Minore casualmente ripreso durante l’arresto di un latitante: è lecita la diffusione della sua immagine
Ove non ricorra il caso limite della lesione del decoro, della reputazione o dell’onore della persona e si integri il collegamento con un evento svoltosi in pubblico può escludersi che operi la deroga legale al divieto di riproduzione dell’immagine allorché alla circostanza soggettiva della minore età della persona si accompagni quella, oggettiva, della non casualità della ripresa, espressamente diretta a polarizzare l’attenzione sull’identità del minore e sulla sua riconoscibilità.
(Cassazione Civile, 1 febbraio 2024, n. 2978)
Diritto all’informazione e diritto all’oblio, ci vuole un bilanciamento
La tutela dell'oblio dell'interessato in relazione ad articoli che lo riguardino e pubblicati, a suo tempo, legittimamente, nell'esercizio del diritto di cronaca e/o di critica e/o di satira, da una testata online, deve essere bilanciata con il diritto della collettività all'informazione e, ove non recessiva rispetto a quest'ultimo, è adeguatamente assicurata, innanzitutto, dalla deindicizzazione degli indirizzi URL relativi a tali articoli, quale rimedio atto ad evitare che il nome della persona sia associato dal motore di ricerca ai fatti di cui internet continua a conservare memoria, così assecondando il diritto della persona medesima a non essere trovata facilmente sulla rete.
(Cassazione Civile, 27 dicembre 2023, n. 36021)
La targa di una vettura costituisce "dato personale"
Nonostante dal dato personale della targa, consultando il Pubblico Registro Automobilistico, è possibile risalire solo al nominativo dell'intestatario del veicolo che, in astratto, potrebbe anche non esserne l'effettivo utilizzatore o, addirittura, essere una persona giuridica, non oggetto di tutela da parte del GDPR, o un soggetto diverso dall'effettivo proprietario il numero di targa dei veicoli costituisce in una percentuale statisticamente preponderante un dato personale idoneo a risalire alla persona dell'utilizzatore del parcometro, consentendone, dunque, la profilazione, onde il trattamento non può dirsi irrilevante sotto questo profilo (fattispecie in cui era stato contestato ad una società di aver trattato dati personali degli utenti, raccolti attraverso una certa tipologia di parcometri, senza essere stata previamente nominata quale sub-responsabile per il trattamento e, dunque, in assenza dei requisiti di interesse pubblico che insistono in capo al titolare effettivo del trattamento stesso).
(Cassazione Civile, ordinanza, 18 dicembre 2023, n. 35256)
Assenza di informativa privacy: il rifacimento del sito da parte di una società esterna non è una scusante per il titolare del trattamento
In tema di violazioni amministrative, per integrare l'elemento soggettivo dell'illecito è sufficiente la semplice colpa, per cui l'eventuale buona fede e l'erronea convinzione della liceità della condotta può rilevare in termini di esclusione della responsabilità amministrativa al pari di quanto avviene per la responsabilità penale in materia di contravvenzioni. Occorre dunque che esso risulti inevitabile, riconducibile ad un elemento positivo estraneo all'autore dell'infrazione ed idoneo ad ingenerare la convinzione della liceità. Inoltre, è richiesto all'autore di dimostrare di aver fatto tutto il possibile e che nessun rimprovero possa essergli mosso, solo così si può ritenere che l'errore sia stato incolpevole, non suscettibile cioè di essere impedito dall'interessato con l'ordinaria diligenza (confermata, nella specie, la sanzione per mancanza di informativa ex art. 13 cod. privacy sul trattamento dei dati personali dei visitatori del sito di una casa di cura, raccolti tramite form, giacché l'affidamento da parte del soggetto sanzionato ad una società esterna dell'incarico di rifacimento del sito non costituiva elemento positivo sufficiente per escludere la responsabilità della società).
(Cassazione Civile, 20 settembre 2023, n. 26864)
Senza preventiva autorizzazione del Senato, messaggi di posta elettronica e WhatsApp del parlamentare non possono essere acquisiti
Non spettava alla Procura della Repubblica presso il Tribunale ordinario di Firenze, in assenza della preventiva autorizzazione della Camera di appartenenza, acquisire messaggi di posta elettronica e WhatsApp di un parlamentare, o a quest’ultimo diretti, conservati nella memoria di dispositivi elettronici appartenenti a terzi ed oggetto di provvedimenti di sequestro nell’ambito di un procedimento penale nei confronti dello stesso parlamentare e di altri soggetti. Tali massaggi devono essere infatti ricondotti alla nozione di “corrispondenza”, costituzionalmente rilevante, la cui tutela non si esaurisce con la ricezione e la lettura da parte del destinatario, ma pemane fino a quando, per il decorso del tempo, essi non perdano il loro carattere di attualità ed interesse per gli interlocutori, trasformandosi in meri documenti “storici”.
