diritto alla riservatezza (privacy) + oblio – Pagina 2

Restrittiva interpretazione delle facoltà di derogare alla pricacy elettronica ex art. 15 dir. 58 del 2002

corte giust. 7 settembre 2023 , C-162/22, in un caso di corruzione che usa dati raccolti ad altro fine:

art. 15 cit.: <<«Gli Stati membri possono adottare disposizioni legislative volte a limitare i diritti e gli obblighi di cui agli articoli 5 e 6, all’articolo 8, paragrafi da 1 a 4, e all’articolo 9 della presente direttiva, qualora tale restrizione costituisca, ai sensi dell’articolo 13, paragrafo 1, della direttiva 95/46/CE [del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31)], una misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica; e la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dell’uso non autorizzato del sistema di comunicazione elettronica. A tal fine gli Stati membri possono tra l’altro adottare misure legislative le quali prevedano che i dati siano conservati per un periodo di tempo limitato per i motivi enunciati nel presente paragrafo. Tutte le misure di cui al presente paragrafo sono conformi ai principi generali del diritto comunitario, compresi quelli di cui all’articolo 6, paragrafi 1 e 2, [TUE]» >>.

Ebene, circa il secondo caso di legittima deroga (eprseguimento reati), <<Per quanto riguarda l’obiettivo di prevenzione, ricerca, accertamento e perseguimento dei reati, la Corte ha rilevato che, conformemente al principio di proporzionalità, solo la lotta alle forme gravi di criminalità e la prevenzione di minacce gravi alla sicurezza pubblica sono idonee a giustificare ingerenze gravi nei diritti fondamentali sanciti agli articoli 7 e 8 della Carta, come quelle che comporta la conservazione dei dati relativi al traffico e dei dati relativi all’ubicazione. Pertanto, solo le ingerenze in tali diritti fondamentali che non presentano un carattere grave possono essere giustificate dall’obiettivo di prevenzione, ricerca, accertamento e perseguimento di reati in generale (sentenza del 5 aprile 2022, Commissioner of An Garda Síochána e a., C‑140/20, EU:C:2022:258, punto 59 e giurisprudenza ivi citata)>>, § 37.

e poi:

<<Orbene, tali considerazioni si applicano mutatis mutandis a un uso successivo dei dati relativi al traffico e a dati relativi all’ubicazione conservati da fornitori di servizi di comunicazione elettronica in applicazione di una misura adottata ai sensi dell’articolo 15, paragrafo 1, della direttiva 2002/58 ai fini della lotta alla criminalità grave. In effetti, tali dati non possono, dopo essere stati conservati e messi a disposizione delle autorità competenti ai fini della lotta alla criminalità grave, essere trasmessi ad altre autorità e utilizzati al fine di realizzare obiettivi, quali, come nel caso di specie, la lotta a una condotta illecita di natura corruttiva, che sono di importanza minore, nella gerarchia degli obiettivi di interesse generale, rispetto a quello della lotta alla criminalità grave e della prevenzione delle minacce gravi alla sicurezza pubblica. Infatti, autorizzare, in una situazione del genere, l’accesso ai dati conservati sarebbe contrario a tale gerarchia degli obiettivi di interesse generale richiamata ai punti 33, da 35 a 37 e 40 della presente sentenza (v., in tal senso, sentenza del 5 aprile 2022, Commissioner of An Garda Síochána e a., C‑140/20, EU:C:2022:258, punto 99)>>, § 41.

Errore: primo, la dir. non chiede che si tratti di reati “gravi”, essendo solo interpretazione non condivisibile; secondo, la corruzione di un magistrato è assai grave e giustifica la deroga

Risarcimento del danno da violazione della data protection

Cass. sez. I n. 13.073 Ord. 12.05.2023, rel. Terrusi:

<<III. – Dalla sentenza si apprende che il trattamento illecito era stato integrato nel seguente modo: il 12/8/2020 il comune di (Xxxx) aveva pubblicato sul proprio sito istituzionale una determina relativa pignoramento per un certo importo dello stipendio di una dipendente comunale, tale per cui l’ente si era assunto l’impegno di versare il quinto dello stipendio a favore della società creditrice; nella determina era stata omessa la pubblicazione dei dati della debitrice, ma nella nota contabile allegata l’espressa indicazione dei dati era stata invece mantenuta, e i dati erano così finiti, seppure per poco più di un giorno, nell’albo pretorio on line del comune medesimo>>.

Principi di diritto:

<<– in base alla disciplina generale del Regolamento (UE) 2016.679, cd. GDPR, il titolare del trattamento dei dati personali è sempre tenuto a risarcire il danno cagionato a una persona da un trattamento non conforme al regolamento stesso, e può essere esonerato dalla responsabilità non semplicemente se si è attivato (come suo dovere) per rimuovere il dato illecitamente esposto, ma solo “se dimostra che l’evento dannoso non gli è in alcun modo imputabile”;[meglio: come obbligazione ex lege, il regime è quello della’rt. 1218 cc]

– l’esclusione del principio del danno in re ipsa presuppone, in questi casi, la prova della serietà della lesione conseguente al trattamento; ciò vuol dire che può non determinare il danno la mera violazione delle prescrizioni formali in tema di trattamento del dato, mentre induce sempre al risarcimento quella violazione che concretamente offenda la portata effettiva del diritto alla riservatezza>>. [che possa esserci stata una violazione senza aver provocato un danno, mi pare esatto ma anche quasi ovvio]

(segnalazione e link da post di Stefano Aterno/E-Lex su Linkedin)

