La targa automobilistica è dato personale e la sua diffusione on line costituisce dunque trattamento

Cass. Sez. I, Ord. 21/02/2024, n. 4648, rel. Tricomi, sulla pubblicaizone del sito del Comune della targa di un veicolo estraneo alla infrazione contestata:

<<3.3.- Va ricordato che questa Corte ha già affermato che la targa automobilistica è un dato che consente la identificazione diretta del proprietario e che ciò che assume rilievo decisivo, in materia di protezione dei dati personali è dunque, il collegamento funzionale, ai fini identificativi, tra i dati personali e la persona fisica, in presenza di condotte astrattamente riconducibili nell’alveo del trattamento (Cass. n. 19270/2021); sia pure con la precisazione, in fattispecie concernente l’impiego di parcometri evoluti atti a registrare targa e localizzazione del veicolo in sosta, che “Nonostante dal dato personale della targa, consultando il Pubblico Registro Automobilistico, è possibile risalire solo al nominativo dell’intestatario del veicolo che, in astratto, potrebbe anche non esserne l’effettivo utilizzatore o, addirittura, essere una persona giuridica, non oggetto di tutela da parte del GDPR, o un soggetto diverso dall’effettivo proprietario, il numero di targa dei veicoli costituisce in una percentuale statisticamente preponderante un dato personale idoneo a risalire alla persona dell’utilizzatore del parcometro, consentendone, dunque, la profilazione, onde il trattamento non può dirsi irrilevante sotto questo profilo (fattispecie in cui era stato contestato ad una società di aver trattato dati personali degli utenti, raccolti attraverso una certa tipologia di parcometri, senza essere stata previamente nominata quale sub-responsabile per il trattamento e, dunque, in assenza dei requisiti di interesse pubblico che insistono in capo al titolare effettivo del trattamento stesso).” (Cass. n.35256/2023).

3.4.- La decisione, che non si è conformata a questi principi risulta, pertanto, errata e la decisione va cassata.

3.5.- Nel caso di specie, infatti la visualizzazione della targa dell’autoveicolo in questione, estraneo alla violazione contestata, si colloca nell’ambito di un più ampio rilievo fotografico che, unitamente agli altri elementi confluiti nello stesso (luogo ed ora della ripresa e rappresentazione del contesto globale in cui era evidenziata la violazione riscontrata a carico del veicolo contravvenzionato), appare idoneo a consentire una profilazione, senza che sia stato nemmeno accertato che ciò poteva essere funzionale o necessario alla compiuta esecuzione del controllo amministrativo.

3.6.- Ne consegue che, in sede di rinvio il Tribunale, a fronte del trattamento della targa dell’autoveicolo di proprietà di un terzo, connesso all’accertamento dell’infrazione commessa dal conducente di altro veicolo, dovrà verificare se tale trattamento abbia esorbitato i principi e le modalità fissate negli artt. 3, 11, 18 e 19, del D.Lgs. n. 196/2003, dovendo assumere rilievo la circostanza che il numero di targa, che poteva condurre all’identificazione del terzo proprietario, venne comunicato all’esterno mediante l’esposizione in una fotografia documentante l’infrazione altrui con indicazioni di tempo e di luogo, idonee a consentire una profilatura. In relazione a tale complessivo trattamento, si dovrà accertare se ricorreva la necessità del trattamento per il perseguimento delle finalità proprie dell’atto adottato, se ricorreva un trattamento di dati pertinenti e non eccedenti rispetto alle finalità perseguite (art. 11, comma 1,lett. d) del Codice) e se poteva avere ingresso la fattispecie derogatoria ex art.24, comma 1, lett. a), c) del D.Lgs. n. 196/2003; se la fattispecie, ricadeva o meno nell’ambito di applicazione dell’art.25, comma 2, che stabilisce “2. È fatta salva la comunicazione o diffusione di dati richieste, in conformità alla legge, da forze di polizia, dall’autorità giudiziaria, da organismi di informazione e sicurezza o da altri soggetti pubblici ai sensi dell’articolo 58, comma 2, per finalità di difesa o di sicurezza dello Stato o di prevenzione, accertamento o repressione di reati.” >>

Insegnamento esatto, anche se scontato.

