Corte di cassazione
Sezione I civile
Sentenza 7 ottobre 2015, n. 20106

Presidente: Forte - Estensore: Acierno

SVOLGIMENTO DEL PROCESSO

Con provvedimento del 18 marzo 2010 l'Autorità Garante per i dati personali ha accolto il reclamo proposto da R.E. nei confronti della s.p.a. Banca Sella Nord Est Bovio Calderari qualificando illecito il trattamento dei dati personali del cliente E. effettuato dall'istituto bancario per il tramite di un proprio incaricato e impartendo alla banca prescrizioni concernenti le misure di sicurezza, ai sensi dell'art. 154, comma 1, lett. c), d.lgs. n. 196 del 2003.

L'illiceità del trattamento è stata realizzata, secondo il Garante, nella forma dell'accesso ai dati bancari del reclamante senza il consenso dell'interessato o altro legittimo presupposto. L'incaricato al trattamento (dipendente della banca) non è stato in grado di giustificare le ragioni che lo avevano indotto a consultare la posizione del reclamante, tanto più che al momento dell'accesso il sig. E. risultava inequivocamente in servizio presso la sua sede di lavoro.

Impugnato il provvedimento dall'istituto bancario, il Tribunale di Trento ha accolto il ricorso sulla base delle seguenti argomentazioni:

- Il provvedimento dell'Autorità Garante non ha ad oggetto le forme di comunicazione e diffusione dei dati personali ma soltanto l'accesso e la consultazione.

- Le linee guida per il trattamento dei dati relativi al rapporto banca clientela (delibera del Garante n. 53 del 2007) sono prive di valore precettivo ed inconferenti attenendo espressamente alla comunicazione.

- Non è necessario il consenso puntuale per ogni atto che manifesti una forma di trattamento specie quando ciò avvenga nella forma meno lesiva della consultazione, dal momento che la Banca ha raccolto il consenso dell'interessato al trattamento dei suoi dati personali nell'atto con il quale è iniziato il rapporto contrattuale. Tale consenso produce i suoi effetti anche al trattamento successivo che sia coerente con le finalità per le quali il dato è stato raccolto.

- L'accesso e la consultazione dei dati del cliente in sé considerati sono operazioni che per definizione possono essere lecitamente compiute proprio ai fini della gestione del rapporto contrattuale in essere. A conclusioni diverse si potrebbe pervenire se fosse stato compiuto un trattamento fuori da queste finalità ma di ciò non solo non vi è specifica prova ma soprattutto non è oggetto del provvedimento impugnato. Pertanto in mancanza di prova contraria, si deve presumere che la finalità del trattamento sia stata rispettata.

- Tale conclusione non può essere posta in dubbio in virtù dell'assenza di giustificazione all'accesso da parte dell'incaricato. Quest'ultimo ha dichiarato di non ricordare le ragioni dell'accesso a causa del tempo trascorso, così giustificando una dimenticanza.

Avverso tale provvedimento ha proposto ricorso per cassazione l'Autorità Garante affidandosi a quattro motivi. Ha resistito con controricorso la Banca Sella che ha anche depositato memoria.

MOTIVI DELLA DECISIONE

Nel primo e secondo motivo, da trattarsi unitariamente per la sostanziale coincidenza delle censure, viene dedotto ex art. 360, n. 5, c.p.c. l'omesso esame di un punto decisivo della controversia per avere il Tribunale ritenuto che il provvedimento impugnato non avesse ad oggetto la comunicazione all'esterno dei dati del signor E. e che, comunque, di tale diffusione non vi fosse alcuna prova.

Così operando, secondo la parte ricorrente, il Tribunale di Trento ha omesso di tenere in considerazione la motivazione del provvedimento impugnato limitandosi ad una riduttivo esame del dispositivo. Nel corpus argomentativo di esso vengono ampiamente riferite le circostanze di fatto che hanno determinato la conclusione relativa all'illiceità del trattamento. In particolare si riferisce dell'utilizzo da parte del coniuge dell'E., nel giudizio di separazione personale, dei dati in questione, comunicati alla medesima all'insaputa del marito; dell'impossibilità oggettiva che l'accesso e la stampa dei dati su supporto documentale siano stati autorizzati dall'E.