Sul tema v. SALANITRO U., ILLECITO TRATTAMENTO DEI DATI PERSONALI E RISARCIMENTO DEL DANNO NEL PRISMA DELLA CORTE DI GIUSTIZIA, Riv. dir. civ., 3-2023

Responsbilità del solo direttore della testata on line e minimizzazione dei dati (rectius: del trattamento) in un caso di illecita pubblicazione dell’indirizzo di residenza

Cass. sez. III del 25/07/2023 n. 22.338, rel. Dell’Utri:

<<21. Osserva il Collegio come, conformemente a quanto rilevato in corrispondenza della decisione relativa ai primi due motivi del ricorso principale, secondo il più recente insegnamento della giurisprudenza di questa Corte (che il Collegio condivide integralmente e fa proprio, al fine di assicurarne continuità), la responsabilità dei danni determinati dall’illecita divulgazione dei dati personali, ai sensi del d. lgs. n. 196 del 2003, art. 15, comma 1 (applicabile ratione temporis), dev’essere ascritta a carico di chiunque, con la propria condotta, li abbia provocati, indipendentemente dalla qualifica rivestita (cfr. Sez. 1, Ordinanza n. 11020 del 26/04/2021, Rv. 661185 – 01).

22. In breve, l’attribuzione della responsabilità per l’illecita divulgazione dei dati personali chiede d’essere declinata secondo il criterio della contribuzione causale (conformemente alla ratio che ispira la disciplina dell’art. 2050 c.c., richiamato dal d. lgs. n. 196 del 2003, art. 15, comma 1, applicabile ratione temporis, secondo cui “Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’art. 2050 del codice civile”), nel senso che ciascun soggetto che, con la propria condotta (in qualunque modo interferente con il trattamento di dati personali), abbia contribuito causalmente alla divulgazione illecita di tali dati, deve ritenersi responsabile (o corresponsabile) di detta divulgazione; e tanto, indipendentemente dalla qualifica formale eventualmente rivestita in relazione alla titolarità, alla responsabilità del trattamento, alla relativa conservazione o al relativo controllo concreto.

23. Nel caso di specie, rispetto al fatto dannoso dedotto in giudizio dal G. (consistito nell’illecita divulgazione online, nel dicembre del 2007, anche dei dati relativi alla relativa residenza personale, non giustificata dalla pubblicazione delle fonti informative contenenti tali dati), l’accertamento dell’eventuale contributo causale fornito da tutte le parti convenute in giudizio non avrebbe dovuto essere trascurata dai giudici del merito, non potendo certamente escludersi, in via di principio, che ciascuno di essi potesse avere, in qualche misura, concorso o contribuito, sul piano causale, a tale illecita divulgazione.

24. Ciò posto, l’avvenuta limitazione della condanna pronunciata dalla corte territoriale a carico del solo (ritenuto) responsabile della testata online per l’illecito trattamento dedotto in giudizio deve ritenersi in tal senso ingiustificata: da un lato, per essersi il giudice d’appello sottratto all’obbligo di pronunciare sulla domanda proposta nei confronti degli altri convenuti e, dall’altro, per avere il giudice d’appello escluso (sia pure implicitamente) la responsabilità di questi ultimi nell’operazione di divulgazione dei dati personali, limitandosi immotivatamente a pronunciare la condanna del solo Z.V. in ragione della mera qualifica formale rivestita.

25. Nel rimettere al giudice del rinvio il compito di procedere all’indagine concreta sull’eventuale responsabilità risarcitoria di ciascuno dei convenuti nei confronti del G., varrà peraltro ribadire come la statuizione di rigetto pronunciata dalla corte territoriale in relazione alla domanda risarcitoria proposta dal G. nei confronti di M.E. non sia stata specificamente contestata dall’odierno ricorrente principale, essendosi quest’ultimo limitato in questa sede a censurare in modo espresso la limitazione della pronuncia di condanna nei confronti del solo Z.V. per non averla estesa nei confronti della GEDI Gruppo Editoriale s.p.a.; ciò che impone di ritenere come sul rigetto della domanda risarcitoria avanzata dal G. nei confronti di M.E. si sia definitivamente formato il corrispondente giudicato interno, con definitiva preclusione di ogni ulteriore questione sul punto specifico.

26. Con il secondo motivo, i ricorrenti incidentali censurano la sentenza impugnata per violazione e falsa applicazione del D.Lgs. n. 196 del 2003, artt. 137 e 139, nonché del c.d. codice deontologico dei giornalisti, per avere la corte territoriale erroneamente ritenuto illecito il trattamento dei dati personali relativi al G., essendosi i giornalisti del sito Internet de ‘(Omissis)’ nella specie limitati alla mera trascrizione integrale dell’informativa di reato elaborata dalla polizia giudiziaria su delega della magistratura inquirente, senza alcun intervento correttivo, nella sua integralità, senza ritocchi, rimaneggiamenti o censure, con la conseguente insussistenza di alcuna lesività di detta pubblicazione, trattandosi di informazioni annotate dagli stessi inquirenti (poiché ritenuti di evidente rilevanza ai fini dell’indagine) e, conseguentemente, dell’informazione di interesse pubblico relativa ai fatti narrati.

27. Il motivo è infondato.

28. Osserva il Collegio come i principi di diritto che governano il giudizio di liceità del trattamento dei dati personali impongano che tale trattamento avvenga sul presupposto della responsabilizzazione dell’autore del trattamento (sia esso titolare o responsabile) in relazione alle modalità di esecuzione di tale trattamento.

29. Fra tali principi, assume carattere decisivo in questa sede quello stabilito dal D.Lgs. n. 196 del 2003, art. 11, comma 1, lett. d) (applicabile ratione temporis al caso di specie), ai sensi del quale “i dati personali oggetto di trattamento sono: pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati”.

