diritto alla riservatezza (privacy) + oblio

Superfluità del consenso al trattamento dati in caso di necessità a fini difensivi da aprte del lavoratore (anche se concernente un terzo non parte del giudizio)

Cass. sez. lav. 21/07/2025 n. 20.487, rel. Ponterio, circa il vecchio art. 24 cod. priv. (ora v. art. 6 § 1, sub f) – art. 9 § 2 legg. f) , GDPR), sulla registrazione di una conversazione tra datore e altro lavoratore, diverso dal registrante:

In generale:

<<Con orientamento costante questa Corte (v. per tutte Cass., n. 11322 del 2018) ha sottolineato come la rigida previsione del consenso del titolare dei dati personali subisca “deroghe ed eccezioni quando si tratti di far valere in giudizio il diritto di difesa, le cui modalità di attuazione risultano disciplinate dal codice di rito” (Cass., Sez. U., 8 febbraio 2011, n. 3034). Ciò sulla scorta dell’imprescindibile necessità di bilanciare le contrapposte istanze della riservatezza da una parte e della tutela giurisdizionale del diritto dall’altra e pertanto di contemperare la norma sul consenso al trattamento dei dati con le formalità previste dal codice di procedura civile per la tutela dei diritti in giudizio.

Si è quindi precisato che l’utilizzo a fini difensivi di registrazioni di colloqui tra il dipendente e i colleghi sul luogo di lavoro non necessita del consenso dei presenti e che la tale registrazione fonografica, rientrando nel genus delle riproduzioni meccaniche di cui all’art. 2712 c.c., ha natura di prova ammissibile nel processo civile del lavoro così come in quello penale (v. Cass. 29 dicembre 2014, n. 27424 ed i richiami in essa contenuti a Cass. 22 aprile 2010, n. 9526 ed a Cass. 14 novembre 2008, n. 27157).

È stato, altresì, chiarito che l’ipotesi derogatoria di cui all’art. 24 del D.Lgs. n. 196/2003 che permette di prescindere dal consenso dell’interessato sussiste anche quando il trattamento dei dati, pur non riguardanti una parte del giudizio in cui la produzione viene eseguita, sia necessario per far valere o difendere un diritto (Cass. 20 settembre 2013, n. 21612), a condizione che i dati medesimi siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento (cfr. la sopra richiamata Cass., Sez. U., n. 3033 del 2011 nonché Cass. 11 luglio 2013, n. 17204 e Cass. 10 agosto 2013, n. 18443).

Inoltre, il diritto di difesa non va considerato limitato alla pura e semplice sede processuale, estendendosi a tutte quelle attività dirette ad acquisire prove in essa utilizzabili, ancor prima che la controversia sia stata formalmente instaurata mediante citazione o ricorso (cfr. la già citata Cass. n. 27424 del 2014). Alla luce di tali premesse, si è giudicata legittima, cioè inidonea ad integrare un illecito disciplinare, la condotta del lavoratore che abbia effettuato tali registrazioni per tutelare la propria posizione all’interno dell’azienda e per precostituirsi un mezzo di prova, rispondendo la stessa, se pertinente alla tesi difensiva e non eccedente le sue finalità, alle necessità conseguenti al legittimo esercizio di un diritto ed essendo coperta dall’efficacia scriminante dell’art. 51 c.p., di portata generale nell’ordinamento e non limitata al solo ambito penalistico (Cass. 29 dicembre 2014, n. 27424). Si è sottolineato che l’applicazione degli anzidetti principi esige un attento ed equilibrato bilanciamento tra la tutela di due diritti fondamentali, quali la garanzia della libertà personale, sotto il profilo della sfera privata e della riservatezza delle comunicazioni, da una parte e del diritto alla difesa, dall’altra; esso si deve fondare su una valutazione rigorosa del requisito di pertinenza, nella prospettiva di una diretta e necessaria strumentalità, della registrazione all’apprestamento della finalità difensiva nell’orizzonte sopra illustrato, all’interno di una scrupolosa contestualizzazione della vicenda (così Cass. n. 31204 del 2021).>>

Sui fatti di casusa:

<< 3.1. Nel caso di specie, il ricorrente invoca la scriminante di cui all’art. 24 del D.Lgs. 196/2003 e di cui all’art. 51 c.p. adducenco che la registrazione per cui è causa era conseguente al rinvenimento il 18.3.2016, nel proprio fascicolo personale, di una nota di demerito del seguente tenore: “Se non ha voglia di lavorare che se ne vada…nessuno lo trattiene!!!”, attribuita al Direttore VII Tronco, geom. Marrone; tale nota di demerito, di cui gli era stata consegnata solo una copia parziale, era significativa del “clima” aziendale in essere nei suoi confronti e la stessa era stata poi dichiarata illegittima dalla Corte d’Appello di Ancona con sentenza n. 165/2022. Aggiunge che, all’epoca della registrazione, i precedenti disciplinari non erano limitati alle sanzioni irrogate nel 2012 ma comprendevano anche le sanzioni adottate nel 2014.

3.2. La Corte d’Appello ha accertato che la registrazione della conversazione tra il direttore del personale e la collega Or.Pa. (a cui era estraneo il Va.Do.) era stata effettuata (per la durata di circa due ore) il 18.3.2016; che all’epoca non vi era alcun contenzioso pendente tra il Va.Do. e la datrice di lavoro; che l’ultima sanzione disciplinare irrogata al predetto risaliva al 21.9.2012 ed era motivata dal mancato rispetto del turno lavorativo e dall’abbandono anticipato del posto di lavoro; che solo con il ricorso del 27.6.2018 il dipendente aveva impugnato la sanzione disciplinare del 2012 ed aveva anche chiesto il risarcimento dei danni da condotte vessatorie e prodotto la registrazione della citata conversazione.

Sulla base di tale ricostruzione in fatto, i giudici di appello hanno ritenuto che la registrazione, non realizzata in pendenza di un procedimento giurisdizionale o in vista di una sua imminente introduzione e al fine di precostituire mezzi di prova utili alla difesa in quella sede, aveva una finalità meramente esplorativa e in nessun modo interferiva con i fatti posti a base dell’infinito descritte modalità e finalità, detta registrazione non era in alcun modo pertinente e funzionale all’esercizio del diritto di difesa ma, al contrario, realizzava un notevole inadempimento degli obblighi contrattuali di correttezza e fedeltà, legittimando come proporzionata l’irrogazione della sanzione conservativa.

