TRIB
Sentenza 17 settembre 2025
Sentenza 17 settembre 2025
Commentari • 0
Sul provvedimento
| Citazione : | Trib. Brescia, sentenza 17/09/2025, n. 3774 |
|---|---|
| Giurisdizione : | Trib. Brescia |
| Numero : | 3774 |
| Data del deposito : | 17 settembre 2025 |
Testo completo
N. R.G. 2832/2024
TRIBUNALE ORDINARIO di BRESCIA
SEZIONE TERZA CIVILE
VERBALE DI UDIENZA MEDIANTE TRATTAZIONE SCRITTA
Oggi 16/09/2025, il Giudice Michele Posio dà atto dell'avvenuto deposito telematico delle note autorizzate di trattazione scritta per le parti
Il Giudice dato atto che le parti precisano le conclusioni come da note autorizzate, pronuncia sentenza ex art. 429
c.p.c., allegandola al presente verbale.
Il Giudice
Michele Posio
Il verbale è redatto in formato elettronico e depositato telematicamente nel fascicolo informatico ai sensi dell'art.
35, comma 1, D.M. 21 febbraio 2011, n. 44, come modificato dal D.M. 15 ottobre 2012 n. 209.
1 N. R.G. 2832/2024
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
TRIBUNALE ORDINARIO di BRESCIA
SEZIONE TERZA CIVILE
Il Tribunale in composizione monocratica, nella persona del Giudice Michele Posio ha pronunciato ex art. 429c.p.c. la seguente
SENTENZA nella causa civile iscritta al n. r.g. 2832/2024 promossa da:
(c.f. , con l'avv. ALESSANDRA ROMEDA Parte_1 C.F._1
RICORRENTE contro
(c.f. ), con l'avv. MARCO SEBASTIANO Controparte_1 P.IVA_1
ACCORRA';
c.f. ), con l'avv. GIOVANNI SIMONE;
Controparte_2 P.IVA_2
c.f. ), con l'avv. MATTEO FESTI;
CP_3 P.IVA_3
(c.f. ), con l'avv. Parte_2 P.IVA_4
GIANFRANCO DI RAGO;
RESISTENTI
Oggetto: diritti relativi al trattamento di dati personali.
CONCLUSIONI
Come da note autorizzate depositate.
Concisa esposizione delle ragioni di fatto e di diritto della decisione
Con ricorso depositato il 07/03/2024, , premesso il trattamento illecito di propri dati Parte_1 personali, agiva nei confronti di CP_1 Controparte_2 CP_3 Parte_2 per la cancellazione dei suddetti dati e per il risarcimento del danno.
[...]
Si costituivano ritualmente i resistenti Succursale italiana;
CP_1 Controparte_2 [...]
opponendosi alle domande avversarie. CP_3 Parte_2
All'udienza del 12/12/2024 il Giudice formulava proposta conciliativa;
alla successiva udienza del
30/01/2025, fissata per l'esame della proposta, il Giudice dava atto della mancata conciliazione delle parti per mancata adesione alla proposta della resistente e, senza necessità di svolgere CP_1
2 istruttoria, rinviava al 16/09/2025 per la decisione ex art. 429 c.p.c., previa assegnazione alle parti dei termini per note scritte.
Con le suddette note, e davano atto di avere raggiunto un accordo in virtù del Parte_1 CP_3 quale la ricorrente rinunciava agli atti del giudizio, proseguito nei confronti degli altri resistenti, a spese compensate;
, inoltre, rinunciava alla domanda di risarcimento del danno nei confronti di Parte_1
. CP_2
Immutante nel resto le rispettive domande delle parti.
***
La ricorrente rappresenta di aver subito un furto d'identità, appreso il 12.5.2020 e denunciato in data
25.05.2020, in relazione alla sottoscrizione di contratto di finanziamento datato 7.5.2020 erogato da per euro 6.000,00 ed appoggiato su conto corrente Unicredit;
nonché in relazione CP_1 all'apertura di un conto corrente presso (con trasferimento su tale conto dei servizi di CP_2 pagamento); espone di non avere mai richiesto il finanziamento – né tanto meno ricevuto la somma erogata – né di essere titolare di rapporti bancari presso Unicredit ed;
rappresenta, inoltre, che i CP_2 dati relativi al finanziamento, ed al mancato rimborso delle relative rate, erano segnalati ai sistemi di informazioni creditizie (SIC), gestiti da e CP_3 Parte_2
Sulla scorta di tale premessa, lamenta l'illegittimo trattamento dei propri dati personali in quanto conservati e trasmessi ai gestori dei SIC, nonostante la non riconducibilità dei contratti alla ricorrente e gli accertamenti penali scaturiti dalla denuncia sporta;
chiede pertanto la cancellazione dei dati personali a lei riferibili dalle banche dati degli istituti citati e la cancellazione delle segnalazioni presso i SIC, oltre al risarcimento del danno patrimoniale e non patrimoniale.