Tali circostanze hanno integrato il giudizio d'illiceità contenuto nel provvedimento impugnato fondato non solo sull'accesso non autorizzato ai dati in questione ma anche sulla comunicazione a terzi. Si è consumato, di conseguenza, un omesso esame del testo del provvedimento.

Nel terzo motivo viene dedotto l'omesso esame di un punto decisivo della controversia ex art. 360, n. 5, c.p.c. per avere il Tribunale ritenuto che non vi fosse alcuna specifica prova che i dati bancari del signor E. sarebbero stati comunicati al coniuge aggiungendo tuttavia che l'utilizzo costituirebbe una circostanza sfornita di evidenza probatoria ma sorretta da diversi elementi di tipo indiziario. Al riguardo precisa la parte ricorrente che non viene contestata l'utilizzazione nel giudizio di separazione personale dei dati in questione ma anche questo elemento di prova viene ritenuto privo di rilevanza.

Il Tribunale, secondo la parte ricorrente, omette di dare rilievo a tre circostanze incontestate: l'accesso ai dati bancari nei termini e con le modalità riferite dalla Banca stessa; l'esibizione nel giudizio di separazione della documentazione bancaria, l'assenza di altri accessi ai dati bancari da parte dell'E. Il tribunale avrebbe dovuto valutare tali elementi ed, in particolare, accertare se l'utilizzazione nel giudizio potesse provenire da altri accessi legittimi ai dati. In mancanza di tali riscontri non poteva che esserci coincidenza tra i dati di cui all'accesso da parte del dipendente della banca e quelli utilizzati nel predetto giudizio. La decisività dell'argomento è asseverata dalla sentenza stessa laddove afferma che, se si dovesse pervenire alla conclusione che la Banca avesse comunicato a terzi i dati in questione, la conclusione avrebbe dovuto essere diversa ma invece doveva presumersi, in mancanza di prova contraria, che la finalità del trattamento fosse stata rispettata.

In conclusione il Tribunale di Trento ha omesso di considerare la circostanza decisiva che nessun altro accesso ai dati bancari è stato compiuto, con la conseguenza che solo da quello censurato potevano essere dedotte le informazioni utilizzate nel giudizio separativo.

Nel quarto motivo viene dedotta la violazione e falsa applicazione dell'art. 2697 c.c. per avere il Tribunale erroneamente applicato i principi regolanti l'onus probandi in particolare in ordine al difetto di consenso sull'accesso ai dati. La sentenza ritiene legittimo il trattamento nel contesto del rapporto contrattuale sulla base del consenso inizialmente prestato, senza tuttavia considerare che di fronte alla contestazione in ordine alla legittimità dell'accesso fondata sulla mancanza di consenso in quanto effettuato fuori delle finalità tipiche del rapporto contrattuale, incombeva sulla banca l'onere di dimostrare che l'accesso era invece da considerare all'interno del perimetro del trattamento lecito dei dati.

Al riguardo l'argomentazione adottata "non necessariamente il consenso deve essere contestuale e prestato di persona per cui non si può escludere che esso sia stato comunque prestato", viola il regime giuridico dell'onere probatorio, in quanto la prestazione del consenso per il trattamento dei dati bancari del cliente nel momento e con le modalità con le quali si è verificato l'accesso doveva essere oggetto di prova specifica.

Ritiene il Collegio di esaminare preliminarmente l'ultima censura in quanto diretta a contestare la liceità dell'accesso e del trattamento dei dati personali del signor E. sotto il duplice profilo della preesistenza del consenso ed in particolare della corretta imputazione dell'onere della prova in ordine a tale circostanza.

Tale specifica indagine deve essere compiuta prioritariamente perché si limita all'accesso ed al trattamento dei dati in questione da parte del titolare, nella fase anteriore alla loro utilizzazione.

In primo luogo deve essere evidenziato che alla luce della definizione normativa di "trattamento" dei dati personali contenuta nell'art. 4 del d.lgs. n. 196 del 2003 può agevolmente desumersi che la consultazione e l'estrazione di essi fanno parte del trattamento. Ne consegue che l'illiceità del trattamento può desumersi anche soltanto dall'accesso e dall'estrazione di copia dei dati medesimi pur senza estendere l'indagine all'utilizzazione e alla diffusione.

