REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
LA CORTE SUPREMA DI CASSAZIONE
SEZIONE PRIMA CIVILE
Composta dagli Ill.mi Sigg.ri Magistrati:
Dott. GENOVESE Francesco Antonio – Presidente –
Dott. LAMORGESE Antonio Pietro – Consigliere –
Dott. FIDANZIA Andrea – Consigliere –
Dott. SCALIA Laura – Consigliere –
Dott. TRICOMI Laura – Rel. Consigliere –
ha pronunciato la seguente
ORDINANZA
sul ricorso xxxxx-2019 proposto da:
(OMISSIS) STEFANO, elettivamente domiciliato in ROMA, presso la Cancelleria della Corte di Cassazione, Piazza Cavour, difeso dall’avvocato FABIO (OMISSIS), che lo rappresenta e difende unitamente all’avvocato SILVIA (OMISSIS);
– ricorrente –
contro
(OMISSIS) e BMW Italia spa;
– intimati –
avverso la sentenza n. xxxx/2019 della CORTE D’APPELLO di MILANO, depositata il xx/xx/2019;
udita la relazione della causa svolta nella camera di consiglio dell’11/11/2020 dal Consigliere Relatore Dott.ssa LAURA TRICOMI.
Ritenuto che:
(OMISSIS) (OMISSIS) aveva chiesto dinanzi al Tribunale di Milano la condanna di BMW ITALIA SPA e di Lario (OMISSIS) SPA in solido per l’illecito trattamento dei suoi dati personali, avvenuto attraverso il rilascio in data 11/5/2012 di un duplicato della chiave elettronica della sua autovettura (oggetto di furto in data 21/5/2012) ad un soggetto non autorizzato che poi si era rivelato un truffatore.
(OMISSIS) si era doluto del comportamento dei convenuti che avrebbero trattato illecitamente un suo dato personale, omettendo di effettuare le dovute verifiche.
Aveva chiesto, quindi, la condanna dei resistenti al risarcimento di tutti i danni, patrimoniali e non patrimoniali subiti, e la condanna di BMW Italia SPA alla consegna della certificazione notarile relativa al rilascio di duplicati di chiavi delle autovetture di sua proprietà ed alla pubblicazione della sentenza, con vittoria delle spese di lite.
Il Tribunale ha rigettato il ricorso di (OMISSIS) perché non ha ravvisato alcun illecito trattamento di dati personali: in particolare ha affermato che il trattamento poteva essere individuato nella comunicazione del numero di telaio, poiché solo questo aveva le caratteristiche del dato personale, e non nella consegna del duplicato della chiave.
Poiché il numero di telaio era già in possesso del truffatore, allorché questi si era recato dal Concessionario, il Tribunale ha affermato che la consegna del duplicato della chiave non aveva comportato un illecito trattamento dei dati personali di (OMISSIS).
Ha, quindi escluso che la condotta di consegna del duplicato della chiave, valutabile astrattamente ai sensi dell’art. 2043 c.c. perché aveva potuto agevolare la commissione del furto, fosse stata contesta dal ricorrente che aveva agito lamentando un illecito trattamento dei propri dati personali e non il concorso nel furto.
(OMISSIS) (OMISSIS) propone ricorso con quattro motivi avverso la sentenza del Tribunale di Milano pubblicata il 19/3/2015.
BMW Italia SPA e Lario (OMISSIS) SPA hanno replicato con separati controricorsi.
(OMISSIS) e BMW hanno depositato memoria.
Considerato che:
1. In via preliminare è opportuno precisare che, poiché si discute di trattamento di dati personali avvenuto nel maggio 2012, al caso in esame si applica il codice della privacy (D.Lgs. 30 giugno 2003, n. 196) nella stesura anteriore alle modifiche introdotte con il D.Lgs. 10 agosto 2018, n. 101 di adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016, entrato in vigore il 25 maggio 2018 (art. 99, comma 2, del Regolamento).