I resistenti, eccepita l'improcedibilità della domanda per mancato esperimento della mediazione obbligatoria ( e chiesta la sospensione del giudizio ex art. 295 c.p.c. ( ), nel merito CP_1 CP_2 respingono ogni addebito di responsabilità, evidenziando, la correttezza del proprio operato:
- e avrebbero trattato i dati nell'ignoranza del fatto di reato lamentato ed a fronte CP_1 CP_2 di contratto valido ed efficace in quanto apparentemente sottoscritto dalla cliente con firma digitale, da intendere documento legalmente riconosciuto che ex art. 2702 c.c. fa piena prova fino a querela di falso della provenienza da chi l'ha sottoscritto;
- e ricevuta da la segnalazione del CP_3 Parte_2 CP_1 finanziamento e dell'inadempimento all'obbligazione di rimborso, si sarebbero attenuti ai al
Codice deontologico di condotta ed ai controlli di correttezza ivi previsti, senza potere di entrare nel merito del rapporto sottostante inerente il soggetto debitore e l'istituto di credito.
***
Occorre anzitutto dichiarare l'estinzione del giudizio tra le parti e a fronte della Parte_1 CP_3 rinuncia alla domanda notificata in data 1/09/2025 dalla ricorrente alla suddetta resistente, che l'ha regolarmente accettata a spese compensate in conformità all'accordo raggiunto.
3 Nei confronti di (d'ora in CP_1 Controparte_2 Parte_2
Cont avanti ) va, in primo luogo, disattesa l'eccezione di improcedibilità poiché l'azione attiene il trattamento di dati personali, non un contratto bancario, sicché esula dall'esperimento della mediazione obbligatoria;
altresì deve essere respinta la domanda di sospensione del giudizio alla luce della definizione del procedimento penale, archiviato per impossibilità di individuazione dei responsabili del fatto criminoso. Cont Sempre in rito, sussiste la legittimazione passiva della resistente , quale possibile destinataria diretta dell'ordine da parte dell'Autorità Giudiziaria di eliminazione o rettifica dei dati personali, ai sensi dell'art. 4 comma 4 Codice deontologico SIC (Provvedimento del Garante n. 8 del 16 novembre 2004,
Gazzetta Ufficiale 23 dicembre 2004, n. 300).
Nel merito, si impone una breve introduzione sulla materia del trattamento dei dati personali.
Ai sensi del Regolamento UE n. 2016/679 (cd. GDPR), si intende per dato personale qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si intende per trattamento dei dati personali qualsiasi operazione o insieme di operazioni compiute con o senza l'ausilio di processi automatizzati ed applicate a dati personali o insiemi di dati personali, come – tra gli altri - la raccolta, la registrazione, la conservazione, la consultazione, l'uso, la comunicazione mediante trasmissione, la limitazione, la cancellazione o la distruzione (art. 4). Liceità, correttezza e trasparenza nei confronti dell'interessato sono tra i principi applicabili al trattamento dei dati (art. 5 e Considerando
n. 39); nello specifico, per quanto qui di interesse, ai sensi dell'art. 6 il trattamento è lecito se fondato sul consenso dell'interessato o se necessario all'esecuzione di un contratto di cui l'interessato è parte o, se ricorre una delle ulteriori ipotesi elencate.
Giova altresì richiamare l'art. 5 commi 1-5 del Codice Deontologico SIC, che regola le modalità di raccolta e registrazioni dati, ed i correlati doveri di diligenza dei soggetti coinvolti1, a mente del quale
“1. […] Salvo quanto previsto dal comma 5, il gestore acquisisce esclusivamente dai partecipanti i dati personali da registrare nel SIC.
2. Il partecipante adotta idonee procedure di verifica per garantire la lecita utilizzabilità nel sistema, la correttezza, l'aggiornamento e l'esattezza dei dati comunicati al gestore.
3. All'atto del ricevimento dei dati, il gestore verifica la loro congruità attraverso controlli di carattere formale e logico e, se i dati risultano incompleti od incongrui, li ritrasmette al partecipante che li ha comunicati, ai fini delle necessarie integrazioni e correzioni. All'esito dei controlli e delle eventuali integrazioni e correzioni, i dati sono registrati nel SIC e resi disponibili.
4. Il partecipante verifica con cura i dati da esso trattati e risponde tempestivamente alle richieste di verifica del gestore, anche a seguito dell'esercizio di un diritto da parte dell'interessato.