30. In breve, il trattamento dei dati personali in tanto può ritenersi lecito, in quanto le informazioni divulgate siano limitate ai soli dati strettamente indispensabili rispetto alle finalità informative perseguite: si tratta del medesimo principio successivamente formulato nell’art. 5, comma 1, lett. c), del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016 (richiamato dal D.Lgs. n. 196 del 2003, art. 1, così come riformulato dal D.Lgs. n. 101 del 2018), secondo cui “i dati personali sono: (…) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (“minimizzazione dei dati”)”; principio pacificamente fatto proprio dalla giurisprudenza di questa Corte, là dove ha sottolineato come, in tema di tutela della riservatezza, il trattamento dei dati personali deve essere sempre effettuato nel rispetto del ‘criterio di minimizzazioné dell’uso degli stessi, dovendo cioè essere utilizzati solo se indispensabili, pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui sono raccolti e trattati (cfr. Sez. 1, Ordinanza n. 11020 del 26/04/2021, Rv. 661185 – 02).

31. Nel caso di specie, del tutto correttamente la corte territoriale ha rilevato come costituisse uno specifico dovere dell’autore dell’articolo intervenire sull’informativa di polizia giudiziaria ricevuta (e destinata alla pubblicazione) al fine di depurarla dei dati personali (nella specie dell’indirizzo della residenza del G.) che in nessun modo avrebbero sottratto o aggiunto alcunché di significativo al contenuto informativo dell’articolo.

32. Proprio la circostanza di aver trascurato tale dovere e di non aver provveduto alla divulgazione “responsabile” di quell’informativa di polizia giudiziaria (nella parte in cui riportava il dato della residenza personale del G.) ha determinato la manifesta eccedenza del trattamento, rispetto alle finalità della pubblicazione e, conseguentemente, la relativa illiceità>>.

sentenza esatta, anche tutto sommato relativa a questioni di facile soluzione

Sul diritto di accesso ai propri dati da parte dell’interessato

interessante pronuncia della Corte di Giustizia 22.06.2023, C-579/21, sul diritto dell’interssato di essere esattamente informato su chi e perchè ha chiesto l’accesso ai suoi dati.

L’art. 15 § 1 GDPR va interpretato nel senso che:

<<le informazioni relative a operazioni di consultazione dei dati personali di una persona, riguardanti le date e le finalità di tali operazioni, costituiscono informazioni che detta persona ha il diritto di ottenere dal titolare del trattamento in forza di tale disposizione.

Per contro, la suddetta disposizione non riconosce un siffatto diritto con riferimento alle informazioni relative all’identità dei dipendenti di detto titolare che hanno svolto tali operazioni sotto la sua autorità e conformemente alle sue istruzioni, a meno che tali informazioni siano indispensabili per consentire all’interessato di esercitare effettivamente i diritti che gli sono conferiti da tale regolamento e a condizione che si tenga conto dei diritti e delle libertà di tali dipendenti>>.

I fatti storici:

<< 20 Nel 2014, J.M., all’epoca dipendente e cliente della Pankki S, è venuto a conoscenza del fatto che i suoi dati di cliente erano stati consultati da membri del personale della banca, in più occasioni, nel periodo compreso tra il 1° novembre e il 31 dicembre 2013.

21 Nutrendo dubbi circa la liceità di tali consultazioni, J.M. che, nel frattempo, era stato licenziato dal suo impiego presso la Pankki S, ha chiesto a quest’ultima, il 29 maggio 2018, di comunicargli l’identità delle persone che avevano consultato i suoi dati di cliente, le date esatte delle consultazioni nonché le finalità del trattamento di detti dati.

22 Nella sua risposta del 30 agosto 2018, la Pankki S, in qualità di titolare del trattamento ai sensi dell’articolo 4, punto 7, del RGPD, ha rifiutato di comunicare l’identità dei dipendenti che avevano svolto le operazioni di consultazione, con la motivazione che tali informazioni costituivano dati personali di detti dipendenti.

23 Tuttavia, nella medesima risposta, la Pankki S ha fornito precisazioni in merito alle operazioni di consultazione svolte, conformemente alle sue istruzioni, dal servizio di audit interno di quest’ultima. Essa ha in tal modo chiarito che un cliente della banca di cui J.M. era il consulente alla clientela risultava creditore di una persona che aveva lo stesso cognome di J.M., cosicché essa aveva voluto chiarire se il ricorrente nel procedimento principale e detto debitore fossero la stessa persona e se vi fosse stato un eventuale rapporto di conflitto di interessi inappropriato. La Pankki S ha aggiunto che per chiarire tale questione era stato necessario procedere al trattamento dei dati di J.M. e che tutti i dipendenti della banca che avevano svolto il trattamento di tali dati avevano rilasciato al servizio di audit interno una dichiarazione sui motivi di detto trattamento di dati. Inoltre, la banca ha dichiarato che tali consultazioni avevano consentito di fugare qualsiasi sospetto di conflitto di interessi per quanto riguarda J.M>>.

Significativa precisazione: <<è pacifico che le operazioni di consultazione aventi ad oggetto i dati personali del ricorrente nel procedimento principale costituiscono un «trattamento» ai sensi dell’articolo 4, punto 2, del RGPD, con la conseguenza che esse conferiscono a quest’ultimo, in forza dell’articolo 15, paragrafo 1, di tale regolamento, non solo un diritto di accesso a tali dati personali, ma anche un diritto a che gli siano comunicate le informazioni relative a dette operazioni, quali menzionate da quest’ultima disposizione>>.