Più interessante è invece il passaggio che tratta il come vada (ex ante) considerata la possibilità che il conducente non sia il proprietario (unico soggetto desumibile dal PRA) o che questi sia un ente anzichè persona fisica

Offerte pubblicitarie c.d. “Real Time Bidding” in internet e data protection: il relativo consenso costituisce “dato personale”?

Dice di si la Corte di Giustizia EU qualora l’interessato sia individuabile : il che avviene se il suo consenso sia abbinato al relativo indirizzo IP.

Questa in sintesi la risposta resa da Corte di Giustizia 7 marzo 2024, C-604/22, IAB Europe c. Gegevensbeschermingsautoriteit., con l’intervento di altri.

La CG esamina la fattispecie delle aste  automatiche di presenza pubblicitaria negli spazi creati dai colossi del web (Google e social vari) , che viene cocnessa a chi offre di più.  Meccanismo che però avviene “dietro le quinte”, cioè in modo non tarsparente all’utente, e che per questo è di fatto sconosciuto al grande pubblico.

La CG ne offre una spiegazione, imprescindibile per comprendere la decisione (spt. §§ 20-26), se non si è già nel settore.

Qui mi limito a ricordare il concetto di TC String (Transparency and Consent String), elemento digitale che comprende i consensi espressi.

Ed ora il passo più pertinente:

<< 43  Orbene, anche se una TC String, di per sé, non contenesse elementi che consentano l’identificazione diretta dell’interessato, rimarrebbe comunque il fatto, in primo luogo, che essa contiene le preferenze individuali di un utente specifico per quanto riguarda il suo consenso al trattamento dei dati personali che lo riguardano, nella misura in cui tale informazione «[riguarda] una persona fisica», ai sensi dell’articolo 4, punto 1, del RGPD.

44 In secondo luogo, è altresì pacifico che, quando le informazioni contenute in una TC String sono associate a un identificativo, come in particolare l’indirizzo IP del dispositivo di tale utente, esse possono consentire di creare un profilo di detto utente e di identificare effettivamente la persona specificamente interessata da tali informazioni.

45 Poiché il fatto di associare una stringa composta da una combinazione di lettere e di caratteri, come la TC String, a dati supplementari, in particolare all’indirizzo IP del dispositivo di un utente o ad altri identificatori, consente di individuare tale utente, si deve ritenere che la TC String contenga informazioni riguardanti un utente identificabile e costituisca quindi un dato personale, ai sensi dell’articolo 4, punto 1, del RGPD, il che viene corroborato dal considerando 30 del RGPD, che fa espresso riferimento ad una fattispecie del genere>>.

Nella questione pregudiziale successiva la CG esamina il quesito della titolarità del trattamento e cioè se il primo creatore della stringa cit. rimanga titolare  anche dopo averla ceduta a terzi per gli impieghi successivi. E la risposta è negativa.

La targa dei veicoli costituisce “dato personale”

Cass. Sez. I, Ord.  18/12/2023, n. 35.256 rel. Campese:

<<2.2. E’ indubbio che l’ informazione di cui si discute – la targa di un autoveicolo, in quanto riferita a soggetto identificato o identificabile – deve considerarsi dato personale>>.