5. Eventuali operazioni di cancellazione, integrazione o modificazione dei dati registrati in un SIC sono disposte direttamente dal partecipante che li ha comunicati, ove tecnicamente possibile, ovvero dal
Con 1 Nel caso di specie, il gestore sono e , mentre il partecipante è autore della segnalazione CP_3 CP_1 4 gestore su richiesta del medesimo partecipante o d'intesa con esso, anche a seguito dell'esercizio di un diritto da parte dell'interessato, oppure in attuazione di un provvedimento dell'autorità giudiziaria o del Garante.
Nel caso di specie, analizzando la condotta di occorre distinguere le diverse fasi di reperimento CP_1 dei dati/sottoscrizione dei contratti oggetto di causa, dal successivo trattamento dei dati personali.
Nella prima fase, sussiste senz'altro la buona fede, sul presupposto che la ricorrente fosse parte effettiva dei contratti: la raccolta dei dati è avvenuta a fronte di una situazione tale da ingenerare incolpevole affidamento sulla provenienza delle dichiarazioni contrattuali dalla sottoscrittrice tenuto Parte_1 conto non solo della firma digitale apposta e dei documenti di identità apparentemente riconducibili alla firmataria, ma anche degli ulteriori documenti raccolti in fase di stipula, tutti riferibili alla ricorrente
(riferimenti bancari, cedolino Inps, dichiarazione dei redditi e tessera sanitaria).
Diverse considerazioni valgono per la fase di trattamento dei dati personali, successiva alle rimostranze della ricorrente: quest'ultima, appena avuta contezza dell'erogazione del finanziamento il 12.5.2020, si attivava tempestivamente per segnalare l'anomalia contattando telefonicamente denunciando il CP_1 furto di identità (25.5.2020) ed opponendosi reiteratamente nel corso del 2021, tramite il proprio legale, ai solleciti di pagamento di e alle segnalazioni al SIC (doc. 6,9,13,14 ricorrente); inoltre e CP_1 soprattutto, dagli atti del procedimento penale è emerso che le competenti una volta accertato Pt_3 il furto di identità ai danni della ricorrente, avevano comunicato la notizia di reato a senza CP_1 ricevere riscontro (cfr. CNR 26.8.2020 doc. 25 ricorrente).
Alla luce di quanto precede si desume che sin dal 2020 aveva contezza di concordanti elementi CP_1 di prova del furto di identità subito dalla ricorrente e sin da allora avrebbe potuto procedere alle necessarie verifiche, secondo la correttezza imposta dal richiamato Codice deontologico2 e, quindi, disporre cautelativamente un oscuramento dei dati personali della ricorrente, quantomeno sino alla definizione del procedimento penale di cui era stata informata, di lì a poco, invero, archiviato il
13.11.2020 per mancata identificazione degli autori rimasti ignoti, tuttavia nella sussistenza del fatto di reato ai danni della ricorrente (doc. 24 ricorrente). Per contro, la resistente ha omesso le menzionate verifiche mantenendo la segnalazione per oltre quattro anni, anche dopo il radicamento del presente giudizio.
Sulla scorta di quanto precede, è ravvisabile in capo a un negligente trattamento dei dati personali CP_1 della ricorrente nella fase successiva alla loro raccolta.
Si reputa, per contro, irrilevante la condotta di , non avendo quest'ultima segnalato la ricorrente CP_2 al SIC ed avendo chiuso la posizione contrattuale il 7.7.2023, anteriormente al radicamento del presente giudizio. 2 “il partecipante adotta idonee misure di verifica per garantire la lecita utilizzabilità nel sistema, la correttezza e l'esattezza dei dati comunicati al gestore” […] “il partecipante verifica con cura i dati da esso trattati e risponde tempestivamente alle richieste di verifica del gestore, anche a seguito dell'esercizio di un diritto da parte dell'interessato” (art. 4 commi 2 e 4) 5 Parimenti irrilevante la condotta di CTC, potendo svolgere unicamente controlli di carattere formale e logico sui dati ricevuti dal partecipante ( , ai sensi dell'art. 5 comma 3 Codice Deontologico cit.. CP_1
Ne consegue il diritto della ricorrente alla cancellazione dei dati personali ad essa riferibili, trattati sulla scorta dei contratti anzidetti, dalle banche dati e archivi degli enti resistenti, con obbligo di unico CP_1 autore della trasmissione dei dati della ricorrente a e CP_3 Parte_2
gestori di SIC, di cancellazione della relativa segnalazione.
[...]
Non può, per contro, trovare accoglimento la pretesa risarcitoria della ricorrente.