2.1. Con il primo motivo il ricorrente lamenta la omessa pronuncia sulla domanda effettivamente proposta.
Segnatamente, il ricorrente puntualizza di non essersi doluto della comunicazione del numero di telaio dell’autovettura, ma dell’indebito trattamento e comunicazione del codice individuale “Personality Code” che viene abbinato alla vettura di ogni cliente, è indispensabile per accedere all’utilizzo dell’automezzo ed è gestito direttamente ed esclusivamente dal Gruppo BMW; codice individuale che – a seguito della richiesta dei malfattori – era stato immagazzinato nel duplicato della chiave loro rilasciato ed utilizzato, quindi, per trafugare l’autovettura.
Perciò il ricorrente si duole che il Tribunale abbia omesso di pronunciarsi sulla contestazione concernente la denunciata illiceità della comunicazione dei codici personali “Personality Code”, avvenuta mediante la consegna del duplicato della chiave a persona diversa dal proprietario dell’autoveicolo.
La stessa questione è proposta anche come denuncia per violazione o falsa applicazione degli artt. 112 e 277 c.p.c. e come violazione del D.Lgs. n. 169 del 2003, artt. 4 e 15.
Viene denunciato, inoltre, l’omesso esame di un fatto decisivo per il giudizio rispetto alla domanda di condanna a titolo di violazione della normativa in materia di privacy, individuato nel fatto che i codici “Personality Code”, immagazzinati nel chip della chiave elettronica e necessari per aprire ed avviare l’automobile, erano diversi dal numero di telaio della vettura, anche se abbinati allo stesso da parte dell’organizzazione BMW, per consentirne la riproducibilità in caso di richiesta di duplicati da parte dei clienti.
2.2. La prima censura, sotto i molteplici profili, si appunta sulla statuizione con cui il Tribunale ha affermato “Nel caso in esame… il trattamento potrebbe essere rinvenuto non nella consegna del duplicato della chiave, come dedotto da parte attrice, bensì nella comunicazione del numero di telaio al (OMISSIS).
Al momento della richiesta del duplicato della chiave dell’autovettura, il sedicente (OMISSIS) era già in possesso del numero di telaio (dato personale) relativo all’autovettura del ricorrente (come risulta dalla carta di circolazione presentata all’impiegato della Lario (OMISSIS)).
La consegna del duplicato, pertanto, integra una condotta realizzata quando il dato personale, trattato senza il consenso del proprietario, era già nella disponibilità del terzo.
Erroneamente, pertanto, l'(OMISSIS) ha ritenuto che nella consegna del duplicato della chiave elettronica ad un terzo i resistenti hanno illecitamente trattato i suoi dati personali, atteso che nella condotta in esame (astrattamente valutabile, eventualmente ai sensi dell’art. 2043 c.c.) non si ravvisa alcun illecito trattamento di dati personali” (fol. 6 della sent. imp.); il Tribunale ha quindi aggiunto che, comunque, il trattamento del dato, costituito dal “numero di telaio”, non richiedeva il consenso perché proveniente da pubblici registri (P.R.A.).
2.3. Il motivo è fondato e va accolto.
2.4. Innanzi tutto, la doglianza è ammissibile perché contrariamente a quanto sostengono i controricorrenti – sin dal primo grado l’illecito trattamento di dati personali è stato ricollegato da (OMISSIS) alla consegna del duplicato della chiave elettronica del suo autoveicolo ad un terzo, dichiaratosi proprietario mediante l’utilizzo di documentazione falsa.
2.5. Sul piano normativo, va rammentato che, ai sensi del D.Lgs. n. 196 del 2003, art. 4, comma 1, lett. b) e c), si intende per “”dato personale”, qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;” e per “”dati identificativi”, i dati personali che permettono l’identificazione diretta dell’interessato;”.
Alla luce di questa definizione, tendenzialmente espansiva, sono dati personali le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc.
Particolarmente importanti sono i dati che permettono l’identificazione diretta – come i dati anagrafici (ad esempio: nome e cognome), le immagini, ecc. – e i dati che permettono l’identificazione indiretta, come un numero di identificazione (ad esempio, il codice fiscale, l’indirizzo IP, il numero di targa).
Inoltre, con l’evoluzione delle nuove tecnologie, altri dati personali hanno assunto un ruolo significativo, come quelli relativi alle comunicazioni elettroniche (via internet o telefono) e quelli che consentono la geolocalizzazione, fornendo informazioni sui luoghi frequentati e sugli spostamenti.
