Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

GUIDA ALLA NORMATIVA

Comunicazione di dati personali ad un terzo per l’esercizio di un diritto in sede giudiziaria: guida normativa

La comunicazione di dati personali di una persona fisica cliente del titolare del trattamento nei cui confronti voglia esercitare un’azione giudiziaria è qualificabile come un legittimo interesse. Ciò non toglie che bisogna comunque valutare e bilanciare i diritti in gioco e i rischi del caso concreto. Ecco una guida normativa ragionata

07 Nov 2019
P
Rosario Palumbo

Giurista d'impresa, Data protection specialist


La semplice comunicazione di dati personali ad un terzo mediante trasmissione costituisce un trattamento di dati personali. Ciò è vero anche quando la comunicazione di dati personali ad un terzo avviene per l’esercizio di un diritto in sede giudiziaria.

Tale affermazione, apparentemente lapalissiana, è utile a comprendere la delicatezza e la necessità di un “aggancio giuridico” per un simile trattamento da parte delle aziende private[1], avuto riguardo ai rischi per i diritti e le libertà degli interessati, nell’ipotesi di una illecita comunicazione di dati personali dei propri clienti a terzi.

Infatti, come purtroppo riportato recentemente dalla cronaca[2], la mera comunicazione (illecita) di informazioni comuni (come l’ubicazione, l’utenza telefonica), la cui comunicazione, conoscenza e ancor prima la conoscibilità da parte dei terzi a prima vista potrebbe sembrare priva di rischi per i cittadini, in realtà potrebbe comportare un rischio particolarmente elevato per l’interessato/cliente e causa, come accaduto, di indicibili sofferenze psicologiche e insopportabili compressioni delle libertà fondamentali oltre a rivelarsi come un boomerang dagli effetti molti negativi (anche d’immagine) per l’azienda che illecitamente ha comunicato dati personali dei propri clienti a terzi.

Occorre un rigoroso rispetto della normativa sovranazionale e nazionale nella gestione di tali istanze ed un diverso approccio culturale.

La comunicazione (illecita) di dati personali a terzi, infatti, il più delle volte, è qualificabile, per così dire, come “un’insostenibile leggerezza dell’essere” perché dettata da noncuranza, negligenza se non da sciatteria nell’effettuare il suddetto trattamento.

Ma allo stesso modo le aziende non possono rigettare qualsiasi richiesta di dati personali che provenga da un terzo e che riguardi un proprio cliente: occorre valutare, bilanciare i diritti in gioco ed i rischi del caso concreto.

Detto in altri termini: scelta di un DPO (se necessario) competente in materia e non di facciata che controlli, sorvegli e assista il titolare del trattamento e, nel contempo, è necessario garantire un’effettiva formazione per i dipendenti nonché un coinvolgimento dell’intera struttura aziendale di vertice.

Comunicazione di dati personali ad un terzo per l’esercizio di un diritto in sede giudiziaria: le norme

Nell’ipotesi in cui la richiesta di comunicazione di dati personali di un terzo sia diretta all’esercizio di un diritto costituzionalmente rilevante come quello di agire in giudizio per la tutela dei propri diritti in sede civile, questo non esime l’azienda quale soggetto privato in qualità di titolare del trattamento dall’effettuare quelle attività di bilanciamento e valutazione dei rischi che gli vengono direttamente attribuiti, come obblighi inderogabili, dal GDPR 679/2016.

Allora, è necessario, in via preliminare, caratterizzare in termini giuridici la richiesta di un terzo di ottenere dei dati personali comuni di una persona fisica cliente di un’azienda al fine di esercitare un proprio diritto in giudizio.

Uno strumento utile in tal senso è rappresentato dal WP29 “Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC” ove si elencano i casi in cui potrebbe configurarsi un legittimo interesse:

  1. esercizio del diritto alla libertà di espressione e d’informazione, anche nei mezzi di comunicazione e di espressione artistica;
  2. commercializzazione diretta tradizionale e altre forme di commercializzazione o pubblicità;
  3. messaggi indesiderati non commerciali, anche a fini di campagne politiche o di raccolta fondi per scopi benefici;
  4. esercizio di un diritto in via giudiziale, compreso il recupero del credito tramite procedure extragiudiziali;
  5. prevenzione di frodi, uso improprio dei servizi o riciclaggio di denaro;
  6. controllo del personale a fini di sicurezza o gestione;
  7. procedure per la denuncia delle irregolarità;
  8. sicurezza fisica, sicurezza informatica e sicurezza della rete;
  9. trattamento di dati a scopi statistici o di ricerca storica o scientifica;
  10. trattamento a scopi di ricerca (compresa la ricerca a fini commerciali.

