creazione di flag relativi ai comportamenti anomali, che possono riguardare anche la conferma della corrispondenza identitaria della persona ripresa in video con quella dello studente da esaminare, proprio perché già identificato dall’Università, e che il controllo conclusivo della prova di esame, affidato al docente persona fisica non esclude (ne è incompatibile con) il trattamento automatizzato dei dati biometrici, ove già attuato mediante l’impiego del software, e non lo sottrae alla disciplina dettata dall’art.9 del Regolamento 2016/679.

3.5. – Il motivo, che è dunque fondato, va accolto e il Tribunale, in sede di rinvio, dovrà procedere al riesame, attenendosi al seguente principio di diritto:

“In tema di trattamento dei dati personali, ai sensi dell’art. 9 del Reg (UE) 2016/679, ricorre un trattamento di dati biometrici, come definiti dall’art. 4, n.14 del Regolamento 2016/679, quando i dati personali sono ottenuti mediante un trattamento tecnico automatizzato specifico, realizzato con un software che, sulla base di riprese e analisi delle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica, le elabora, evidenziando comportamenti o elementi anomali, e che perviene a un esito conclusivo, costituito da una elaborato video/foto che consente (o che conferma) l’identificazione univoca della persona fisica, restando irrilevante la circostanza che l’esito finale del trattamento sia successivamente sottoposto alla verifica finale di una persona fisica“>>.

Diffamazione e obbligo per il diffamante di far rimuovere il dato anche presso terzi

Cass. sez. I, ord. 05/04/2024, (ud. 01/02/2024, dep. 05/04/2024), n. 9.068, rel. Caiazzo, pone un importante regola comportamentale a carico del diffamante, che può essere impartita dal giudice:

<<In tema di responsabilità civile per diffamazione, il pregiudizio all’onore ed alla reputazione, di cui si invoca il risarcimento, non è in re ipsa, identificandosi il danno risarcibile non con la lesione dell’interesse tutelato dall’ordinamento ma con le conseguenze di tale lesione, sicché la sussistenza di siffatto danno non patrimoniale deve essere oggetto di allegazione e prova, anche attraverso presunzioni, assumendo a tal fine rilevanza, quali parametri di riferimento, la diffusione dello scritto, la rilevanza dell’offesa e la posizione sociale della vittima(Cass., n. 8861/21; n. 25420/17; n, 13153/17). [acquisito]

Nella specie, il risarcimento dei danni non patrimoniali è stato richiesto e liquidato, sulla scorta delle allegate presunzioni afferenti alla diffusione nazionale del servizio televisivo, alla rilevanza dell’offesa e alla posizione sociale dell’offeso (professore universitario). Il terzo motivo è parimenti infondato, anche se la motivazione su tale capo del provvedimento impugnato va corretta. Invero, la Corte d’appello, in riforma della sentenza di primo grado, ha statuito la condanna della ricorrente anche alla rimozione del servizio e delle notizie che lo riproducevano dal canale youtube e dai motori di ricerca, mentre in primo grado tale ordine era stato contenuto nei limiti della disponibilità della ricorrente (con rigetto dell’istanza ex art. 614-bis, c.p.c., proprio perché la misura non dipendeva solo dalla volontà della società convenuta).

La Corte territoriale ha respinto il motivo d’appello con il quale era stato censurato il suddetto ordine poiché illegittimo – concretizzatosi nell’imposizione di un facere inattuabile senza la collaborazione dei terzi – in quanto l’art. 17, c.2, GDPR contempla un obbligo del titolare del trattamento che è non solo quello di cancellare i dati personali ma anche di adottare tutte le misure ragionevoli, anche tecniche – tenendo conto della tecnologia disponibile e dei costi di attuazione – per informare i titolari (che stanno trattando i dati personali) della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei propri dati.

Anzitutto, va ribadito, come affermato nella sentenza impugnata, l’obbligo del titolare del trattamento dei dati personali di attivarsi per la loro cancellazione, attraverso ogni attività volta alla rimozione del servizio e delle notizie che lo riproducono dai motori di ricerca (e dal canale youtube).

Circa l’eccezione d’inapplicabilità del citato art. 17, c.2, GDPR, giova rilevare che i principi affermati dai giudici di merito trovano la loro fonte nell’ordinamento europeo, sebbene il predetto art. 17 del Regolamento 2016/679 sia entrato in vigore successivamente ai fatti di causa. Al riguardo, va innanzitutto menzionata la sentenza 13 maggio 2014 della Corte di giustizia dell’Unione Europea (in causa C-131/12 Google Spain). Si tratta di una vicenda che aveva ad oggetto il problema dell’accesso ai dati esistenti sulla rete internet alla luce dell’allora vigente direttiva 95/46/CE del Parlamento Europeo e del Consiglio, poi abrogata dal Regolamento 2016/679/UE; in particolare, la terza questione esaminata (punti 89 e ss.) riguardava il diritto dell’interessato a ottenere che il motore di ricerca sopprimesse determinati dati dall’elenco dei risultati reperibili sulla rete. Circa gli importanti principi enunciati, la Corte di giustizia ha premesso (punto 92) che il trattamento dei dati personali può risultare incompatibile con l’art. 12, lett. b), della direttiva non soltanto se i dati sono inesatti, ma anche se essi sono inadeguati, non pertinenti o eccessivi in rapporto alle finalità del trattamento, oppure non aggiornati o conservati per un arco di tempo superiore a quello necessario, “a meno che la loro conservazione non si imponga per motivi storici, statistici o scientifici”. La Corte ha altresì affermato che il diritto dell’interessato, derivante dagli artt. 7 e 8 della Carta, di chiedere “che l’informazione in questione non venga più messa a disposizione del grande pubblico”, mediante la sua inclusione in un elenco accessibile tramite internet, prevale – in linea di massima – sull’interesse economico del gestore del motore di ricerca e anche su quello del pubblico a reperire tale informazione in rete; a meno che non risultino ragioni particolari, “come il ruolo ricoperto da tale persona nella vita pubblica”, tali da rendere preponderante e giustificato l’interesse generale ad avere accesso a tale informazione (punto 97).

Pertanto, può affermarsi che i principi sanciti dal suddetto art. 17 abbiano recepito quelli in precedenza già applicati dalla Corte CEDU, che trovavano la loro fonte nella Convenzione CEDU, nell’ambito di un’organica disciplina della materia.

Nel caso concreto, in particolare, circa la doglianza afferente all’inesigibilità di tale obbligo con riferimento alla rimozione del servizio televisivo per cui è causa dal canale youtube e dai motori di ricerca, il collegio ritiene che l’ambito del dovere concretamente esigibile ed applicabile nei confronti della R.T.I. Spa consista nell’attivarsi e dimostrare di averlo fatto con i responsabili dei portali che hanno fatto e fanno uso del filmato divulgato in sede televisiva. [importante]

Invero, limitarsi, da parte della società ricorrente, ad eccepire l’inapplicabilità e l’inesigibilità dell’obbligo statuito dalla Corte d’appello, perché rientrante nella disponibilità di terzi, esprime una difesa che prescinde dalla necessaria attività collaborativa intesa a impedire – per quanto possibile e nei suoi obblighi di diligenza riparativa – l’illegittimo uso, da parte di terzi, dei dati personali reputati come eccedenti.

Nella specie, la ricorrente non ha allegato di aver adottato quelle cautele e svolto quelle iniziative nei confronti dei terzi operatori, finalizzate – per quanto possibile – a limitare il danno lamentato per il carattere eccedente del “girato”; ne consegue, come detto, che la statuizione della sentenza impugnata va confermata, attraverso una parziale correzione della motivazione, nel senso che va affermato il principio secondo cui, in casi siffatti grava sulla responsabile del prodotto televisivo-informativo, eccedente i limiti della critica giornalistica, la dimostrazione di aver posto in pratica ogni iniziativa volta a rendere edotti (e persuadere) i terzi che se ne siano appropriati circa l’illegittima diffusione di filmati televisivi e “girati filmici”, già negativamente valutati sul piano della offesa alla dignità delle persone coinvolte nel prodotto veicolato.

Né può obiettarsi, al riguardo, che tale attività verso i terzi costituisca una forma di risarcimento in forma specifica eccessivamente onerosa, ex art. 2058, c. 2, c.c., in quanto essa ovviamente non implica la certezza dell’adempimento richiesto ai terzi, ma presuppone la doverosa attività volta a ottenere la cessazione dell’illegittimo trattamento dei dati personali da parte dei terzi, venendo cioè in rilievo solo un’obbligazione di mezzi, non certo di risultato. Parimenti infondata è la doglianza relativa al fatto che la Corte d’appello non avrebbe potuto statuire l’obbligo della R.T.I. Spa oltre i limiti della propria disponibilità – come invece pronunciato dal Tribunale – in mancanza dell’appello incidentale da parte del Ca.Sa., in quanto la sentenza impugnata non ha condannato la ricorrente ad una prestazione diversa da quella oggetto della sentenza di primo grado – incorrendo in un’asserita pronuncia ultra petita – ma ha solo specificato le modalità dell’obbligo gravante sul titolare del trattamento dei dati personali, in piena conformità del petitum dedotto nell’atto introduttivo del giudizio.

D’altra parte, la stessa ricorrente ha inteso attivarsi per richiedere la tutela delle opere televisive dall’uso improprio del diritto d’autore e di produttore, mentre avrebbe anche potuto e dovuto richiedere le prestazioni necessarie per tutelare i dati del controricorrente. In tal senso, la cooperazione del creditore potrebbe rendersi necessaria attraverso l’indicazione, alla R.T.I. Spa, dei motori di ricerca che avevano e hanno fatto uso del filmato in questione. Sul punto, viene in rilievo il principio di correttezza e buona fede il quale, già secondo la Relazione ministeriale al codice civile, “richiama nella sfera del creditore la considerazione dell’interesse del debitore e nella sfera del debitore il giusto riguardo all’interesse del creditore”, ma che deve essere inteso in senso oggettivo, in quanto enuncia un dovere di solidarietà, fondato sull’art. 2 della Costituzione che, operando come un criterio di reciprocità, esplica la sua rilevanza nell’imporre a ciascuna delle parti del rapporto obbligatorio, il dovere di agire in modo da preservare gli interessi dell’altra, a prescindere dall’esistenza di specifici obblighi contrattuali o di quanto espressamente stabilito da singole norme di legge, sicché dalla violazione di tale regola di comportamento può discendere, anche di per sé, un danno risarcibile (Cass., SU, n. 28056/08; Cass., n. 22819/10; n. 9200/21; n. 16743/21)>>.

