Sentenza Sentenza Cassazione Civile n. 21234 del 23/07/2021

Cassazione civile sez. I, 23/07/2021, (ud. 24/03/2021, dep. 23/07/2021), n.21234

LA CORTE SUPREMA DI CASSAZIONE

SEZIONE PRIMA CIVILE

Composta dagli Ill.mi Sigg.ri Magistrati:

Dott. GENOVESE Francesco A. – Presidente –

Dott. DI MARZIO Mauro – Consigliere –

Dott. TRICOMI Laura – rel. Consigliere –

Dott. TERRUSI Francesco – Consigliere –

Dott. LAMORGESE Antonio – Consigliere –

ha pronunciato la seguente:

ORDINANZA

sul ricorso 14229/2017 proposto da:

Iperal S.p.a. con socio unico, in persona del legale rappresentante

pro tempore, elettivamente domiciliata in Roma, Via Pinciana n. 25,

presso lo studio dell’avvocato Sciaudone Francesco, che la

rappresenta e difende unitamente all’avvocato Contini Davide

Giorgio, giusta procura in calce al ricorso;

– ricorrente –

contro

Garante per la Protezione dei Dati Personali, in persona del legale

rappresentante pro tempore, domiciliato in Roma, Via dei Portoghesi

n. 12, presso l’Avvocatura Generale dello Stato, che lo rappresenta

e difende ope legis;

– controricorrente –

avverso la sentenza n. 12576/2016 del TRIBUNALE di MILANO, pubblicata

il 02/12/2016;

udita la relazione della causa svolta nella camera di consiglio del

24/03/2021 dal cons. TRICOMI LAURA.

Fatto

RITENUTO IN FATTO

CHE:

Con provvedimento n. 293 del 13/5/2015, comunicato il 25/6/2015, il Garante per la protezione dei dati personali (di seguito, anche il Garante), ha ingiunto, D.Lgs. 30 giugno 2003, ex art. 152, n. 196, alla società IPERAL SPA il pagamento di Euro 40.000,00 a titolo di sanzione amministrativa per avere svolto trattamenti di dati personali finalizzati all’attivazione di n. 11 schede telefoniche Vodafone Omnitel; tali schede erano state intestate a cinque persone a loro insaputa e, quindi, senza aver reso agli stessi l’informativa di cui al D.Lgs. n. 196 del 2003, art. 13, prima della raccolta dei dati personali.

La contestazione aveva tratto origine da un’indagine della Guardia di Finanza che aveva accertato che cinque persone risultate formalmente intestatarie di undici schede telefoniche Vodafone Omnitel, attivate presso il rivenditore Sermark SPA, divenuto Iperal SPA a seguito di incorporazione, non ne avevano mai fatto richiesta, con l’effetto che l’intestazione posta in essere risulta attuata in violazione della normativa che prevede l’obbligo di identificazione dell’assegnatario dell’utenza e l’obbligo di rendere agli interessati le informazioni di cui all’art. 13, del D.Lgs. cit.

La società ha proposto opposizione dinanzi al Tribunale di Milano, chiedendo di dichiarare la nullità, annullamento, invalidità, inefficacia dell’ordinanza ingiunzione o, in subordine, la riduzione dell’importo.

Il Tribunale, richiamato il provvedimento del Garante del 26/9/2002 che ha ritenuto autonomo titolare del trattamento il rivenditore di servizi telefonici che, in base alle clausole stipulate con il gestore, non sia qualificabile come dipendente di questi, né parte della sua struttura imprenditoriale, ed il provvedimento del Garante del 16/2/2006 che aveva esaminato i rapporti tra operatori di telefonia ed agenti e rivenditori, ha respinto l’opposizione, sulla considerazione che era stato accertata la violazione dell’obbligo della preventiva identificazione dell’assegnatario dell’utenza telefonica e dell’obbligo di rendere le informazioni di cui al D.Lgs. n. 196 del 2003, art. 13, agli interessati e che “ogni rivenditore è dunque qualificabile quale autonomo titolare del trattamento dei dati personali quando, come nel caso di specie, persegua in maniera del tutto indipendente una finalità commerciale (vendita di servizi telefonici), restando indifferente che tale specifica finalità non sia quella prioritaria (se non esclusiva) del dealer” (fol. 4 della sent. imp.). Ha, infine, escluso sotto il profilo soggettivo l’applicabilità dell’esimente della buona fede, non avendo provato Iperal che il fatto era avvenuto a sua insaputa per il fatto di un terzo, posto che invece l’attivazione delle sim risultava effettuata con utilizzo delle credenziali in uso esclusivo ad Iperal e che la violazione avrebbe potuto essere evitata se la società si fosse attenuta all’obbligo di procedere alla corretta identificazione dei clienti.