Pertanto, l’esercizio di un diritto ovvero di un interesse legittimo in giudizio da parte del terzo nei confronti dell’interessato è qualificabile come un legittimo interesse. Si consideri inoltre come, nel vigore della previgente disciplina, la Corte di Giustizia UE[3] abbia già riconosciuto il perseguimento della trasparenza, la tutela dei beni, della salute e della vita come un legittimo interesse.

Ebbene, il legislatore europeo considera tale ipotesi quasi in via residuale, laddove considera lecito il trattamento di dati personali “per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore”.

Pertanto, si considera un trattamento lecito anche per il perseguimento di un interesse legittimo di un terzo e non solo del titolare del trattamento.

Si consideri come lo stesso legislatore europeo (GDPR 679/16) considera lecito il trattamento di dati personali “particolari” se “il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria”.

Conseguentemente, a fortiori, non può ritenersi, di per sé, illecita la comunicazione di dati personali appartenenti alla categoria dei dati personali comuni per l’esercizio di un diritto in sede giudiziaria da parte del terzo.

Purtuttavia, oltre ai principi generali di cui tratteremo nel prosieguo, si forniscono solo due parametri, due casi espliciti utili a valutare l’eventuale richiesta ricevuta dal terzo, oltre alla condizione fondamentale di non prevalenza sui diritti e le libertà dell’interessato.

Il primo riguarda le “ragionevoli aspettative nutrite dall’interessato in base alla sua relazione con il titolare del trattamento”. Il secondo, invece, riguarda “all’eventualità che l’interessato, al momento e nell’ambito della raccolta dei dati personali, possa ragionevolmente attendersi che abbia luogo un trattamento a tal fine”.

Siamo di fronte a due presupposti alquanto fumosi, dai contorni incerti, che pongono un labile confine tra un trattamento lecito o illecito, tra la conformità e la violazione.

L’eventuale comunicazione deve, in ogni caso, rispettare i principi fondamentali in materia di protezione dei dati personali quali la necessità e la minimizzazione che nel caso concreto delineato si declinano nei seguenti termini: i dati personali richiesti devono essere effettivamente necessari al terzo per azionare quel diritto in concreto in giudizio, non sono altrimenti ottenibili con altri mezzi (ad esempio: dati notori, dati ottenibili mediante esercizio del diritto di accesso alla P.A.[4]) e non sovrabbondanti nel senso che devono comunicarsi solo quei dati che sono pertinenti e utili nel caso concreto.

È compito del titolare del trattamento, con il controllo del DPO, procedere ad una siffatta valutazione con gli strumenti offerti dallo stesso Regolamento europeo: analisi dei rischi, consultazione del DPO, valutazione d’impatto e formazione degli autorizzati.

In particolare, la ricerca sulla liceità di un’eventuale comunicazione deve essere indirizzata su una base giuridica idonea offerta dal diritto nazionale, così come rilevato dalla giurisprudenza europea in una recente decisione di seguito esposta.

La decisione della Corte di Giustizia UE

Al fine di rispondere compiutamente al quesito relativo alla legittimità di un’eventuale comunicazione da parte di un’azienda di dati personali riferibili ad una persona fisica cliente ad un terzo, appare utile riportare una decisione della Corte UE (C-13/16) basata sulla previgente disciplina. Di seguito, il fatto da cui è scaturita la decisione dell’organo giurisdizionale europeo:

Nel dicembre 2012 si è verificato un sinistro stradale a Riga. Un tassista aveva parcheggiato il suo veicolo al bordo della strada. Mentre un filobus della Rīgas satiksme passava accanto al taxi, il passeggero che occupava il sedile posteriore del medesimo ha aperto la portiera e questa ha urtato il filobus, danneggiandolo. Tale incidente ha dato luogo all’avvio del procedimento per infrazione amministrativa e alla corrispondente verbalizzazione. Inizialmente, ritenendo che il menzionato incidente fosse imputabile al tassista, la Rīgas satiksme ha chiesto un risarcimento alla compagnia presso la quale era assicurato per la responsabilità civile il proprietario o utilizzatore legittimo del taxi in questione. Tuttavia, detta compagnia assicurativa ha comunicato alla Rīgas satiksme che non avrebbe pagato alcun indennizzo, in quanto l’incidente era stato provocato dal passeggero e non dal conducente del taxi. Essa ha precisato che la Rīgas satiksme poteva agire in sede civile nei confronti di detto passeggero.