Il Garante privacy ha il potere di agire d’ufficio per sanzionare un trattamento dati illecito

Importante regola affermata dalla Corte di Giustizia 14 marzo 2024, C-46/23,Budapest Főváros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala contro Nemzeti Adatvédelmi és Információszabadság Hatóság.

Seppur desumibile con una certa sicurezza dall’articolato complessivo del GDPR, è comunque importante, poichè toglie di mezzo eventiuali dubbi su un aspetto assai significativo nella pratica e non posto in modo espresso.

Quesiti proposti dal giudice ungherese:

«1)      Se l’articolo 58, paragrafo 2, in particolare le lettere c), d) e g), del [RGPD] debba essere interpretato nel senso che l’autorità nazionale di controllo può, nell’esercizio dei suoi poteri correttivi, ingiungere al titolare o al responsabile del trattamento di cancellare i dati personali trattati illecitamente anche in assenza di un’esplicita richiesta dell’interessato ai sensi dell’articolo 17, paragrafo 1, del [RGPD].

2)      Nel caso in cui si risponda alla prima questione pregiudiziale che l’autorità di controllo può ingiungere al titolare del trattamento o al responsabile del trattamento di cancellare i dati personali trattati illecitamente, anche in assenza di richiesta dell’interessato, se ciò sia indipendente dal fatto che i dati personali siano stati raccolti o meno presso l’interessato».

Intepretazione della CG:

<<1) L’articolo 58, paragrafo 2, lettere d) e g), del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che:

l’autorità di controllo di uno Stato membro è legittimata, nell’esercizio del suo potere di adozione delle misure correttive previste da tali disposizioni, a ordinare al titolare del trattamento o al responsabile del trattamento di cancellare dati personali che sono stati trattati illecitamente, e ciò anche qualora l’interessato non abbia presentato a tal fine alcuna richiesta di esercitare i suoi diritti in applicazione dell’articolo 17, paragrafo 1, di tale regolamento.

2) L’articolo 58, paragrafo 2, del regolamento 2016/679 deve essere interpretato nel senso che:

il potere dell’autorità di controllo di uno Stato membro di ordinare la cancellazione di dati personali che sono stati trattati illecitamente può riguardare sia dati raccolti presso l’interessato sia dati provenienti da un’altra fonte>>.

La targa automobilistica è dato personale e la sua diffusione on line costituisce dunque trattamento

Cass. Sez. I, Ord. 21/02/2024, n. 4648, rel. Tricomi, sulla pubblicaizone del sito del Comune della targa di un veicolo estraneo alla infrazione contestata:

<<3.3.- Va ricordato che questa Corte ha già affermato che la targa automobilistica è un dato che consente la identificazione diretta del proprietario e che ciò che assume rilievo decisivo, in materia di protezione dei dati personali è dunque, il collegamento funzionale, ai fini identificativi, tra i dati personali e la persona fisica, in presenza di condotte astrattamente riconducibili nell’alveo del trattamento (Cass. n. 19270/2021); sia pure con la precisazione, in fattispecie concernente l’impiego di parcometri evoluti atti a registrare targa e localizzazione del veicolo in sosta, che “Nonostante dal dato personale della targa, consultando il Pubblico Registro Automobilistico, è possibile risalire solo al nominativo dell’intestatario del veicolo che, in astratto, potrebbe anche non esserne l’effettivo utilizzatore o, addirittura, essere una persona giuridica, non oggetto di tutela da parte del GDPR, o un soggetto diverso dall’effettivo proprietario, il numero di targa dei veicoli costituisce in una percentuale statisticamente preponderante un dato personale idoneo a risalire alla persona dell’utilizzatore del parcometro, consentendone, dunque, la profilazione, onde il trattamento non può dirsi irrilevante sotto questo profilo (fattispecie in cui era stato contestato ad una società di aver trattato dati personali degli utenti, raccolti attraverso una certa tipologia di parcometri, senza essere stata previamente nominata quale sub-responsabile per il trattamento e, dunque, in assenza dei requisiti di interesse pubblico che insistono in capo al titolare effettivo del trattamento stesso).” (Cass. n.35256/2023).

3.4.- La decisione, che non si è conformata a questi principi risulta, pertanto, errata e la decisione va cassata.

3.5.- Nel caso di specie, infatti la visualizzazione della targa dell’autoveicolo in questione, estraneo alla violazione contestata, si colloca nell’ambito di un più ampio rilievo fotografico che, unitamente agli altri elementi confluiti nello stesso (luogo ed ora della ripresa e rappresentazione del contesto globale in cui era evidenziata la violazione riscontrata a carico del veicolo contravvenzionato), appare idoneo a consentire una profilazione, senza che sia stato nemmeno accertato che ciò poteva essere funzionale o necessario alla compiuta esecuzione del controllo amministrativo.

3.6.- Ne consegue che, in sede di rinvio il Tribunale, a fronte del trattamento della targa dell’autoveicolo di proprietà di un terzo, connesso all’accertamento dell’infrazione commessa dal conducente di altro veicolo, dovrà verificare se tale trattamento abbia esorbitato i principi e le modalità fissate negli artt. 3, 11, 18 e 19, del D.Lgs. n. 196/2003, dovendo assumere rilievo la circostanza che il numero di targa, che poteva condurre all’identificazione del terzo proprietario, venne comunicato all’esterno mediante l’esposizione in una fotografia documentante l’infrazione altrui con indicazioni di tempo e di luogo, idonee a consentire una profilatura. In relazione a tale complessivo trattamento, si dovrà accertare se ricorreva la necessità del trattamento per il perseguimento delle finalità proprie dell’atto adottato, se ricorreva un trattamento di dati pertinenti e non eccedenti rispetto alle finalità perseguite (art. 11, comma 1,lett. d) del Codice) e se poteva avere ingresso la fattispecie derogatoria ex art.24, comma 1, lett. a), c) del D.Lgs. n. 196/2003; se la fattispecie, ricadeva o meno nell’ambito di applicazione dell’art.25, comma 2, che stabilisce “2. È fatta salva la comunicazione o diffusione di dati richieste, in conformità alla legge, da forze di polizia, dall’autorità giudiziaria, da organismi di informazione e sicurezza o da altri soggetti pubblici ai sensi dell’articolo 58, comma 2, per finalità di difesa o di sicurezza dello Stato o di prevenzione, accertamento o repressione di reati.” >>

Insegnamento esatto, anche se scontato.

Più interessante è invece il passaggio che tratta il come vada (ex ante) considerata la possibilità che il conducente non sia il proprietario (unico soggetto desumibile dal PRA) o che questi sia un ente anzichè persona fisica

Anche la cop,miuncazine orale di dati personale costituisce trattamento e pure se contenuti in pubblico archivio

Corte di Giustizia UE 7 marzo 2024, C-740/22:

Domande pregiuizli del giueice finlandese:

«1) Se una comunicazione verbale di dati personali integri un trattamento di dati personali ai sensi dell’articolo 2, paragrafo 1, e dell’articolo 4, punto 2, del [RGPD].

2) Se l’accesso del pubblico ai documenti ufficiali possa essere conciliato con il diritto alla protezione dei dati personali secondo le modalità indicate nell’articolo 86 del [RGPD], ove si preveda la possibilità di ottenere dal registro anagrafico presso un tribunale informazioni illimitate sulle sentenze penali o i reati commessi da una determinata persona fisica, qualora si richieda di comunicare al richiedente dette informazioni verbalmente.

3) Se, ai fini della risposta alla questione sub 2), acquisti rilevanza il fatto che il richiedente sia una società o una persona fisica».

Risposta in breve:

<<1)  L’articolo 2, paragrafo 1, e l’articolo 4, punto 2, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati),

devono essere interpretati nel senso che:

la comunicazione orale di informazioni su eventuali condanne penali in corso o già scontate a carico di una persona fisica costituisce un trattamento di dati personali, ai sensi dell’articolo 4, punto 2, di tale regolamento, che rientra nell’ambito di applicazione materiale di detto regolamento, se tali informazioni sono contenute in un archivio o destinate a figurarvi.

2) Le disposizioni del regolamento 2016/679, in particolare il suo articolo 6, paragrafo 1, lettera e), e l’articolo 10 del medesimo,

devono essere interpretate nel senso che:

esse ostano a che i dati relativi a condanne penali di una persona fisica contenuti in un archivio tenuto da un organo giurisdizionale possano essere comunicati oralmente a qualsiasi persona al fine di garantire l’accesso del pubblico a documenti ufficiali, senza che la persona che chiede la comunicazione debba giustificare un interesse specifico a ottenere detti dati; il fatto che tale persona sia una società commerciale o un privato non rileva a tale riguardo>>.

Tutto sommato la risposta 2 discende da quella data al quesito 1 (pur se legata a specificità di diritto nazionale.

La telecamera sulla pubblica viola la privacy solo se supera le necessità di tutela

Sull’annosa questione del bilanciamento tra diritto alla privacy dei terzi (qui di un vicino costretto a percorrere quel tratto di strada) e di difesa della proprietà in capo al prorietario, interessante è l’insegnamento di Cass. Sez. I, Ord. 19 marzo 2024 n. 7.289, rel. Tricomi (anteriore alle modifiche cod. priv. ex GDPR, però).

Vale la pena di riportare tutti i passaggi pertinenti:

<<3.3.2. – Come osservato dal Garante per il trattamento dei dati personali nel Provvedimento dell’8 aprile 2010, il trattamento dei dati personali effettuato mediante l’uso di sistemi di videosorveglianza non forma oggetto di legislazione specifica; al riguardo si applicano, pertanto, le disposizioni generali in tema di protezione dei dati personali.