Sul piano normativo, il GDPR all'art. 82 stabilisce la risarcibilità del danno materiale o immateriale causato da una violazione del regolamento, integrando l'anzidetto enunciato normativo con il
Considerando n. 146 secondo cui “il titolare del trattamento o il responsabile del trattamento dovrebbe risarcire i danni cagionati a una persona da un trattamento non conforme al presente regolamento ma dovrebbe essere esonerato da tal responsabilità se dimostra che l'evento dannoso non gli è in alcun modo imputabile”.
Sulla scorta di quanto precede, la giurisprudenza della Corte di Cassazione ha elaborato il principio di diritto secondo cui il danno da trattamento di dati personali non conforme al GDPR non è in re ipsa, pertanto, la sua risarcibilità presuppone la prova della serietà della lesione conseguente al trattamento, dando diritto al risarcimento quella violazione che concretamente offenda la portata effettiva del diritto alla riservatezza (Cass. Sez. 1 - , Ordinanza n. 13073 del 12/05/2023;
Sez. 6 - 1, Ordinanza n. 17383 del 20/08/2020; Sez. 3, Sentenza n. 16133 del 15/07/2014).
Ciò posto, l'inserimento di dati nei SIC non integra di per sé una grave violazione del diritto alla riservatezza trattandosi di archivi consultabili dai partecipanti al sistema di informazioni creditizie3 nel caso in cui siano destinatari di una richiesta di finanziamento dall'interessato, con evidente portata lesiva limitata dell'ostensione dei dati.
Quanto al danno morale e da timore di lesione dei dati personali, non sono forniti elementi di prova sulla effettiva sofferenza interiore patita e sulla derivazione causale dalle condotte dei resistenti.
Mentre, il danno patrimoniale – che la ricorrente lamenta avere subito in conseguenze dell'illegittima segnalazione ai SIC che le avrebbe comportato l'impossibilità nel corso degli anni di fare accesso al credito pur necessitandone per acquisto di beni di consumo e sistemazione della propria abitazione – non è provato né in punto di richiesta finanziamenti né di loro costante diniego in ragione della CP_ segnalazione ai SIC. Anzi, si nota come dai dati creditizi che presenti in EURISC (SIC gestito da , CP_ doc. 11 in tempo successivo all'erogazione del finanziamento e della registrazione CP_1 dell'informazione negativa in SIC, risultino accordati alla ricorrente cessione del quinto da Prestitalia 3 Art. 1 lett. e) Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti pubblicato in GU n. 300 del 23/12/2004, il partecipante può essere una banca;
un intermediario finanziari o altro soggetto privato che, nell'esercizio di un'attività commerciale o professionale, concede una dilazione di pagamento del corrispettivo per la fornitura di beni o servizi. 6 Con (con data iniziale al 1/12/2020) e prestito personale da NT AN OL (con data iniziale al
11/09/2020).
In punto di spese di lite, occorre distinguere i rapporti tra la ricorrente e le singole resistenti:
- quanto a ricorrono i presupposti per la condanna alle spese, alla luce della negligenza CP_1 ravvisata in motivazione;
a nulla rileva il rigetto della domanda risarcitoria della ricorrente, di natura accessoria alle principali doglianze. Spese che si liquidano per causa tra € 5.201,00 e €
26.000,00 di complessità media in € 264,50 per spese ed in € 3.400,00 per compenso professionale (€ 1.000,00 per fase di studio, € 800,00 per fase introduttiva, € 2.000,00 per fase istruttoria), oltre accessori di legge.
- quanto a , sono compensate in quanto non autrice della segnalazione al SIC e in ogni caso CP_2 la posizione contrattuale risulta definita il 7.7.2023, anteriormente al radicamento del presente giudizio;
- quanto a sono compensate in forza di accordo tra le parti;
CP_3
- quanto a per la tutela del credito, sono compensate in quanto la chiamata si è resa Parte_2 necessaria quale destinatario dell'ordine di cancellazione ed al contempo non risulta autore della condotta contestata per le ragioni già esposte.
P.Q.M.
Il Tribunale in composizione monocratica, definitivamente pronunciando, ogni diversa istanza ed eccezione disattesa o assorbita,
1. dichiara l'estinzione del giudizio tra la ricorrente e a spese compensate;
CP_3
2. ordina agli ulteriori resistenti la cancellazione dei dati personali inerenti in Parte_1 relazione al contratto di finanziamento stipulato con ed al contratto di trasferimento CP_1 servizi di pagamento stipulato con;
CP_2
3. ordina a e a CTC s.c.a.r.l. la cancellazione dai SIC delle informazioni relative alla CP_1 ricorrente, in relazione ai suddetti contratti;
4. condanna alla rifusione in favore della ricorrente delle spese di lite, liquidate in CP_1 motivazione in € 264.50 per spese ed in € 3.800,00 per compenso professionale, oltre a 15% spese generali, i.v.a. e c.p.a. come per legge;
5. compensa integralmente le spese di lite tra la ricorrente e e CTC. CP_2
Brescia, 16/09/2025.