La profilazione alla base dello scoring, richiesto da una banca per decidere sulla concessione di credito, ricade nell’art. 22 GDPR?

Risposta positiva da parte dell’avvocato generale (AG) PRIIT PIKAMÄE nelle sue Conclusioni 16 marzo 2023, C-634/21, OQ c. Land Hessen + interv. SCHUFA Holding sa.

fatto:

<< 82 La domanda di cui trattasi si inserisce nell’ambito di una controversia che oppone la ricorrente, OQ, una persona fisica, al Land Hessen (Land Assia, Germania), rappresentato dall’Hessischer Beauftragter für Datenschutz und Informationsfreiheit (Commissario per la protezione dei dati e la libertà d’informazione del Land Assia; in prosieguo: l’«HBDI»), in materia di protezione dei dati personali. La SCHUFA Holding AG (in prosieguo: la «SCHUFA»), un’agenzia di diritto privato, sostiene la posizione dell’HBDI in qualità di interveniente. Nell’ambito della sua attività economica, consistente nel fornire ai clienti informazioni sulla solvibilità di terzi, la SCHUFA ha fornito a un istituto di credito un punteggio di scoring relativo alla ricorrente, sulla cui base il credito da quest’ultima richiesto è stato negato. La ricorrente ha chiesto alla SCHUFA di procedere alla cancellazione della relativa registrazione e di consentirle di accedere ai dati corrispondenti; quest’ultima le ha tuttavia comunicato unicamente il punteggio di scoring pertinente e, in termini generali, i principi su cui si fonda il modello di calcolo di detto punteggio, senza informarla in merito ai dati specifici presi in considerazione e alla rilevanza loro attribuita in tale contesto, sostenendo che il metodo di calcolo sarebbe coperto da segreto industriale e aziendale.

3. Posto che la ricorrente sostiene che il rifiuto opposto dalla SCHUFA alla sua richiesta contrasta con il regime della protezione dei dati, la Corte sarà chiamata a pronunciarsi sulle restrizioni che il RGPD prevede per l’attività economica delle agenzie di informazione nel settore finanziario, in particolare nella gestione dei dati, e sulla rilevanza da attribuire al segreto industriale e aziendale. Parimenti, la Corte dovrà precisare la portata dei poteri normativi che talune disposizioni del RGPD conferiscono al legislatore nazionale in deroga all’obiettivo generale di armonizzazione previsto da detto atto giuridico.

L?unico dubbio reale è l’avverbio “unicamente” presente nell’art. 22.1 (“L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”): qualche itnervento uman infatti ci sarà.

Ebbene, l’AG da un lato rinvia al g. nazionale, § 45.

Dall’altro però dà anche indicazioni precise: pur se qualche intervento umano possa esservi, di fatto lo scoring da IA è decisivo. In particolare: <<Fatta salva la valutazione dei fatti che compete ai giudici nazionali compiere in ciascun caso particolare, le considerazioni svolte supra mi sembrano indicare che il punteggio di scoring calcolato da un’agenzia di valutazione del credito e comunicato a un istituto finanziario tende generalmente a predeterminare la decisione di quest’ultimo quanto alla concessione o al diniego del credito all’interessato, cosicché si deve ritenere che detta presa di posizione rivesta un carattere puramente formale nel quadro del processo (20). Ne consegue che occorre riconoscere al punteggio di scoring stesso la natura di «decisione» ai sensi dell’articolo 22, paragrafo 1, del RGPD.>>, § 47, v. ppoi i segg.

Però la legge dice “unicamente”, che è diverso da “prevalentemente”.

E’ un pò come l’ <esclusivamente> dell’art. 7.1.e) nel reg. UE 2017/1001 o nell’art. 9 del ns cod. propr. ind. sui marchi di forma , intepretato in modo molto lasco, quasi fosse “prevalentemente”.

Nella seconda parte l’AG contesta che una disposizione della legge privacy tedesca possa fungere da base giuridica ex art. 22.1.b) GDPR.

Difficilmente la Corte si discosterà dalle Conclusioni. Vedremo.

Per obbligare la piattaforma l’editore al delisting (diritto all’oblio), basta una richiesta stragiudiziale

Altro caso (rischiano di diventare una valanga …) di richiesta di cancellazione di notizia infamante (apertura di procedimento penale) -in subordine di aggiornamento- , vera ma superata dai fatti successivi (assoluzione piena) .

La cancellazione era stata ottenuta solo a seguito dell’istanza cautelare.

L’interessato, nonstante la dichiarata cessazione della materia del contendere, proseguì il processo cercando il risarcimento del danno, perchè comunque la notizia era rimasta esposta medio temore (per 10 anni circa): presupponendo dunque che sarebbe dovuto bastare una richiesta stradiuziale o addirittura che l’editore dovesse per conto suo controllare costantemente l’aggiornamento delle notizie da lui pubblicate (non è chiara la causa petendI: parrebbe la seconda)

Così opina Cass. sez. 3 del 1 marzo 2023 n. 6116 , rel. Sestini:

<<Ritiene il Collegio che non si possa affermare tout court e in termini generali un obbligo di costante aggiornamento della notizia o di rimozione della stessa una volta che sia trascorso un determinato lasso di tempo (di cui non sarebbe neppure agevole una predeterminazione generalizzata), dato che ciò imporrebbe un onere estremamente gravoso e pressoché impossibile da rispettare a carico delle testate giornalistiche titolari dei siti web, al quale potrebbe non corrispondere un concreto interesse dei soggetti cui si riferiscono le notizie.

