TRIB
Sentenza 16 gennaio 2025
Sentenza 16 gennaio 2025
Commentari • 0
Sul provvedimento
| Citazione : | Trib. Roma, sentenza 16/01/2025, n. 759 |
|---|---|
| Giurisdizione : | Trib. Roma |
| Numero : | 759 |
| Data del deposito : | 16 gennaio 2025 |
Testo completo
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
IL TRIBUNALE ORDINARIO DI ROMA
SEZIONE DIRITTI DELLA PERSONA ED IMMIGRAZIONE CIVILE in composizione monocratica, nella persona del giudice dott.ssa Damiana Colla, all'udienza del
15.1.2025 ha pronunciato la seguente
SENTENZA nella causa civile di primo grado per controversia ex art. 152 d.lgs. n. 196/03 iscritta al n.
6786/2023 R.G. tra
, elettivamente domiciliata in Roma, Via A. Sogliano, n. 70, Parte_1 nello studio dell'Avv. G. Ametrano, che la rappresenta e difende per procura allegata al ricorso telematicamente depositato
RICORRENTE contro
elettivamente domiciliata in Palmi (RC), Via N. Pizzi, n. 55, nello studio Controparte_1 dell'Avv. M. Ceravolo, che la rappresenta e difende per procura allegata all'atto di costituzione di nuovo difensore
RESISTENTE
Ragioni di fatto e di diritto della decisione
Con ricorso depositato il 2.02.2023 la ricorrente ha convenuto in giudizio la società resistente al fine di ottenere l'accertamento della violazione da parte della medesima della normativa sulla privacy in relazione al trattamento dei propri dati personali senza consenso, nonché il conseguente risarcimento del danno patrimoniale e non patrimoniale subito, quantificato nella complessiva somma di euro 10.431,00 (di cui euro 431,00 per danno patrimoniale ed il residuo per danno non patrimoniale).
A tal fine, ha esposto di avere appreso dalla consultazione dei movimenti del proprio conto corrente cointestato coi fratelli che in data 16 dicembre 2021 era stato effettuato il pagamento di euro 431,00 con la causale “DEL FISCO/INPS/REG” e di avere verificato che il prelievo era stato attuato su richiesta dell'Agenzia delle Entrate a seguito dell'invio del modulo F24 da parte Cont del con sede in Roma, lamentando di non aver dato alcun consenso a che tale CP_1 inviasse a proprio nome il modulo F24 e sostenendo l'illegittimità del trattamento dei propri dati personali, in quanto effettuato in violazione della normativa in materia di riservatezza di cui al codice Privacy ed al GDPR. Ha dedotto che in conseguenza di tale condotta illecita aveva subito un danno patrimoniale e non patrimoniale, il primo quantificato in euro 431,00, dal momento che aveva già autonomamente e personalmente corrisposto la somma dovuta a tiolo di IMU nella precedente giornata del 14.12.2021 (così risultando un duplice pagamento a suo nome per il medesimo titolo), mentre la residua somma richiesta doveva essere ricondotta al danno non patrimoniale.
La società resistente si è costituita il 22.9.2023 chiedendo il rigetto del ricorso.
Ha chiarito che il modello F24 era stato in buona fede predisposto per la ricorrente dal fratello della medesima, , presidente dell'associazione territoriale UNSIC di Nepi, Persona_1 tramite il centro di raccolta di Nepi, quale struttura periferica della resistente, CP_1
e successivamente trasmesso – analogamente a tutti quelli elaborati dalle sedi periferiche - alla sede centrale, la quale lo aveva inoltrato all'Agenzia delle Entrate, senza che potessero essere effettuati controlli sul contenuto dei modelli ricevuti, né sui mandati rilasciati dagli utenti ai
CAF periferici. Ha quindi escluso di poter essere considerata “titolare” del trattamento dei dati della ricorrente e quindi di aver potuto violare la normativa prevista dal Codice privacy.