Passando alla definizione di trattamento, va osservato che essa è nozione ampia e inclusiva poiché contempla condotte anche complesse, volte non solo alla raccolta ed alla conservazione del dati (o alla loro comunicazione), ma anche condotte come l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati (D.Lgs. n. 196 del 2003, art. 4, comma 1, lett. a)).
Va aggiunto che, per l’utilizzazione di questi dati è prescritta, in via di principio, la previa informativa di cui al D.Lgs. n. 196 del 2003, art. 13 ai fini dell’acquisizione del consenso degli interessati all’impiego dei dati di loro pertinenza.
Il D.Lgs. n. 196 del 2003, art. 24, tuttavia, disciplina i casi in cui la regola del consenso è derogata, tra i quali, alla lett. c), rientra il trattamento riguardante “dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati”.
2.6. La giurisprudenza di legittimità ha avuto modo di rimarcare, in tema di dati che permettono l’identificazione diretta, che la nozione di “dato personale” contempla qualsiasi informazione che consenta di identificare, anche indirettamente, una determinata persona fisica e ricomprende pure i “dati identificativi”, quali il nome, il cognome e l’indirizzo di posta elettronica, i quali sono dati personali che permettono la detta identificazione, direttamente (Cass. n. 17665 del 05/07/2018).
Ha, inoltre, affermato, in tema di dati che consentono l’identificazione indiretta, sia pure in relazione ad una fattispecie di illecito trattamento di rilievo penale (art. 167 codice della privacy), che “rientra nel novero dei dati personali definiti dall’art. 4, comma 1, lett. b) del predetto D.Lgs. n. 196 del 2003 – per il quale è tale qualunque informazione relativa a una persona fisica, giuridica ecc, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale – il numero di targa del veicolo, a nulla rilevando che esso sia visibile a tutti quando il veicolo circola per strada, in quanto ciò che rileva non è il numero in sé ma il suo abbinamento ad una persona.” (Cass. pen. 44940 del 28/09/2011).
Ciò che assume rilievo decisivo, in materia di privacy, è, dunque, il collegamento funzionale, ai fini identificativi, tra i dati personali e la persona fisica, in presenza di condotte astrattamente riconducibili nell’alveo del trattamento.
2.7. Passando al caso in esame, si deve osservare che nella decisione impugnata correttamente è stato riconosciuto il carattere di dato personale al numero di telaio dell’autoveicolo, in quanto idoneo a far pervenire all’identificazione della persona del proprietario dello stesso, anche ove contenuto in una chiave elettronica (fol. 5 della sent. imp.), e tale arresto – in linea con i precedenti di legittimità ricordati – va senza dubbio condiviso.
2.8. La pronuncia impugnata, tuttavia, non è corretta laddove, sulla premessa che il sedicente (OMISSIS) era già in possesso del numero di telaio – e cioè di un dato personale trattato senza il consenso del proprietario – quando richiese il duplicato della chiave avvalendosi della falsa carta di circolazione, viene affermato che la consegna del duplicato della chiave elettronica ad un terzo da parte della BMW Italia e di Lario (OMISSIS) non costituì illecito trattamento di dati personali.
Il Tribunale, infatti, ha ritenuto, assertivamente, che il trattamento rilevante fosse esclusivamente quello relativo all’acquisizione del numero di telaio, compiuto dal sedicente (OMISSIS), quasi che lo stesso fosse incompatibile con altro e diverso trattamento di altri dati collegati anche al medesimo numero di telaio, tanto da esaurite le condotte valutabili; ma così facendo non solo ha omesso di prendere in esame e di valutare i fatti contestati dal ricorrente nei confronti di BMW Italia e di Lario (OMISSIS), ma ha altresì violato il D.Lgs. n. 196 del 2003, art. 4.