(Corte Costituzionale, 27 luglio 2023, n. 170)
Illecita divulgazione di dati relativi alla residenza personale
Il principio di minimizzazione del trattamento dei dati personali fonda l'obbligo del giornalista di intervenire sull'informativa di polizia giudiziaria ricevuta e destinata alla pubblicazione per depurarla dei dati personali eccedenti lo scopo che in nessun modo avrebbero sottratto o aggiunto di significativo al contenuto informativo dell'articolo.
(Cassazione Civile, 25 luglio 2023, n. 22338)
Sul sistema di rilevazione biometrica di presenza
Per il controllo biometrico dei lavoratori occorre un consenso specifico dei lavoratori stessi (confermato l'accoglimento della domanda di un lavoratore volta a sentir dichiarare illegittimo il sistema di rilevazione biometrica, tramite impronta della mano, dell'accesso dei lavoratori da parte del datore di lavoro, atteso che il consenso indicato dall'azienda come requisito per il trattamento dei dati biometrici dei lavoratori non poteva reputarsi specifico, come richiesto dall'art. 23, comma 3, d.lgs. n. 196/2003, perché non riferito all'utilizzazione dello strumento di rilevazione biometrica).
(Cassazione Civile, Sezione Lavoro, 19 maggio 2023, n. 13873)
Violazione GDPR: il Titolare del trattamento è tenuto a risarcire il danno anche se è trascurabile
In base alla disciplina generale del Regolamento (UE) 2016/679, cd. GDPR, il titolare del trattamento dei dati personali è sempre tenuto a risarcire il danno cagionato a una persona da un trattamento non conforme al regolamento stesso, e può essere esonerato dalla responsabilità non semplicemente se si è attivato (come suo dovere) per rimuovere il dato illecitamente esposto, ma solo "se dimostra che l'evento dannoso non gli è in alcun modo imputabile". L'esclusione del principio del danno in re ipsa presuppone, in questi casi, la prova della serietà della lesione conseguente al trattamento; ciò vuol dire che può non determinare il danno la mera violazione delle prescrizioni formali in tema di trattamento del dato, mentre induce sempre al risarcimento quella violazione che concretamente offenda la portata effettiva del diritto alla riservatezza (nel caso in esame un Ente aveva erroneamente pubblicato sull’albo pretorio online i dati contabili relativi ad un pignoramento di una propria dipendente).
(Cassazione Civile, ordinanza, 12 maggio 2023, n. 13073)
La violazione del GDPR non comporta automaticamente il risarcimento
L'articolo 82, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che: la mera violazione delle disposizioni di tale regolamento non è sufficiente per conferire un diritto al risarcimento. L'articolo 82, paragrafo 1, del regolamento 2016/679 deve essere interpretato nel senso che: esso osta a una norma o una prassi nazionale che subordina il risarcimento di un danno immateriale, ai sensi di tale disposizione, alla condizione che il danno subito dall'interessato abbia raggiunto un certo grado di gravità. L'articolo 82 del regolamento 2016/679 deve essere interpretato nel senso che: ai fini della determinazione dell'importo del risarcimento dovuto in base al diritto al risarcimento sancito da tale articolo, i giudici nazionali devono applicare le norme interne di ciascuno Stato membro relative all'entità del risarcimento pecuniario, purché siano rispettati i principi di equivalenza e di effettività del diritto dell'Unione (la Corte si è così pronunciata nella controversia promossa da un cittadino austriaco diretta ad ottenere il risarcimento del danno immateriale che egli affermava di aver subito a causa del trattamento da parte di una società di dati relativi alle affinità politiche di persone residenti in Austria, pur non avendo acconsentito a tale trattamento).
(Corte di Giustizia Europea, 4 maggio 2023, n. 300)
Diritto all’oblio: il Garante Privacy e la deindicizzazione “globale”
In tema di trattamento di dati personali, la tutela spettante all'interessato consente alle autorità italiane di ordinare al gestore di un motore di ricerca di effettuare una deindicizzazione su tutte le versioni, anche extraeuropee, del suddetto motore previo bilanciamento tra il diritto della persona interessata alla tutela della sua vita privata e alla protezione dei suoi dati personali e il diritto alla libertà di informazione, da operarsi secondo gli standard di protezione dell'ordinamento italiano.
(Cassazione Civile, 24 novembre 2022, n. 34658)