La società ha proposto ricorso con due mezzi, illustrati da memoria. Il Garante ha replicato con controricorso.

Diritto

CONSIDERATO IN DIRITTO

CHE:

1. In via preliminare è opportuno precisare che, poiché si discute di una sanzione per violazione delle disposizioni sul trattamento di dati personali irrogata nel maggio 2015, al caso in esame si applica il codice della privacy (D.Lgs. 30 giugno 2003, n. 196) nella stesura anteriore alle modifiche introdotte con il D.Lgs. 10 agosto 2018, n. 101, di adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016, entrato in vigore il 25 maggio 2018 (art. 99, comma 2, del Regolamento).

2.1. Con il primo motivo si denuncia la violazione del D.Lgs. n. 196 del 2003, art. 4, comma 1, lett. f) e g), artt. 13, 28, 29 e 161, – per avere il Tribunale erroneamente attribuito alla ricorrente la qualifica di titolare del trattamento dei dati personali prevista dal Codice della privacy, con conseguente irrogazione alla stessa della sanzione amministrativa per cui è causa.

La ricorrente sostiene di essere stata ritenuta erroneamente titolare del trattamento D.Lgs. n. 196 del 2003, ex art. 4, comma 1, lett. f) e art. 28, mentre tale posizione avrebbe dovuto essere riconosciuta in capo a Vodafone Omnitel NV, gestore di telefonia.

In proposito, illustra l’accordo commerciale stipulato con la società Wanted Electronics SRL – Master Dealer di Vodafone – che la obbligava ad attenersi alle specifiche istruzioni, riportate all’Allegato 2 del contratto, denominato “Privacy e trattamento dei clienti Vodafone”, che prevedeva l’acquisizione dei dati anagrafici dei clienti Vodafone sulla base della procedura ivi prevista, la loro informativa in merito a finalità e modalità del trattamento dei dati, nonché la raccolta del consenso scritto mediante la modulistica Vodafone, precisando che il trattamento dei dati dei clienti Vodafone poteva avvenire anche mediante il portale Vodafone al quale era consentito l’accesso di Iperal. Ne deduce che, essendo tenuta ad eseguire le decisioni assunte da Vodafone in tema di trattamento dei dati, in qualità di ausiliario, la sua posizione era quella di “responsabile del trattamento” D.Lgs. n. 196 del 2003, ex art. 4, comma 1, lett. g), e art. 29, privo di autonomia decisionale.

Ritiene, per tali ragioni, che non poteva esserle attribuita la qualifica di “titolare del trattamento” – come invece ritenuto dal Garante -, né irrogata la sanzione amministrativa D.Lgs. n. 196 del 2003, ex art. 161, prevista per la violazione dell’art. 13, del D.Lgs. cit., anche alla luce del provvedimento del garante del 6/2/2006, il cui contenuto sarebbe stato disatteso dal Tribunale.

La ricorrente rivendica di avere rivestito nella vicenda in esame la mera posizione di “responsabile”, proprio invocando tali disposizioni e l’accordo sottoscritto con il Master Dealer di Vodafone, al quale era vincolata e sostiene di essersi attenuta, e denega ogni personale responsabilità.

Assume di avere rispettato la finalità commerciale del trattamento (funzionale alla vendita di servizi telefonici) – a differenza di quanto affermato dal Tribunale -; prospetta che, anche ove ravvisata la violazione dalla modalità del trattamento (per mancata informazione degli interessati), ciò non avrebbe potuto condurre al mutamento della propria qualità di “responsabile” del trattamento, ma avrebbe potuto assumere rilievo solo sul piano dell’inadempimento contrattuale nei confronti di Vodafone.

A sostegno valorizza gli interventi del Garante registrati in materia, segnatamente il provvedimento generale in data 16 febbraio 2006 “Servizi telefonici non richiesti”, il provvedimento del 29 aprile 2009 “Servizi postali: Poste Italiane resta titolare del trattamento anche in caso di appalto” e il provvedimento n. 230 del 15 giugno 2011 “Titolarità del trattamento di dati personali in capo ai soggetti che si avvalgono di agenti per attività promozionali “, in parte utilizzati dallo stesso Tribunale per giungere alle opposte conclusioni.