Ha comunque sostenuto l'intervenuto rimborso alla ricorrente della somma di cui al modello
F24 già pagato ed evidenziato l'assenza di ogni danno in capo alla controparte, con la conseguente infondatezza dell'avversa domanda risarcitoria, peraltro quantificata in maniera assolutamente eccessiva sotto il profilo quantitativo.
All'udienza del 15.1.2025 la causa, già ritenuta matura per la decisione, è stata discussa oralmente dai procuratori costituiti e decisa come da dispositivo all'esito della camera di consiglio.
***
La domanda è fondata con riferimento alla richiesta di accertamento di illecito trattamento dei dati personali della ricorrente da parte della società resistente, alla luce delle considerazioni che seguono.
Il quadro normativo di riferimento risulta dal d.lgs. n. 196/2003, per come modificato dal
DECRETO LEGISLATIVO 10 agosto 2018, n. 101, recante “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonchè alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”.
A seguito di tali modifiche normative, i principi in materia di trattamento dei dati personali risultano dal predetto regolamento, essendo state abrogate le relative norme del Codice privacy che li prevedevano. In particolare, l'art. 6 del GDPR (REGOLAMENTO (UE) 2016/679 DEL
PARLAMENTO EUROPEO E DEL CONSIGLIO), rubricato “Liceità del trattamento”, dispone che “
1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni: a) l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità”, laddove il successivo art. 7, rubricato “Condizioni per il consenso”, prevede che “
1. Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l'interessato ha prestato il proprio consenso al trattamento dei propri dati personali”. Ebbene, non risulta in alcun modo dimostrato dalla società resistente di aver ottenuto dalla ricorrente il consenso al trattamento dei suoi dati personali, prima di procedere al trattamento stesso, inviando il modello F24 a nome della
, consenso che la medesima nega di aver mai prestato (dovendosi con «consenso Pt_1 dell'interessato» intendere “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”; cfr., art. 4 GDPR, punto 11).
Né può dubitarsi circa la possibilità di ricondurre il trattamento effettuato ad un trattamento di dati personali (cfr., definizione di “dato personale” e di “trattamento” contenuta nell'articolo 4
GDPR, laddove al punto 1 il “dato personale” è definito come “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”, mentre al punto
2 il “trattamento” è definito come “qualsiasi operazione o insieme di operazioni, compiute con
o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione”).
Nemmeno può essere revocata in dubbio la qualità di “titolare” del trattamento in capo a parte resistente o, quantomeno, quella di “responsabile del trattamento”, laddove il primo, è definito, dal medesimo art. 4 citato, come “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”, ed il secondo come “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”. Sostiene, in proposito, la società resistente di non essere titolare del trattamento, di aver ricevuto il modello F24 compilato a nome della ricorrente da parte di una propria articolazione territoriale e di non avere provveduto, stante l'elevatissima mole dei modelli settimanalmente ricevuti dalla sede centrale, a verificare la correttezza dei dati in essi contenuti
(tra cui quello compilato a nome della ), né ad acquisire il consenso al trattamento dei Pt_1 datti, raccolto piuttosto dalle singole sedi periferiche unitamente al mandato.
Invero, le stesse allegazioni della società resistente consentono di ritenerla responsabile del trattamento effettuato senza consenso e dunque di un trattamento illecito di dati personali, dal momento che di tale trattamento e del danno eventualmente dal medesimo derivato non risponde solo il titolare, ma anche il responsabile, da intendersi, come sopra indicato, come colui che “tratta dati personali per conto del titolare del trattamento”.
Anche ove la resistente avesse, quindi, trattato i dati della per conto dell'articolazione Pt_1 periferica che ha elaborato il modello F24, sarebbe comunque astrattamente configurabile una sua responsabilità risarcitoria.
Non risulta, tuttavia, in alcun modo dimostrato dalla resistente – che non ha effettuato alcun deposito documentale - il passaggio dei dati personali della ricorrente dall'articolazione territoriale a quella centrale, con la conseguenza che il trattamento illecito (in quanto privo di consenso dell'interessata) deve ritenersi svolto da parte della resistente che ha inviato il modello
F24 all'Agenzia delle Entrate.
