In tema di trattamento dei dati personali, di cui al d.lgs. numero 196/2003, integra una violazione del diritto alla riservatezza e dell’articolo 11 del cit. codice privacy, il comportamento di un creditore il quale, nell’ambito dell’attività di recupero credito, svolta direttamente ovvero avvalendosi di un incaricato, comunichi a terzi familiari, coabitanti, colleghi di lavoro o vicini di casa , piuttosto che al debitore, le informazioni, i dati e le notizie relative all’inadempimento nel quale questo versi oppure utilizzi modalità che palesino a osservatori esterni il contenuto della comunicazione senza rispettare il dovere di circoscrivere la comunicazione, diretta al debitore, ai dati strettamente necessari all’attività recuperatoria.
Così la Corte di Cassazione con l'ordinanza depositata il 2 luglio 2021, numero 18783. La fattispecie. Nel caso in esame la ricorrente aveva convenuto in giudizio il Ministero degli affari Esteri e della Cooperazione Internazionale per sentirlo condannare al risarcimento dei danni stante la violazione del combinato disposto di cui agli articolo 15 d.lgs. numero 196/03 e 2050 c.c. per aver inviato corrispondenza destinata alla stessa presso l'indirizzo di posta elettronica certificata del plesso scolastico ove svolgeva la propria attività lavorativa. Il Tribunale, dato atto che le comunicazioni personali possono essere inviate nel luogo di lavoro solamente dopo vari infruttuosi tentativi presso la residenza e/o il domicilio, aveva accolto la domanda riconoscendo l'illiceità della comunicazione e condannando il Ministero al risarcimento del danno. Il motivo del ricorso. Il Ministero, nel ricorso per Cassazione, aveva rilevato che la diffida volta alla dipendente costituiva “un provvedimento datoriale di competenza del Dirigente scolastico ex articolo 25, quarto comma, del D. Lgs. numero 165/2001 ” il quale prevede che nell'ambito delle funzioni attribuite alle istituzioni scolastiche spetta al dirigente l'adozione dei provvedimenti di gestione delle risorse del personale. Il recupero crediti e le indicazioni del Garante. La Corte, in primo luogo, ha osservato che l'Autorità per la protezione dei dati personali, con provvedimento del 30 novembre 2005, ha avuto modo di prescrivere che l'attività di recupero crediti di svolga, a cura del creditore, nel rispetto dei principi di liceità, correttezza e pertinenza fissati dall' articolo 11, comma 1, d.lgs numero 196/03 . Detto provvedimento è stato adottato per contrastare alcune prassi, molto invasive, finalizzate al recupero stragiudiziale delle somme dovute. Principio di liceità. Tale principio, ad esempio, può ritenersi violato nell'ipotesi di comunicazione a terzi familiari, vicini di casa,… dell'inadempimento del debitore. Principio di correttezza. Non è possibile comunicare a terzi lo stato in cui versi il debitore nel tentativo di prendere contatto con lui come, ad esempio, indicare sull'esterno della busta la dicitura “recupero crediti”. Principio di pertinenza e finalità. Secondo tale principio possono formare oggetto di trattamento i soli dati necessari all'esecuzione dell'incarico, con particolare riferimento ai dati anagrafici riferiti al debitore, codice fiscale o partita iva , ammontare del credito vantato e delle condizioni di pagamento e i recapiti forniti dall'interessato o comunque accessibili dai pubblici registri. La conclusione della Corte. In applicazione dei richiamati principi la Corte ha rigettato il ricorso ritenendo illecito sia l'invio della comunicazione presso la PEC dell'istituto scolastico ove lavorava la debitrice – il che ha consentito a terzi di venire a conoscenza di dati personali – sia la richiesta dei dati relativi all'emolumento, finalizzata a esperire la procedura esecutiva, in quanto tale avrebbe dovuto contenere i dati strettamente necessari a tal fine senza illustrare l'intera vicenda.
Presidente Genovese – Relatore Tricomi Ritenuto che Con ricorso al Tribunale di Roma, P.A.R. aveva agito per sentir accertare la natura illecita della condotta posta in essere dal Ministero degli Affari Esteri e della Cooperazione Internazionale di seguito, MAECI , in violazione del combinato disposto di cui al D.Lgs. numero 196 del 203, articolo 15 e articolo 2050 c.c. e per l’effetto condannare l’Amministrazione al risarcimento del danno subito dalla ricorrente in dipendenza della riferita condotta nella misura di Euro 30.000,00=, ovvero nella misura riconosciuta dal giudice. La condotta contestata consisteva nell’invio da parte del MAECI all’indirizzo PEC dell’Istituto scolastico [ ], ove ella prestava servizio, di due comunicazioni, contenenti dati personali - segnatamente informazioni relative ad un contenzioso intercorso con il MAECI, nel quale ella era risultata soccombente e tenuta al pagamento delle spese di lite ed alle operazioni volte al recupero delle spese. Il Tribunale ha accolto il ricorso, ritenendo che l’Amministrazione, utilizzando un canale di comunicazione istituzionale e con le modalità in concreto adottate, aveva posto in essere un trattamento in violazione degli obblighi di rispetto della riservatezza gravanti sulla stessa Amministrazione, perché in tal modo il dirigente scolastico ed il personale di segreteria addetto alla ricezione della corrispondenza avevano avuto accesso a dati personali della P Quanto alla prima comunicazione a mezzo PEC del gennaio 2015, indirizzata personalmente a P. , il Tribunale ha accertato che detta comunicazione conteneva dati personali - in quanto integrava una diffida ed una messa in mora, relativa al pagamento delle spese di lite di un procedimento svoltosi con esito favorevole per l’Amministrazione dinanzi al giudice del lavoro - ed avrebbe dovuto essere comunicata privatamente, non inerendo all’attività di insegnante prestata presso l’istituto stesso, mentre in tal modo vi avevano avuto accesso il dirigente scolastico ed il personale di segreteria che l’amministrazione non aveva dimostrato di aver posto in essere le dovute cautele e la diligenza necessaria ad evitare il danno, a fronte della presunzione di responsabilità ex articolo 2050 c.c. in capo a chi effettua un trattamento ritenuto attività pericolosa dal legislatore. Il Tribunale ha accertato la lesività del diritto alla riservatezza anche in relazione alla seconda comunicazione del novembre 2015, osservando che il canale comunicativo istituzionale PEC non era stato utilizzato solo per richiedere le coordinate stipendiali della P. funzionali al recupero forzoso del credito, perché nella premessa era stata esposta tutta la vicenda privata relativa all’inadempimento ed alla messa in mora, in violazione dell’orientamento espresso dal garante circa la necessità di modalità riservate per le comunicazioni di diffida e messa in mora e circa la residualità dell’invio delle stesse presso il luogo di lavoro, solo in caso dell’infruttuoso esito di tentativi presso l’indirizzo privato del debitore. Ha, quindi, accolto la domanda risarcitoria, ravvisata la responsabilità aquiliana dell’Amministrazione ai sensi degli articolo 2043, 2050 e 2059 c.c., oltre che del D.Lgs. numero 196 del 2003, articolo 15, e condannato il MAECI al risarcimento del danno non patrimoniale subito da P. , quantificato in Euro 10.000,00, in via equitativa. Il MAECI ha proposto ricorso per cassazione con un motivo P. ha replicato con controricorso corroborato da memoria. Considerato che 1.1. In via preliminare è opportuno precisare che, poiché si discute di trattamento di dati personali avvenuto tra gennaio e novembre 2015, al caso in esame si applica il codice della privacy D.Lgs. 30 giugno 2003, numero 196 nella stesura anteriore alle modifiche introdotte con il D.Lgs. 10 agosto 2018, numero 101 di adeguamento dell’ordinamento nazionale al regolamento UE 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016, entrato in vigore il 25 maggio 2018 articolo 99, comma 2, del Regolamento . 1.2. Va quindi affermata la ammissibilità del ricorso per cassazione. In proposito va ribadito che nel giudizio avente ad oggetto tanto la lesione del diritto alla protezione dei dati personali, cui si applica la disciplina processuale speciale di cui al D.Lgs. numero 150 del 2011, articolo 10 - che non prevede la ricorribilità in appello -, quanto la domanda di risarcimento del danno per la lesione dei diritti alla riservatezza ed all’immagine, cui si applica il rito ordinario, al fine di identificare il mezzo di impugnazione esperibile, in ossequio al principio dell’apparenza, deve farsi riferimento esclusivo a quanto previsto dalla legge per le decisioni emesse secondo il rito in concreto adottato in relazione alla qualificazione dell’azione effettuata dal giudice Cass. numero 29336 del 22/12/2020 pertanto, qualora il Tribunale - come nel caso in esame - abbia ritenuto di giudicare unitariamente sulle domande, applicando il rito speciale mutuato dal diritto del lavoro, in quanto i danni risarcibili erano stati prospettati come conseguenza dell’illecita diffusione dei dati personali, risulta rettamente proposto il ricorso per cassazione avverso la sentenza in unico grado. 