2.2. Con il secondo motivo si denuncia l’omesso esame di un fatto decisivo per il giudizio, oggetto di discussione tra le parti, per avere il Tribunale omesso di considerare, nella propria decisione, i principi contenuti nel provvedimento del Garante n. 230 del 15 giugno 2011, prodotto in primo grado all’udienza del 19/1/2016, nonché le relative deduzioni svolte a riguardo nel verbale della relativa udienza all’esito della discussione tra le parti.

Con la memoria ex art. 380 bis1 c.p.c., la ricorrente ha inammissibilmente ampliato il secondo motivo di ricorso, prospettandolo anche l’omessa considerazione da parte del Tribunale del fatto che l’attivazione delle schede telefoniche contestate, nella specie, non era riconducibile ad un’attività autonoma di Iperal, essendo piuttosto frutto di un’attività illecita.

2.3. I due motivi, da trattarsi congiuntamente perché strettamente avvinti, sono in parte infondati ed in parte inammissibili.

2.4.1. Innanzitutto, è necessario premettere che l’accertamento in fatto compiuto dal Tribunale in ordine all’avvenuta intestazione di schede telefoniche Vodafone a soggetti ignari, sia del trattamento dei loro dati personali a tal fine, che della conseguente intestazione delle schede in violazione del dovere di informazione degli interessati, ed alla riconducibilità al Iperal di tale specifica attività, perché attuata mediante l’utilizzo delle credenziali riservate al suo uso esclusivo (fol. 5 della sent. imp.) non risulta tempestivamente e ritualmente contestato e che tale accertamento non è utilmente inciso dalla seconda censura proposta.

2.4.2. Va osservato, infatti che questo mezzo, laddove prospetta un vizio motivazionale, risulta inammissibile, nella sua originaria formulazione, perché non risponde al modello legale definito dall’art. 360 c.p.c., comma 1, n. 5, nell’attuale testo modificato dal D.Lgs. n. 40 del 2006, art. 2, che riguarda un vizio specifico denunciabile per cassazione, relativo all’omesso esame di un fatto controverso e decisivo per il giudizio, da intendersi riferito a un preciso accadimento o una precisa circostanza in senso storico-naturalistico, come tale non ricomprendente questioni o argomentazioni o deduzioni difensive – come quelle riportate a verbale – che irritualmente estendano il paradigma normativo (Cass. Sez. U. nn. 8053/2014, 8054/2014; Cass. n. 22397 del 06/09/2019).

2.4.3. Il motivo risulta inammissibile anche nella formulazione integrata con la memoria, perché l’eventuale vizio del ricorso per cassazione non può essere sanato da integrazioni, aggiunte o chiarimenti contenuti nella memoria di cui all’art. 380 bis1 c.p.c., la cui funzione – al pari della memoria prevista dall’art. 378 c.p.c., e art. 380 bis c.p.c., comma 2, sussistendo identità di ratio – è di illustrare e chiarire le ragioni giustificatrici dei motivi già debitamente enunciati nel ricorso e non già di integrarli (Cass. n. 17603 del 23/08/2011; Cass. n. 30760 del 28/11/2018; Cass. n. 17893 del 27/08/2020).

2.5.1. Le censure complessivamente svolte per violazione di legge sono, invece, infondate, perché sono svolte sulla scorta di una non condivisibile lettura formale e atomistica delle disposizioni in esame e prescindono anche dall’accertamento di fatto – non smentito compiuto dal Tribunale.

2.5.2. La questione verte sulla correttezza o meno della qualificazione della Iperal come “titolare” del trattamento dati, quale presupposto per l’irrogazione della sanzione per le violazioni emerse, connesse alla indebita attivazione di contratti, schede o servizi telefonici non richiesti dagli interessati, rispetto alla qualità che assume come propria, di “responsabile” del trattamento.

2.5.3. Non è in discussione che le informazioni di cui si discute le generalità e gli altri dati riferiti agli abbonati e ai titolari di schede prepagate (ivi compreso il loro numero di telefono), in quanto riferiti a soggetti identificati o identificabili – devono considerarsi “dati personali”, rientrando in tale nozione “qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”, ai sensi del D.Lgs. n. 196 del 2003, art. 4, lett. b), e che siano come tali assoggettate alla disciplina dettata dal menzionato D.Lgs..