D’altra parte, deve riconoscersi alla persona interessata dalla persistenza di una pubblicazione che reputi a sé pregiudizievole il diritto di tutelare la propria reputazione e di richiedere l’aggiornamento del sito o la rimozione della notizia, con la conseguenza che, una volta che sia stata formulata una siffatta richiesta, il rifiuto ingiustificato di aggiornamento o rimozione risulta idoneo a integrare una condotta illecita tale da giustificare il risarcimento del danno prodottosi a partire dalla richiesta di aggiornamento/rimozione (danno che ovviamente va allegato e provato, anche in via presuntiva). [pare dunque bastare richiesta stragiudiziale]

Una soluzione siffatta realizza un ragionevole bilanciamento dei contrapposti interessi e si pone in linea di continuità col rilievo già contenuto in Cass. n. 5505-2012 circa la possibilità/necessità di “compartecipazione dell’interessato nell’utilizzazione dei propri dati personali… ovvero di ingerirsi al riguardo, chiedendone la cancellazione, la trasformazione, il blocco, ovvero la rettificazione, l’aggiornamento, l’integrazione”.

In tal senso orientano il D.Lgs. n. 152 del 2006, art. 7 (secondo cui l’interessato “ha diritto di ottenere” l’aggiornamento o la cancellazione) e l’art. 17 Regolamento UE 679-2016 (che fa parimenti riferimento al diritto dell’interessato a ottenere dal titolare del trattamento la cancellazione dei dati che lo riguardano, cui si correla il dovere del secondo di provvedervi senza ingiustificato ritardo): entrambi fanno dipendere dall’iniziativa dell’interessato il dovere del titolare del trattamento di attivarsi per la modifica del dato e mal si prestano a sostenere l’affermazione di un dovere dell’anzidetto titolare (sanzionato a livello risarcitorio) di procedere alla modifica di propria iniziativa.

Deve dunque ritenersi, con specifico riferimento al caso in esame, che la persistenza nel sito web di una testata giornalistica della risalente notizia del coinvolgimento di un soggetto in un procedimento penale – pubblicata nell’esercizio legittimo del diritto di cronaca, ma non aggiornatà con i dati relativi all’esito di tale procedimento – non integra, di per sé, un illecito idoneo a generare una pretesa risarcitoria; tuttavia, il soggetto cui la notizia si riferisce ha diritto ad attivarsi per chiederne l’aggiornamento o la rimozione, con la conseguenza che l’ingiustificato rifiuto o ritardo da parte del titolare del sito è idoneo a comportare il risarcimento del danno patito successivamente alla richiesta (fermo l’onere di allegazione e prova del pregiudizio da parte dell’interessato) >>.

Analoga soluzione in Cass. sez. 1 del 31.01.2023 n. 2983, rel. Scotti, con motivazione però più analitica (v. mio post).

Diritto all’oblio vs. diritto all’informazione: ragionevole composizione di un conflitto sempre più frequente

E’ sempre più frequente la richiesta di cancellazione di notizie passate (negative, spesso di indagini e/o codnanen penali) indirizzata al motore di ricerca e/o all’editore di quotidiano circa la sua banca dati web.

Cass. sez. 1 del 31.01.2023 n. 2983, rel. Scotti, propone (anzi: dispone) una persuiasiv asoluizione al conflitto di interessi de quo. Sta ai §§ 28/30.

<< 28. La Corte, come già anticipato, ritiene che l’equo contemperamento dei diritti in conflitto non possa essere raggiunto attraverso l’accoglimento della richiesta principale dei ricorrenti, ossia la cancellazione tout court degli articoli in questione dall’archivio on line del quotidiano, che annichilerebbe con l’iperprotezione dei diritti alla riservatezza degli interessati la funzione di memoria storica e documentale dell’archivio del giornale, che è oggetto di un rilevante interesse pubblico, di rilievo anch’esso costituzionale ex artt. 21 e 33 Cost., come rammenta esattamente la controricorrente.

In altri termini, non sarebbe più possibile accedere all’originario contenuto degli articoli ad uno studioso, storico o sociologo, intenzionato a ricostruire l’andamento dei processi per reati contro la pubblica amministrazione in quell’epoca, per esaminare il contenuto delle accuse e il loro esito; e ciò anche se, poniamo, l’obiettivo della sua inchiesta fosse rivolto a dimostrare gli eccessi di repressione giudiziaria o gli abusi della carcerazione preventiva in un certo contesto spazio-temporale oppure l’atteggiamento, più o meno “giustizialista” o “garantista”, della stampa e dell’opinione pubblica in quel contesto.

29. Una via adeguata di contemperamento non è neppure quella della manipolazione del testo con l’introduzione di pseudonimi sostitutivi o omissioni nominative, pur astrattamente contemplata dal GDPR.

Infatti, lo stesso art. 89 GDPR consente tali accorgimenti solo se le finalità in questione possano essere conseguite in tal modo e non è questo il caso.

La memoria storica dell’archivio diverrebbe incompleta e falsata e così se ne perderebbe la funzione.

30. Non è così per la richiesta di aggiornamento mediante la mera apposizione agli articoli, su istanza dell’interessato, di una nota informativa volta a dar conto del successivo esito dei procedimenti giudiziari con l’assoluzione degli interessati e il risarcimento del danno per ingiusta detenzione.

In tal modo l’identità dell’articolo, che in sé e per sé rimane intonso, è adeguatamente preservata a fini di ricerca storico-documentaristica, ma al contempo vengono rispettati i fondamentali principi di minimizzazione ed esattezza sopra illustrati.

La soluzione accolta è inoltre conforme al principio di contestualizzazione e aggiornamento dell’informazione.