Ciò posto, dispone l'art. 82 del GDPR, sotto la rubrica “Diritto al risarcimento e responsabilità”, nei suoi primi tre commi, che “1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.
2. Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.
3. Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità,
a norma del paragrafo 2 se dimostra che l'evento dannoso non gli è in alcun modo imputabile”.
La menzionata norma stabilisce, dunque, un'inversione dell'onere probatorio, in continuità con quanto era già previsto nel Codice Privacy, poiché pone a carico del titolare e del responsabile del trattamento l'onere di dimostrare, al fine di essere esonerati da ogni responsabilità, che l'evento dannoso non è a loro imputabile e ciò potrà accadere nella misura in cui riusciranno a dimostrare, alternativamente, o che l'evento dannoso è causato da una fonte estranea alla loro sfera di controllo, oppure che hanno predisposto e messo in atto tutte le misure adeguate al fine di evitare la verificazione del danno. La ragione che giustifica l'inversione dell'onere della prova risiede nel fatto che il trattamento dei dati è un'attività pericolosa perché espone gli
“interessati” e non solo loro, ad un rischio. L'ordinamento giuridico accetta tale rischio perché
l'attività di trattamento dei dati ha una sua utilità economica/sociale, ma tale utilità deve essere compensata nel caso in cui l'interessato o altri ne vengano danneggiati.
Pertanto, proprio in un'ottica di protezione del soggetto più debole del rapporto (interessato/danneggiato) a quest'ultimo spetta solo dimostrare l'esistenza del danno, la violazione della normativa a tutela dei dati personali, il nesso causale tra questi due elementi, mentre al titolare e/o responsabile spetta dimostrare che l'evento dannoso non è in alcun modo a loro imputabile.
Deduce la ricorrente che dall'illecito (in quanto non consentito) trattamento dei suoi dati personali contenuti nel modello F24 trasmesso da parte resistente all'Agenzia delle Entrate sia derivato un danno patrimoniale e non patrimoniale, quantificato come da atto introduttivo.
Relativamente al primo, ritiene il giudicante che sussistano i presupposti per l'accoglimento della domanda;
in conseguenza, infatti, dell'illecito trattamento dei dati della il modello Pt_1
F24 è stato trasmesso ed è stato effettuato un secondo addebito per il medesimo tributo, per l'importo di euro 431,00, il quale rappresenta un danno risarcibile subito dalla ricorrente, in termini di danno emergente;
parte resistente deduce, in proposito, nella memoria di costituzione che la somma sia stata rimborsata alla ricorrente ma non ne fornisce alcuna prova. La somma è dunque dovuta a titolo di risarcimento del danno, all'attualità, oltre interessi sino al saldo.
Non merita invece accoglimento la domanda risarcitoria relativa all'asserito danno non patrimoniale.
Nel caso di illecito trattamento dei dati personali, e quindi di violazione del diritto alla riservatezza, ricorre, in astratto, una delle fattispecie tipiche previste dalla legge (a seguito dell'abrogazione dell'art. 15 d. lgs. n. 196/2003 la fonte normativa è rappresentata dal sopra citato art. 82 del GDPR) che espressamente consente il ristoro del danno non patrimoniale anche al di fuori di una ipotesi di reato (Sez. U., Sentenza n. 26972 del 11/11/2008), danno previsto dall'art. 2059 c.c. e che si identifica con il danno determinato dalla lesione di interessi inerenti la persona non connotati da rilevanza economica.