2.5.4. Sul piano normativo va rammentato che, alla stregua delle previsioni contenute nel D.Lgs. n. 196 del 2003, i dati personali oggetto del trattamento debbono essere: a) trattati in modo lecito e secondo correttezza; b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi; c) esatti e, se necessario, aggiornati; d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati; e) conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati (Cass. n. 1593 del 23/1/2013, in motivazione).

2.5.5. La liceità del trattamento, inoltre, trova fondamento pure nella finalità del medesimo, quest’ultima costituendo un vero e proprio limite intrinseco del trattamento lecito dei dati personali, che fonda l’attribuzione all’interessato del potere di relativo controllo (tanto con riferimento alle finalità originarie che ai successivi impieghi), con facoltà di orientarne la selezione, la conservazione e l’utilizzazione (cfr. Cass. n. 4475 del 19/02/2021; Cass. n. 16133 del 15/7/2014).

2.5.6. Quanto al “titolare” del trattamento di dati personali, ciò che lo contraddistingue è il potere decisionale, quale soggetto “cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità e agli strumenti utilizzati, ivi compreso il profilo della sicurezza”, come si evince dal D.Lgs. n. 196 del 2003, art. 4, lett. f).

Il “titolare” può designare un preposto per lo svolgimento delle attività di trattamento, definito “responsabile”, da individuare tra i soggetti che garantiscano il pieno rispetto delle disposizioni vigenti, al quale deve affidare compiti analiticamente specificati per iscritto, ed il “responsabile” deve effettuare il trattamento attenendosi alle istruzioni impartite dal titolare, sulla cui osservanza il “titolare” deve vigilare (art. 4, lett. g), e art. 29 D.Lgs. cit. (nel testo vigente anteriormente alle modifiche introdotte dalla L. 20 novembre 2017, n. 167, art. 28).

2.5.7. Osserva la Corte che, alla luce della lettura coordinata delle disposizioni appena richiamate, è possibile affermare che il preposto assume e mantiene la posizione di “responsabile” del trattamento, non solo in ragione del conferimento dell’incarico, ma anche, e necessariamente, dell’espletamento dell’incarico secondo le istruzioni impartitegli dal “titolare” nell’esercizio del suo potere decisionale ed entro i limiti e con le modalità da questi dettate per l’esecuzione del trattamento dei dati.

Ciò perché l’accordo intercorrente tra il “titolare” ed il “responsabile” è legislativamente previsto e non è destinato solo a regolare i rapporti inter partes, con valenza meramente interna, sotto il profilo dell’eventuale inadempimento contrattuale – come erroneamente sostiene la ricorrente -, perché la disciplina ivi dettata dal “titolare”, in merito alle finalità e alle modalità del trattamento, assurge ad elemento necessario per la qualificazione di “responsabile” nel caso concreto.

Ne consegue che può far valere la qualità di “responsabile del trattamento” solo il soggetto che sia stato preposto al trattamento dal “titolare” e che si sia attenuto alle istruzioni da questi impartitegli in esplicazione del suo potere decisionale; ne consegue che ove ciò non avvenga, il “responsabile” potrà essere riconosciuto come “titolare” in concreto del trattamento, in ragione dell’autonomia decisionale e gestionale manifestata anche disattendendo le disposizioni del “titolare”.

Le modifiche apportate all’art. 29 (introduzione del comma 4 bis e modifica comma 5) dalla L. n. 167 del 2017, art. 28, anche se non applicabili al caso in esame, confermano tale approdo, in quanto meglio esplicitano a cosa siano distintamente tenuti i “titolari” e i “responsabili” stabilendo “I titolari stipulano con i predetti responsabili atti giuridici in forma scritta, che specificano la finalità perseguita, la tipologia dei dati, la durata del trattamento, gli obblighi e i diritti del responsabile del trattamento e le modalità di trattamento….Il responsabile effettua il trattamento attenendosi alle condizioni stabilite ai sensi del comma 4 bis e alle istruzioni impartite dal titolare, il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2, delle proprie istruzioni e di quanto stabilito negli atti di cui al comma 4 bis.”.