Non paiono pertinenti rispetto a questo accorgimento le critiche sopra riassunte nel p. 15: non si richiede infatti al gestore dell’archivio di attivarsi in via generale per l’aggiornamento delle informazioni alla luce degli sviluppi giudiziari successivi, che genererebbe effettivamente costi ingenti e probabilmente insostenibili, incompatibili con la persistente economicità degli archivi, ma solo di corrispondere senza ritardo a puntuali e specifiche richieste degli interessati, documentalmente suffragate, non solo con la deindicizzazione ma anche con l’apposizione di una breve nota informativa sull’esito finale della vicenda giudiziaria, in calce o a margine della pagina ove figura l’articolo>>.

Che poi prosegue così:

<<31. La regola fondamentale per ogni bilanciamento di diritti richiede la valutazione comparativa della gravità del sacrificio imposto agli interessi in conflitto: la normale tollerabilità di una ingerenza nel diritto altrui, secondo una risalente ma autorevolissima dottrina, va accertata anche alla luce dei costi necessari per prevenirla.

E nel caso è sufficiente un costo modesto (l’inserzione di una breve nota in calce o a margine e solo su richiesta di parte, che non altera la funzione tipica dell’archivio) per la prevenzione di un pregiudizio ben più consistente per l’interessato.

Tale modesto sacrificio ben può essere accollato a chi gestisce l’impresa giornalistica, in logica di profitto, quale onere accessorio all’attività imprenditoriale, che scatta solo se ed in quanto l’interessato richieda la rettifica esplicativa del dato personale e l’inesattezza del dato viene dedotta sulla base di accertamenti obiettivi e incontrovertibili quali quelli provenienti da un documentato accertamento giudiziario passato in giudicato.

Naturalmente questa tutela si aggiunge a quella consistente nella deindicizzazione, nel caso accordata dalla attuale controricorrente tempestivamente secondo la sentenza del Tribunale, non impugnata al riguardo>>.

Dunque ecco il princuipoio di diritto

“In tema di trattamento dei dati personali e di diritto all’oblio, è lecita la permanenza di un articolo di stampa, a suo tempo legittimamente pubblicato, nell’archivio informatico di un quotidiano, relativo a fatti risalenti nel tempo oggetto di una inchiesta giudiziaria, poi sfociata nell’assoluzione dell’imputato, purché, a richiesta dell’interessato, l’articolo sia deindicizzato e non sia reperibile attraverso i comuni motori di ricerca, ma solo attraverso l’archivio storico del quotidiano e purché, a richiesta documentata dell’interessato, all’articolo sia apposta una sintetica nota informativa, a margine o in calce, che dia conto dell’esito finale del procedimento giudiziario in forza di provvedimenti passati in giudicato, in tal modo contemperandosi in modo bilanciato il diritto ex art. 21 Cost. della collettività ad essere informata e a conservare memoria del fatto storico con quello del titolare dei dati personali archiviati a non subire una indebita lesione della propria immagine sociale” (§ 32, anche se erroneamente numerato come § 31).

I passaggi chiave, naturalmente, sono i due sottolineati.

Sul diritto all’oblio, l’editore web può attendere una richiesta dell’itneressato, non essendo obbligato ad un costgante controllo dell’aggiornamenot delle notizie

Cass. sez. 1 n° 6806 del 07 marzo 2023, rel. Scotti, sul tema.

<<13. La questione di diritto che deve essere risolta e che è stata posta con il motivo all’attenzione della Corte è se l’obbligo di intervento del titolare del sito web presupponga una richiesta dell’interessato o invece vi preesista per il solo fatto della sopravvenuta inattualità della notizia per effetto del decorso del tempo, sì che sarebbe configurabile la sua responsabilità risarcitoria per non avervi provveduto anche in difetto di una richiesta dell’interessato>.

Risposta:

<14. La Corte ritiene corretto il responso del giudice umbro nel primo senso, allorché la notizia (come in questo caso è pacifico ed è stato accertato dal Tribunale con statuizione non censurata) è stata a suo tempo legittimamente pubblicata in presenza di un interesse pubblico informativo; in tal senso si è espressa questa Corte proprio con l’ordinanza sopra richiamata n. 2893 del 2023, con riferimento agli artt. 16 e 17 del GDPR (come si è detto non applicabile ratione temporis alla presente controversia), che delineano un obbligo di intervento senza indugio, temporalmente calibrato in relazione alla richiesta dell’interessato.

Giustamente il Tribunale ha evidenziato, in primo luogo, che proprio perché la condotta lesiva consiste nell’esposizione di una rappresentazione non più attuale della propria persona, occorre la percezione del divario fra l’immagine pregressa e quella attuale, che non può che essere rimessa alla sensibilità e all’onere di attivazione dell’interessato, dovendosi in difetto presumere la persistente conformità della notizia alla realtà attuale.

Per altro verso, e in doveroso bilanciamento degli interessi in gioco, sarebbe eccessivamente oneroso accollare al gestore di un archivio digitale di notizie l’onere di un controllo periodico del loro superamento e della loro inattualità, in difetto di qualsiasi parametro temporale fissato dalla legge e sulla base di elementi del tutto sconosciuti come l’evoluzione personale dei soggetti interessati>>.

Altra disciplina del diritto all’oblio (che la SC desume da Corte Giustizia 08.12-2022, C-460, parrebbe):

<Quanto agli obblighi incombenti alla persona che richiede la deindicizzazione per l’inesattezza di un contenuto indicizzato, è stato ritenuto che spetti ad essa dimostrare l’inesattezza manifesta delle informazioni che compaiono in detto contenuto o, quanto meno, di una parte di tali informazioni che non abbia un carattere secondario rispetto alla totalità di tale contenuto.