La Rīgas satiksme si è quindi rivolta alla polizia nazionale, alla quale ha chiesto di fornirle informazioni sulla persona nei cui confronti era stata elevata la sanzione amministrativa per il sinistro, di trasmetterle copia delle dichiarazioni del conducente del taxi e del passeggero sulle circostanze dell’incidente e di comunicarle nome, cognome, numero del documento di identità e domicilio del passeggero del taxi.

La Rīgas satiksme ha precisato alla polizia nazionale che le informazioni richieste sarebbero state utilizzate esclusivamente ai fini dell’azione civile.

La polizia nazionale ha accolto solo parzialmente la domanda della Rīgas satiksme, ossia fornendole nome e cognome del passeggero, ma rifiutando di comunicarle il numero del documento di identità e il domicilio di tale persona. Non sono nemmeno state trasmesse le copie delle dichiarazioni delle persone coinvolte nell’incidente.

La decisione della polizia nazionale si basa sulla considerazione che solo le parti in un procedimento amministrativo sanzionatorio possono ricevere le relative informazioni. Orbene, la Rīgas satiksme non è una parte nel procedimento in questione. Infatti, in forza del codice lettone delle infrazioni amministrative, la qualità di parte lesa da un illecito amministrativo è riconosciuta, su esplicita domanda dell’interessato, dall’istituzione o dal funzionario autorizzato a esaminare il caso. Nel caso di specie, la Rīgas satiksme non ha esercitato tale diritto. La Rīgas satiksme ha proposto un ricorso dinanzi all’administratīvā rajona tiesa (Tribunale amministrativo regionale di primo grado, Lettonia) avverso la decisione della polizia nazionale, nella parte in cui rifiutava di comunicare il numero del documento di identità e il domicilio del passeggero coinvolto nell’incidente.

Secondo la Corte UE “l’articolo 7, lettera f), della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, deve essere interpretato nel senso che non impone l’obbligo di comunicare dati personali a un terzo al fine di consentirgli di proporre un ricorso per risarcimento dinanzi a un giudice civile per un danno causato dalla persona interessata dalla tutela di tali dati. Tuttavia, l’articolo 7, lettera f), di tale direttiva non osta a una comunicazione siffatta che sia effettuata sulla base del diritto nazionale”.

Pertanto, la Corte di Giustizia considera l’esercizio di un diritto di un terzo come un legittimo interesse tutelato dalla normativa previgente e, conseguentemente, un trattamento basato su quest’ultimo come lecito.

E tale rilevanza, tuttavia, non si traduce però in alcun obbligo ma solo in una possibilità, una facoltà rimessa alla discrezionalità degli ordinamenti giuridici nazionali ed ai titolari del trattamento.

Tale percorso argomentativo, ancorché basato sulla previgente normativa, conserva comunque la sua validità considerando che non v’è stato alcun mutamento terminologico e contenutistico di rilievo in ordine a tale problematica con l’entrata in vigore del GDPR 679/16.

L’ipotesi di richiesta di comunicazione di dati personali di un soggetto deceduto

Quid iuris se il terzo richiede dati personali di una persona deceduta che in passato era cliente dell’azienda privata destinataria della richiesta? Ebbene, in primo luogo, l’azienda, in qualità di titolare del trattamento, deve interrogarsi sulla corretta gestione del ciclo di vita del dato, cioè sul periodo temporale di conservazione dei dati personali del “de cuius”.

Dopodiché possiamo affermare che la risposta a tale interrogativo non può cercarsi nel GDPR, in quanto tale normativa, espressamente, non si applica ai dati personali delle persone decedute e demanda la relativa regolazione alla normativa degli Stati nazionali.

Da una prospettiva storica possiamo esporre quanto segue. La L. 675/1996, genericamente, consentiva l’accesso ai dati personali delle persone decedute da “chiunque vi abbia interesse”.

Il Codice Privacy 196/03, nella versione anteriore alle modiche compiute dal D.lgs. n. 101 del 2018, prevedeva che “i diritti di cui all’articolo 7 riferiti a dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato o per ragioni familiari meritevoli di protezione”.