Nella concreta fattispecie in esame, tuttavia, la ricorrente ha dimostrato solo la violazione della normativa a tutela dei dati personali, ma non l'esistenza del danno non patrimoniale ed il nesso causale tra di essi. Invero, tale tipo di danno non appare nemmeno adeguatamente dedotto dall'istante e nemmeno può ritenersi esistente in re ipsa in ogni violazione della normativa a tutela dei dati personali. Ferma dunque la descritta inversione dell'onere probatorio, che pone sul titolare/responsabile l'onere di dimostrare che l'evento dannoso non è in alcun modo ad essi imputabile, non risulta che nella fattispecie la ricorrente abbia adeguatamente allegato e dimostrato l'esistenza dell'asserito danno non patrimoniale, non avendo fornito alcun elemento che possa supportare, in concreto, l'allegazione circa l'asserita verificazione di siffatta tipologia di danno. A parte l'evidente danno patrimoniale conseguito alla duplicazione del pagamento, non appare, infatti, altrettanto per il danno non patrimoniale, in difetto di allegazioni specifiche circa le conseguenze dell'illecito trattamento dei dati sulla sfera areddituale della ricorrente, della quale nulla è dato sapere.
Il ricorso va dunque accolto, nella limitata misura di cui in dispositivo. Le spese di lite devono essere compensate per metà in ragione dell'esito della lite quanto alla domanda di risarcimento del danno non patrimoniale, con liquidazione della residua metà in favore del procuratore antistatario della ricorrente (valori medi per fase di studio ed introduttiva e minimi per le altre).
P.Q.M.
Il Tribunale, in composizione monocratica, definitivamente pronunciando, così dispone: accerta la violazione da parte della resistente della normativa a tutela del trattamento dei dati personali, in particolare con riferimento al trattamento dei dati della ricorrente senza il suo consenso in occasione dell'invio all'Agenzia delle entrate del modello F24 a suo nome in data
16.12.2021; condanna la resistente, in persona del legale rappresentante, al pagamento della somma di euro
431,00 in favore della ricorrente, per i titoli di cui in motivazione, oltre interessi dalla sentenza al saldo;
compensa le spese di lite per metà e condanna la resistente, in persona del legale rappresentante, alla rifusione della residua metà delle spese in favore dell'avv. Giuseppe Ametrano, dichiaratosi antistatario, liquidata in euro 1.693,50, oltre spese generali ed accessori come per legge.
Roma, 15.1.2025.
Il Giudice
dott.ssa Damiana Colla
IN NOME DEL POPOLO ITALIANO
IL TRIBUNALE ORDINARIO DI ROMA
SEZIONE DIRITTI DELLA PERSONA ED IMMIGRAZIONE CIVILE in composizione monocratica, nella persona del giudice dott.ssa Damiana Colla, all'udienza del
15.1.2025 ha pronunciato la seguente
SENTENZA nella causa civile di primo grado per controversia ex art. 152 d.lgs. n. 196/03 iscritta al n.
6786/2023 R.G. tra
, elettivamente domiciliata in Roma, Via A. Sogliano, n. 70, Parte_1 nello studio dell'Avv. G. Ametrano, che la rappresenta e difende per procura allegata al ricorso telematicamente depositato
RICORRENTE contro
elettivamente domiciliata in Palmi (RC), Via N. Pizzi, n. 55, nello studio Controparte_1 dell'Avv. M. Ceravolo, che la rappresenta e difende per procura allegata all'atto di costituzione di nuovo difensore
RESISTENTE
Ragioni di fatto e di diritto della decisione
Con ricorso depositato il 2.02.2023 la ricorrente ha convenuto in giudizio la società resistente al fine di ottenere l'accertamento della violazione da parte della medesima della normativa sulla privacy in relazione al trattamento dei propri dati personali senza consenso, nonché il conseguente risarcimento del danno patrimoniale e non patrimoniale subito, quantificato nella complessiva somma di euro 10.431,00 (di cui euro 431,00 per danno patrimoniale ed il residuo per danno non patrimoniale).
