Il fatto: un insegnante citava in giudizio, presso il Tribunale di Roma, il Ministero degli Affari Esteri e della Cooperazione Internazionale al fine di ottenere il risarcimento dei danni subiti dal comportamento del Ministero, che aveva inviato all’Istituto Scolastico, presso cui l’insegnante prestava servizio, due comunicazioni pec contenenti dati personali relativi ad un contenzioso intercorso con il medesimo Ministero, in cui l’insegnante era risultata soccombente e, quindi, tenuta al pagamento delle spese di lite con conseguenti richieste per il recupero delle suddette spese.
Il Tribunale di Roma accoglieva il ricorso, precisando che il Ministero aveva violato gli obblighi di riservatezza comunicando i dati attraverso un sistema istituzionale, che aveva consentito la conoscenza di informazioni anche al dirigente scolastico e al personale di segreteria addetto alla ricezione della corrispondenza. Difatti, entrambe le pec inviate dal Ministero presso il luogo di lavoro del docente, non si limitavano a richiedere le specifiche dello stipendio al fine di recuperare il credito vantato dall’Amministrazione stessa, ma esponevano una serie di dati personali nonché, in modo dettagliato, la vicenda privata relativa alla procedura, alla diffida e messa in mora. Il Tribunale di Roma specificava che la condotta dell’Amministrazione violava il principio espresso dal Garante della residualità delle informazioni di comunicazioni inviate presso il luogo di lavoro, utilizzabili soltanto in caso dell’infruttuoso esito di tentativi presso l’indirizzo privato del debitore ed inoltre non aveva dimostrato di aver posto in essere tutte le dovute cautele e l’opportuna diligenza per evitare il danno. A seguito della pronuncia del Tribunale di Roma, il Ministero ha proposto ricorso per cassazione, sottolineando che la comunicazione inviata all’indirizzo pec dell’Istituto dove l’insegnante prestava servizio, doveva essere considerata come un “provvedimento datoriale” di competenza del Dirigente Scolastico in forza del D.Lgs. n. 165/2001, ex art, 25 comma 4 in forza del quale il Dirigente avrebbe dovuto conoscere pienamente che l’Amministrazione avrebbe potuto incaricarlo per il recupero.
La Corte di Cassazione, sezione prima civile, con ordinanza del 02 luglio 2021 n. 18783 ritiene infondate le motivazioni del Ministero, precisando che il comportamento adottato, è in violazione degli obblighi di riservatezza, atteso che sia il Dirigente sia il personale di Segreteria erano venuti a conoscenza di dati e informazioni dettagliate di carattere personale.
Difatti il D.Lgs, 196/2003 art. 11 comma 1 (vigente al tempo dei fatti) stabilisce che: “1. I dati personali oggetto di trattamento sono: a) trattati in modo lecito e secondo correttezza; b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi; c) esatti e, se necessario, aggiornati; d) pertinenti, completi e non eccedenti rispetto alle finalita’ per le quali sono raccolti o successivamente trattati; e) conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti successivamente trattati”.
Inoltre, proprio in merito al recupero dei crediti, il Garante ha prescritto che detta attività, debba realizzarsi nel rispetto dei principi di:
- Liceità, ad esempio non comunicare in modo insistente ed ingiustificato a soggetti terzi del debitore lo stato di insolvenza.
- Correttezza, come non inviare comunicazioni con la scritta “recupero crediti” o simili, da cui si desuma la condizione del destinatario.
- Pertinenza, vale a dire, devono essere considerati come oggetto di trattamento solo i dati strettamente necessari alla finalità del recupero, forniti dall’interessato o desumibili da pubblici registri
Ciò al fine di non ledere la riservatezza del debitore in merito alle sue vicende personali con azioni invasive e insistenti, proprie di alcune prassi di recupero stragiudiziale del credito.
Con il GDPR 679/2016 il Legislatore Europeo ha cercato di rafforzare la protezione dei dati personali, imponendo ai titolari del trattamento dei dati, un’attenta analisi preliminare e una precisa valutazione dei rischi, attraverso una valutazione d’impatto sulla protezione dei dati personali (Privacy Impact Assessment).
Le misure di protezione dei dati, devono soddisfare i principi della privacy by design (sin dalla progettazione) e privacy by default (impostazioni predefinite), in modo che siano oggetto di trattamento solo i dati necessari al soddisfacimento di una finalità e che questi non siano accessibili se non ad un numero predefinito di soggetti.
Conclusioni: La Cassazione, rigettando il ricorso del Ministero, conclude, quindi, con l’affermazione del principio secondo cui: “In tema di trattamento dei dati personali, di cui al D.Lgs. 196/2003, integra una violazione del diritto alla riservatezza e dell’articolo 11 del cit. Cod. Privacy, il comportamento di un creditore il quale, nell’ambito dell ‘attivita’ di recupero credito, svolta direttamente ovvero avvalendosi di un incaricato, comunichi a terzi (familiari, coabitanti, colleghi di lavoro o vicini di casa), piuttosto che al debitore, le informazioni, i dati e le notizie relative all’inadempimento nel quale questo versi oppure utilizzi modalita’ che palesino a osservatori esterni il contenuto della comunicazione senza rispettare il dovere di circoscrivere la comunicazione, diretta al debitore, ai dati strettamente necessari all’attivita’ recuperatoria“.
Avv. Giuliana Bartiromo