3.3. Ferma la ricostruzione in fatto come operata dai giudici di merito, non censurabile in questa sede di legittimità neppure ai sensi dell’art. 360 n. 5 c.p.c. in ragione della disciplina cd. della doppia conforme, deve rilevarsi come la Corte d’Appello si sia rigorosamente attenuta ai principi di diritto sopra richiamati e ciò comporta l’insussistenza della violazione di legge contestata. In particolare, i giudici di appello hanno evidenziato l’assenza di un qualsiasi nesso di pertinenza e strumentalità tra la registrazione del colloquio tra altri dipendenti della società e l’esercizio del diritto di difesa del Va.Do., sia rispetto alle sanzioni disciplinari del 2012 e sia rispetto ad altre rivendicazioni, non avanzate neppure in via stragiudiziale, in un orizzonte temporale plausibile; al contrario, la distanza temporale tra l’epoca della indebita registrazione (2016) e la proposizione del ricorso (2018) e l’inesistenza di un nesso di contenuto tra detta registrazione e l’oggetto del ricorso in giudizio del 2018, hanno condotto i giudici di appello, in consonanza con i precedenti di questa Corte, ad escludere i presupposti per poter considerare scriminata la violazione dell’altrui diritto alla riservatezza.>>

Dati sanitari ceduti a Meta da centri medico-sanitari senza consenso del titolare: il caso dei tracking pixel

Interessante caso, segnalato da Eric Goldman nel suo blog, deciso (provvisoriamente) da US D.C. East. D. of California, 9 giugno 2025, No. 1:23-cv-01106-DC-CKD, Jane Doe e altri c. TENET HEALTHCARE CORPORATION, et altri.

Queste strutture raccoglievano molti dati sanitari dei clienti prodotti dalla loro interazione sui loro server e li cedevano a Meta: -direttamente dal pc del cliente, nel caso dei citt. Pixex; – a partire dal server delle strutture sanitaria nel caso di un’altra applicazione chiamata Conversions Application Programming Interface, “CAPI”.

Delle molte azioni svolte, alcune sono state mandate avanti, mentre altre sono state bloccate.

Si tratta però di normative nazionali poco interessanti nel dettaglio per l’operatore italiano (tranne quelle sulla data protection in senso stretto).

Qui interessa solo ricordare come funziona il tracciamento tramite Pixex , come riportato in sentenza:

<< Defendants deploy “various digital marketing and automatic software tools” on their Web Properties that disclose information to Meta, Google, and other third parties for “advertising purposes.” (Id. at ¶ 8–9.) Specifically, Defendants have installed source code known as “tracking pixels” on their Web Properties to share user information with third parties. (Id. at ¶¶ 34–35, 55–56, 79, 184, 233.) Meta Pixel (“Pixel”) is among the tracking pixels Defendants have installed on their Web Properties. (Id. at ¶¶ 42–43, 71, 111, 184, 233.) Pixel was developed by Meta as “a new way to report and optimize for conversions, build audiences and get rich insights about how people use [] website[s].” (Id. at ¶ 208.) Pixel enables Defendants to “measure the effectiveness of their advertising by understanding the actions people take on their websites.” (Id.)

Pixel is a “snippet of code embedded on a third-party website that tracks users’ activities as users navigate through a website.” (Id. at ¶ 192.) When a user visits a webpage containing Pixel, the code tracks and log each page the user visits, what buttons they click, as well as specific information that users input into a website. (Id.) Pixel functions by monitoring for an “event” that triggers the code on Defendants’ Web Properties, including their websites and patient portals. (Id. at ¶¶ 98, 130.) On Defendants’ Web Properties, Pixel is triggered each time a user interacts with new webpages, enters search terms in the search bar, engages with the “Find A Doctor” function, fills out forms, completes assessments, logs into the patient portal, or uses the patient portal. (Id. at ¶¶ 110, 130, 236, 242, 245–248, 273.) When an event occurs, Pixel “send[s] the information it collects to [Meta] through scripts running in a user’s internet browser, similar to how a ‘bug’ or wiretap can capture audio information.” (Id. at ¶¶ 213, 233.) In other words, Pixel redirects the content of the users communications to Meta simultaneously in “real time” while the exchange of information between the user and Defendants’ Web Properties is still occurring. (Id. at ¶¶ 232, 239.)

Pixel transmits data to Meta as a “full-string, detailed URL” consisting of information regarding a user’s browsing history, the name of the web page visited, and the search terms that the user used to find the web page. (Id. at ¶¶ 202, 255.) The information Meta receives via Pixel may include “the kinds of treatments that patients research on the hospital’s website, . . . patients’ past and future medical conditions, their past and future medical treatment, [] when and where they are receiving treatment for those conditions,” “the patient’s home address, their name, their search location, as well as their doctor’s specialty, name, and gender.” (Id. at ¶ 83.)

Pixel also sends Meta a user’s PII, including their internet protocol (IP) address, name, email, phone number, cookies, and browsing fingerprint (i.e., information that can be used to identify the specific device). (Id. at ¶¶ 204, 211, 215.) If the user has a Facebook account, Meta also receives the user’s Facebook ID (“FID”). (Id. at ¶¶ 215–217.) “A user’s FID is linked to their Facebook profile, which generally contains a wide range of demographic and other information about the user, including pictures, personal interests, work history, relationship status, and other details.” (Id. at ¶¶ 117, 120.) A user’s PII is sent to Meta in a “data packet” alongside information on the user’s interactions with Defendants’ Web Properties, allowing Meta to “link” a user’s activity on Defendants’ Web Properties to their Facebook profile. (Id. at ¶¶ 82–84, 239, 263.)

In addition to Pixel, Defendants installed and implemented Meta’s Conversions Application Programming Interface (“CAPI”) on their Web Properties’ servers. (Id. at ¶ 58.)

