REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
LA CORTE SUPREMA DI CASSAZIONE
SEZIONE PRIMA CIVILE
Composta dagli Ill.mi Sigg.ri Magistrati:
Dott. SALME' Giuseppe - Presidente -
Dott. DOGLIOTTI Massimo - rel. Consigliere -
Dott. SCALDAFERRI Andrea - Consigliere -
Dott. ACIERNO Maria - Consigliere -
Dott. LAMORGESE Antonio - Consigliere -
ha pronunciato la seguente:
sentenza
sul ricorso proposto da:
L.R.M. , elettivamente domiciliato in ROMA, VIA ILLIRIA, 19, presso l'avvocato ANTONELLA ZAINA, rappresentato e difeso dagli avvocati SCOLAMIERO MICHELE, MIGNONE EMILIO, giusta procura in calce al ricorso;
- ricorrente -
contro
UNICREDIT S.P.A., nella quale sono fuse per incorporazione UniCredit Banca s.p.a., UniCredit Banca di Roma s.p.a., Banco di Sicilia s.p.a., UniCredit Private Banking s.p.a., UniCredit Corporate Banking s.p.a., UniCredit Family Financing Bank s.p.a. e UniCredit BancAssurance Management & Administration s.c.r.l., in persona del legale rappresentante pro tempore, elettivamente domiciliata in ROMA, VIA CASSIODORO 19, presso l'avvocato JANARI LUIGI, rappresentata e difesa dall'avvocato PROTO PISANI NICOLA, giusta procura a margine del controricorso;
REGIONE CAMPANIA, in persona del Presidente della Giunta Regionale pro tempore, elettivamente domiciliata in ROMA, VIA POLI 29, presso l'avvocato PARENTE PAOLA, che la rappresenta e difende, giusta procura a margine del controricorso;
- controricorrenti -
contro
GARANTE DELLA PRIVACY;
- intimato -
avverso la sentenza n. 4204/2011 del TRIBUNALE di NAPOLI, depositata il 07/04/2011;
udita la relazione della causa svolta nella pubblica udienza del 22/01/2014 dal Consigliere Dott. MASSIMO DOGLIOTTI;
udito, per il ricorrente, l'Avvocato MICHELE SCOLAMIERO che ha chiesto l'accoglimento del ricorso;
udito il P.M., in persona del Sostituto Procuratore Generale Dott. DEL CORE Sergio, che ha concluso per l'accoglimento del ricorso.
Svolgimento del processo
Con ricorso D.Lgs. n. 196 del 2003, ex art. 152, depositato in data 13/07/2010, L.R.M. conveniva in giudizio, davanti al Tribunale di Napoli, la Regione Campania e Unicredit Banca di Roma s.p.a., perchè fosse assunta ogni misura idonea a prevenire la diffusione di un proprio dato sensibile (essendo egli beneficiario di indennizzo riconosciuto ai sensi della L. n. 210 del 1992), e per sentir condannare le convenute al conseguente risarcimento dei danni.
Precisava il ricorrente di percepire il predetto indennizzo dalla Regione Campania, con rate bimestrali, accreditate su conto corrente presso l'Unicredit, lamentando l'illegittimo trattamento dei dati sensibili, da parte della Regione, che richiamava nella causale di accredito la L. n. 210 del 1992, e, per l'Istituto di credito, l'illegittima detenzione di tale dato sensibile.
Costituitosi regolarmente il contraddittorio, la Regione Campania chiedeva il rigetto della domanda; l'Istituto di credito chiedeva l'estromissione dal giudizio per carenza di legittimazione passiva e, in subordine, il rigetto del ricorso.
Il Tribunale di Napoli, con sentenza in data 7 aprile 2011, escludeva l'estromissione dell'Unicredit, ma rigettava il ricorso.
Ricorre per cassazione il L.R.
Resistono, con due controricorsi, la Regione Campania e l'Unicredit.
Motivazione
Con un unico, articolato motivo, il ricorrente lamenta violazione e/o falsa applicazione del D.Lgs. n. 196 del 2003, artt. 5, 18, 20, 21 e 22; nonchè vizio di motivazione della sentenza impugnata, nella parte in cui ha ritenuto che il comportamento della Regione Campania fosse legittimo, essendosi essa limitata a trasmettere il dato sensibile in questione ad un soggetto determinato, l'Istituto di credito, attraverso una rete informatica non accessibile a tutti, e parimenti legittimo quello della Banca, che si era limitata ad adempiere ad un preciso obbligo contrattuale, con la descrizione della causale del bonifico disposto dalla Regione, nell'estratto conto, inviato periodicamente al L.R..
Il motivo va accolto.
Va precisato che il diritto alla riservatezza (o all'intimità della sfera privata dell'individuo), appare, ben più di altri aspetti di tutela della personalità, strettamente collegato alle profonde trasformazioni operate dalla società industriale e post-industriale: accresciuto contatto e ad un tempo maggiore estraneità tra gli individui, più ampio dinamismo e circolazione dei soggetti, che possono inserirsi in ambienti e situazioni tra loro del tutto indipendenti, talora rivestendo ruoli differenziati e mostrando così profili diversi della propria personalità. Ma è soprattutto l'incessante progresso tecnologico, con il perfezionamento (e la pericolosità) dei mezzi di comunicazione di massa e degli strumenti di raccolta di dati e notizie che, attraverso inedite, per il passato del tutto impensabili, e talora gravissime aggressioni agli aspetti più intimi della personalità, richiede necessariamente l'individuazione di più efficaci ed adeguate difese.