La raccolta, la registrazione, la conservazione e, in generale, l’utilizzo di immagini configurano anche autonomamente considerate, forme di trattamento di dati personali (art. 4, comma 1, lett. b), del Codice). È considerato dato personale, infatti, qualunque informazione relativa a persona fisica identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione. [ovvio]  (…)

Inoltre, è necessario:

– che il trattamento dei dati attraverso sistemi di videosorveglianza sia fondato su uno dei “presupposti di liceità” che il Codice prevede espressamente per i soggetti pubblici (svolgimento di funzioni istituzionali: artt. 18-22 del Codice) e per soggetti privati ed enti pubblici economici (es. adempimento ad un obbligo di legge, provvedimento del Garante di c.d. “bilanciamento di interessi”, consenso libero ed espresso ex artt. 23-27 del Codice).

– che sia rispettato il “principio di necessità” ex art.3 del Codice, il quale comporta un obbligo di attenta configurazione di sistemi informativi e di programmi informatici per ridurre al minimo l’utilizzazione di dati personali;

– che l’attività di videosorveglianza venga effettuata nel rispetto del c.d. “principio di proporzionalità” nella scelta delle modalità di ripresa e dislocazione degli apparecchi, nonché nelle varie fasi del trattamento che deve comportare, comunque, un trattamento di dati pertinenti e non eccedenti rispetto alle finalità perseguite (art. 11, comma 1, lett. d) del Codice).

3.3.3. – Ne consegue che, a differenza di quanto sostiene il ricorrente, l’utilizzo di sistemi di video sorveglianza può determinare, in relazione al posizionamento degli apparecchi e della qualità delle immagini un trattamento di dati personali, quando, può mettere a rischio la riservatezza di soggetti portatori di una situazione giuridica soggettiva riconosciuta dall’ordinamento e deve essere effettuato nel rispetto dei principi prima ricordati.

3.3.4.- Va ulteriormente rimarcato, tuttavia, che la disciplina del Codice non trova integrale applicazione nel caso di “trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali” qualora i dati non siano comunicati sistematicamente a terzi ovvero diffusi: tanto è previsto dall’art. 5, comma 3 del Codice, che si premura di sottolineare che, anche in tale ipotesi, resta ferma l’applicazione della disposizione in tema di responsabilità civile e necessaria l’adozione di cautele a tutela della sicurezza dei dati, di cui agli artt. 15 e 31 del Codice.

Segnatamente, l’art. 15 prevede espressamente la risarcibilità del danno, anche non patrimoniale, ai sensi dell’art.2050 c.c. per effetto del trattamento dei dati personali, compreso il caso di violazione delle disposizioni su modalità di trattamento e requisiti dei dati (art. 11 del Codice); l’art. 31 stabilisce ampi obblighi di sicurezza nel trattamento e nella custodia dei dati.

In particolare, possono rientrare nell’ambito descritto dall’art. 5, comma 3, del Codice gli strumenti di videosorveglianza idonei a identificare coloro che si accingono ad entrare in luoghi privati (videocitofoni ovvero altre apparecchiature che rilevano immagini o suoni, anche tramite registrazione), oltre a sistemi di ripresa installati nei pressi di immobili privati ed all’interno di condomini e loro pertinenze (quali posti auto e box), con la precisazione che, al fine di evitare di incorrere nel reato di interferenze illecite nella vita privata (art. 615-bis c.p.), l’angolo visuale delle riprese deve essere comunque limitato ai soli spazi di esclusiva pertinenza di colui che effettuata il trattamento (ad esempio antistanti l’accesso alla propria abitazione) escludendo ogni forma di ripresa, anche senza registrazione di immagini, relativa ad aree comuni (cortili, pianerottoli, scale, garage comuni) ovvero ad ambiti antistanti l’abitazione di altri condomini, come chiarito dallo stesso Garante nel Provvedimento dell’8 aprile 2010, al par. 6.1. “Trattamento di dati personali per fini esclusivamente personali”.

3.3.5. – Di contro, nel caso di “Trattamento di dati personali per fini diversi da quelli esclusivamente personali”, anche ad opera di un privato (par.6.2. del Provvedimento dell’8 aprile 2010) il trattamento può essere effettuato solo ove sia stato espresso il consenso preventivo dell’interessato (art.23 del Codice) oppure se ricorra uno dei presupposti di liceità previsti dall’art. 24 del Codice in alternativa al consenso.

In merito, il Garante, dopo avere preso atto che nel caso di impiego di strumenti di videosorveglianza la possibilità di acquisire il consenso risulta in concreto limitata dalle caratteristiche stesse dei sistemi di rilevazione, ha ritenuto di dare attuazione all’istituto del bilanciamento di interessi (art. 24, comma 1, lett. g), del Codice) procedendo all’individuazione dei casi in cui la rilevazione delle immagini, con esclusione della diffusione, può avvenire senza consenso, qualora, con le modalità stabilite nello stesso provvedimento, sia effettuata nell’intento di perseguire un legittimo interesse del titolare o di un terzo attraverso la raccolta di mezzi di prova o perseguendo fini di tutela di persone e beni rispetto a possibili aggressioni, furti, rapine, danneggiamenti, atti di vandalismo, o finalità di prevenzione di incendi o di sicurezza del lavoro.

Segnatamente, il Garante ha distinto due ipotesi, per le quali ha escluso la necessità del consenso preventivo informato, avendo attuato il bilanciamento degli interessi ai sensi dell’art.24, comma 1, lett. g) del Codice:

– I) Videosorveglianza (con o senza registrazione delle immagini). Tali trattamenti sono ammessi in presenza di concrete situazioni che giustificano l’installazione, a protezione delle persone, della proprietà o del patrimonio aziendale. Nell’uso delle apparecchiature volte a riprendere, con o senza registrazione delle immagini, aree esterne ad edifici e immobili (perimetrali, adibite a parcheggi o a carico/scarico merci, accessi, uscite di emergenza), resta fermo che il trattamento debba essere effettuato con modalità tali da limitare l’angolo visuale all’area effettivamente da proteggere, evitando, per quanto possibile, la ripresa di luoghi circostanti e di particolari che non risultino rilevanti (vie, edifici, esercizi commerciali, istituzioni ecc.).

– II) Riprese nelle aree condominiali comuni, qualora i trattamenti siano effettuati dal condominio (anche per il tramite della relativa amministrazione).

3.3.6.- In sintesi, per quanto interessa il presente procedimento, e in relazione alla normativa applicabile ratione temporis, va affermato che:

– In tema di tutela dei dati personali trattati mediante l’impiego di sistemi di videosorveglianza, il trattamento posto in essere ad opera di un soggetto privato deve rispettare i presupposti di liceità previsti dal D.Lgs. n. 196/2003, il principio di necessità ed il principio di proporzionalità;

– La disciplina derogatoria di cui all’art .5, comma 3, del D.Lgs. n. 196/2003 è applicabile al trattamento dei dati mediante sistemi di videosorveglianza solo nel caso in cui il trattamento sia eseguito da persona fisica a fini personali e senza diffusione o comunicazione dei dati, entro un ambito operativo circoscritto, in linea di massima e in via esemplificativa, mediante strumenti di videosorveglianza idonei a identificare coloro che si accingono ad entrare in luoghi privati o sistemi di ripresa installati nei pressi di immobili privati o all’interno di condomini, il cui angolo visuale di ripresa sia comunque limitato ai soli spazi di esclusiva pertinenza di colui che effettuata il trattamento (ad esempio antistanti l’accesso alla propria abitazione) escludendo ogni forma di ripresa, anche senza registrazione di immagini, relativa ad aree comuni ad altri soggetti;

– Il trattamento di dati personali mediante sistemi di videosorveglianza (con o senza registrazione delle immagini) per fini diversi da quelli esclusivamente personali ad opera di un privato, nel caso in cui sia effettuato in presenza di concrete situazioni che giustificano l’installazione, a protezione delle persone, della proprietà o del patrimonio aziendale (principio di necessità), non richiede quale presupposto di liceità il consenso informato dell’interessato, in quanto ricorre il presupposto di liceità alternativo ex art. 24, comma 1, lett. g) del D.Lgs. n. 196/2003, costituito dal provvedimento di bilanciamento degli interessi adottato dal Garante in data 8 aprile 2010 (par.6.2.2.1.); resta fermo, in osservanza del principio di proporzionalità, che l’utilizzo delle apparecchiature volte a riprendere aree esterne ad edifici e immobili (perimetrali, adibite a parcheggi o a carico/scarico merci, accessi, uscite di emergenza), deve essere effettuato con modalità tali da limitare l’angolo visuale all’area effettivamente da proteggere, evitando, per quanto possibile, la ripresa di luoghi circostanti, in uso a terzi o su cui terzi vantino diritti e di particolari che non risultino rilevanti (vie, edifici, esercizi commerciali, istituzioni ecc.)>>.

Si v. ora, dopo il GDPR, le linee guida europee dell’EDPB 29.01.2020 e l’infografica 2022 del ns. Garante:

Offerte pubblicitarie c.d. “Real Time Bidding” in internet e data protection: il relativo consenso costituisce “dato personale”?

Dice di si la Corte di Giustizia EU qualora l’interessato sia individuabile : il che avviene se il suo consenso sia abbinato al relativo indirizzo IP.

Questa in sintesi la risposta resa da Corte di Giustizia 7 marzo 2024, C-604/22, IAB Europe c. Gegevensbeschermingsautoriteit., con l’intervento di altri.

La CG esamina la fattispecie delle aste  automatiche di presenza pubblicitaria negli spazi creati dai colossi del web (Google e social vari) , che viene cocnessa a chi offre di più.  Meccanismo che però avviene “dietro le quinte”, cioè in modo non tarsparente all’utente, e che per questo è di fatto sconosciuto al grande pubblico.

La CG ne offre una spiegazione, imprescindibile per comprendere la decisione (spt. §§ 20-26), se non si è già nel settore.

Qui mi limito a ricordare il concetto di TC String (Transparency and Consent String), elemento digitale che comprende i consensi espressi.

Ed ora il passo più pertinente:

<< 43  Orbene, anche se una TC String, di per sé, non contenesse elementi che consentano l’identificazione diretta dell’interessato, rimarrebbe comunque il fatto, in primo luogo, che essa contiene le preferenze individuali di un utente specifico per quanto riguarda il suo consenso al trattamento dei dati personali che lo riguardano, nella misura in cui tale informazione «[riguarda] una persona fisica», ai sensi dell’articolo 4, punto 1, del RGPD.