Unlike Pixel, which causes a user’s browser to transmit information directly to Meta, “CAPI tracks the user’s website interaction . . . records and stores that information on the website owner’s servers and then transmits the data to [Meta] from the website owner’s servers.” (Id. at ¶ 59.) CAPI is located on “the website owner’s servers (rather than a bug placed on the website users’ browsers),” meaning website owners can “circumvent any ad blockers or similar technologies.” (Id. at ¶ 61.) CAPI captures information submitted by users to Defendants’ Web Properties, including “the type of medical treatment sought, the individual’s particular health condition and the fact that the individual attempted to or did book a medical appointment.” (Id. at ¶ 64.)

Finally, Defendant Tenet “discloses the same kind of patient data” that it provides to Meta to other third parties involved in internet marketing, including Google, via tracking software installed on its websites. (Id. at ¶ 258.) Namely, Defendants deploy Google tracking tools, such as Google Analytics, Google DoubleClick, and Google AdWords, on “nearly every page of their websites, resulting in the disclosure of communications exchanged with patients to be transmitted

to Google.” (Id. at ¶¶ 259, 262.) Transmissions of information to Google “occur simultaneously with patients’ communications” with Defendants’ Web Properties and include data on “specific medical providers, treatments, conditions, appointments, payments, and registrations and logins to Defendants’ patient portal.” (Id. at ¶ 262.) Google also receives a user’s PII, including their IP address, cookies, geolocation, and other identifiers. (Id. at ¶ 259.)>>

Ricordo solo che la violazione del California Privacy Act è stata ritenuta plausibile, per cui l’azione relativa è stata fatta proseguire (v. sub C), C alifornia Invasion of Privacy Act (Count 1), p. 19 ss

Sulla identificabilità della persona, ai fini della data protection, in caso di informazioni inviate a Facebook dalla piattaforma di videostreaming

L’appello del 2 circuito , 01.05.2025, Docket No. 23‐7597‐cv, Solomon cv. Flipps Media – Fite TV.

Si tratta di info inviate dal gestore di video streaming Fite a Facebook circa l’uso della propria piattaforma da parte degli utenti, info raccolte tramite la applicazione Pixel, inclusiva del servizio PageView, fornita dallo stesso Facebook.

Le info inviate son quelle presenti nella schermata che segue ,

Sia il giudice di primo grado che quello di appello ritengono che non ci sia identificabilità della persona, alla luce del Video Privacy Protection Act of 1988, 18 U.S.C. § 2710 (da noi v. art. 4 n. 1 del reg. UE 679/2016).

<<The information transmitted by FITE to Facebook via the Pixelʹs
PageView is set forth in the ʺexemplar screenshotʺ reproduced in the Complaint.
See page 9 supra; Joint Appʹx at 20. The exemplar depicts some twenty‐nine lines
of computer code, and the video title is indeed contained in Box A following the
GET request. The words of the title, however, are interspersed with many
characters, numbers, and letters. It is implausible that an ordinary person would
look at the phrase ʺtitle%22%3A%22‐%E2%96%B7%20The%20Roast%20of%‐
20Ric%20Flairʺ ‐‐ particularly if the highlighting in Box A is removed ‐‐ and
understand it to be a video title.14 It is also implausible that an ordinary person
would understand, ʺwith little or no extra effort,ʺ the highlighted portion to be a
video title as opposed to any of the other combinations of words within the code,
such as, for example, ʺ%9C%93%20In%20the%20last%20weekend%20of%20‐
July%2C.ʺ Id.; Joint Appʹx at 20.
Nor does the Complaint plausibly allege that an ordinary person
could identify Solomon through her FID. Because the redacted sequence of
numbers in the second line of Box B is not labeled, the FID would be just one
phrase embedded in many other lines of code. And if the numbers in the
exemplar were not redacted, what an individual would see is, for example, a
phrase such as ʺc_user=123456ʺ or ʺc_user=00000000.ʺ Although a section of the
code in Box A does state ʺ[h]ost: www.facebook.com,ʺ it is not plausible that an
ordinary person, without the annotation of Box B, would see the ʺc_userʺ phrase
on FITEʹs servers and conclude that the phrase was a personʹs FID.
Notably, the Complaint lacks any details about how an ordinary
person might access the information on the Pixelʹs PageView. But even
assuming, arguendo, that an ordinary person could somehow gain access to the
Pixelʹs PageView, the Complaint is also devoid of any details about how an
ordinary person would use an FID to identify Solomon. The Complaint merely
states that entering ʺfacebook.com/[Solomonʹs FID]ʺ into any web browser would
result in Solomonʹs personal Facebook profile, and that ʺ[t]his basic method of
accessing a personʹs Facebook profile is generally and widely known among the
public.ʺ Joint Appʹx at 21. But see In re Nickelodeon, 827 F.3d at 283 (ʺTo an
average person, an IP address or a digital code in a cookie file would likely be of
little help in trying to identify an actual person.ʺ). Accordingly, we are not
persuaded that an FID is ʺvastly different,ʺ Appellant Br. at 29, from the unique
device identifiers in Nickelodeon, 827 F.3d at 262, or the Roku device serial
numbers in Eichenberger, 876 F.3d at 979 >>

La decisione sarebbe stata uguale anche in base alla norma europea.

(notizia e link alla sentenza dal blog di Eric Goldman)

La Corte di Giustizia illumina (fiocamente, per vero) l’interpretazione dell’art. 15.1.h) GDPR sul dovere esplicativo in caso di sistemi di processi decisionali automatizzati

Corte di Giustizia 27.02.2025, C-203/22, CK c. Magistrat der Stadt Wien con l’intervento di Dun& Bradstreet Austria GmbH, esamina un rinvio di giudice austriaco in un caso di piano tariffario telefonico negato per rischio di insolvenza rilevato da scoring algoritmico.

Il tema è sempre piuù importante ed attuale, costituendo forse quello più difficile da sciogliere: il dovere di motivare (derivante da buona fede contrattuale, quando non da disposizione di legge) è problematico assai nel caso di decisioni algoritmiche, anche perchè di solito l’impresa profilante il privato scaltramente eccepisce il segreto commerciale (che però in genrrale cede al diritto alla protezione dei dati del civis).

Si notino i ponderosi quesiti del giudice a quo.