<<2.5. Il Collegio, inoltre, è conscio del fatto che dal dato personale della targa, consultando il Pubblico Registro Automobilistico (PRA), è possibile risalire solo al nominativo dell’ intestatario del veicolo che, in astratto, potrebbe anche non esserne l’effettivo utilizzatore o, addirittura, essere una persona giuridica – non oggetto di tutela da parte del GDPR – o un soggetto diverso dall’effettivo proprietario. 2.5.1. Tuttavia l’affermazione del tribunale secondo cui Il numero di targa dei veicoli costituisce in una percentuale statisticamente preponderante un dato personale idoneo a risalire alla persona dell’utilizzatore del parcometro, consentendone, dunque, la profilazione, onde il trattamento non può dirsi irrilevante sotto questo profilo, in quanto fondata su valutazione evidentemente fattuale, non è ulteriormente sindacabile in questa sede (se non per vizio motivazionale nei ristretti limiti in cui il già richiamato art. 360 c.p.c., comma 1, n. 5 lo consente. Nessuna specifica censura in tal senso, tuttavia, è stata prospettata dalla odierna ricorrente), sicchè la doglianza finisce con il sostanziarsi in una inammissibile richiesta di rivisitazione di detta valutazione, così mostrando, ancora una volta, di non considerare che il giudizio di legittimità non può essere surrettiziamente trasformato in un nuovo, non consentito, ulteriore grado di merito, nel quale ridiscutere gli esiti istruttori espressi nella decisione impugnata, non condivisi e, per ciò solo, censurati al fine di ottenerne la sostituzione con altri più consoni alle proprie aspettative (cfr. le pronunce di legittimità già rinvenibili alla fine del p. 1.3.4. di questa motivazione)>>

Non mi pare esatto. E’  vero che il concetto è delineato in termini ampi dall’art. 4 n.1 GDPR. E’ pure vero tuttavia che la ratio della normativa protettiva sta nel permettere all’interessato la scelta di quanto e come divulgare ciò che non è ancora divulgato: e quindi viene meno quando il dato è appunto già in pubblico dominio, come per la presenza del nome nel PRA

Le coordinate bancarie IBAN costituiscono “dato persponale”

Secondo Cass. 19.02.2021 n. 4475, rel. Campese, le coordinate IBAN costituiscono <dato personale> ai sensi della disciplina privacy.
Nel caso specifico, un’assicurazione, risarcito il danno da infiltrazione ad un condomino per conto di altri condomino e proprio assicurato, aveva poi girato <<una stampa del sistema informativo interno della medesima compagnia nonchè un atto di liquidazione ove erano riportate, tra l’altro, le loro coordinate IBAN;>> a quest’ultimo (dal cui immobile erano provenute le infiltrazioni).

Il condomino/assicurato poi produceva tale documento in assemblea condominiale.

Per la S.C. :

a) l’IBAN è dato personale (§ 2.4, sostanzialmente immotivato);

b) non rende lecito il trattamento (cioè l’aver girato tale documento al suo assicurato) il dovere contrattuale di renderlo edotto del pagamento eseguito e di dargli copia del relativo documento probatorio: poteva infatti oscurarne l’IBAN (§ 2.5.2 e § 2.5.2.1).

La sentenza non convince.

Circa 1) la lamentata pubblicità del dato, reso pubblico dalla produzione in assemblea, prevede appunto anche quest’ultimo elemento, che è però riconducibile solo al condomino/assicurato (non all’assicurazione). La SC non valorizza tale circostanza.

Inoltre andrebbe precisato che l’IBAN costituisce dato personale solo se abbinato ad un nome, non da solo (nel qual caso nessuna riconoscibilità è possibile).

Circa 2) , è dubbio che il documento con IBAN oscurato sia prova sufficiente per l’assicurato. Se il danneggiato contestasse di aver ricevuto il risarcimento, come protrebbe provarlo il condominuo responsabile/assicurato? Gli servirebbe la contabile bancaria di versamento (che contiene l’IBAN). Tra l’altro, nel caso non c’è nemmeno l’azione diretta verso la compagnia, come nella RC auto.

La SC dispone l’oscuramento della sentenza ex art. 52 cod. priv. (d’ufficio, pare, non  essendo specificata istanza di parte)

La fattispecie storica è anteriore al GDPR.