Il Tribunale avrebbe dovuto, con accertamento che compete al giudice del merito, ricostruire la fattispecie concreta considerando anche la complessa attività posta in essere da BMW mediante la predisposizione di una chiave elettronica personalizzata indispensabile per l’utilizzo dell’autoveicolo – consegnata in esecuzione del contratto di acquisto e incorporante dati direttamente e indirettamente identificativi dell’autovettura e del proprietario, nella prospettazione del ricorrente, – e successivamente mediante la indebita duplicazione e la consegna a un terzo da parte di Lario (OMISSIS); avrebbe quindi dovuto valutare, alla stregua dei principi prima rammentati, se la stessa integrava ed in che misura un autonomo e specifico trattamento di dati personali che trovava la sua autonoma fonte nel contratto concluso tra le parti, passando poi a verificarne la liceità o meno, anche D.Lgs. n. 196 del 2003, ex art. 11, e ad accertare la eventuale ricorrenza dei profili risarcitori invocati dal ricorrente.
La decisione impugnata risulta del tutto carente sotto questo profilo e va cassata in applicazione del seguente principio di diritto:
rientra nel novero dei dati personali definiti dall’art. 4, comma 1, lett. b) del predetto D.Lgs. n. 196 del 2003 – per il quale è tale qualunque informazione relativa a una persona identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale – non solo il numero di targa del veicolo, benché esso sia visibile a tutti quando il veicolo circola per strada, ma anche i dati costituenti la chiave di accesso al sistema elettronico di apertura e chiusura dell’autoveicolo, in quanto ciò che rileva non è il numero in sé ma il suo collegamento a una persona.
Nè può costituire argomento decisivo la considerazione, pure incidentalmente svolta dal Tribunale, in merito al fatto che il trattamento del numero di telaio e della conseguente intestazione del veicolo è dato pubblico, reperibile presso il PRA, che ricade nell’ambito di applicazione del D.Lgs. n. 169 del 2003, art. 24, perché le condotte di cui si dolgono i ricorrenti non attengono se non marginalmente al trattamento del numero di telaio, che peraltro era già contenuto nella chiave elettronica, prima dell’iniziativa del sedicente (OMISSIS).
Ciò che va accertato è se ed in che misura proprio la predisposizione della chiave elettronica, indispensabile per l’utilizzo dell’autovettura e riservata contrattualmente in via esclusiva alla casa automobilistica, nonché la sua successiva duplicazione e/o modifica a richiesta di un terzo, con la conseguente consegna, integrino un trattamento illecito di dati ove svolto al di fuori dei protocolli stabiliti dal contratto (e delle sue condizioni generali) da parte della società concessionaria, perché interconnessi e direttamente o indirettamente incidenti su quelli strettamente personali, valutando quindi le ulteriori domande svolte dal ricorrente.
3.1. Con i successivi tre motivi, il ricorrente denuncia: (secondo motivo) l’omessa motivazione e la violazione e/o falsa applicazione degli artt. 112 e 277 c.p.c., rispetto alle domande di condanna dei convenuti al risarcimento del danno non patrimoniale; (terzo motivo) l’omessa pronuncia e la violazione degli artt. 112 e 277 c.p.c. rispetto alle domande subordinate proposte dal ricorrente a titolo di responsabilità contrattuale ed extracontrattuale; (quarto motivo) l’omessa pronuncia e la violazione e/o falsa applicazione degli artt. 112 e 277 c.p.c. rispetto alla domanda di condanna alla certificazione periodica del mancato rilascio di duplicati di chiavi delle vetture del ricorrente.
3.2. Accolto il primo motivo, i restanti vanno dichiarati assorbiti in quanto sono logicamente subordinati all’esito dell’esame della questione proposta con il primo motivo.
4. In conclusione, va accolto il primo motivo di ricorso, assorbiti gli altri; la sentenza impugnata va cassata con rinvio della causa al Tribunale di Milano, in persona di altro magistrato, per il riesame e la statuizione sulle spese anche del presente del presente giudizio.
Va disposto che in caso di diffusione della presente ordinanza siano omesse le generalità delle parti e dei soggetti in essa menzionati, a norma del D.Lgs. 30 giugno 2003, n. 196, art. 52.
P.Q.M.
– Accoglie il primo motivo del ricorso, cassa la sentenza impugnata e rinvia la causa al Tribunale di Milano, in persona di altro magistrato, anche per le spese;
– Dispone che in caso di diffusione della presente ordinanza siano omesse le generalità delle parti e dei soggetti in essa menzionati, a norma del D.Lgs. 30 giugno 2003, n. 196, art. 52.
Così deciso l’11/11/2020.
Depositata in Cancelleria il 7 luglio 2021.