Il Giudice
Michele Posio
Sentenza resa ex articolo 429 c.p.c., pubblicata mediante allegazione al verbale.
7
TRIBUNALE ORDINARIO di BRESCIA
SEZIONE TERZA CIVILE
VERBALE DI UDIENZA MEDIANTE TRATTAZIONE SCRITTA
Oggi 16/09/2025, il Giudice Michele Posio dà atto dell'avvenuto deposito telematico delle note autorizzate di trattazione scritta per le parti
Il Giudice dato atto che le parti precisano le conclusioni come da note autorizzate, pronuncia sentenza ex art. 429
c.p.c., allegandola al presente verbale.
Il Giudice
Michele Posio
Il verbale è redatto in formato elettronico e depositato telematicamente nel fascicolo informatico ai sensi dell'art.
35, comma 1, D.M. 21 febbraio 2011, n. 44, come modificato dal D.M. 15 ottobre 2012 n. 209.
1 N. R.G. 2832/2024
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
TRIBUNALE ORDINARIO di BRESCIA
SEZIONE TERZA CIVILE
Il Tribunale in composizione monocratica, nella persona del Giudice Michele Posio ha pronunciato ex art. 429c.p.c. la seguente
SENTENZA nella causa civile iscritta al n. r.g. 2832/2024 promossa da:
(c.f. , con l'avv. ALESSANDRA ROMEDA Parte_1 C.F._1
RICORRENTE contro
(c.f. ), con l'avv. MARCO SEBASTIANO Controparte_1 P.IVA_1
ACCORRA';
c.f. ), con l'avv. GIOVANNI SIMONE;
Controparte_2 P.IVA_2
c.f. ), con l'avv. MATTEO FESTI;
CP_3 P.IVA_3
(c.f. ), con l'avv. Parte_2 P.IVA_4
GIANFRANCO DI RAGO;
RESISTENTI
Oggetto: diritti relativi al trattamento di dati personali.
CONCLUSIONI
Come da note autorizzate depositate.
Concisa esposizione delle ragioni di fatto e di diritto della decisione
Con ricorso depositato il 07/03/2024, , premesso il trattamento illecito di propri dati Parte_1 personali, agiva nei confronti di CP_1 Controparte_2 CP_3 Parte_2 per la cancellazione dei suddetti dati e per il risarcimento del danno.
[...]
Si costituivano ritualmente i resistenti Succursale italiana;
CP_1 Controparte_2 [...]
opponendosi alle domande avversarie. CP_3 Parte_2
All'udienza del 12/12/2024 il Giudice formulava proposta conciliativa;
alla successiva udienza del
30/01/2025, fissata per l'esame della proposta, il Giudice dava atto della mancata conciliazione delle parti per mancata adesione alla proposta della resistente e, senza necessità di svolgere CP_1
2 istruttoria, rinviava al 16/09/2025 per la decisione ex art. 429 c.p.c., previa assegnazione alle parti dei termini per note scritte.
Con le suddette note, e davano atto di avere raggiunto un accordo in virtù del Parte_1 CP_3 quale la ricorrente rinunciava agli atti del giudizio, proseguito nei confronti degli altri resistenti, a spese compensate;
, inoltre, rinunciava alla domanda di risarcimento del danno nei confronti di Parte_1
. CP_2
Immutante nel resto le rispettive domande delle parti.
***
La ricorrente rappresenta di aver subito un furto d'identità, appreso il 12.5.2020 e denunciato in data
25.05.2020, in relazione alla sottoscrizione di contratto di finanziamento datato 7.5.2020 erogato da per euro 6.000,00 ed appoggiato su conto corrente Unicredit;
nonché in relazione CP_1 all'apertura di un conto corrente presso (con trasferimento su tale conto dei servizi di CP_2 pagamento); espone di non avere mai richiesto il finanziamento – né tanto meno ricevuto la somma erogata – né di essere titolare di rapporti bancari presso Unicredit ed;
rappresenta, inoltre, che i CP_2 dati relativi al finanziamento, ed al mancato rimborso delle relative rate, erano segnalati ai sistemi di informazioni creditizie (SIC), gestiti da e CP_3 Parte_2
Sulla scorta di tale premessa, lamenta l'illegittimo trattamento dei propri dati personali in quanto conservati e trasmessi ai gestori dei SIC, nonostante la non riconducibilità dei contratti alla ricorrente e gli accertamenti penali scaturiti dalla denuncia sporta;
chiede pertanto la cancellazione dei dati personali a lei riferibili dalle banche dati degli istituti citati e la cancellazione delle segnalazioni presso i SIC, oltre al risarcimento del danno patrimoniale e non patrimoniale.