44 In secondo luogo, è altresì pacifico che, quando le informazioni contenute in una TC String sono associate a un identificativo, come in particolare l’indirizzo IP del dispositivo di tale utente, esse possono consentire di creare un profilo di detto utente e di identificare effettivamente la persona specificamente interessata da tali informazioni.

45 Poiché il fatto di associare una stringa composta da una combinazione di lettere e di caratteri, come la TC String, a dati supplementari, in particolare all’indirizzo IP del dispositivo di un utente o ad altri identificatori, consente di individuare tale utente, si deve ritenere che la TC String contenga informazioni riguardanti un utente identificabile e costituisca quindi un dato personale, ai sensi dell’articolo 4, punto 1, del RGPD, il che viene corroborato dal considerando 30 del RGPD, che fa espresso riferimento ad una fattispecie del genere>>.

Nella questione pregudiziale successiva la CG esamina il quesito della titolarità del trattamento e cioè se il primo creatore della stringa cit. rimanga titolare  anche dopo averla ceduta a terzi per gli impieghi successivi. E la risposta è negativa.

Bilanciamento tra diritto della collettività all’informazione e diritto all’oblio dell’interessato: analitica pronuncia di legittimità

Cass. sez. I del 27/12/2023 n. 36.021, rel. Iofrida.

Premesse:

<<<3.1. Va premesso, richiamandosi quanto sancito da Cass. n. 15160 del 2021, che, nel disegno personalistico – lo Stato è a servizio della persona, non viceversa – e pluralista prefigurato dalla Costituzione, l’art. 2 non può che essere interpretato se non come una norma di apertura, fonte e catalogo – come è stato incisivamente affermato da autorevole dottrina – di una “Costituzione culturale”, e ad essa vanno, pertanto, ricondotti una serie di diritti della persona, sia che essi siano previsti da norme di legge ordinaria, sia che debbano enuclearsi dal sistema, come per i diritti – in considerazione nella vicenda oggetto di esame – all’identità personale ed all’oblio. Al soggetto giuridico, quale destinatario neutro ed indifferenziato della regola giuridica, astratto centro di imputazione di situazioni giuridiche (la capacità giuridica di ciascuno soggetto si acquista con la nascita, recita l’art. 1 c.c.), subentra, dunque, nel sistema, la persona, quale fonte primaria di valori; ma la persona intesa non astrattamente, bensì nella individualità delle sue qualità soggettive e sociali (cfr. Cass., SU, n. 3677 del 2009, secondo cui nel danno non patrimoniale rientra qualsiasi ingiusta lesione di un valore inerente alla persona, garantito dall’art. 2 Cost.).

3.1.1. Orbene, la persona si individua, anzitutto, per certe caratteristiche esteriori. Viene, pertanto, in considerazione, in primis, il “diritto all’immagine”, enucleabile dall’art. 10 c.c. e dagli artt. 96 e 97 Legge sul diritto di autore, che prevedono il diritto al ritratto, che può essere pubblicato solo con consenso della persona ritratta (cfr. Cass. n. 10957 del 2010; Cass. n. 1748 del 2016).

3.1.2. Viene in rilievo, poi, il cd. “diritto all’identità personale”, il cui fondamento normativo è ravvisabile sempre nell’art. 2 Cost., e che risulta costruito – nelle elaborazioni della dottrina e nelle decisioni della giurisprudenza – come immagine sociale del soggetto, e non come idea meramente soggettiva che ciascuno abbia del proprio io; immagine costituita da quel coacervo di valori (intellettuali, politici, religiosi, professionali, ecc.) che caratterizzano una determinata persona e che questa non vuole vedere alterato o travisato all’esterno. Tale diritto confluisce (insieme a quelli all’immagine, alla riservatezza, al nome ed alla reputazione) nella previsione dell’art. 2 Cost., ossia nel valore unitario della persona, ed ha il proprio apparato di tutela negli artt. 6,7,10 e 2059 c.c. e nelle previsioni della legge sul diritto di autore, applicabili in via diretta e non analogica, in virtù di un’interpretazione adeguatrice di tali norme al precetto costituzionale (cfr. Cass. n. 16222 del 2015).

3.1.3. Nel valore “persona”, protetto dall’art. 2 Cost., confluisce, quindi, il “diritto alla riservatezza”. Conosciuto dagli ordinamenti anglosassoni da tempo (fin dalla fine dell’800), nella forma della cd. privacy, o right to be let alone, la tutela del riserbo trova oggi un fondamento normativo in un reticolo di testi legislativi nazionali ed internazionali: la L. n. 339 del 1958, art. 6 (obbligo di riservatezza del lavoratore domestico); le L. 20 maggio 1970, n. 300, art. 6, con riferimento alla riservatezza del lavoratore, e L. 22 aprile 1941, n. 633, artt. 93 e 95 (legge sul diritto di autore), che tutelano l’intimità delle corrispondenze epistolari; la L. 22 maggio 1978, n. 194, art. 5, con riferimento alla riservatezza della donna in caso di interruzione della gravidanza; l’art. 8 della Convenzione Europea per la salvaguardia dei diritti dell’uomo (CEDU), che tutela il “rispetto della vita privata e familiare”; gli artt. 2,14 e 15 Cost.; gli artt. 614 c.p. e ss..

3.1.4. Ciò posto, non può revocarsi in dubbio che il problema fondamentale che si pone con riferimento a tali diritti è costituito dal contemperamento tra libertà di manifestazione del pensiero (art. 21 Cost., art. 10 CEDU e art. 10 Carta di Nizza) ed il diritto alla privacy ed all’identità personale (art. 2 Cost. ed art. 8 CEDU), poiché vengono in considerazione – al riguardo – atti non ingiuriosi o diffamatori, bensì attività informative che comunque invadono la libertà altrui. Al riguardo, si è affermato che tra il diritto all’informazione ed i diritti della persona alla reputazione ed alla riservatezza, il primo, se correlato ad un effettivo interesse pubblico all’informazione, tendenzialmente prevale sui secondi, attesa, ex art. 1 Cost., comma 2, la funzionale correlazione dell’informazione con l’esercizio della sovranità popolare, che solo in presenza di una opinione pubblica compiutamente informata può correttamente dispiegarsi, ed alla luce anche della legislazione ordinaria (in particolare il D.Lgs. n. 196 del 2003, art. 12) che, appunto, riconduce reputazione, identità e privacy nell’alveo delle eccezioni rispetto al generale principio di tutela dell’informazione (cfr. Cass. n. 16236 del 2010).

3.1.5. Tuttavia, non si è mancato di osservare che, nelle controversie in cui si configura una contrapposizione tra due diritti, aventi entrambi copertura costituzionale, e cioè tra valori ugualmente protetti, va applicato il cd. criterio di “gerarchia mobile”, dovendo il giudice procedere di volta in volta, ed in considerazione dello specifico thema decidendum, all’individuazione dell’interesse da privilegiare a seguito di un’equilibrata comparazione tra diritti in gioco, diretta ad evitare che la piena tutela di un interesse finisca per tradursi in una limitazione di quello contrapposto, capace di vanificarne o ridurne il valore contenutistico (cfr. Cass. n. 18279 del 2010).

3.1.6. Sul versante opposto a quello dei diritti di informare e di essere informati (art. 21 Cost. e art. 10 CEDU) in relazione a fatti e notizie di pubblico interesse, si colloca, per vero, già prima dell’avvento delle Costituzioni moderne, il diritto dei singoli al riserbo ed all’oblio per quel che concerne le vicende passate. Sotto tale profilo, la norma dell’art. 2 della nostra Costituzione crea immediatamente, con riferimento alla persona, una distanza da ogni astrazione, propria del soggetto di diritto, per la rilevanza attribuita al legame sociale, alla realtà delle “formazioni sociali” nelle quali si realizza la costruzione della personalità, in modo tale che sia garantita la “pari dignità sociale” della persona ed il suo libero sviluppo, anche in una prospettiva evolutiva. La dignità presuppone, invero, innegabilmente, il rispetto, da parte delle formazioni sociali (prima fra tutte lo Stato), della sfera personale riservata della persona, del diritto di ciascuno ad essere lasciato solo, a non essere menzionato in pubblico, ad essere dimenticato.

3.1.7. Se la nozione giuridica di personalità, implicita nell’art. 2 Cost., dà luogo, dunque, ad un concetto dinamico, è evidente che il diritto all’oblio, strettamente connesso a quello alla riservatezza ed al rispetto della propria identità personale, ma in una prospettiva evolutiva, si traduce nell’esigenza di evitare che la propria persona resti cristallizzata ed immutabile in un’identità legata ad avvenimenti o contesti del passato, che non sono più idonei a definirla in modo autentico o, quanto meno, in modo completo. Il diritto all’oblio “pensato” e definito dalla giurisprudenza come diritto a non subire gli effetti pregiudizievoli della ripubblicazione, a distanza di tempo, pur legittimamente diffusa in origine, ma non più giustificata da nuove ragioni di attualità, deve scontare oggi, sul piano applicativo, e segnatamente su quello del bilanciamento degli interessi, la possibilità di conservare in rete notizie, anche risalenti, spesso superate da eventi successivi, e perciò inattuali.

3.1.8. In tal senso, lo strumento della “deindicizzazione” – sul quale si ritornerà – è divenuto, nella prassi giurisprudenziale (oggi espressamente avallata dalla previsione del “diritto alla cancellazione”, denominato nel titolo anche “diritto all’oblio”, previsto dall’art. 17 del Regolamento UE 2016/679, non applicabile, tuttavia, ratione temporis alla fattispecie concreta, come si è già anticipato), lo strumento applicabile ogni qual volta l’interesse all’indiscriminata reperibilità della notizia mediante motore di ricerca sia recessivo rispetto all’esigenza di tutela dell’identità personale, nel senso dinamico suindicato. In tal modo, viene evitato il rischio di quella che è stata definita in dottrina la “biografia ferita”, ossia il rischio della “cristallizzazione della complessità dell’Io in un dato che lo distorce o non lo rappresenta più”.