Tuttavia, al fine di evitare un onere eccessivo idoneo a minare l’effetto utile del diritto alla deindicizzazione, il richiedente è tenuto unicamente a fornire gli elementi di prova che, tenuto conto delle circostanze del caso di specie, possono essere ragionevolmente richiesti al fine di dimostrare tale inesattezza manifesta; il richiedente, perciò, non è tenuto, in linea di principio, a produrre, fin dalla fase precontenziosa, a sostegno della sua richiesta di deindicizzazione presso il gestore del motore di ricerca, una decisione giurisdizionale, anche scaturente da procedimento sommario. Imporre un obbligo siffatto a detta persona avrebbe, infatti, l’effetto di far gravare su di essa un onere irragionevole.

Inoltre il gestore del motore di ricerca, al fine di verificare, a seguito di una richiesta di deindicizzazione, se un contenuto possa continuare ad essere incluso nell’elenco dei risultati delle ricerche effettuate mediante il suo motore di ricerca, deve fondarsi sull’insieme dei diritti e degli interessi in gioco nonché su tutte le circostanze del caso di specie. Tuttavia, nell’ambito della valutazione delle condizioni di applicazione di cui all’art. 17, paragrafo 3, lettera a), del GDPR, il gestore non può essere tenuto a svolgere un ruolo attivo nella ricerca di elementi di fatto che non sono suffragati dalla richiesta di cancellazione, al fine di determinare la fondatezza di tale richiesta.

Pertanto, in sede di trattamento di una richiesta del genere, non può essere imposto al gestore del motore di ricerca in questione un obbligo di indagare sui fatti e di organizzare, a tal fine, uno scambio in contraddittorio, con il fornitore di contenuto, diretto ad ottenere elementi mancanti riguardo all’esattezza del contenuto indicizzato. Tale obbligo costringerebbe il gestore del motore di ricerca stesso a contribuire a dimostrare l’esattezza o meno del contenuto menzionato e farebbe gravare su di lui un onere che eccede quanto ci si può ragionevolmente da esso attendere alla luce delle sue responsabilità, competenze e possibilità, e comporterebbe quindi un serio rischio che siano deindicizzati contenuti che rispondono ad una legittima e preponderante esigenza di informazione del pubblico e che divenga quindi difficile trovarli in Internet.

A tal riguardo, sussisterebbe un rischio reale di effetto dissuasivo sull’esercizio della libertà di espressione e di informazione se il gestore del motore di ricerca procedesse a una deindicizzazione del genere in modo pressoché sistematico, al fine di evitare di dover sopportare l’onere di indagare sui fatti pertinenti per accertare l’esattezza o meno del contenuto indicizzato.

Pertanto, nel caso in cui il soggetto che ha presentato una richiesta di deindicizzazione apporti elementi di prova pertinenti e sufficienti, idonei a suffragare la sua richiesta e atti a dimostrare il carattere manifestamente inesatto delle informazioni incluse nel contenuto indicizzato o, quantomeno, di una parte di tali informazioni che non abbia un carattere secondario rispetto alla totalità di tale contenuto, il gestore del motore di ricerca è tenuto ad accogliere detta richiesta di deindicizzazione. Lo stesso vale qualora l’interessato apporti una decisione giudiziaria adottata nei confronti dell’editore del sito Internet e basata sulla constatazione che informazioni incluse nel contenuto indicizzato, che non hanno un carattere secondario rispetto alla totalità di quest’ultimo, sono, almeno a prima vista, inesatte.

Per contro, nel caso in cui l’inesattezza di tali informazioni incluse nel contenuto indicizzato non appaia in modo manifesto alla luce degli elementi di prova forniti dall’interessato, il gestore del motore di ricerca non è tenuto, in mancanza di una decisione giudiziaria, ad accogliere siffatta richiesta di deindicizzazione. Nel caso in cui sia avviato un procedimento amministrativo o giurisdizionale vertente sull’asserita inesattezza di informazioni incluse in un contenuto indicizzato e l’esistenza di tale procedimento sia stata portata a conoscenza del gestore del motore di ricerca di cui trattasi, incombe al gestore, al fine di fornire agli utenti di Internet informazioni sempre pertinenti e aggiornate, aggiungere, nei risultati della ricerca, un avvertimento riguardante l’esistenza di un procedimento del genere.

E’ così evidente che la giurisprudenza Europea presuppone ed implica necessariamente un onere di attivazione da parte dell’interessato, sempre che il contenuto originariamente pubblicato fosse lecito, e pure un ragionevole contributo probatorio>>.

La registrazione abusiva di telefonata può provare l’infedeltà matrimoniale: intorno al concetto di “prova illecita”

Di un certo itneresse Appello Reggio Calabria 11.05.2022, RG 760/2019, sent. n° 345/2022.

Il figlio aveva lasciato il suo cell. acceso nell’auto della madre, presumendo che avrebbe incontrato un amante e di poterla quindi registrare. Così fu.

Il padre utilizzo tale registrzione producendola come CD nel processo di dovorzio e trascrivendone il contenuto nell’atto introduttivo.

Particolarità processuale: aveva ritirato il fascicolo diparte (col CD) in udienza di precisazione delle concluisioni, per restituirlo solo dopo il termine per le conclusionali.

I problemi son due:

i) se tale registrazione è lecita o illecita;

ii) nel secondo caso, se sia producibile/utilizzabile nel giudizio divile.

Vecchi temi quello delle prove illecite e delle prove atipiche nel processo civile (scritti importanti di Ricci ed oggi di Passanante). Un tempo illecite erano spt. i documenti rubati, oggi i documenti informatici violanti la privacy.