2.1. Con l’unico motivo il MAECI ha denunciato la violazione del D.Lgs. numero 196 del 2003, articolo 11 e 15 e dell’articolo 2050 c.c. in combinato disposto, sostenendo la liceità del trattamento di cui si discute. Quanto alla prima comunicazione del 23 gennaio 2015, inviata all’indirizzo PEC dell’Istituto dove la P. prestava servizio, sostiene che si trattava, è vero, di una diffida rivolta alla dipendente, ma che andava considerato che la comunicazione costituiva un provvedimento datoriale, come tale di competenza del Dirigente scolastico D.Lgs. numero 165 del 2001, ex articolo 25, comma 4 che prevede che nell’ambito delle funzioni attribuite alle istituzioni scolastiche, spetta al dirigente l’adozione dei provvedimenti di gestione delle risorse e del personale . Sostiene che il Dirigente scolastico aveva, ad ogni modo, pieno titolo a conoscere e che l’Amministrazione avrebbe potuto incaricarlo di procedere al recupero. Infine, osservando che la quantificazione del danno era stata compiuta dal Tribunale tenendo conto della recidiva, in ragione dell’invio della seconda mail, il MAECI ha rappresentato che ove venisse ritenuta lecita anche una sola mail la decisione andrebbe comunque cassata per consentire la nuova quantificazione del risarcimento. 2.2. Il motivo è infondato. 2.3. Risulta incontestato che delle due mail inviate all’indirizzo PEC dell’Istituto scolastico ove la P. prestava servizio, la prima diretta alla P. - conteneva una diffida ad adempiere ed una messa in mora per spese legali, conseguenti ad un pregresso contenzioso, mentre la seconda - indirizzata all’Istituto, e solo per conoscenza alla P. - conteneva, oltre la richiesta dei dati stipendiali necessari a promuovere l’azione di recupero forzoso, la dettagliata esposizione di tutta la vicenda debitoria e della inutile diffida e messa in mora. Risulta altresì incontestato che, in ragione dell’utilizzo della PEC istituzionale vennero a conoscenza del contenuto di entrambe le mail il Dirigente scolastico ed il personale di segreteria, condotta ritenuta lesiva del diritto alla riservatezza della P. . 2.4. Sul piano normativo va rammentato che il D.Lgs. numero 196 del 2003, articolo 11, comma 1, vigente ratione temporis , nel fissare le modalità del trattamento ed i requisiti dei dati, stabilisce 1. I dati personali oggetto di trattamento sono a trattati in modo lecito e secondo correttezza b raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi c esatti e, se necessario, aggiornati d pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati e conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti successivamente trattati . Per quanto riguardo lo specifico campo dell’attività di recupero crediti, si registra altresì l’intervento dell’Autorità per la protezione dei dati personali che, con un provvedimento generale emesso in data 30 novembre 2005, ai sensi del D.Lgs. numero 196 del 2003, articolo 154, comma 1, lett. c , ha prescritto le misure necessarie perché l’attività di recupero crediti, sia che si realizzi direttamente a cura del creditore, sia che venga attuata nel suo interesse da terzi, si svolga nel rispetto dei principi di liceità, correttezza e pertinenza fissati dall’articolo 11, comma 1 cit., evitando comportamenti che possano ledere la riservatezza del debitore in merito alle sue vicende personali. Il provvedimento è stato emanato per contrastare l’esistenza di alcune prassi finalizzate al recupero stragiudiziale dei crediti, caratterizzate da modalità di ricerca e di presa di contatto invasive e, talora, lesive della riservatezza e della dignità personale. Tra l’altro, l’Autorità ha puntualizzato che il trattamento dei dati personali del debitore, nell’ambito dell’attività di recupero crediti deve rispettare il principio di liceità nel trattamento , che può ritenersi violato, ad esempio, dal comportamento consistente nel comunicare ingiustificatamente a soggetti terzi rispetto al debitore quali, ad esempio, familiari, coabitanti, colleghi di lavoro o vicini di casa , informazioni relative alla condizione di inadempimento nella quale versa l’interessato il principio di correttezza nel trattamento , in ragione del quale devono ritenersi preclusi, sia in fase di raccolta delle informazioni sul debitore, sia nel tentativo di prendere contatto con il medesimo anche attraverso terzi , comportamenti suscettibili di incidere sulla sua dignità, qui riguardata sul solo piano della disciplina di protezione dei dati personali tale principio può ritenersi violato, tra l’altro, quando le sollecitazioni di pagamento siano portate a conoscenza di persone diverse dal debitore, come può accadere nel caso di utilizzo di cartoline postali o tramite l’invio di plichi recanti all’esterno la scritta recupero crediti o locuzioni simili, dalle quali possa comunque desumersi l’informazione relativa all’asserito stato di inadempimento del destinatario il principio di pertinenza e finalità , desunto sempre dal D.Lgs. numero 196 del 2003, articolo 11, in ragione del quale possono formare oggetto di trattamento i soli dati necessari all’esecuzione dell’incarico, con particolare riferimento ai dati anagrafici riferiti al debitore, codice fiscale o partita Iva del medesimo , ammontare del credito vantato unitamente alle condizioni del pagamento e recapiti anche telefonici , di norma forniti dall’interessato in sede di conclusione del contratto o comunque desumibili da elenchi o registri pubblici. 