E nella prassi del Garante per la protezione dei dati personali, i casi affrontati erano spesso attinenti alla materia successoria. Ad esempio, appare utile riportare la seguente massima del Garante del 22 settembre 2003 (doc. web n. 1053716), ove si afferma che: “potendo il diritto di accesso ai dati personali di una persona deceduta essere esercitato da chiunque vi abbia interesse, è legittima la richiesta del coniuge (anche in qualità di esercente la potestà sul figlio minore) di accedere ai dati personali del defunto marito detenuti da un istituto di credito e, segnatamente, a quelli inerenti ad un rapporto di conto corrente intestato al “de cuius” e da cui sarebbero state prelevate alcune somme di denaro necessarie per stipulare alcune polizze assicurative. Ne consegue che l’istituto di credito/titolare del trattamento deve consentire alla ricorrente l´accesso a tutte le informazioni personali riferibili al defunto marito e che riguardino il conto corrente ad esso intestato, ad eccezione degli eventuali dati di terzi, tra cui, ad esempio, gli estremi identificativi di terzi beneficiari di contratti stipulati dal defunto”.

Ancora, si è ritenuto che[5][…] il figlio del defunto, in relazione ai connessi profili successori, ha quindi titolo a proporre ad un istituto di credito, con cui il genitore aveva intrattenuto vari rapporti, un´istanza di accesso ai dati personali (operazioni bancarie, movimenti di denaro, ecc.) del de cuius, a prescindere dalle prerogative riconosciute in altra sede da norme ulteriori, quali quelle contenute nel T. U. in materia bancaria (art. 119, comma 4, del d. lg. n. 385/1993, come sostituito dall´art. 24 del d. lg. n. 342/1999). Né l’esercizio del diritto di accesso può essere subordinato all´esibizione di particolari documenti (relativi ai vari eredi e all´esistenza e allo stato delle disposizioni testamentarie), o essere condizionato, per quanto attiene alle modalità di esercizio, a quanto statuito, ad altri fini, dal predetto testo unico”.

Il Legislatore nazionale, con le modifiche al d.lgs. 196/03 ad opera del d. lgs. 101/18, all’art. 2 terdecies prevede la possibilità che i diritti dell’interessato possono essere esercitati da chi ha un proprio interesse, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni meritevoli di protezione. I diritti di cui si discute sono:

  1. diritto di accesso;
  2. diritto di rettifica;
  3. diritto alla cancellazione;
  4. diritto di limitazione di trattamento;
  5. diritto alla portabilità dei dati;
  6. diritto di opposizione.

Per quanto attiene a quanto affrontato, si prevede, pertanto, la possibilità di chi agisce per un “interesse proprio” di accedere ai dati personali di una persona deceduta, non indicando, tuttavia, criteri specifici per il Titolare del Trattamento, la cui decisione non può prescindere dall’analisi del caso concreto.

Per quanto attiene, invece, al diverso profilo dei servizi della società dell’informazione si prevede che l’eventuale divieto dell’interessato non può produrre effetti pregiudizievoli per l’esercizio da parte dei terzi di difendere in giudizio i propri interessi.

Conclusioni

Alla luce di quanto suesposto, possiamo rispondere all’interrogativo circa la possibilità da parte di un’azienda, in qualità di titolare del trattamento, di comunicare i dati personali comuni di un proprio cliente a fronte di una richiesta in tal senso da parte di un terzo nei cui confronti voglia agire in sede giudiziaria.

Ebbene, possiamo concludere che:

  1. l’azione del terzo che richiede la comunicazione di dati personali di una persona fisica cliente del titolare del trattamento nei cui confronti voglia esercitare un’azione giudiziaria è qualificabile come un legittimo interesse;
  2. il GDPR non pone nessun obbligo, ma solo una facoltà in capo ai titolari del trattamento di comunicare tali dati personali richiesti dal terzo per l’esercizio di un diritto in sede giudiziaria;
  3. il titolare del trattamento deve bilanciare, nel caso concreto, il legittimo interesse del terzo con il diritto dell’interessato protetto in primis dall’art. 8 Carta dei diritti fondamentali dell’Unione Europea, anche considerando tra l’altro la natura dei dati richiesti, le ragionevoli aspettative dell’interessato e del suo status (ad esempio se minorenne);
  4. a seguito del giudizio di bilanciamento degli interessi contrapposti del terzo e dell’interessato, decida di comunicare i dati personali richiesti occorre un rigoroso rispetto dei principi di necessità e minimizzazione in termini di pertinenza e adeguatezza dei dati personali comunicati rispetto al diritto che il terzo vuole far valere in giudizio.