La Corte ritiene utilizzabile tale prova come prova atipica, mancando una norma che ne sancisca l’inutilizzabilità come nel c.p.p.

<<Intanto, può escludersi che la condotta in questione abbia determinato la commissione di un reato, non ricorrendo, in particolare, tutti gli elementi costitutivi delle fattispecie di cui agli artt. 615 bis e 617 c.p..
In ogni caso, è opinione della Corte che anche la ravvisabile violazione della sfera di riservatezza altrui non impedisca l’acquisizione e la valutazione della prova nel presente procedimento.
L’ordinamento processuale civile, infatti, non prevede alcuna norma che, come l’art. 191 c.p.p. nell’ordinamento penale, sanzioni l’inutilizzabilità delle prove acquisite in violazione dei divieti stabiliti dalla legge.
Esso è, invece, governato dai principi della atipicità della prova e del libero convincimento del giudice, in virtù dei quali, in assenza di divieti di legge, quest’ultimo può formare il proprio convincimento anche, per esempio, in base a prove atipiche, come quelle raccolte in un altro giudizio tra le stesse o tra altre parti, senza che rilevi la divergenza delle regole, proprie di quel procedimento,
relative all’ammissione e all’assunzione della prova (ex plurimis, cfr. Cass. Civ., sez. I, n. 25067/2018; sez. III, n. 13229/2015).
L’applicazione di eventuali sanzioni – anche di carattere procedurale – conseguenti a condotte poste in essere in violazione delle norme contenute negli altri ambiti ordinamentali è a tali sede riservata e non incide sulla libera apprezzabilità della prova in ambito civile.
Ciò premesso, nel caso in esame si è comunque in presenza di una registrazione fonografica, riconducibile al disposto dell’art. 2712 c.c..
La giurisprudenza di legittimità è costante nell’affermare che la registrazione su nastro magnetico di una conversazione può costituire fonte di prova, ex articolo 2712 del c.c., se colui contro il quale la registrazione è prodotta non contesti che la conversazione sia realmente avvenuta, né che abbia avuto il tenore risultante dal nastro; il “disconoscimento” che fa perdere alle riproduzioni la loro qualità di prova deve essere però chiaro, circostanziato ed esplicito, nel senso che deve concretizzarsi nell’allegazione di elementi che attestino la non corrispondenza tra realtà fattuale e realtà riprodotta (ex plurimis: Cass. Civ., sez. II, n. 1220/2019; sez. II, n. 313/2019; sez. III, n. 1250/2018).
Nel caso in esame, nella memoria integrativa depositata dopo la costituzione in giudizio del marito, con la produzione della registrazione e della relativa trascrizione, la difesa della B. si è limitata ad affermare che le frasi riportate erano state pronunciate in un contesto burlesco tra amici, con espressioni forzate frutto di ironia, ed ha, solo in termini del tutto generici ed ipotetici, dedotto la necessità di opportuni riscontri e verifiche.
Solo, tardivamente, nella comparsa ex art. 183, comma VI, n. 3, c.p.c. la stessa difesa ha, in termini peraltro altrettanto generici, evidenziato la necessità della “esibizione” in giudizio dello smartphone utilizzato per la registrazione, al fine di “correlare” il compact disk con questo.
Va detto, ancora, che, rendendo l’interrogatorio formale deferitole, la stessa B____ ha espressamente riconosciuto la propria voce ed ammesso di aver parlato con un uomo di nome Angelo (“Ho ascoltato la registrazione prodotta in atti su c.d., riconosco la mia voce e riconosco di aver fatto più telefonate in quella circostanza…Riconosco che ho anche parlato con un uomo di nome Angelo”).
Infine, occorre evidenziare che il supporto contenente la registrazione, ritirato insieme al fascicolo di parte all’atto della assegnazione della causa a sentenza, è stato prodotto nuovamente in sede di giudizio di impugnazione, come pacificamente consentito (ex plurimis: Cass. Civ., sez. VI, n. 29309/2017; sez. III, n. 28462/2013; sez. II, n. 3466/1982).
Peraltro, e per inciso, correttamente il primo Giudice aveva utilizzato la trascrizione della conversazione riportata nella comparsa di risposta del resistente e, come visto, di fatto non contestata.
Ciò posto, le valutazioni compiute in sentenza circa la rilevanza causale della violazione dell’obbligo di fedeltà da parte della odierna appellante – chiaramente evincibile dal colloquio telefonico intrattenuto dalla B____ con un uomo di nome Angelo – appaiono pienamente condivisibili.
E’ vero, infatti, che nella memoria integrativa la ricorrente non ha contestato la circostanza del repentino mutamento di abitudini di vita a partire dal mese di giugno 2013 e, soprattutto, non ha adeguatamente allegato, né tanto meno provato che la crisi della coppia fosse preesistente e legata alla violazione dei doveri coniugali da parte del marito, del tutto generiche e non ricollegate a comportamenti ed eventi concreti risultando le relative deduzioni.
Il tenore della conversazione registrata il 27 febbraio 2014 lascia invece intendere, come sottolineato in sentenza, l’esistenza di un rapporto e di una consuetudine risalenti fra la B____ ed il suo interlocutore, con cui peraltro la donna parlava del Bar R____ proprio il luogo che, a partire dall’estate precedente, aveva preso a frequentare con assiduità nelle ore notturne (si rimanda ai brani riportati in sentenza)>>.

Manca però ogni accesso all’inquadramento tramite il GDPR , spt. trmite l’art. 9.1.lett. f) , secondo cui non applica il divieto di trattamento se <<il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;>>.

Se vale per i dati biometrici , tale eccezione varrà anche per i dati meno “delicati”.