I resistenti, eccepita l'improcedibilità della domanda per mancato esperimento della mediazione obbligatoria ( e chiesta la sospensione del giudizio ex art. 295 c.p.c. ( ), nel merito CP_1 CP_2 respingono ogni addebito di responsabilità, evidenziando, la correttezza del proprio operato:
- e avrebbero trattato i dati nell'ignoranza del fatto di reato lamentato ed a fronte CP_1 CP_2 di contratto valido ed efficace in quanto apparentemente sottoscritto dalla cliente con firma digitale, da intendere documento legalmente riconosciuto che ex art. 2702 c.c. fa piena prova fino a querela di falso della provenienza da chi l'ha sottoscritto;
- e ricevuta da la segnalazione del CP_3 Parte_2 CP_1 finanziamento e dell'inadempimento all'obbligazione di rimborso, si sarebbero attenuti ai al
Codice deontologico di condotta ed ai controlli di correttezza ivi previsti, senza potere di entrare nel merito del rapporto sottostante inerente il soggetto debitore e l'istituto di credito.
***
Occorre anzitutto dichiarare l'estinzione del giudizio tra le parti e a fronte della Parte_1 CP_3 rinuncia alla domanda notificata in data 1/09/2025 dalla ricorrente alla suddetta resistente, che l'ha regolarmente accettata a spese compensate in conformità all'accordo raggiunto.
3 Nei confronti di (d'ora in CP_1 Controparte_2 Parte_2
Cont avanti ) va, in primo luogo, disattesa l'eccezione di improcedibilità poiché l'azione attiene il trattamento di dati personali, non un contratto bancario, sicché esula dall'esperimento della mediazione obbligatoria;
altresì deve essere respinta la domanda di sospensione del giudizio alla luce della definizione del procedimento penale, archiviato per impossibilità di individuazione dei responsabili del fatto criminoso. Cont Sempre in rito, sussiste la legittimazione passiva della resistente , quale possibile destinataria diretta dell'ordine da parte dell'Autorità Giudiziaria di eliminazione o rettifica dei dati personali, ai sensi dell'art. 4 comma 4 Codice deontologico SIC (Provvedimento del Garante n. 8 del 16 novembre 2004,
Gazzetta Ufficiale 23 dicembre 2004, n. 300).
Nel merito, si impone una breve introduzione sulla materia del trattamento dei dati personali.
Ai sensi del Regolamento UE n. 2016/679 (cd. GDPR), si intende per dato personale qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si intende per trattamento dei dati personali qualsiasi operazione o insieme di operazioni compiute con o senza l'ausilio di processi automatizzati ed applicate a dati personali o insiemi di dati personali, come – tra gli altri - la raccolta, la registrazione, la conservazione, la consultazione, l'uso, la comunicazione mediante trasmissione, la limitazione, la cancellazione o la distruzione (art. 4). Liceità, correttezza e trasparenza nei confronti dell'interessato sono tra i principi applicabili al trattamento dei dati (art. 5 e Considerando
n. 39); nello specifico, per quanto qui di interesse, ai sensi dell'art. 6 il trattamento è lecito se fondato sul consenso dell'interessato o se necessario all'esecuzione di un contratto di cui l'interessato è parte o, se ricorre una delle ulteriori ipotesi elencate.
Giova altresì richiamare l'art. 5 commi 1-5 del Codice Deontologico SIC, che regola le modalità di raccolta e registrazioni dati, ed i correlati doveri di diligenza dei soggetti coinvolti1, a mente del quale
“1. […] Salvo quanto previsto dal comma 5, il gestore acquisisce esclusivamente dai partecipanti i dati personali da registrare nel SIC.
2. Il partecipante adotta idonee procedure di verifica per garantire la lecita utilizzabilità nel sistema, la correttezza, l'aggiornamento e l'esattezza dei dati comunicati al gestore.
3. All'atto del ricevimento dei dati, il gestore verifica la loro congruità attraverso controlli di carattere formale e logico e, se i dati risultano incompleti od incongrui, li ritrasmette al partecipante che li ha comunicati, ai fini delle necessarie integrazioni e correzioni. All'esito dei controlli e delle eventuali integrazioni e correzioni, i dati sono registrati nel SIC e resi disponibili.
4. Il partecipante verifica con cura i dati da esso trattati e risponde tempestivamente alle richieste di verifica del gestore, anche a seguito dell'esercizio di un diritto da parte dell'interessato.
5. Eventuali operazioni di cancellazione, integrazione o modificazione dei dati registrati in un SIC sono disposte direttamente dal partecipante che li ha comunicati, ove tecnicamente possibile, ovvero dal
Con 1 Nel caso di specie, il gestore sono e , mentre il partecipante è autore della segnalazione CP_3 CP_1 4 gestore su richiesta del medesimo partecipante o d'intesa con esso, anche a seguito dell'esercizio di un diritto da parte dell'interessato, oppure in attuazione di un provvedimento dell'autorità giudiziaria o del Garante.