La risposta della CG resta sul generico e purtroppo non è dato conoscere con precisione la risposta data dall’impresa profilante alla richiesta del cittadino

1) L’articolo 15, paragrafo 1, lettera h), del regolamento (UE) 2016/679 … dev’essere interpretato nel senso che:

in caso di processo decisionale automatizzato, compresa la profilazione, ai sensi dell’articolo 22, paragrafo 1, di tale regolamento, l’interessato può pretendere dal titolare del trattamento, a titolo di «informazioni significative sulla logica utilizzata», che quest’ultimo gli spieghi, mediante informazioni pertinenti e in forma concisa, trasparente, comprensibile e facilmente accessibile, la procedura e i principi concretamente applicati per utilizzare, con mezzi automatizzati, i dati personali relativi a tale interessato al fine di ottenerne un risultato determinato, come un profilo di solvibilità.

2) nell’ipotesi in cui il titolare del trattamento ritenga che le informazioni da fornire all’interessato conformemente a tale disposizione contengano dati di terzi protetti da tale regolamento o segreti commerciali, ai sensi dell’articolo 2, punto 1, della direttiva 2016/943 (UE) del Parlamento europeo e del Consiglio, dell’8 giugno 2016, sulla protezione del know‑how riservato e delle informazioni commerciali riservate (segreti commerciali) contro l’acquisizione, l’utilizzo e la divulgazione illeciti, detto titolare è tenuto a comunicare tali informazioni asseritamente protette all’autorità di controllo o al giudice competenti, cui spetta ponderare i diritti e gli interessi in gioco al fine di determinare la portata del diritto di accesso dell’interessato previsto all’articolo 15 di tale regolamento

Sullegittimo interesse del titolare del trattamento in caso di aassenza del consenso (art. 6.1.f) GDPR)

Una federazione sportiva tennis olandese cede ai suoi sponsor i dati personali degli atleti federati, pur senza loro consenso.

Ricorre il legittimo interesse ex art. 6.1.f) GDPR?

Potrebbe anche darsi di si, risponde Corte Giust. 04.10.2024, C-621/22, Koninklijke Nederlandse Lawn Tennisbond c. Autoriteit Persoonsgegevens.

Devono ricrrere anmcjhe gli altri elemenit precista dlal norma cit. e … la valutazione compete al giudice nazionale.

I passi salienti:

<<49 Pertanto, un interesse commerciale del titolare del trattamento, come quello menzionato al punto 47 della presente sentenza, potrebbe costituire un legittimo interesse, ai sensi dell’articolo 6, paragrafo 1, primo comma, lettera f), del RGPD, purché non sia contrario alla legge. Spetta tuttavia al tribunale nazionale valutare, caso per caso, l’esistenza di un interesse del genere, tenendo conto del quadro giuridico applicabile e di tutte le circostanze del caso. (…)

51 In secondo luogo, per quanto riguarda la condizione relativa alla necessità di tale trattamento per il conseguimento di detto interesse e, in particolare, l’esistenza di mezzi meno lesivi delle libertà e dei diritti fondamentali degli interessati e altrettanto adeguati, occorre constatare che sarebbe segnatamente possibile, per una federazione sportiva come il KNLTB, che intenda comunicare a titolo oneroso i dati personali dei suoi membri a terzi, informare previamente i suoi membri e chiedere a questi ultimi se desiderano che i loro dati siano trasmessi a tali terzi a fini di pubblicità o di marketing. (…)

56 Inoltre, il giudice del rinvio dovrà tener conto della circostanza che i dati in questione sono trasmessi, in particolare, a un fornitore di giochi d’azzardo e di giochi da casinò, come la NLO, le cui attività di promozione e di marketing, pur se legittime, sono esercitate in un contesto che, contrariamente a quanto risulta dal considerando 47 del RGPD, non sembra essere caratterizzato da una relazione pertinente e adeguata tra gli interessati e il titolare del trattamento. Inoltre, in talune circostanze, il trattamento di tali dati potrebbe avere effetti nefasti sui membri delle associazioni di tennis considerati in quanto tali attività possono esporre detti membri ai rischi connessi allo sviluppo della ludopatia>>.

Pilatesca decisione che non afrronta il tema principalre: questa cessione agli sponsor era stata da loro imposta? C’era margine di manovra diversa? E’ prassi diffusa nel mercato europep questo impoegnoi verso lo sponsor?

A nulla conta , invece, il settore di business dello sponsor, purchè lecito.

Violazioni di copyright e accesso ai dati sulla identità civile dietro un numero IP, eseguito durante le indagini: Il § art. 15.1 della direttiva sulla privacy nelle comunicazioni elettroniche

Un’applicaizone dell’eccezione, posta dall’art. 15.1 dir. 2002/58 sulla tutela della privacy nelle comunicazioni elettronico (ancora vigente dopo 22 anni in un settore dai cambianti tecnologici continui !!) , alla indagini nelle violazioni di copuyright è fatta da C. Giust. 30.04.2024, C-470/21.

Risposta della CG alla domanda interpretativa, relativa ad una disposizione del cod. propr. int. francese:

L’articolo 15, paragrafo 1, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche), come modificata dalla direttiva 2009/136/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009, letto alla luce degli articoli 7, 8, 11 e 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea.

deve essere interpretato nel senso che:

esso non osta a una normativa nazionale che autorizza l’autorità pubblica incaricata della protezione dei diritti d’autore e dei diritti connessi contro le violazioni di tali diritti commesse su Internet ad accedere ai dati, conservati dai fornitori di servizi di comunicazione elettronica accessibili al pubblico, relativi all’identità civile corrispondenti a indirizzi IP precedentemente raccolti da organismi degli aventi diritto, affinché tale autorità possa identificare i titolari di tali indirizzi, utilizzati per attività che possono costituire violazioni del genere, e possa adottare, eventualmente, misure nei loro confronti, purché, in forza di tale normativa,

– tali dati siano conservati in condizioni e secondo modalità tecniche che garantiscano che sia escluso che tale conservazione possa consentire di trarre conclusioni precise sulla vita privata di detti titolari – ad esempio tracciandone il profilo dettagliato – ciò può essere conseguito, in particolare, imponendo ai fornitori di servizi di comunicazione elettronica un obbligo di conservazione delle diverse categorie di dati personali, quali i dati relativi all’identità civile, gli indirizzi IP nonché i dati relativi al traffico e i dati relativi all’ubicazione, che garantisca una separazione effettivamente stagna di tali diverse categorie di dati tale da impedire, nella fase della conservazione, qualsiasi utilizzo combinato di dette diverse categorie di dati, e per un periodo non superiore allo stretto necessario,