Al riguardo si ritiene necessario illustrare i parametri normativi sulla base dei quali verificare la fondatezza dei rilievi contenuti nella censura. In primo luogo trova applicazione l'art. 11, lett. a), secondo il quale i dati personali devono essere trattati in modo lecito e secondo correttezza ovvero come specificato nel successivo art. 23 previo consenso espresso dell'interessato il quale può riguardare l'intero trattamento o una o più operazioni ma deve essere sempre espresso liberamente e specificamente con riferimento ad un trattamento chiaramente individuato.

La violazione delle modalità di trattamento dei dati personali può essere anche fonte di risarcimento di danni non patrimoniali (art. 15, secondo comma).

Il regime giuridico dell'onere della prova in ordine alla violazione sopradescritta deve essere tratto dal primo comma dell'art. 15. Tale norma, pur regolando specificamente l'accertamento dei danni conseguenti alla violazione del regime legale del trattamento dei dati personali da parte dei titolari e dei responsabili (secondo la definizione contenuta nell'art. 4, lett. f) e g), non può che essere applicabile anche al solo accertamento dei fatti che descrivono le modalità dell'accesso e del trattamento (la condotta) pur in mancanza dell'accertamento sul danno.

Il parametro normativo di riferimento per l'individuazione del regime giuridico dell'onus probandi è l'art. 2050 c.c. (art. 15, primo comma). Sulla base di tale criterio di distribuzione dell'onere della prova l'interessato è gravato della prova del fatto (l'avvenuto accesso e trattamento dei dati personali, l'inesistenza di autorizzazione e consenso rivolti verso quello specifico accesso e trattamento); al titolare o al responsabile spetta il compito di dimostrare la legittimità dell'accesso e del trattamento in ossequio ai canoni normativi e l'esistenza del consenso o in quanto ricompreso in una preesistente autorizzazione al trattamento dei dati di carattere più ampio, o in correlazione con lo specifico accesso contestato.

Peraltro, deve osservarsi, alla medesima conclusione si perviene anche secondo i generali criteri regolatori dell'onus probandi in tema di responsabilità da fatto illecito. L'interessato ha dimostrato l'avvenuto specifico accesso ai dati senza un'autorizzazione espressa sotto il profilo contenutistico e temporale e la successiva oggettiva utilizzazione dei medesimi, una volta estratti, per fini estranei al rapporto contrattuale instaurato con la banca. Ha, pertanto, allegato e provato il fatto e la sua "ingiustizia" od antigiuridicità specifica. Ne consegue che la ricomprensione del trattamento contestato all'interno del consenso prestato al momento dell'assunzione del vincolo contrattuale costituisce fatto impeditivo od eccezione che deve essere puntualmente allegata e provata dal titolare dei dati, non mediante il generico riferimento alla sua esistenza ma mediante l'indicazione del suo perimetro applicativo e della specifica inclusione in essa del trattamento contestato. Al riguardo la sentenza impugnata a pag. 5 fa espresso riferimento al consenso espresso "in un atto iniziale del rapporto" affermando che tale consenso vale per ogni successivo trattamento che sia riconducibile alle finalità stesse per cui il dato personale è stato raccolto, senza tuttavia offrire alcuna giustificazione relativa alla coerenza dell'accesso contestato a tale finalità.

Nella sentenza impugnata non viene affermato (né risulta dedotto dal titolare del trattamento alla luce degli atti esaminabili) che il consenso ex ante prestato nel momento genetico del rapporto contrattuale al trattamento dei dati personali sia privo di limitazioni e soprattutto possa essere eseguito, al di fuori dei poteri endocontrattuali di verifica dell'andamento del rapporto spettanti alla banca, anche a fini del tutto estranei al rapporto predetto.

L'onere probatorio a carico dell'interessato e quello a carico dell'Autorità Garante coincidono dal momento che il presente giudizio non ha ad oggetto l'esercizio di un potere autoritativo di natura sanzionatoria esercitato unilateralmente dalla predetta Autorità ma l'impugnazione di un provvedimento dovuto al ricorso dell'interessato ex art. 145 d.lgs. n. 196 del 2003 (norma collocata all'interno della sezione denominata "Tutela alternativa a quella giurisdizionale", artt. 145-151). Diversamente che nel procedimento ex art. 149, l'Autorità Garante, nell'opposizione ex art. 151 davanti al giudice civile assume una posizione processuale del tutto analoga a quella di una parte. Nella specie, l'accoglimento del ricorso ex art. 150 e la conseguente opposizione proposta dal titolare del trattamento dei dati pone l'Autorità nella posizione dell'interessato, anche ai fini dell'onus probandi.