Per molti anni mancò, nel nostro ordinamento, un riscontro normativo specifico alla tutela di tale diritto anche se la giurisprudenza e la dottrina man mano ne riconoscevano la protezione, magari ancorandolo all'art. 10 c.c., relativo all'immagine, ovvero agli artt. 2 e 3 Cost., e alle garanzie di sviluppo della personalità di ogni soggetto. Solo in tempi relativamente recenti si è pervenuti ad una disciplina organica della materia, con la L. n. 675 del 1996, e, successivamente, con il D.Lgs. n. 196 del 2003.
Assai significativamente, l'art. 2 del predetto decreto legislativo precisa che il trattamento dei dati personali deve svolgersi nel rispetto dei diritti e delle libertà fondamentali, con particolare riferimento alla riservatezza e alla identità personale.
Particolare tutela deve essere assicurata ai dati c.d. sensibili: al riguardo, viene, tra l'altro, in considerazione, accanto alla protezione della riservatezza, la tutela della salute, ad essa strettamente collegata (un riscontro ulteriore della circolarità stretta, nei contenuti, dei diritti della personalità) (al riguardo, Cass. n. 19635 del 2011; 18980 del 2013). E infatti se la tutela più circoscritta dell'integrità fisica di cui all'art. 5 c.c., richiama gli aspetti esteriori della condizione del soggetto ed è valore eminentemente statico, la salute si configura, al contrario, come nozione relativa e dinamica, coinvolgendo soprattutto gli aspetti interiori, come avvertiti e vissuti in concreto dal soggetto, valore non solo da garantire ma da promuovere ed accrescere, secondo le indicazioni degli artt. 2, 3 e 32 Cost..
Del D.Lgs. n. 196 del 2003, va pure ricordato, come del resto non manca di precisare la sentenza impugnata, l'art. 4, relativo appunto ai dati personali idonei a rivelare lo stato di salute e la vita sessuale dell'interessato: è dato personale ogni informazione relativa al soggetto, individuabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale. Ai sensi dell'art. 22, gli enti pubblici sono tenuti a conformare il trattamento dei dati sensibili, secondo modalità volte a prevenire violazioni di diritti, delle libertà fondamentali e della dignità dell'interessato, soltanto ove tali dati siano indispensabili per svolgere attività istituzionali che non possono essere adempiute con il trattamento di dati anonimi o personali di diversa natura; in ogni caso i dati idonei a rivelare lo stato di salute non possono essere diffusi. Lo stesso articolo, al comma 6, stabilisce che tali dati devono essere trattati con tecniche di cifratura o mediante codici identificativi che li rendano temporaneamente inintellegibili a chi è autorizzato ad accedervi.
Nella specie, il dato, che la Regione ha rivelato e la Banca ha riportato, riguardava la legge n. 210 del 1992, che riconosce il diritto ad un indennizzo a chi abbia riportato, a causa di vaccinazioni obbligatorie, una menomazione permanente dell'integrità psicofisica o a chi risulti contagiato da infezioni HIV, a seguito di somministrazione di sangue o derivati, nonchè gli operatori sanitari che, in occasione e durante il servizio, abbiano riportato danni permanenti, conseguenti ad infezione a seguito di contatto con sangue o derivati provenienti da soggetti affetti da HIV. Da quanto osservato emerge l'illegittimo trattamento dei dati, della Regione e della Banca, che, secondo le indicazione dell'art. 22, avrebbero dovuto rispettivamente diffondere e conservare i dati stessi, utilizzando cifrature o numeri di codice non identificabili.
Quanto al risarcimento del danno, va considerato che il predetto D.Lgs. n. 196, definisce l'attività di trattamento dei dati personali come attività pericolosa, secondo i parametri indicati dall'art. 2050 c.c., per cui chi determina un danno, è tenuto al risarcimento se non prova di aver adottato tutte le misure idonee ad impedirlo: la cifratura dei dati, negli adempimenti previsti per comunicazioni e notificazioni, devono essere considerate misure minime idonee ad impedire il danno.
Va pertanto accolto il ricorso, e cassata la sentenza impugnata, con rinvio al Tribunale di Napoli, in persona di diverso magistrato, che si atterrà ai principi suindicati nel valutare la domanda, relativamente alle misure idonee ad inibire il trattamento, e al risarcimento del danno a favore dell'odierno ricorrente. Il predetto Tribunale si pronuncerà anche sulle spese del presente giudizio.
PQM
La Corte accoglie il ricorso; cassa la sentenza impugnata e rinvia al Tribunale di Napoli in persona di diverso magistrato che si pronuncerà sulle spese del presente giudizio di legittimità.
In caso di diffusione, omettere generalità e atti identificativi, ai sensi del D.Lgs. n. 196 del 2003, art. 52.
Così deciso in Roma, il 22 gennaio 2014.
Depositato in Cancelleria il 19 maggio 2014