– l’accesso della suddetta autorità pubblica a tali dati conservati in maniera separata ed effettivamente stagna serva esclusivamente a identificare la persona sospettata di aver commesso un reato e sia accompagnato dalle garanzie necessarie per escludere che, salvo in situazioni atipiche, tale accesso possa consentire di trarre conclusioni precise sulla vita privata dei titolari degli indirizzi IP – ad esempio tracciandone il profilo dettagliato – ciò che implica, in particolare, che sia vietato ai funzionari di tale autorità, autorizzati ad avere un siffatto accesso, di divulgare, in qualsiasi forma, informazioni sul contenuto dei file consultati da detti titolari – salvo al solo fine di adire il pubblico ministero –; procedere a un tracciamento del percorso di navigazione di tali titolari e, più in generale, utilizzare tali indirizzi IP per uno scopo diverso da quello di identificare i loro titolari ai fini dell’adozione di eventuali misure contro questi ultimi,

– la possibilità, per le persone incaricate dell’esame dei fatti all’interno di detta autorità pubblica, di mettere in relazione tali dati con i file contenenti elementi che consentono di conoscere il titolo di opere protette la cui messa a disposizione in Internet ha giustificato la raccolta degli indirizzi IP da parte di organismi degli aventi diritto, sia subordinata, nelle ipotesi di nuova reiterazione di un’attività lesiva dei diritti d’autore o dei diritti connessi da parte di uno stesso soggetto, a un controllo, da parte di un giudice o di un organismo amministrativo indipendente, che non può essere interamente automatizzato e deve avvenire prima di tale messa in relazione, in quanto tale messa in relazione può, in tali ipotesi, consentire di trarre precise conclusioni sulla vita privata di detto soggetto, il cui indirizzo IP sia stato utilizzato per attività che possono ledere i diritti d’autore o i diritti connessi,

– il sistema di trattamento dei dati utilizzato dall’autorità pubblica sia sottoposto, a intervalli regolari, ad un controllo da parte di un organismo indipendente, avente la qualità di terzo rispetto alla suddetta autorità pubblica, al fine di verificare l’integrità del sistema, comprese le garanzie effettive contro i rischi di accesso e uso impropri o illeciti di tali dati, nonché la sua efficacia e affidabilità nel rilevare eventuali violazioni.

Risarcimento del danno non patrimoniale da violazione di privacy

In un caso di erronea divulgazione online da parte della PA di dati sanitari di una pazienda, però immediatamente eliminata, regola la domanda risarcitoria Cass. sez. III, 16/04/2024 ord. n. 10.155, rel. Ambrosi:

<<1.1. Secondo il costante orientamento di questa Corte, in materia di responsabilità civile, è configurabile il risarcimento del danno non patrimoniale, da identificare con qualsiasi conseguenza pregiudizievole della lesione.

All’esito della pronunzia Corte Cost. n. 235 del 2014 e dell’entrata in vigore della L. n. 124 del 2017 (che all’art. 1, comma 17, ha modificato l’art. 138 Cod. ass. richiamato dai ricorrenti), questa Corte ha posto in rilievo come il giudice del merito sia tenuto “a valutare tanto le conseguenze subite dal danneggiato nella sua sfera morale (che si collocano nella dimensione del rapporto del soggetto con sé stesso), quanto quelle incidenti sul piano dinamico – relazionale della sua vita (che si dipanano nell’ambito della relazione del soggetto con la realtà esterna, con tutto ciò che, in altri termini, costituisce “altro da sé”)” (così Cass., 31/1/2019, n. 2788; Cass., 21/9/2017, n. 21939).

Il danno preteso, dovendo necessariamente consistere in un profilo consequenziale rispetto al fatto dannoso denunciato (non potendo esaurirsi nella figura del c.d. danno-evento, ossia in re ipsa), dev’essere essere oggetto di specifica allegazione e di prova, anche tramite il ricorso al valore rappresentativo di presunzioni semplici (v. Cass. Sez. 3, Ordinanza n. 19551 del 10/07/2023, Rv. 668139 – 01; Cass. Sez. 3, Sentenza n. 20643 del 13/10/2016, Rv. 642923 – 02), ossia anche attraverso l’indicazione degli elementi costitutivi e delle specifiche circostanze di fatto da cui desumerne, sebbene in via presuntiva, l’esistenza (Cass. Sez. 3, Ordinanza n. 34026 del 18/11/2022, Rv. 666153 – 01).

Inoltre, questa Corte ha posto in evidenza che in tema di liquidazione equitativa del danno non patrimoniale, la liquidazione compiuta dal giudice di merito sfugge ad una precisa valutazione analitica e resta affidata al criterio equitativo, non sindacabile in sede di legittimità allorquando lo stesso giudice dia conto del criterio medesimo e la valutazione risulti congruente al caso e la concreta determinazione dell’ammontare del danno non sia, per eccesso o per difetto, palesemente sproporzionata (Cass. Sez. 3 14/07/2004, n. 13066) o non congrua (Cass. Sez. 3, 7/03/2003 n. 3414) o, addirittura, simbolica o irrisoria (Cass. Sez. 3, 16/05/2003 n. 7632).

3.1.2. Sul punto, giova sottolineare come nella specie il Tribunale ha avuto cura di evidenziare che la divulgazione di informazioni in violazione degli obblighi di riservatezza e di privacy avvenuta in modo illegittimo (in particolare, circa gli aspetti inerenti allo stato di salute e alla vita sessuale della odierna parte ricorrente, nonché alle prestazioni sanitarie cui era stata sottoposta, e alle coordinate bancarie del coniuge su cui accreditare il rimborso ottenuto) determinò l’odierna azienda controricorrente a provvedere in un tempo brevissimo (nelle ore immediatamente successive alla pubblicazione) ad oscurare i dati sensibili presenti nel testo diffuso.