Nel caso di specie, analizzando la condotta di occorre distinguere le diverse fasi di reperimento CP_1 dei dati/sottoscrizione dei contratti oggetto di causa, dal successivo trattamento dei dati personali.
Nella prima fase, sussiste senz'altro la buona fede, sul presupposto che la ricorrente fosse parte effettiva dei contratti: la raccolta dei dati è avvenuta a fronte di una situazione tale da ingenerare incolpevole affidamento sulla provenienza delle dichiarazioni contrattuali dalla sottoscrittrice tenuto Parte_1 conto non solo della firma digitale apposta e dei documenti di identità apparentemente riconducibili alla firmataria, ma anche degli ulteriori documenti raccolti in fase di stipula, tutti riferibili alla ricorrente
(riferimenti bancari, cedolino Inps, dichiarazione dei redditi e tessera sanitaria).
Diverse considerazioni valgono per la fase di trattamento dei dati personali, successiva alle rimostranze della ricorrente: quest'ultima, appena avuta contezza dell'erogazione del finanziamento il 12.5.2020, si attivava tempestivamente per segnalare l'anomalia contattando telefonicamente denunciando il CP_1 furto di identità (25.5.2020) ed opponendosi reiteratamente nel corso del 2021, tramite il proprio legale, ai solleciti di pagamento di e alle segnalazioni al SIC (doc. 6,9,13,14 ricorrente); inoltre e CP_1 soprattutto, dagli atti del procedimento penale è emerso che le competenti una volta accertato Pt_3 il furto di identità ai danni della ricorrente, avevano comunicato la notizia di reato a senza CP_1 ricevere riscontro (cfr. CNR 26.8.2020 doc. 25 ricorrente).
Alla luce di quanto precede si desume che sin dal 2020 aveva contezza di concordanti elementi CP_1 di prova del furto di identità subito dalla ricorrente e sin da allora avrebbe potuto procedere alle necessarie verifiche, secondo la correttezza imposta dal richiamato Codice deontologico2 e, quindi, disporre cautelativamente un oscuramento dei dati personali della ricorrente, quantomeno sino alla definizione del procedimento penale di cui era stata informata, di lì a poco, invero, archiviato il
13.11.2020 per mancata identificazione degli autori rimasti ignoti, tuttavia nella sussistenza del fatto di reato ai danni della ricorrente (doc. 24 ricorrente). Per contro, la resistente ha omesso le menzionate verifiche mantenendo la segnalazione per oltre quattro anni, anche dopo il radicamento del presente giudizio.
Sulla scorta di quanto precede, è ravvisabile in capo a un negligente trattamento dei dati personali CP_1 della ricorrente nella fase successiva alla loro raccolta.
Si reputa, per contro, irrilevante la condotta di , non avendo quest'ultima segnalato la ricorrente CP_2 al SIC ed avendo chiuso la posizione contrattuale il 7.7.2023, anteriormente al radicamento del presente giudizio. 2 “il partecipante adotta idonee misure di verifica per garantire la lecita utilizzabilità nel sistema, la correttezza e l'esattezza dei dati comunicati al gestore” […] “il partecipante verifica con cura i dati da esso trattati e risponde tempestivamente alle richieste di verifica del gestore, anche a seguito dell'esercizio di un diritto da parte dell'interessato” (art. 4 commi 2 e 4) 5 Parimenti irrilevante la condotta di CTC, potendo svolgere unicamente controlli di carattere formale e logico sui dati ricevuti dal partecipante ( , ai sensi dell'art. 5 comma 3 Codice Deontologico cit.. CP_1
Ne consegue il diritto della ricorrente alla cancellazione dei dati personali ad essa riferibili, trattati sulla scorta dei contratti anzidetti, dalle banche dati e archivi degli enti resistenti, con obbligo di unico CP_1 autore della trasmissione dei dati della ricorrente a e CP_3 Parte_2
gestori di SIC, di cancellazione della relativa segnalazione.
[...]
Non può, per contro, trovare accoglimento la pretesa risarcitoria della ricorrente.
Sul piano normativo, il GDPR all'art. 82 stabilisce la risarcibilità del danno materiale o immateriale causato da una violazione del regolamento, integrando l'anzidetto enunciato normativo con il
Considerando n. 146 secondo cui “il titolare del trattamento o il responsabile del trattamento dovrebbe risarcire i danni cagionati a una persona da un trattamento non conforme al presente regolamento ma dovrebbe essere esonerato da tal responsabilità se dimostra che l'evento dannoso non gli è in alcun modo imputabile”.