A tal fine, ha esposto di avere appreso dalla consultazione dei movimenti del proprio conto corrente cointestato coi fratelli che in data 16 dicembre 2021 era stato effettuato il pagamento di euro 431,00 con la causale “DEL FISCO/INPS/REG” e di avere verificato che il prelievo era stato attuato su richiesta dell'Agenzia delle Entrate a seguito dell'invio del modulo F24 da parte Cont del con sede in Roma, lamentando di non aver dato alcun consenso a che tale CP_1 inviasse a proprio nome il modulo F24 e sostenendo l'illegittimità del trattamento dei propri dati personali, in quanto effettuato in violazione della normativa in materia di riservatezza di cui al codice Privacy ed al GDPR. Ha dedotto che in conseguenza di tale condotta illecita aveva subito un danno patrimoniale e non patrimoniale, il primo quantificato in euro 431,00, dal momento che aveva già autonomamente e personalmente corrisposto la somma dovuta a tiolo di IMU nella precedente giornata del 14.12.2021 (così risultando un duplice pagamento a suo nome per il medesimo titolo), mentre la residua somma richiesta doveva essere ricondotta al danno non patrimoniale.
La società resistente si è costituita il 22.9.2023 chiedendo il rigetto del ricorso.
Ha chiarito che il modello F24 era stato in buona fede predisposto per la ricorrente dal fratello della medesima, , presidente dell'associazione territoriale UNSIC di Nepi, Persona_1 tramite il centro di raccolta di Nepi, quale struttura periferica della resistente, CP_1
e successivamente trasmesso – analogamente a tutti quelli elaborati dalle sedi periferiche - alla sede centrale, la quale lo aveva inoltrato all'Agenzia delle Entrate, senza che potessero essere effettuati controlli sul contenuto dei modelli ricevuti, né sui mandati rilasciati dagli utenti ai
CAF periferici. Ha quindi escluso di poter essere considerata “titolare” del trattamento dei dati della ricorrente e quindi di aver potuto violare la normativa prevista dal Codice privacy.
Ha comunque sostenuto l'intervenuto rimborso alla ricorrente della somma di cui al modello
F24 già pagato ed evidenziato l'assenza di ogni danno in capo alla controparte, con la conseguente infondatezza dell'avversa domanda risarcitoria, peraltro quantificata in maniera assolutamente eccessiva sotto il profilo quantitativo.
All'udienza del 15.1.2025 la causa, già ritenuta matura per la decisione, è stata discussa oralmente dai procuratori costituiti e decisa come da dispositivo all'esito della camera di consiglio.
***
La domanda è fondata con riferimento alla richiesta di accertamento di illecito trattamento dei dati personali della ricorrente da parte della società resistente, alla luce delle considerazioni che seguono.
Il quadro normativo di riferimento risulta dal d.lgs. n. 196/2003, per come modificato dal
DECRETO LEGISLATIVO 10 agosto 2018, n. 101, recante “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonchè alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”.
A seguito di tali modifiche normative, i principi in materia di trattamento dei dati personali risultano dal predetto regolamento, essendo state abrogate le relative norme del Codice privacy che li prevedevano. In particolare, l'art. 6 del GDPR (REGOLAMENTO (UE) 2016/679 DEL
PARLAMENTO EUROPEO E DEL CONSIGLIO), rubricato “Liceità del trattamento”, dispone che “
1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni: a) l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità”, laddove il successivo art. 7, rubricato “Condizioni per il consenso”, prevede che “
1. Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l'interessato ha prestato il proprio consenso al trattamento dei propri dati personali”. Ebbene, non risulta in alcun modo dimostrato dalla società resistente di aver ottenuto dalla ricorrente il consenso al trattamento dei suoi dati personali, prima di procedere al trattamento stesso, inviando il modello F24 a nome della
, consenso che la medesima nega di aver mai prestato (dovendosi con «consenso Pt_1 dell'interessato» intendere “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”; cfr., art. 4 GDPR, punto 11).
Né può dubitarsi circa la possibilità di ricondurre il trattamento effettuato ad un trattamento di dati personali (cfr., definizione di “dato personale” e di “trattamento” contenuta nell'articolo 4
GDPR, laddove al punto 1 il “dato personale” è definito come “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”, mentre al punto
2 il “trattamento” è definito come “qualsiasi operazione o insieme di operazioni, compiute con
o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione”).