Di conseguenza, il Tribunale ha correttamente considerato il complesso degli elementi istruttori documentali e testimoniali acquisiti ed è pervenuto alla quantificazione e liquidazione del danno in via equitativa, in modo unitario e omnicomprensivo e proporzionato al danno di natura non patrimoniale subìto in concreto dalla parte ricorrente>>.

Trattamento di dati biometrici da parte dell’Università col software che controlla lo svolgimento delle prove di accesso (sul software Respondus usato da Bocconi in epoca pandemica)

Cass. sez. I, ord. 13/05/2024 n. 12.967, rel. Tricomi:

<<3.1. – In sintesi, per quanto interessa nel presente caso, il trattamento dei dati biometrici intesi a identificare in modo univoco una persona fisica in mancanza del consenso dell’interessato è vietato ai sensi del Regolamento 2016/6790; il divieto viene meno e il trattamento è ammesso quando è necessario per motivi di interesse pubblico rilevante, in specifiche materie, tra cui rientra l’istruzione e la formazione in ambito scolastico, professionale, superiore o universitario, secondo quanto previsto dal D.Lgs. n. 196/2003, con la precisazione che il trattamento “deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato”, in linea anche con il principio di “responsabilizzazione” dettato dall’art.5, par. 2 del Regolamento 2016/679.

3.2. – Il Tribunale ha affermato che Respondus, descritto come un software che “cattura le immagini video e lo schermo dello studente identificando e contrassegnando con un flag i momenti in cui sono rilevati comportamenti insoliti e/o sospetti mediante registrazione video e istantanee scattate a intervalli casuali per tenere traccia di comportamenti anomali… Al termine della prova, il sistema elabora il video, inserendo segnali di allerta in merito a possibili indici di comportamenti scorretti … affinché il docente … possa poi valutare se effettivamente sia stata commessa un’azione non consentita nel corso della prova” (fol.12), realizza la mera acquisizione di una foto (o una registrazione video) e non configura un trattamento di dati biometrici.

In questa sequenza, secondo il Tribunale, non vi sarebbe trattamento dei dati biometrici tesi a identificare in modo univoco una persona fisica, posto che lo studente esaminato dal software non sarebbe identificato attraverso i suoi dati biometrici raccolti e trattati dal sistema Respondus, ma dal docente chiamato a vagliare il video finale.

3.3. – La conclusione è in contrasto con le norme in materia di trattamento dei dati personali e l’errore che segna la ricostruzione del Tribunale riguarda la sussunzione della fattispecie concreta nella fattispecie astratta di trattamento di dati personali, genus nel quale rientrano i dati biometrici.

3.4. – Come si evince dalla descrizione del funzionamento del software Respondus (prima ricordata e desunta dalla sentenza impugnata), questo non si limita a registrare a video la prova di esame, ma nel corso della ripresa cattura immagini della persona fisica che svolge la prova di esame e seleziona, mediante la realizzazione di video, lo scatto di istantanee ad intervalli casuali e i momenti in cui rileva comportamenti insoliti. Proprio in ragione della contestuale selezione del materiale raccolto in merito a comportamenti anomali, al termine della prova, lo stesso software realizza un video in cui confluiscono gli elementi anomali (contrassegnati da flag) che possono attenere alla conferma o meno della corrispondenza fisica della persona esaminata con lo studente (già identificato dall’Università come da sottoporre alla prova) e a ulteriori anomalie registrate; video che viene sottoposto al docente, per la sua valutazione finale in ordine alla regolarità della prova sostenuta dalla persona.

Risulta da ciò palese che le riprese video e foto realizzate da Respondus non hanno solo la funzione di documentare la prova di esame, ma si connotano per la contestuale elaborazione e selezione del materiale, di momento in momento raccolto, selezione che converge nella individuazione ed alla segnalazione di comportamenti anomali, attraverso la produzione del video finale.

Il Tribunale ha mancato di considerare che questa complessiva attività integra un autonomo e articolato trattamento dei dati biometrici acquisiti ed elaborati dallo stesso software, e attiene anche alla conferma dell’identità della persona fisica esaminata, come previsto dall’art.4, n.14 del Regolamento, giacché l’esito di detta elaborazione risulta sottoposto solo ex post al docente per la sua valutazione in ordine alla regolarità della prova.

Come ricordato dallo stesso Tribunale, il ciclo di vita dei dati biometrici è costituito dalla sequenza in quattro fasi – secondo la Descrizione accreditata dal Garante per la protezione dei dati personali, Linee Guida in materia di riconoscimento biometrico e firma grafometrica, 12 novembre 2014 – che vede:

a) Una prima fase, con un rilevamento tramite sensori specializzati (ad es. scanner per il rilevamento dell’impronta digitale) o dispositivi di uso generale (ad es. videocamera) di caratteristiche biometriche (ad es. viso dell’individuo);

b) Una seconda fase: a seguito del rilevamento si acquisisce un campione biometrico (ad es. immagine del viso);

c) Una terza fase: dal campione biometrico vengono estratti tratti (ad es. specifici punti del viso) idonei a costituire il modello biometrico che sarà conservato in una banca dati;

d) Una quarta fase, cd. del confronto (o di match): il modello biometrico viene confrontato con le effettive caratteristiche dell’individuo ed il confronto in parola consente la identificazione univoca della persona fisica.

La decisione impugnata non risulta avere tenuto conto, rettamente, di tali indicazioni, perché ha trascurato di considerare che, nel procedimento attuato mediante l’utilizzo del software Respondus, per come descritto dalla stesso Tribunale, la quarta fase di confronto appare svolgersi nel corso di tutta la ripresa, sulla scorta della elaborazione informatica dei dati di volta in volta acquisiti ed elaborati mediante la creazione di flag relativi ai comportamenti anomali, che possono riguardare anche la conferma della corrispondenza identitaria della persona ripresa in video con quella dello studente da esaminare, proprio perché già identificato dall’Università, e che il controllo conclusivo della prova di esame, affidato al docente persona fisica non esclude (ne è incompatibile con) il trattamento automatizzato dei dati biometrici, ove già attuato mediante l’impiego del software, e non lo sottrae alla disciplina dettata dall’art.9 del Regolamento 2016/679.