In termini concreti, pertanto l’azienda che riceva una richiesta di comunicazione di dati personali di un proprio cliente da un terzo può, alternativamente:

  1. negare quanto richiesto dal terzo;
  2. decidere di ottemperare alla richiesta ricevuta solo a seguito di provvedimento giurisdizionale quale, in ambito nazionale, l’ordine di esibizione ex art. 210 cpc;
  3. previa analisi della normativa nazionale di settore rilevante nel caso concreto, procedere ad un complesso bilanciamento (test di comparazione) del legittimo interesse perseguito dal terzo con l’impatto sui diritti dell’interessato a seguito del quale motivare e lasciare traccia della propria decisione tanto sul piano interno (es. registro delle attività di trattamento) quanto su quello esterno (ad esempio interessato).

Tale ricostruzione posta in termini di alternatività potrebbe apparire ad un osservatore esperto quasi come parziale, manichea. E l’obiezione avrebbe colto nel segno. Spostandoci infatti da una visione “aziendalista” a quella del legittimo interesse del terzo infatti è intuibile come la richiesta di un ordine di esibizione ex art. 210 cpc ovvero di un altro atto emanato dall’autorità giudiziaria (es. ex art. 118 cpc) quale presupposto di “liceità” per comunicare quanto richiesto dal terzo, sia quella prescelta dal titolare del trattamento perché più agevole e priva di rischi ma che potrebbe diventare il “refugium ignorantiae” da parte delle aziende.

Frustrando – o negando del tutto – in tal modo, il legittimo interesse del terzo perché limitato esclusivamente all’ambito della giurisdizione contenziosa, la cui valutazione in ordine alla rilevanza probatoria è rimessa esclusivamente alla discrezionalità dell’organo giudicante.

Allora ben si comprende l’auspicio avanzato da attenta dottrina sia di nuove linee guida dell’EDPB rispetto a quelle già emanate (cfr. WP 29, Opinion 6/2014) che di un intervento dell’Autorità Garante per la protezione dei dati personali sulla scorta ad esempio del “Vademecum sul recupero crediti”, volto a tutelare l’effettività del legittimo interesse del terzo, da un lato delimitando i confini del potere interpretativo del titolare del trattamento e dall’altro fornire chiari, precisi ed agevoli strumenti volti ad una corretta gestione delle richieste prevenute in tal senso da un terzo anche nell’ottica di prevedibilità in concreto della sanzione eventualmente irrogata al Titolare del trattamento per una errata conduzione del test di ponderazione.

Ricordando, in conclusione, quanto efficacemente affermato dall’Avvocato Generale nella causa sopra riportata affrontata dalla Corte di Giustizia UE:

Osservando la serie di eventi di cui trattasi, uno spettatore profano potrebbe porsi un’innocente domanda: la presentazione di una richiesta di un singolo volta ad ottenere l’identità di un soggetto che gli ha causato un danno patrimoniale e nei cui confronti egli intende agire per danni dovrebbe davvero costituire un caso in cui il destinatario della richiesta (ndr) è tenuto a compiere, a più livelli, una ponderazione degli interessi e della proporzionalità, cui faccia seguito una lunga controversia e un parere dell’autorità nazionale per la protezione dei dati? […] Esso genera, e non solo in capo a un osservatore profano, un certo disagio intellettuale quanto al ragionevole utilizzo e alla funzione delle norme sulla protezione dei dati”.

NOTE

  1. Il tema nel settore pubblico è disciplinato dalla L. 241/1990 e dagli artt. 59 e 60 del Codice privacy 196/03, così come modificato dal d.lgs. 101/18
  2. Articolo consultato in data 19/09/2019
  3.  Sentenza del 9 novembre 2010, Volker e Markus Schecke ed Eifert (C‑92/09 e C‑93/09); Sentenza dell’11 dicembre 2014, Ryneš (C 212/13)
  4. Anche da parte del difensore del terzo ex art. 391 quater cpp
  5. Garante 8 ottobre 2003 (doc. web n. 1053855)

@RIPRODUZIONE RISERVATA

Articolo 1 di 5