2.5.8. Si deve pertanto affermare che:

“In tema di protezione dei dati personali, affinché ricorra il fatto del responsabile del trattamento, ai sensi dell’art. 4, lett. g), e del D.Lgs. n. 196 del 2003, art. 29, sia nel testo applicabile ratione temporis, anteriore alle modifiche apportate dalla L. n. 167 del 2017, che in quello modificato, in caso di preposizione di un soggetto al trattamento dei dati su incarico del titolare, è necessario che l’effettivo trattamento dei dati da parte del preposto si svolga nell’osservanza delle istruzioni impartite dal titolare, con la conseguenza che, ove non vi sia tale osservanza, il responsabile potrà essere riconosciuto come effettivo titolare, responsabile in concreto del trattamento, in ragione dell’autonomia decisionale e gestionale manifestata nell’aver disatteso le disposizioni impartite dal titolare”.

2.5.9. In linea con tale ermeneusi si pone il provvedimento del Garante del 16 febbraio 2006, laddove puntualizza che “Agenti e rivenditori rivestono la qualità di titolari autonomi del trattamento dei dati utilizzati ai fini dell’attivazione dei servizi quando, in base alle modalità della propria attività, esercitano un potere decisionale reale e del tutto autonomo sulle modalità e sulle finalità del trattamento effettuato nel proprio ambito (cfr. art. 4, comma 1, lett. f) del Codice). In tal caso, essi devono adempiere autonomamente agli obblighi previsti dal Codice, con particolare riferimento a quelli, sopra specificati, di informativa, di raccolta del consenso eventualmente necessario e dell’adozione di idonee misure di sicurezza. Gli operatori non possono trascurare comunque l’esigenza di assicurare adeguate verifiche su ogni categoria di figura esterna che, anche in qualità di titolare autonomo del trattamento, possa svolgere un ruolo nell’indebita attivazione di servizi.”, così valorizzando il concreto atteggiarsi dell’esercizio del potere decisionale autonomo dei soggetti coinvolti nel trattamento quale elemento di discrimine. Questa considerazione, che attiene alla deriva patologica della relazione tra preponente e preposto, non è affatto smentita – come suggerisce la ricorrente – dal provvedimento del 15 giugno 2011 che analizza, invece, il rapporto tra “titolari” e “responsabili” del trattamento dei dati nel suo sviluppo fisiologico.

Nessun rilevo può, invece, ascriversi al provvedimento del Garante del 2009, che ha riconosciuto la qualità di “titolare del trattamento” solo in capo a Poste Italiane SPA, in quanto la decisione è stata adottata argomentando sulla peculiarità di questa società, unica concessionaria del servizio postale universale, rispetto alle società appaltatrici operanti nel suo interesse e non è assimilabile sotto alcun aspetto al caso in esame.

2.6. La decisione impugnata rettamente ha respinto l’opposizione, avendo ravvisato l’esplicazione di un autonomo potere decisionale di Iperal nell’inosservanza delle disposizioni concernenti l’acquisizione del consenso informato al trattamento dei dati da parte degli ignari intestatari delle schede telefoniche, sufficiente a confermarne la qualità di “titolare” del trattamento in concreto.

3. In conclusione, il ricorso va rigettato.

Le spese seguono la soccombenza nella misura liquidata in dispositivo.

Va dato atto della sussistenza dei presupposti processuali per il versamento, da parte della ricorrente, ai sensi del D.P.R. 30 maggio 2002, n. 115, art. 13, comma 1 quater, nel testo introdotto dalla L. 24 dicembre 2012, n. 228, art. 1, comma 17, di un ulteriore importo a titolo di contributo unificato, in misura pari a quello, ove dovuto, per il ricorso, a norma dello stesso art. 13, comma 1 bis, (Cass. Sez. U. n. 23535 del 20/9/2019).

PQM

– Rigetta il ricorso;

– Condanna la ricorrente alla rifusione delle spese processuali, che liquida in Euro 3.000,00, oltre spese prenotate a debito;

– Dà atto, ai sensi del D.P.R. 30 maggio 2002, n. 115, art. 13, comma 1 quater, della sussistenza dei presupposti processualì per il versamento, da parte della ricorrente, dell’ulteriore importo a titolo di contributo unificato pari a quello, ove dovuto, per il ricorso, a norma dello stesso art. 13, comma 1 bis.

Così deciso in Roma, il 24 marzo 2021.

Depositato in Cancelleria il 23 luglio 2021