3.5. – Il motivo, che è dunque fondato, va accolto e il Tribunale, in sede di rinvio, dovrà procedere al riesame, attenendosi al seguente principio di diritto:

“In tema di trattamento dei dati personali, ai sensi dell’art. 9 del Reg (UE) 2016/679, ricorre un trattamento di dati biometrici, come definiti dall’art. 4, n.14 del Regolamento 2016/679, quando i dati personali sono ottenuti mediante un trattamento tecnico automatizzato specifico, realizzato con un software che, sulla base di riprese e analisi delle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica, le elabora, evidenziando comportamenti o elementi anomali, e che perviene a un esito conclusivo, costituito da una elaborato video/foto che consente (o che conferma) l’identificazione univoca della persona fisica, restando irrilevante la circostanza che l’esito finale del trattamento sia successivamente sottoposto alla verifica finale di una persona fisica“>>.

Diffamazione e obbligo per il diffamante di far rimuovere il dato anche presso terzi

Cass. sez. I, ord. 05/04/2024, (ud. 01/02/2024, dep. 05/04/2024), n. 9.068, rel. Caiazzo, pone un importante regola comportamentale a carico del diffamante, che può essere impartita dal giudice:

<<In tema di responsabilità civile per diffamazione, il pregiudizio all’onore ed alla reputazione, di cui si invoca il risarcimento, non è in re ipsa, identificandosi il danno risarcibile non con la lesione dell’interesse tutelato dall’ordinamento ma con le conseguenze di tale lesione, sicché la sussistenza di siffatto danno non patrimoniale deve essere oggetto di allegazione e prova, anche attraverso presunzioni, assumendo a tal fine rilevanza, quali parametri di riferimento, la diffusione dello scritto, la rilevanza dell’offesa e la posizione sociale della vittima(Cass., n. 8861/21; n. 25420/17; n, 13153/17). [acquisito]

Nella specie, il risarcimento dei danni non patrimoniali è stato richiesto e liquidato, sulla scorta delle allegate presunzioni afferenti alla diffusione nazionale del servizio televisivo, alla rilevanza dell’offesa e alla posizione sociale dell’offeso (professore universitario). Il terzo motivo è parimenti infondato, anche se la motivazione su tale capo del provvedimento impugnato va corretta. Invero, la Corte d’appello, in riforma della sentenza di primo grado, ha statuito la condanna della ricorrente anche alla rimozione del servizio e delle notizie che lo riproducevano dal canale youtube e dai motori di ricerca, mentre in primo grado tale ordine era stato contenuto nei limiti della disponibilità della ricorrente (con rigetto dell’istanza ex art. 614-bis, c.p.c., proprio perché la misura non dipendeva solo dalla volontà della società convenuta).

La Corte territoriale ha respinto il motivo d’appello con il quale era stato censurato il suddetto ordine poiché illegittimo – concretizzatosi nell’imposizione di un facere inattuabile senza la collaborazione dei terzi – in quanto l’art. 17, c.2, GDPR contempla un obbligo del titolare del trattamento che è non solo quello di cancellare i dati personali ma anche di adottare tutte le misure ragionevoli, anche tecniche – tenendo conto della tecnologia disponibile e dei costi di attuazione – per informare i titolari (che stanno trattando i dati personali) della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei propri dati.

Anzitutto, va ribadito, come affermato nella sentenza impugnata, l’obbligo del titolare del trattamento dei dati personali di attivarsi per la loro cancellazione, attraverso ogni attività volta alla rimozione del servizio e delle notizie che lo riproducono dai motori di ricerca (e dal canale youtube).

Circa l’eccezione d’inapplicabilità del citato art. 17, c.2, GDPR, giova rilevare che i principi affermati dai giudici di merito trovano la loro fonte nell’ordinamento europeo, sebbene il predetto art. 17 del Regolamento 2016/679 sia entrato in vigore successivamente ai fatti di causa. Al riguardo, va innanzitutto menzionata la sentenza 13 maggio 2014 della Corte di giustizia dell’Unione Europea (in causa C-131/12 Google Spain). Si tratta di una vicenda che aveva ad oggetto il problema dell’accesso ai dati esistenti sulla rete internet alla luce dell’allora vigente direttiva 95/46/CE del Parlamento Europeo e del Consiglio, poi abrogata dal Regolamento 2016/679/UE; in particolare, la terza questione esaminata (punti 89 e ss.) riguardava il diritto dell’interessato a ottenere che il motore di ricerca sopprimesse determinati dati dall’elenco dei risultati reperibili sulla rete. Circa gli importanti principi enunciati, la Corte di giustizia ha premesso (punto 92) che il trattamento dei dati personali può risultare incompatibile con l’art. 12, lett. b), della direttiva non soltanto se i dati sono inesatti, ma anche se essi sono inadeguati, non pertinenti o eccessivi in rapporto alle finalità del trattamento, oppure non aggiornati o conservati per un arco di tempo superiore a quello necessario, “a meno che la loro conservazione non si imponga per motivi storici, statistici o scientifici”. La Corte ha altresì affermato che il diritto dell’interessato, derivante dagli artt. 7 e 8 della Carta, di chiedere “che l’informazione in questione non venga più messa a disposizione del grande pubblico”, mediante la sua inclusione in un elenco accessibile tramite internet, prevale – in linea di massima – sull’interesse economico del gestore del motore di ricerca e anche su quello del pubblico a reperire tale informazione in rete; a meno che non risultino ragioni particolari, “come il ruolo ricoperto da tale persona nella vita pubblica”, tali da rendere preponderante e giustificato l’interesse generale ad avere accesso a tale informazione (punto 97).

Pertanto, può affermarsi che i principi sanciti dal suddetto art. 17 abbiano recepito quelli in precedenza già applicati dalla Corte CEDU, che trovavano la loro fonte nella Convenzione CEDU, nell’ambito di un’organica disciplina della materia.