2.5. Nel caso in esame entrambe le comunicazioni, indubitabilmente, hanno comportato il trattamento dei dati personali e sono state espressione di attività volta al recupero del credito vantato dall’Amministrazione. La decisione impugnata risulta immune dal vizi denunciati in quanto, in applicazione degli anzidetti principi, ha rettamente ravvisato la illiceità del trattamento, posto che i dati concernenti la debitoria della P. - in violazione del principio di correttezza - non sono stati comunicati a lei personalmente, ma ingiustificatamente avvalendosi della PEC istituzionale del datore di lavoro, il che ha consentito l’accesso e la conoscenza di tali dati - insita nell’utilizzo del mezzo di comunicazione adoperato - da parte dal dirigente scolastico e dal personale di segreteria, nonostante il carattere privato degli stessi inoltre, per quanto riguarda la seconda comunicazione va osservato che la liceità della richiesta dei dati stipendiali della debitrice rivolta al datore di lavoro, pur ravvisata dal Tribunale, non esonerava il creditore dal rispettare i canoni di pertinenza e di finalità, che impongono di limitare allo stretto necessario i dati e le informazioni sulla posizione debitoria dell’interessato, e che - come accertato dal Tribunale - nel presente caso sono stati palesemente violati. 2.6. Nè quanto dedotto, peraltro in via solo ipotetica dal MAECI, circa la possibilità di delegare il Dirigente scolastico per l’esecuzione del recupero credito, è idoneo a mutare tali conclusioni da un lato, ciò non integra una giustificazione alla ampia propalazione dei dati accertata nel caso specifico dall’altro non appare decisiva, posto che il creditore, anche nel caso in cui intenda avvalersi di un terzo per il recupero del credito deve ugualmente rispettare i principi prima ricordati e deve altresì assicurarsi che ciò avvenga anche a cura dell’incaricato, mentre le modalità in concreto attuate non appaiono in alcun modo conformi ai principi anzidetti per le ragioni esposte. 2.7. Va pertanto affermato il seguente principio In tema di trattamento dei dati personali, di cui al D.Lgs. numero 196 del 2003, integra una violazione del diritto alla riservatezza e dell’articolo 11 del cit. Cod. Privacy, il comportamento di un creditore il quale, nell’ambito dell’attività di recupero credito, svolta direttamente ovvero avvalendosi di un incaricato, comunichi a terzi familiari, coabitanti, colleghi di lavoro o vicini di casa , piuttosto che al debitore, le informazioni, i dati e le notizie relative all’inadempimento nel quale questo versi oppure utilizzi modalità che palesino a osservatori esterni il contenuto della comunicazione senza rispettare il dovere di circoscrivere la comunicazione, diretta al debitore, ai dati strettamente necessari all’attività recuperatoria . 3. In conclusione, il ricorso va rigettato. Le spese seguono la soccombenza nella misura liquidata in dispositivo. Va disposto che in caso di diffusione della presente ordinanza siano omesse le generalità delle parti e dei soggetti in essa menzionati, a norma del D.Lgs. numero 196 del 2003, articolo 52. Non trova applicazione l’obbligo di versare, ai sensi del D.P.R. numero 115 del 2002, articolo 13, comma 1 quater, nel testo introdotto dalla L. numero 228 del 2012, articolo 1, comma 17, un ulteriore importo a titolo di contributo unificato, nei confronti dell’Amministrazione dello Stato che, mediante il meccanismo della prenotazione a debito ex articolo 158 del D.P.R. cit., è esentata dal pagamento delle imposte e tasse che gravano sul processo Cass. numero 1778 del 29/01/2016 Cass. numero 20682 del 29/09/2020 . P.Q.M. - Rigetta il ricorso - Condanna il ricorrente alla rifusione delle spese processuali, che liquida in Euro 2.000,00=, oltre Euro 200,00 per esborsi, spese generali liquidate forfettariamente nella misura del 15% ed accessori di legge - Dispone che in caso di diffusione della presente ordinanza siano omesse le generalità delle parti e dei soggetti in essa menzionati, a norma del D.Lgs. numero 196 del 2003, articolo 52.