3.1.9. Il tutto si gioca, dunque, sul tavolo del bilanciamento tra valori che si fronteggiano. Ed in tale prospettiva di “gerarchia mobile”, che vede – a seconda del contesto fattuale – prevalere ora l’una ora l’altra esigenza di tutela, si è posta, da ultimo, anche autorevole dottrina, che ha elaborato, al riguardo, una quadripartizione di tipi di casi – “una sorta di scansione per Fallgruppen” – evidenziando, del tutto opportunamente, che “la decisione di bilanciamento va presa alla luce di un solerte apprezzamento di tutte le circostanze allo stato significative”. In via di estrema sintesi, si è rilevato che può accadere, in concreto, che: a) in assenza di un interesse pubblico attuale, debba prevalere l’aspirazione del soggetto interessato al controllo dei propri dati personali; b) il conflitto coinvolga, invece, un interesse pubblico specifico ed attuale, ed allora troverà spazio l’opposta soluzione di pubblicare o ripubblicare i dati del soggetto; c) ci si trovi in presenza di un dataset documentario, inteso a raccogliere informazioni a fini di ricerca, per esigenze storiografiche, o altro, ed allora il diritto alla rimozione dei dati diventa recessivo, ma l’interessato avrà a diposizione l’opportunità di coltivare una istanza di contestualizzazione, volta all’aggiornamento del dato; d) la notizia diffusa sia inequivocabilmente falsa (fake news), ed allora – fatta salva in alternativa, ove concretamente percorribile, una possibilità di smentita – la cancellazione dall’archivio informatico potrà essere inevitabile.

3.2. Con riguardo, poi, al concreto atteggiarsi del diritto all’oblio nel contesto digitale, con specifico riguardo ai limiti del diritto individuale alla rimozione di taluni contenuti dai risultati forniti da un motore di ricerca a partire dal proprio nome, è opportuno, per il corretto inquadramento della questione, muovere dalla nota sentenza della Corte di Giustizia, Grande Sezione, del 13.5.2014- C-131/12, usualmente ricordata come “(Omissis)”.

3.2.1. Secondo questa pronuncia, l’art. 2, lett. b) e d), della direttiva 95/46/CE del Parlamento Europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, deve essere interpretato nel senso che, da un lato, l’attività di un motore di ricerca consistente nel trovare informazioni pubblicate o inserite da terzi su Internet, nell’indicizzarle in modo automatico, nel memorizzarle temporaneamente e, infine, nel metterle a disposizione degli utenti di Internet secondo un determinato ordine di preferenza, deve essere qualificata come “trattamento di dati personali”, ai sensi del citato art. 2, lett. b), qualora tali informazioni contengano dati personali, e che, dall’altro lato, il gestore di detto motore di ricerca deve essere considerato come il “responsabile” del trattamento summenzionato, ai sensi dell’art. 2, lett. d), di cui sopra.

3.2.2. Inoltre gli artt. 12, lett. b), e 14, comma 1, lett. a), della direttiva 95/46 suddetta devono essere interpretati nel senso che, al fine di rispettare i diritti previsti da tali disposizioni, e sempre che le condizioni da queste fissate siano effettivamente soddisfatte, il gestore di un motore di ricerca è obbligato a sopprimere, dall’elenco di risultati che appare a seguito di una ricerca effettuata a partire dal nome di una persona, i links verso pagine web pubblicate da terzi e contenenti informazioni relative a quest’ultima anche nel caso in cui tale nome o tali informazioni non vengano previamente o simultaneamente cancellati dalle pagine web di cui trattasi, e ciò eventualmente anche quando la loro pubblicazione su tali pagine web sia di per sé lecita.

3.2.3. Si deve verificare, quindi, in particolare, se l’interessato abbia diritto a che l’informazione in questione riguardante la sua persona non venga più, allo stato attuale, collegata al suo nome da un elenco di risultati che si palesino a seguito di una ricerca effettuata a partire dal suo nome, senza per questo che la constatazione di un diritto siffatto presupponga che l’inclusione dell’informazione in questione in tale elenco arrechi un pregiudizio a detto interessato.

3.2.4. Quest’ultimo, sulla scorta dei suoi diritti fondamentali derivanti dagli art. 7 e 8 della Carta dei diritti fondamentali dell’Unione Europea (cd. “Carta di Nizza“), – il primo dei quali, rubricato “Rispetto della vita privata e della vita familiare”, proclama che “Ogni individuo ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle sue comunicazioni”; il secondo, invece, recante “Protezione dei dati di carattere personale”, afferma che “1. Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano. 2. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica. 3. Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente” – può chiedere che l’informazione in questione non venga più messa a disposizione del grande pubblico in virtù della sua inclusione in un siffatto elenco di risultati.

3.2.5. I diritti fondamentali di cui sopra prevalgono, in linea di principio, non soltanto sull’interesse economico del gestore del motore di ricerca, ma anche sull’interesse del grande pubblico ad accedere all’informazione suddetta in occasione di una ricerca concernente il nome di questa persona. Fa eccezione l’ipotesi in cui risulti, per ragioni particolari, come il ruolo ricoperto dalla stessa nella vita pubblica, che l’ingerenza nei suoi diritti fondamentali è giustificata dall’interesse preponderante del pubblico suddetto ad avere accesso, in virtù dell’inclusione summenzionata, all’informazione di cui trattasi.

3.3. Infatti, il diritto di ogni persona all’oblio, strettamente collegato, come si è già anticipato, ai diritti alla riservatezza ed all’identità personale, deve essere bilanciato con il diritto della collettività all’informazione, sicché, qualora sia pubblicato sul web un articolo di interesse generale ma lesivo dei diritti di un soggetto che non rivesta la qualità di personaggio pubblico, noto a livello nazionale, può essere disposta la deindicizzazione dell’articolo dal motore ricerca, al fine di evitare che un accesso agevolato, e protratto nel tempo, ai suoi dati personali, tramite il semplice utilizzo di parole chiave, possa lederne il diritto a non vedersi reiteratamente attribuita una biografia telematica diversa da quella reale e costituente oggetto di notizie ormai superate (cfr. anche nelle rispettive motivazioni, Cass. n. 2893 del 2023; Cass. n. 15160 del 2021). Una tale conclusione – valevole anche anteriormente all’entrata in vigore dell’art. 17 Regolamento (UE) 2016/679 – si spiega proprio perché il diritto all’oblio consiste nel non rimanere esposti senza limiti di tempo ad una rappresentazione non più attuale della propria persona con pregiudizio alla reputazione ed alla riservatezza, a causa della ripubblicazione, a distanza di un importante intervallo temporale, di una notizia relativa a fatti del passato, ma la tutela del menzionato diritto va posta in bilanciamento con l’interesse pubblico alla conoscenza del fatto, espressione del diritto di manifestazione del pensiero e, quindi, di cronaca e di conservazione della notizia per finalità storico-sociale e documentaristica, sicché, nel caso di notizia pubblicata sul web, il medesimo può trovare soddisfazione anche nella sola deindicizzazione dell’articolo dai motori di ricerca (cfr. Cass. n. 9147 del 2020).

3.3.1. Anche le Sezioni Unite di questa Corte hanno avuto modo di interloquire, precisando che la menzione degli elementi identificativi delle persone protagonisti di fatti e vicende del passato è lecita solo nell’ipotesi in cui si riferisca a personaggi che destino nel momento presente l’interesse della collettività, sia per ragioni di notorietà che per il ruolo pubblico rivestito. In caso contrario, prevale il diritto degli interessati alla riservatezza rispetto ad avvenimenti del passato che li feriscano nella dignità e nell’onore e dei quali si sia ormai spenta la memoria collettiva (cfr. Cass., SU, n. 19681 del 2019)>>.

Andando al caso sub iudice:

<<3.4. Tanto premesso, la fattispecie oggi all’attenzione del Collegio, sempre più frequentemente sottoposta al vaglio giudiziale, è quella del diritto dell’interessato a richiedere al gestore di un motore di ricerca la rimozione (deindicizzazione) di taluni risultati connessi al proprio nome e concernenti articoli già legittimamente pubblicati nell’esercizio del diritto di cronaca giornalistica per l’interesse pubblico che circondavano alcune vicende che lo avevano interessato: si tratta, cioè, dell’aspirazione di una persona coinvolta in quelle vicende, una volta cessato il clamore e l’interesse pubblico per il decorso del tempo, a non vedersi consegnata al ricordo collettivo in quei termini. Rischio, questo, amplificato dalla potenza evocatrice dei motori di ricerca nell’ambiente internet che, tramite il collegamento alle sue generalità, permette con estrema facilità di rinvenire in rete, anche molti anni dopo, la traccia di quelle notizie e di quegli articoli.

3.4.1. Come opportunamente rimarcatosi in dottrina, peraltro, l’attività dei motori di ricerca si è progressivamente affrancata da schemi di mera intermediazione tecnica e neutrale elencazione delle informazioni reperite online, affiancandovi attività di organizzazione e posizionamento delle informazioni in base a vari criteri, di guida dell’utente, nella navigazione e di generazione di copie (le cache) delle pagine indicizzate, a formare un vero e proprio archivio, più o meno duraturo, dei contenuti della rete. Il gestore del motore di ricerca ha assunto, così, un ruolo sempre meno “passivo” nella erogazione del servizio. Tanto che – come si è già anticipato – l’attività del motore di ricerca consistente nel trovare informazioni pubblicate online da terzi, indicizzarle, memorizzarle temporaneamente e metterle a disposizione degli utenti secondo un ordine di preferenza deve essere qualificata come “trattamento di dati personali” del quale il gestore del search engine è il titolare; trattamento, questo, distinto e diverso da quello posto in essere dal gestore del sito sorgente sul quale il dato è stato originariamente pubblicato. L’intermediazione del motore di ricerca, inoltre, è suscettibile anche di mutare lo stesso contenuto comunicativo delle informazioni fornite all’utente, ottenendo, mediante l’aggregazione di differenti fonti in un unico elenco strutturato, un messaggio complessivo diverso rispetto a quello che sarebbe veicolato dai singoli contenuti ove separatamente consultati accedendo ai relativi siti sorgente. In particolare, come ricordato da Cass. n. 3952 del 2022, l’elenco dei risultati fornito dal motore di ricerca in corrispondenza del nome di una persona è idoneo a veicolare “una rappresentazione dell’identità che quella persona ha in internet”, offrendo una visione complessiva delle informazioni ad essa relative reperibili online e definendone un “profilo” più o meno dettagliato ma sicuramente “originale” quanto all’aggregazione delle informazioni stesse.