Nemmeno può essere revocata in dubbio la qualità di “titolare” del trattamento in capo a parte resistente o, quantomeno, quella di “responsabile del trattamento”, laddove il primo, è definito, dal medesimo art. 4 citato, come “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”, ed il secondo come “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”. Sostiene, in proposito, la società resistente di non essere titolare del trattamento, di aver ricevuto il modello F24 compilato a nome della ricorrente da parte di una propria articolazione territoriale e di non avere provveduto, stante l'elevatissima mole dei modelli settimanalmente ricevuti dalla sede centrale, a verificare la correttezza dei dati in essi contenuti
(tra cui quello compilato a nome della ), né ad acquisire il consenso al trattamento dei Pt_1 datti, raccolto piuttosto dalle singole sedi periferiche unitamente al mandato.
Invero, le stesse allegazioni della società resistente consentono di ritenerla responsabile del trattamento effettuato senza consenso e dunque di un trattamento illecito di dati personali, dal momento che di tale trattamento e del danno eventualmente dal medesimo derivato non risponde solo il titolare, ma anche il responsabile, da intendersi, come sopra indicato, come colui che “tratta dati personali per conto del titolare del trattamento”.
Anche ove la resistente avesse, quindi, trattato i dati della per conto dell'articolazione Pt_1 periferica che ha elaborato il modello F24, sarebbe comunque astrattamente configurabile una sua responsabilità risarcitoria.
Non risulta, tuttavia, in alcun modo dimostrato dalla resistente – che non ha effettuato alcun deposito documentale - il passaggio dei dati personali della ricorrente dall'articolazione territoriale a quella centrale, con la conseguenza che il trattamento illecito (in quanto privo di consenso dell'interessata) deve ritenersi svolto da parte della resistente che ha inviato il modello
F24 all'Agenzia delle Entrate.
Ciò posto, dispone l'art. 82 del GDPR, sotto la rubrica “Diritto al risarcimento e responsabilità”, nei suoi primi tre commi, che “1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.
2. Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.
3. Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità,
a norma del paragrafo 2 se dimostra che l'evento dannoso non gli è in alcun modo imputabile”.
La menzionata norma stabilisce, dunque, un'inversione dell'onere probatorio, in continuità con quanto era già previsto nel Codice Privacy, poiché pone a carico del titolare e del responsabile del trattamento l'onere di dimostrare, al fine di essere esonerati da ogni responsabilità, che l'evento dannoso non è a loro imputabile e ciò potrà accadere nella misura in cui riusciranno a dimostrare, alternativamente, o che l'evento dannoso è causato da una fonte estranea alla loro sfera di controllo, oppure che hanno predisposto e messo in atto tutte le misure adeguate al fine di evitare la verificazione del danno. La ragione che giustifica l'inversione dell'onere della prova risiede nel fatto che il trattamento dei dati è un'attività pericolosa perché espone gli
“interessati” e non solo loro, ad un rischio. L'ordinamento giuridico accetta tale rischio perché
l'attività di trattamento dei dati ha una sua utilità economica/sociale, ma tale utilità deve essere compensata nel caso in cui l'interessato o altri ne vengano danneggiati.
Pertanto, proprio in un'ottica di protezione del soggetto più debole del rapporto (interessato/danneggiato) a quest'ultimo spetta solo dimostrare l'esistenza del danno, la violazione della normativa a tutela dei dati personali, il nesso causale tra questi due elementi, mentre al titolare e/o responsabile spetta dimostrare che l'evento dannoso non è in alcun modo a loro imputabile.
Deduce la ricorrente che dall'illecito (in quanto non consentito) trattamento dei suoi dati personali contenuti nel modello F24 trasmesso da parte resistente all'Agenzia delle Entrate sia derivato un danno patrimoniale e non patrimoniale, quantificato come da atto introduttivo.