Sulla scorta di quanto precede, la giurisprudenza della Corte di Cassazione ha elaborato il principio di diritto secondo cui il danno da trattamento di dati personali non conforme al GDPR non è in re ipsa, pertanto, la sua risarcibilità presuppone la prova della serietà della lesione conseguente al trattamento, dando diritto al risarcimento quella violazione che concretamente offenda la portata effettiva del diritto alla riservatezza (Cass. Sez. 1 - , Ordinanza n. 13073 del 12/05/2023;
Sez. 6 - 1, Ordinanza n. 17383 del 20/08/2020; Sez. 3, Sentenza n. 16133 del 15/07/2014).
Ciò posto, l'inserimento di dati nei SIC non integra di per sé una grave violazione del diritto alla riservatezza trattandosi di archivi consultabili dai partecipanti al sistema di informazioni creditizie3 nel caso in cui siano destinatari di una richiesta di finanziamento dall'interessato, con evidente portata lesiva limitata dell'ostensione dei dati.
Quanto al danno morale e da timore di lesione dei dati personali, non sono forniti elementi di prova sulla effettiva sofferenza interiore patita e sulla derivazione causale dalle condotte dei resistenti.
Mentre, il danno patrimoniale – che la ricorrente lamenta avere subito in conseguenze dell'illegittima segnalazione ai SIC che le avrebbe comportato l'impossibilità nel corso degli anni di fare accesso al credito pur necessitandone per acquisto di beni di consumo e sistemazione della propria abitazione – non è provato né in punto di richiesta finanziamenti né di loro costante diniego in ragione della CP_ segnalazione ai SIC. Anzi, si nota come dai dati creditizi che presenti in EURISC (SIC gestito da , CP_ doc. 11 in tempo successivo all'erogazione del finanziamento e della registrazione CP_1 dell'informazione negativa in SIC, risultino accordati alla ricorrente cessione del quinto da Prestitalia 3 Art. 1 lett. e) Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti pubblicato in GU n. 300 del 23/12/2004, il partecipante può essere una banca;
un intermediario finanziari o altro soggetto privato che, nell'esercizio di un'attività commerciale o professionale, concede una dilazione di pagamento del corrispettivo per la fornitura di beni o servizi. 6 Con (con data iniziale al 1/12/2020) e prestito personale da NT AN OL (con data iniziale al
11/09/2020).
In punto di spese di lite, occorre distinguere i rapporti tra la ricorrente e le singole resistenti:
- quanto a ricorrono i presupposti per la condanna alle spese, alla luce della negligenza CP_1 ravvisata in motivazione;
a nulla rileva il rigetto della domanda risarcitoria della ricorrente, di natura accessoria alle principali doglianze. Spese che si liquidano per causa tra € 5.201,00 e €
26.000,00 di complessità media in € 264,50 per spese ed in € 3.400,00 per compenso professionale (€ 1.000,00 per fase di studio, € 800,00 per fase introduttiva, € 2.000,00 per fase istruttoria), oltre accessori di legge.
- quanto a , sono compensate in quanto non autrice della segnalazione al SIC e in ogni caso CP_2 la posizione contrattuale risulta definita il 7.7.2023, anteriormente al radicamento del presente giudizio;
- quanto a sono compensate in forza di accordo tra le parti;
CP_3
- quanto a per la tutela del credito, sono compensate in quanto la chiamata si è resa Parte_2 necessaria quale destinatario dell'ordine di cancellazione ed al contempo non risulta autore della condotta contestata per le ragioni già esposte.
P.Q.M.
Il Tribunale in composizione monocratica, definitivamente pronunciando, ogni diversa istanza ed eccezione disattesa o assorbita,
1. dichiara l'estinzione del giudizio tra la ricorrente e a spese compensate;
CP_3
2. ordina agli ulteriori resistenti la cancellazione dei dati personali inerenti in Parte_1 relazione al contratto di finanziamento stipulato con ed al contratto di trasferimento CP_1 servizi di pagamento stipulato con;
CP_2
3. ordina a e a CTC s.c.a.r.l. la cancellazione dai SIC delle informazioni relative alla CP_1 ricorrente, in relazione ai suddetti contratti;
4. condanna alla rifusione in favore della ricorrente delle spese di lite, liquidate in CP_1 motivazione in € 264.50 per spese ed in € 3.800,00 per compenso professionale, oltre a 15% spese generali, i.v.a. e c.p.a. come per legge;
5. compensa integralmente le spese di lite tra la ricorrente e e CTC. CP_2
Brescia, 16/09/2025.
Il Giudice
Michele Posio
Sentenza resa ex articolo 429 c.p.c., pubblicata mediante allegazione al verbale.
7