3.5. Orbene, nella ricerca di un rimedio idoneo a neutralizzare questi rischi, è stato osservato che ad offendere il protagonista della notizia non è la sua mera permanenza in rete, ma le modalità con le quali ciò avviene. Il diritto all’oblio, quindi, è posto in rilievo rispetto alla lesione risentita dal protagonista dell’informazione dall’accesso generalizzato ed indistinto consentito agli utenti del web ai contenuti della notizia che – presente nella pagina di un giornale in formato digitale ed inserita in un archivio giornalistico online – riemerge, in seguito alla digitazione sulla query del motore di ricerca del nominativo dell’interessato, per l’intervenuta sua indicizzazione, operazione con cui il gestore di un motore di ricerca include nel proprio data base i contenuti di un sito web che viene in tal modo acquisito e tradotto all’interno del primo.

3.5.1. Un siffatto esito interpretativo ben può essere condiviso, oltre che per l’autonoma dignità riconosciuta ad una memoria storica collettiva integrata dai fatti di cronaca di rilievo storico-sociale, anche quando declinata in formato digitale, pure in ragione di quanto, negli anni più recenti, si è venuto ad affermare dalla Corte di giustizia dell’Unione Europea sui rapporti tra motori di ricerca, protagonisti del contesto digitale e della diffusione dell’informazione in siffatto ambito, loro operatività e diritto all’oblio, inteso, appunto, come imperitura esposizione delle informazioni relative al singolo agli utenti di Internet.

3.5.2. Tutto ciò ha portato a concludere che, in materia di diritto all’oblio, là dove il suo titolare lamenti la presenza sul web di una informazione che lo riguardi – appartenente al passato e che egli voglia tenere per sé a tutela della sua identità e riservatezza – e la sua riemersione senza limiti di tempo all’esito della consultazione di un motore di ricerca avviata tramite la digitazione sulla relativa query del proprio nome e cognome, la tutela del menzionato diritto va posta in bilanciamento con l’interesse pubblico alla conoscenza del fatto, espressione del diritto di manifestazione del pensiero e quindi di cronaca e di conservazione della notizia per finalità storico-sociale e documentaristica, e può trovare soddisfazione, fermo il carattere lecito della prima pubblicazione, nella deindicizzazione dell’articolo sui motori di ricerca generali, o in quelli predisposti dall’editore.

3.5.3. In quest’ottica, dunque, si inquadra Cass. n. 15160 del 2021, secondo cui il diritto di ogni persona all’oblio, strettamente collegato ai diritti alla riservatezza e all’identità personale, deve essere bilanciato con il diritto della collettività all’informazione, sicché (anche prima dell’entrata in vigore dell’art. 17 del Regolamento UE 2016/679), qualora sia pubblicato sul web un articolo di interesse generale ma lesivo dei diritti di un soggetto che non rivesta la qualità di personaggio pubblico, noto a livello nazionale, può essere disposta la deindicizzazione dell’articolo dal motore ricerca, al fine di evitare che un accesso agevolato, e protratto nel tempo, ai dati personali di tale soggetto, tramite il semplice utilizzo di parole chiave, possa ledere il diritto di quest’ultimo a non vedersi reiteratamente attribuita una biografia telematica, diversa da quella reale e costituente oggetto di notizie ormai superate.

3.5.4. Altrettanto dicasi circa la già menzionata Cass. n. 3952 del 2022, nella cui motivazione si legge, tra l’altro (cfr. pag. 14 e ss.), che: i) “le Sezioni Unite di questa Corte hanno ricondotto la deindicizzazione al “diritto alla cancellazione dei dati” nel quadro di una classificazione che considera il medesimo come una delle tre possibili declinazioni del diritto all’oblio: le altre due sono individuate nel diritto a non vedere nuovamente pubblicate notizie relative a vicende in passato legittimamente diffuse, quando è trascorso un certo tempo tra la prima e la seconda pubblicazione e quello, connesso all’uso di internet ed alla reperibilità delle notizie nella rete, consistente nell’esigenza di collocare la pubblicazione, avvenuta legittimamente molti anni prima, nel contesto attuale (cfr., in motivazione, Cass., SU, n. 19681 del 2019). Sia la contestualizzazione dell’informazione che la deindicizzazione trovano ragione in un dato che innegabilmente connota l’esistenza umana nell’era digitale: un dato che si riassume, secondo una felice espressione, nella “stretta della persona in una eterna memoria collettiva, per una identità che si ripropone, nel tempo, sempre uguale a sé stessa” (cfr., in motivazione, Cass. n. 9147 del 2020)”; ii) “(…) nel mondo segnato dalla presenza di internet, in cui le informazioni sono affidate ad un supporto informatico, le notizie sono sempre reperibili a distanza di anni dal verificarsi degli accadimenti che ne hanno imposto o comunque suggerito la prima diffusione e che la deindicizzazione si è venuta affermando come rimedio atto ad evitare che il nome della persona sia associato dal motore di ricerca ai fatti di cui internet continua a conservare memoria. In tal senso, la deindicizzazione asseconda il diritto della persona a non essere trovata facilmente sulla rete (si parla in proposito di right not to be found easily): lo strumento vale, cioè, ad escludere azioni di ricerca che, partendo dal nome della persona, portino a far conoscere ambiti della vita passata di questa che siano correlati a vicende che in sé – si badi – presentino ancora un interesse (e che non possono perciò essere totalmente oscurate), evitando che l’utente di internet, il quale ignori il coinvolgimento della persona nelle vicende in questione, si imbatta nelle relative notizie per ragioni casuali o in quanto animato dalla curiosità di conoscere aspetti della trascorsa vita altrui di cui la rete ha ancora memoria (una memoria facilmente accessibile, nei suoi contenuti, proprio attraverso l’attività dei motori di ricerca)”; iii) “Come ricordato dalla Corte di Lussemburgo, l’inclusione nell’elenco di risultati – che appare a seguito di una ricerca effettuata a partire dal nome di una persona – di una pagina web e delle informazioni in essa contenute relative a questa persona, poiché facilita notevolmente l’accessibilità di tali informazioni a qualsiasi utente di internet che effettui una ricerca sulla persona di cui trattasi e può svolgere un ruolo decisivo per la diffusione di dette informazioni, è idonea a costituire un’ingerenza più rilevante nel diritto fondamentale al rispetto della vita privata della persona interessata che non la pubblicazione da parte dell’editore della suddetta pagina web (Corte giust. (Omissis) e (Omissis), cit., 87)”; iii) “La deindicizzazione ha, così, riguardo all’identità digitale del soggetto: e ciò in quanto l’elenco dei risultati che compare in corrispondenza del nome della persona fornisce una rappresentazione dell’identità che quella persona ha in internet. E’ stato in proposito sottolineato, sempre dalla Corte di giustizia, che “l’organizzazione e l’aggregazione delle informazioni pubblicate su internet, realizzate dai motori di ricerca allo scopo di facilitare ai loro utenti l’accesso a dette informazioni, possono avere come effetto che tali utenti, quando la loro ricerca viene effettuata a partire dal nome di una persona fisica, ottengono attraverso l’elenco di risultati una visione complessiva strutturata delle informazioni relative a questa persona reperibili su internet, che consente loro di stabilire un profilo più o meno dettagliato di quest’ultima” (Corte giust. UE, (Omissis) e (Omissis), cit., 37). L’attività del motore di ricerca si mostra, in altri termini, incidente sui diritti fondamentali alla vita privata e alla protezione dei dati personali (cfr., in particolare, Corte giust. UE, (Omissis) e (Omissis), cit., 38): e tuttavia, poiché la soppressione di links dall’elenco di risultati potrebbe avere, a seconda dell’informazione in questione, ripercussioni sul legittimo interesse degli utenti di internet potenzialmente interessati ad avere accesso a quest’ultima, occorre ricercare un giusto equilibrio tra tale interesse e i diritti fondamentali della persona di cui trattasi, derivanti dagli artt. 7 e 8 della Carta dei diritti fondamentali dell’Unione Europea (Corte giust. UE, (Omissis) e (Omissis), cit., 81; il tema è affrontato anche da Corte giust. UE, Grande sezione, 24 settembre 2019, G.C. e altri, 66 e 75, ove è precisato che il gestore del motore di ricerca deve comunque verificare – alla luce dei motivi di interesse pubblico rilevante di cui all’art. 8.4, della dir. 95/46/CE o all’art. 9.2, lett. g), del reg. (UE) 2016/679, e nel rispetto delle condizioni previste da tali disposizioni – se l’inserimento del link, verso la pagina web in questione, nell’elenco visualizzato in esito a una ricerca effettuata a partire dal nome della persona interessata, sia necessario per l’esercizio del diritto alla libertà di informazione degli utenti di internet potenzialmente interessati ad avere accesso a tale pagina web attraverso siffatta ricerca, libertà protetta dall’art. 11 della Carta suddetta)”; iv) “Occorre però considerare che questa esigenza di bilanciamento tra l’interesse del singolo ad essere dimenticato e l’interesse della collettività ad essere informata – cui si correla l’interesse dei media ad informare – permea l’intera area del diritto all’oblio, di cui quello alla deindicizzazione può considerarsi espressione; va rammentato, in proposito, quanto affermato dalle Sezioni Unite di questa Corte nel campo della rievocazione storica, a mezzo della stampa, di fatti e vicende concernenti eventi del passato: rievocazione rispetto alla quale è stato affermato l’obbligo, da parte del giudice del merito, di valutare l’interesse pubblico, concreto ed attuale, alla menzione degli elementi identificativi delle persone che di quei fatti e di quelle vicende furono protagonisti (in tal senso Cass. Sez. U. 22 luglio 2019, n. 19681, cit.). Nello stesso senso, la giurisprudenza della Corte EDU è ferma, da tempo, nel postulare un giusto equilibrio tra il diritto al rispetto della vita privata di cui all’art. 8 CEDU e il diritto alla libertà d’espressione di cui al successivo art. 10, che include “la libertà d’opinione e la libertà di ricevere o di comunicare informazioni o idee” e ha individuato, a tal fine, precisi criteri per la ponderazione dei diritti concorrenti: il contributo della notizia a un dibattito di interesse generale, il grado di notorietà del soggetto, l’oggetto della notizia; il comportamento precedente dell’interessato, le modalità con cui si ottiene l’informazione, la sua veridicità e il contenuto, la forma e le conseguenze della pubblicazione (si vedano, ad esempio: Corte EDU 19 ottobre 2017, Fuchsmann c. Germania, 32; Corte EDU 10 novembre 2015, Couderc et Hachette Filipacchi c. Francia, 93: sulla necessità del giusto equilibrio tra il diritto al rispetto della vita privata, da un lato, e la libertà di espressione e la libertà di informazione del pubblico, dall’altro, cfr. pure Corte EDU 28 giugno 2018, M.L. e W.W. c. Germania, 89)”.