In conclusione, il Tribunale di Trento non ha applicato correttamente la regola distributiva dell'onere della prova con riferimento all'accesso ed al trattamento dei dati nella fase anteriore all'utilizzazione da parte di terzi non avendo ritenuto che a carico del titolare del trattamento incombesse l'onere di allegare e provare che l'accesso ed il trattamento dei dati in questione, già nella fase anteriore alla loro utilizzazione, da parte del proprio dipendente fosse ricompresa nella preventiva autorizzazione al trattamento dei dati acquisita nel momento genetico del rapporto contrattuale, una volta dimostrata, secondo quanto riconosciuto dallo stesso Tribunale, la mancanza di un'autorizzazione specifica per quell'accesso e la oggettiva successiva utilizzazione per fini del tutto estranei al predetto rapporto negoziale.

L'accoglimento del quarto motivo consente l'esame congiunto degli altri tre, incentrati su due profili, l'omesso esame integrato (motivazione e dispositivo) del provvedimento del Garante, e la conseguente erronea conclusione in ordine all'assenza di rilievi e censure sull'utilizzazione dei dati in contestazione e la non corretta valutazione delle prove in ordine alla provenienza dei dati utilizzati in giudizio da quelli conseguenti all'accesso contestato. Quest'ultima censura è inammissibile attenendo al merito e non al regime legale dell'onus probandi. Quanto alla prima deve osservarsi che, alla luce delle argomentazioni svolte nell'esame del quarto motivo, non è rilevante ai fini della legittimità dell'accesso e del trattamento dei dati eseguito dal titolare, la prova della successiva comunicazione a terzi. La mancanza di consenso in ordine ad accesso (ed estrazione dati) non giustificato dal rapporto contrattuale integra la violazione dell'art. 11, lett. a). L'oggettiva utilizzazione da parte di terzi dei dati estratti da tale accesso costituisce un indice ulteriore della estraneità al trattamento lecito dei dati da parte del titolare ma non un requisito necessario dell'illiceità come ritenuto dal Tribunale di Trento. Nella specie l'accertamento giudiziale non ha ad oggetto la trasmissione dei dati dal titolare al terzo ma l'illiceità della consultazione e dell'estrazione degli stessi, in quanto non fondata sulle finalità per le quali è stato prestato il consenso al trattamento. Peraltro la valenza probatoria dell'indizio relativo all'utilizzazione da parte di terzi è rimessa al sindacato esclusivo del giudice del merito in applicazione del corretto regime giuridico dell'onus probandi così come indicato nell'accoglimento del quarto motivo.

Del tutto estranea al presente accertamento è la cd. scriminante del trattamento dei dati a fini di giustizia (art. 24, lett. f) dal momento che tale profilo non è stato trattato da alcuna delle parti ed è estraneo alla ratio decidendi del provvedimento impugnato.

In conclusione devono essere accolti il quarto motivo e gli altri nei limiti esposti in motivazione. Il giudice del merito nel giudizio di rinvio deve attenersi alla regola distributiva dell'onere della prova al seguente principio di diritto:

"nel giudizio di opposizione proposto ex art. 151 d.lgs. n. 196 del 2003 avverso provvedimento dell'Autorità Garante adita su ricorso proposto ex art. 145, la predetta Autorità assume la medesima posizione processuale delle parti private. Qualora abbia accolto il ricorso dell'interessato e sia convenuta dal titolare del trattamento soggiace al regime dell'onere della prova desumibile dall'art. 15 d.lgs. n. 196 del 2003. È pertanto sufficiente, qualora la titolarità del trattamento derivi da un rapporto contrattuale, che venga dimostrato l'accesso ai dati privo di specifica autorizzazione preventiva, mentre spetta al titolare del trattamento provare che l'accesso ed il trattamento contestati siano riconducibili alle finalità per le quali è stato prestato dall'interessato il consenso al trattamento nell'ambito del rapporto negoziale".

P.Q.M.

La Corte accoglie il ricorso. Cassa la sentenza impugnata e rinvia al Tribunale di Trento in diversa persona anche per le spese del presente procedimento.