Nel caso concreto, in particolare, circa la doglianza afferente all’inesigibilità di tale obbligo con riferimento alla rimozione del servizio televisivo per cui è causa dal canale youtube e dai motori di ricerca, il collegio ritiene che l’ambito del dovere concretamente esigibile ed applicabile nei confronti della R.T.I. Spa consista nell’attivarsi e dimostrare di averlo fatto con i responsabili dei portali che hanno fatto e fanno uso del filmato divulgato in sede televisiva. [importante]

Invero, limitarsi, da parte della società ricorrente, ad eccepire l’inapplicabilità e l’inesigibilità dell’obbligo statuito dalla Corte d’appello, perché rientrante nella disponibilità di terzi, esprime una difesa che prescinde dalla necessaria attività collaborativa intesa a impedire – per quanto possibile e nei suoi obblighi di diligenza riparativa – l’illegittimo uso, da parte di terzi, dei dati personali reputati come eccedenti.

Nella specie, la ricorrente non ha allegato di aver adottato quelle cautele e svolto quelle iniziative nei confronti dei terzi operatori, finalizzate – per quanto possibile – a limitare il danno lamentato per il carattere eccedente del “girato”; ne consegue, come detto, che la statuizione della sentenza impugnata va confermata, attraverso una parziale correzione della motivazione, nel senso che va affermato il principio secondo cui, in casi siffatti grava sulla responsabile del prodotto televisivo-informativo, eccedente i limiti della critica giornalistica, la dimostrazione di aver posto in pratica ogni iniziativa volta a rendere edotti (e persuadere) i terzi che se ne siano appropriati circa l’illegittima diffusione di filmati televisivi e “girati filmici”, già negativamente valutati sul piano della offesa alla dignità delle persone coinvolte nel prodotto veicolato.

Né può obiettarsi, al riguardo, che tale attività verso i terzi costituisca una forma di risarcimento in forma specifica eccessivamente onerosa, ex art. 2058, c. 2, c.c., in quanto essa ovviamente non implica la certezza dell’adempimento richiesto ai terzi, ma presuppone la doverosa attività volta a ottenere la cessazione dell’illegittimo trattamento dei dati personali da parte dei terzi, venendo cioè in rilievo solo un’obbligazione di mezzi, non certo di risultato. Parimenti infondata è la doglianza relativa al fatto che la Corte d’appello non avrebbe potuto statuire l’obbligo della R.T.I. Spa oltre i limiti della propria disponibilità – come invece pronunciato dal Tribunale – in mancanza dell’appello incidentale da parte del Ca.Sa., in quanto la sentenza impugnata non ha condannato la ricorrente ad una prestazione diversa da quella oggetto della sentenza di primo grado – incorrendo in un’asserita pronuncia ultra petita – ma ha solo specificato le modalità dell’obbligo gravante sul titolare del trattamento dei dati personali, in piena conformità del petitum dedotto nell’atto introduttivo del giudizio.

D’altra parte, la stessa ricorrente ha inteso attivarsi per richiedere la tutela delle opere televisive dall’uso improprio del diritto d’autore e di produttore, mentre avrebbe anche potuto e dovuto richiedere le prestazioni necessarie per tutelare i dati del controricorrente. In tal senso, la cooperazione del creditore potrebbe rendersi necessaria attraverso l’indicazione, alla R.T.I. Spa, dei motori di ricerca che avevano e hanno fatto uso del filmato in questione. Sul punto, viene in rilievo il principio di correttezza e buona fede il quale, già secondo la Relazione ministeriale al codice civile, “richiama nella sfera del creditore la considerazione dell’interesse del debitore e nella sfera del debitore il giusto riguardo all’interesse del creditore”, ma che deve essere inteso in senso oggettivo, in quanto enuncia un dovere di solidarietà, fondato sull’art. 2 della Costituzione che, operando come un criterio di reciprocità, esplica la sua rilevanza nell’imporre a ciascuna delle parti del rapporto obbligatorio, il dovere di agire in modo da preservare gli interessi dell’altra, a prescindere dall’esistenza di specifici obblighi contrattuali o di quanto espressamente stabilito da singole norme di legge, sicché dalla violazione di tale regola di comportamento può discendere, anche di per sé, un danno risarcibile (Cass., SU, n. 28056/08; Cass., n. 22819/10; n. 9200/21; n. 16743/21)>>.

Il Garante privacy ha il potere di agire d’ufficio per sanzionare un trattamento dati illecito

Importante regola affermata dalla Corte di Giustizia 14 marzo 2024, C-46/23,Budapest Főváros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala contro Nemzeti Adatvédelmi és Információszabadság Hatóság.

Seppur desumibile con una certa sicurezza dall’articolato complessivo del GDPR, è comunque importante, poichè toglie di mezzo eventiuali dubbi su un aspetto assai significativo nella pratica e non posto in modo espresso.

Quesiti proposti dal giudice ungherese:

«1) Se l’articolo 58, paragrafo 2, in particolare le lettere c), d) e g), del [RGPD] debba essere interpretato nel senso che l’autorità nazionale di controllo può, nell’esercizio dei suoi poteri correttivi, ingiungere al titolare o al responsabile del trattamento di cancellare i dati personali trattati illecitamente anche in assenza di un’esplicita richiesta dell’interessato ai sensi dell’articolo 17, paragrafo 1, del [RGPD].

2) Nel caso in cui si risponda alla prima questione pregiudiziale che l’autorità di controllo può ingiungere al titolare del trattamento o al responsabile del trattamento di cancellare i dati personali trattati illecitamente, anche in assenza di richiesta dell’interessato, se ciò sia indipendente dal fatto che i dati personali siano stati raccolti o meno presso l’interessato».

Intepretazione della CG:

<<1) L’articolo 58, paragrafo 2, lettere d) e g), del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che:

l’autorità di controllo di uno Stato membro è legittimata, nell’esercizio del suo potere di adozione delle misure correttive previste da tali disposizioni, a ordinare al titolare del trattamento o al responsabile del trattamento di cancellare dati personali che sono stati trattati illecitamente, e ciò anche qualora l’interessato non abbia presentato a tal fine alcuna richiesta di esercitare i suoi diritti in applicazione dell’articolo 17, paragrafo 1, di tale regolamento.

2) L’articolo 58, paragrafo 2, del regolamento 2016/679 deve essere interpretato nel senso che:

il potere dell’autorità di controllo di uno Stato membro di ordinare la cancellazione di dati personali che sono stati trattati illecitamente può riguardare sia dati raccolti presso l’interessato sia dati provenienti da un’altra fonte>>.