3.5.5. Come è evidente, allora, la deindicizzazione dei contenuti presenti sul web rappresenta, il più delle volte, l’effettivo punto di equilibrio tra gli interessi in gioco. Essa integra, infatti, la soluzione che, a fronte della prospettata volontà, da parte dell’interessato, di essere dimenticato per il proprio coinvolgimento in una vicenda del passato, realizza il richiamato bilanciamento escludendo le estreme soluzioni che sono astrattamente configurabili: quella di lasciare tutto com’e’ e quella di cancellare completamente la notizia dal web, rimuovendola addirittura dal sito in cui è localizzata.

3.5.6. Va rimarcato, del resto, che attraverso la deindicizzazione l’informazione non viene eliminata dalla rete, ma può essere attinta raggiungendo il sito che la ospita (il cosiddetto sito sorgente) o attraverso altre metodologie di ricerca, come l’uso di parole-chiave diverse: ciò che viene in questione e’, infatti, per usare le parole della Corte di giustizia, il diritto dell’interessato “a che l’informazione in questione riguardante la sua persona non venga più, allo stato attuale, collegata al suo nome da un elenco di risultati che appare a seguito di una ricerca effettuata a partire dal suo nome” (così Corte giust. UE, (Omissis) e (Omissis), cit., 99). In altri termini, con la deindicizzazione viene in discorso la durata e la facilità di accesso ai dati, non la loro semplice conservazione su internet (Corte EDU, 25 novembre 2021, Biancardi c. Italia, 50).

3.5.7. La neutralità della deindicizzazione operata a partire dal nome dell’interessato rispetto ad altri criteri di ricerca è stata, del resto, sottolineata dalle Linee-guida sull’attuazione della sentenza della Corte di giustizia nel caso C-131/12, elaborate dal Gruppo di lavoro “Art. 29”: in dette Linee-guida viene ricordato come la citata pronuncia non ipotizzi la necessità di una cancellazione completa delle pagine dagli indici del motore di ricerca e che dette pagine dovrebbero restare accessibili attraverso ogni altra chiave di ricerca. Tale avvertenza non è difforme da quella contenuta nelle Linee-guida 5/2019 che dettano “criteri per l’esercizio del diritto all’oblio nel caso dei motori di ricerca, ai sensi del RGPD” (Reg. 2016/679), adottate il 7 luglio 2020: è ivi evidenziato che la deindicizzazione di un particolare contenuto determina la cancellazione di esso dall’elenco dei risultati di ricerca relativi all’interessato, quando la ricerca e’, in via generale, effettuata a partire dal suo nome; in conseguenza, il contenuto deve restare disponibile se vengano utilizzati altri criteri di ricerca e le richieste di deindicizzazione non comportano la cancellazione completa dei dati personali, i quali non devono essere cancellati né dal sito web di origine né dall’indice e dalla cache del fornitore del motore di ricerca (punti 8 e 9).

3.5.8. In tal senso, questa Corte ha avuto modo di ritenere che il bilanciamento tra il diritto della collettività ad essere informata ed a conservare memoria del fatto storico, con quello del titolare dei dati personali a non subire una indebita compressione della propria immagine sociale, possa essere soddisfatto assicurando la permanenza dell’articolo di stampa relativo a fatti risalenti nel tempo oggetto di cronaca giudiziaria nell’archivio informatico del quotidiano, a condizione, però, che l’articolo sia deindicizzato dai siti generalisti (cfr. Cass. n. 7559 del 2020). Similmente, si è reputato che la tutela del diritto consistente nel non rimanere esposti senza limiti di tempo a una rappresentazione non più attuale della propria persona con pregiudizio alla reputazione ed alla riservatezza, a causa della ripubblicazione sul web, a distanza di un importante intervallo temporale, di una notizia relativa a fatti del passato, possa trovare soddisfazione – nel quadro dell’indicato bilanciamento del diritto stesso con l’interesse pubblico alla conoscenza del fatto, espressione del diritto di manifestazione del pensiero e quindi di cronaca e di conservazione della notizia per finalità storico-sociale e documentaristica – anche nella sola deindicizzazione dell’articolo dai motori di ricerca (cfr. Cass. n. 9147 del 2020).

3.5.9. In definitiva, quindi, il Collegio ritiene, in armonia con gli orientamenti giurisprudenziali finora illustrati, che la tutela dell’oblio dell’interessato in relazione ad articoli che lo riguardino e pubblicati, a suo tempo, legittimamente, nell’esercizio del diritto di cronaca e/o di critica e /o di satira, da una testata online, deve essere bilanciata con il diritto della collettività all’informazione e, ove non recessiva rispetto a quest’ultimo, è adeguatamente assicurata, innanzitutto, dalla deindicizzazione degli indirizzi URL relativi a tali articoli, quale rimedio atto ad evitare che il nome della persona sia associato dal motore di ricerca ai fatti di cui internet continua a conservare memoria, così assecondando il diritto della persona medesima a non essere trovata facilmente sulla rete (right not to be found easily).

3.5.10. E’ doveroso puntualizzare, peraltro, che, come già sancito da Cass. n. 2893 del 2023, all’interessato può essere riconosciuto, a certe condizioni, anche il diritto a rimedi più incisivi della deindicizzazione suddetta, ma, sul punto, non è necessario indugiare oltre attesa la richiesta originaria del P. volta ad ottenere, appunto, la sola deindicizzazione suddetta, oltre al risarcimento del lamentato danno.

4. Venendo, allora, allo scrutinio dei formulati motivi di ricorso, che può essere unitario in ragione della evidente connessione che li caratterizza, gli stessi si rivelano complessivamente inammissibili alla stregua dei principi suddetti e delle dirimenti considerazioni di cui appresso.

4.1. Giova ricordare che, come si è riferito al p. 1.2.1. dei “Fatti causa”, il tribunale capitolino, richiamati alcuni passaggi motivazionali di Cass. n. 20861 del 2021 e di Cass. n. 9147 del 2020, ha accertato (cfr. pag. 3 della sentenza oggi impugnata) che: i) “Nel caso di specie, le notizie per cui è causa risalgono al (Omissis) e il ricorso manca di censure in merito alla loro falsità o racconto inveritiero”. A supporto di tale conclusione, ha richiamato la pagina 4 del ricorso del P., recante l’affermazione “in questa sede (…) non si intende entrare nel merito della veridicità dei fatti narrati”; ii) “Non è contestato, inoltre, che P.A. abbia ricoperto e ricopra attualmente ruoli di dirigente d’azienda nel settore delle telecomunicazioni, come specificamente dedotto dalla resistente (“sia presso primarie aziende di rilievo nazionale come (Omissis) e (Omissis) sia come attuale Dirigente della (Omissis)” – vedi pag. 5 comparsa (Omissis)), né che le informazioni di cui ai link oggetto di causa si riferissero agli “studi universitari e (alla) carriera professionale svolta dal Dott. P.” (vedi pag. 5 comparsa (Omissis))”.

4.1.1. Successivamente, ha ritenuto (cfr. pag. 3-4 della medesima sentenza) che “la natura delle informazioni per cui è causa e il fatto che il ricorrente sia un noto dirigente nel settore della telecomunicazioni e che all’epoca del presente ricorso fosse un dirigente (Omissis), evidenzia la sussistenza dell’interesse della collettività alla conoscenza del suo percorso di studi e professionale, che non può ritenersi limitato ad un contesto specifico, ovvero la risalente appartenenza “allo staff dirigenziale del Dott. G.”, sussistente all’epoca delle pubblicazioni per cui è causa. Notorio, inoltre, è il fatto che attualmente P.A. ricopra un ruolo dirigenziale nel (Omissis), del quale amministratore delegato è G.L.. Per tale ragione, ingiustificata è la richiesta di deindicizzazione, tanto che nel caso di specie neppure rileverebbe il fattore tempo, persistendo l’attuale interesse pubblico alla conoscenza di queste informazioni, relativamente alle quali neppure è stata allegata la necessità di aggiornamento o la falsità. Il diritto all’oblio, infatti, non è soltanto una questione di tempo, ma sostanzialmente una questione concernente la proporzionalità con il contrapposto interesse pubblico alla conoscenza del fatto, espressione del diritto di manifestazione del pensiero e quindi di cronaca e di conservazione della notizia per finalità storico-sociale e documentaristica che non affievolisce, come nel caso di specie, nel momento in cui persista un interesse pubblico specifico ed attuale, come recentemente ribadito dalla Corte di Cassazione (Cass. 15160/21 (…))”.

4.2. E’ palese, dunque, che, così argomentando, il giudice di merito ha proceduto al bilanciamento tra la tutela dell’oblio invocata dal P. in relazione agli articoli predetti ed il diritto della collettività all’informazione, ritenendo la prima recessiva rispetto a quest’ultimo in forza di una motivazione che, pur nella sua sinteticità, si rivela essere sicuramente in linea con il minimo costituzionale richiesto da Cass., SU, n. 8053 del 2014.