Relativamente al primo, ritiene il giudicante che sussistano i presupposti per l'accoglimento della domanda;
in conseguenza, infatti, dell'illecito trattamento dei dati della il modello Pt_1
F24 è stato trasmesso ed è stato effettuato un secondo addebito per il medesimo tributo, per l'importo di euro 431,00, il quale rappresenta un danno risarcibile subito dalla ricorrente, in termini di danno emergente;
parte resistente deduce, in proposito, nella memoria di costituzione che la somma sia stata rimborsata alla ricorrente ma non ne fornisce alcuna prova. La somma è dunque dovuta a titolo di risarcimento del danno, all'attualità, oltre interessi sino al saldo.
Non merita invece accoglimento la domanda risarcitoria relativa all'asserito danno non patrimoniale.
Nel caso di illecito trattamento dei dati personali, e quindi di violazione del diritto alla riservatezza, ricorre, in astratto, una delle fattispecie tipiche previste dalla legge (a seguito dell'abrogazione dell'art. 15 d. lgs. n. 196/2003 la fonte normativa è rappresentata dal sopra citato art. 82 del GDPR) che espressamente consente il ristoro del danno non patrimoniale anche al di fuori di una ipotesi di reato (Sez. U., Sentenza n. 26972 del 11/11/2008), danno previsto dall'art. 2059 c.c. e che si identifica con il danno determinato dalla lesione di interessi inerenti la persona non connotati da rilevanza economica.
Nella concreta fattispecie in esame, tuttavia, la ricorrente ha dimostrato solo la violazione della normativa a tutela dei dati personali, ma non l'esistenza del danno non patrimoniale ed il nesso causale tra di essi. Invero, tale tipo di danno non appare nemmeno adeguatamente dedotto dall'istante e nemmeno può ritenersi esistente in re ipsa in ogni violazione della normativa a tutela dei dati personali. Ferma dunque la descritta inversione dell'onere probatorio, che pone sul titolare/responsabile l'onere di dimostrare che l'evento dannoso non è in alcun modo ad essi imputabile, non risulta che nella fattispecie la ricorrente abbia adeguatamente allegato e dimostrato l'esistenza dell'asserito danno non patrimoniale, non avendo fornito alcun elemento che possa supportare, in concreto, l'allegazione circa l'asserita verificazione di siffatta tipologia di danno. A parte l'evidente danno patrimoniale conseguito alla duplicazione del pagamento, non appare, infatti, altrettanto per il danno non patrimoniale, in difetto di allegazioni specifiche circa le conseguenze dell'illecito trattamento dei dati sulla sfera areddituale della ricorrente, della quale nulla è dato sapere.
Il ricorso va dunque accolto, nella limitata misura di cui in dispositivo. Le spese di lite devono essere compensate per metà in ragione dell'esito della lite quanto alla domanda di risarcimento del danno non patrimoniale, con liquidazione della residua metà in favore del procuratore antistatario della ricorrente (valori medi per fase di studio ed introduttiva e minimi per le altre).
P.Q.M.
Il Tribunale, in composizione monocratica, definitivamente pronunciando, così dispone: accerta la violazione da parte della resistente della normativa a tutela del trattamento dei dati personali, in particolare con riferimento al trattamento dei dati della ricorrente senza il suo consenso in occasione dell'invio all'Agenzia delle entrate del modello F24 a suo nome in data
16.12.2021; condanna la resistente, in persona del legale rappresentante, al pagamento della somma di euro
431,00 in favore della ricorrente, per i titoli di cui in motivazione, oltre interessi dalla sentenza al saldo;
compensa le spese di lite per metà e condanna la resistente, in persona del legale rappresentante, alla rifusione della residua metà delle spese in favore dell'avv. Giuseppe Ametrano, dichiaratosi antistatario, liquidata in euro 1.693,50, oltre spese generali ed accessori come per legge.
Roma, 15.1.2025.
Il Giudice
dott.ssa Damiana Colla