4.2.1. Il tribunale, peraltro, – diversamente da quanto sostenuto dal ricorrente nella prima delle sue doglianze – ha inteso riferirsi proprio alla specifica richiesta di deindicizzazione di quegli articoli, e non, invece, a quella di cancellazione dei loro contenuti, e la sua motivazione tiene chiaramente conto pure della notorietà dell’odierno ricorrente, considerata tale, in rapporto anche all’attività da lui attualmente svolta, da giustificare la permanenza, malgrado il tempo trascorso, dell’interesse della collettività a conoscere i fatti di cui ai menzionati articoli (riguardanti la carriera professionale svolta dal Dott. P. sia presso primarie aziende di rilievo sia come Dirigente (Omissis)) relativamente ai quali neppure era stata allegata la necessità di aggiornamento o la falsità.

Ciò in considerazione dell’indubbio ruolo svolto dal P. nella vita pubblica e nel sistema industriale e delle telecomunicazioni di questo Paese.

E il fattore tempo – oggetto di doglianza nel terzo motivo -e’ stato dal tribunale correttamente contestualizzato all’interno del giudizio di necessario bilanciamento di interessi tra il diritto all’oblio del ricorrente e l’interesse della collettività a conoscere le vicende della vita professionale di uno dei top manager pubblici italiani.

4.2.2. In altri termini, reputa il Collegio che la realtà concreta – così come ricostruita dall’esame compiuto dal tribunale, in base alla sua prudente valutazione circa l’eseguito bilanciamento tra le contrapposte pretese delle parti – sia stata correttamente sussunta nei principi tutti in precedenza esposti, di cui, dunque, quel giudice ha fatto esatta applicazione, mentre, invece, ciò di cui si duole il P. e’, in realtà, proprio l’esito del predetto bilanciamento effettuato da quest’ultimo>>.

La targa dei veicoli costituisce “dato personale”

Cass. Sez. I, Ord.  18/12/2023, n. 35.256 rel. Campese:

<<2.2. E’ indubbio che l’ informazione di cui si discute – la targa di un autoveicolo, in quanto riferita a soggetto identificato o identificabile – deve considerarsi dato personale>>.

<<2.5. Il Collegio, inoltre, è conscio del fatto che dal dato personale della targa, consultando il Pubblico Registro Automobilistico (PRA), è possibile risalire solo al nominativo dell’ intestatario del veicolo che, in astratto, potrebbe anche non esserne l’effettivo utilizzatore o, addirittura, essere una persona giuridica – non oggetto di tutela da parte del GDPR – o un soggetto diverso dall’effettivo proprietario. 2.5.1. Tuttavia l’affermazione del tribunale secondo cui Il numero di targa dei veicoli costituisce in una percentuale statisticamente preponderante un dato personale idoneo a risalire alla persona dell’utilizzatore del parcometro, consentendone, dunque, la profilazione, onde il trattamento non può dirsi irrilevante sotto questo profilo, in quanto fondata su valutazione evidentemente fattuale, non è ulteriormente sindacabile in questa sede (se non per vizio motivazionale nei ristretti limiti in cui il già richiamato art. 360 c.p.c., comma 1, n. 5 lo consente. Nessuna specifica censura in tal senso, tuttavia, è stata prospettata dalla odierna ricorrente), sicchè la doglianza finisce con il sostanziarsi in una inammissibile richiesta di rivisitazione di detta valutazione, così mostrando, ancora una volta, di non considerare che il giudizio di legittimità non può essere surrettiziamente trasformato in un nuovo, non consentito, ulteriore grado di merito, nel quale ridiscutere gli esiti istruttori espressi nella decisione impugnata, non condivisi e, per ciò solo, censurati al fine di ottenerne la sostituzione con altri più consoni alle proprie aspettative (cfr. le pronunce di legittimità già rinvenibili alla fine del p. 1.3.4. di questa motivazione)>>

Non mi pare esatto. E’  vero che il concetto è delineato in termini ampi dall’art. 4 n.1 GDPR. E’ pure vero tuttavia che la ratio della normativa protettiva sta nel permettere all’interessato la scelta di quanto e come divulgare ciò che non è ancora divulgato: e quindi viene meno quando il dato è appunto già in pubblico dominio, come per la presenza del nome nel PRA

Risarcimento del danno “immateriale” (non patrimoniale) da illecito trattamento dati (per omessa vigilanza contro intrusioni esterne)

Corte giustizia 14.12.2023, C-340/21, in un’azione di danni a seguito di intrusione nei database dell’amministraizone finanziaria bulgara:

le questioni pregiudiziali dal foro bulgaro:

«1)      Se gli articoli 24 e 32 del [RGPD] debbano essere interpretati nel senso che è sufficiente che abbia avuto luogo una divulgazione o un accesso non autorizzati ai dati personali, ai sensi dell’articolo 4, punto 12, del [RGPD], da parte di persone che non sono dipendenti dell’amministrazione del titolare del trattamento e non sono soggette al suo controllo, per ritenere che le misure tecniche e organizzative adottate non siano adeguate.

2)      In caso di risposta negativa alla prima questione, quale debba essere l’oggetto e la portata del controllo giurisdizionale di legittimità nell’esame dell’adeguatezza delle misure tecniche e organizzative adottate dal titolare del trattamento ai sensi dell’articolo 32 del [RGPD].

3)      In caso di risposta negativa alla prima questione, se il principio di responsabilità di cui agli articoli 5, paragrafo 2, e 24 [del RGPD], in combinato disposto con il considerando 74 di tale regolamento, debba essere interpretato nel senso che, in un procedimento giudiziario conformemente all’articolo 82, paragrafo 1, del citato regolamento, incombe sul titolare del trattamento l’onere di provare che le misure tecniche e organizzative sono adeguate ai sensi dell’articolo 32 del [RGPD].

Se una perizia possa essere considerata un mezzo di prova necessario e sufficiente per determinare se le misure tecniche e organizzative adottate dal titolare del trattamento, in un caso come quello di specie, fossero adeguate, qualora l’accesso e la divulgazione non autorizzati di dati personali siano conseguenza di un “attacco hacker”.

4)      Se l’articolo 82, paragrafo 3, del [RGPD] debba essere interpretato nel senso che la divulgazione o l’accesso non autorizzati a dati personali ai sensi dell’articolo 4, paragrafo 12, di tale regolamento che, come nel caso di specie, ha avuto luogo mediante un “attacco hacker” da parte di persone che non sono dipendenti dell’amministrazione del titolare del trattamento e che non sono soggette al suo controllo configura un evento che non è in alcun modo imputabile a quest’ultimo e che gli consente di essere esonerato dalla responsabilità.

5)      Se l’articolo 82, paragrafi 1 e 2, del [RGPD], in combinato disposto con i considerando 85 e 146 di tale regolamento, debba essere interpretato nel senso che, in un caso come quello di specie, in cui ha avuto luogo una compromissione della protezione dei dati personali, verificatasi sotto forma dell’accesso non autorizzato e nella diffusione di dati personali mediante un “attacco hacker”, le sole inquietudini e ansie e i soli timori provati dalla persona interessata in merito ad un eventuale futuro uso improprio dei dati personali rientrino nella nozione di danno immateriale, che deve essere interpretata estensivamente, e facciano sorgere il diritto al risarcimento, qualora tale uso improprio non sia stato accertato e/o la persona interessata non abbia subito alcun ulteriore danno».

Risposte della CG:

<<1)      .. una divulgazione non autorizzata di dati personali o un accesso non autorizzato a tali dati da parte di «terzi», ai sensi dell’articolo 4, punto 10, di tale regolamento, non sono sufficienti, di per sé, per ritenere che le misure tecniche e organizzative attuate dal titolare del trattamento in questione non fossero «adeguate», ai sensi di tali articoli 24 e 32. [alquanto ovvio]

2)      L’articolo 32 del regolamento 2016/679

dev’essere interpretato nel senso che:

l’adeguatezza delle misure tecniche e organizzative attuate dal titolare del trattamento ai sensi di tale articolo deve essere valutata dai giudici nazionali in concreto, tenendo conto dei rischi connessi al trattamento di cui trattasi e valutando se la natura, il contenuto e l’attuazione di tali misure siano adeguati a tali rischi.    [alquanto ovvio]

3)      Il principio di responsabilità del titolare del trattamento, enunciato all’articolo 5, paragrafo 2, del regolamento 2016/679 e concretizzato all’articolo 24 di quest’ultimo,

deve essere interpretato nel senso che:

nell’ambito di un’azione di risarcimento fondata sull’articolo 82 di tale regolamento, al titolare del trattamento di cui trattasi incombe l’onere di dimostrare l’adeguatezza delle misure di sicurezza da esso attuate ai sensi dell’articolo 32 di detto regolamento. [già più interessante, visto che l’art. 82.3 3. secondo cui <<Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile>>, non è chiarissimo nel porre un’inversione dell’onere della prova come i nostri art. 2047 segg. c.c.].

4)      L’articolo 32 del regolamento 2016/679 e il principio di effettività del diritto dell’Unione

devono essere interpretati nel senso che:

al fine di valutare l’adeguatezza delle misure di sicurezza che il titolare del trattamento ha attuato ai sensi di tale articolo, una perizia giudiziaria non può costituire un mezzo di prova sistematicamente necessario e sufficiente. [alquanto ovvio]

5)      L’articolo 82, paragrafo 3, del regolamento 2016/679

deve essere interpretato nel senso che:

il titolare del trattamento non può essere esonerato dal suo obbligo di risarcire il danno subito da una persona, ai sensi dell’articolo 82, paragrafi 1 e 2, di tale regolamento, per il solo fatto che tale danno deriva da una divulgazione non autorizzata di dati personali o da un accesso non autorizzato a tali dati da parte di «terzi», ai sensi dell’articolo 4, punto 10, di detto regolamento, dato che tale responsabile deve allora dimostrare che il fatto che ha provocato il danno in questione non gli è in alcun modo imputabile. [alquanto ovvio]

6)      L’articolo 82, paragrafo 1, del regolamento 2016/679

deve essere interpretato nel senso che:

il timore di un potenziale utilizzo abusivo dei suoi dati personali da parte di terzi che un interessato nutre a seguito di una violazione di tale regolamento può, di per sé, costituire un «danno immateriale», ai sensi di tale disposizione>>. [interessante]