COMUNE E INDIRIZZO PEC NON ISTITUZIONALE DEL DIPENDENTE – VIOLAZIONE DELLA PRIVACY

IL COMUNE VIOLA LA PRIVACY INDICANDO UN INDIRIZZO PEC NON ISTITUZIONALE DEL PROPRIO DIPENDENTE

 La Cassazione con l’ordinanza n. 29978/2020 ha stabilito che il Comune che indica un indirizzo PEC non istituzionale riferibile ad un proprio dipendente, anche se quest’ultimo è responsabile dell’ufficio si viola le norme sul trattamento dei dati personali contenute nel D.Lgs. n. 196/2003.

Il caso

I ricorrenti agivano in giudizio contro il Comune X che aveva indicato nel sito della Prefettura un indirizzo PEC, rivelatosi poi di dominio privato in quanto appartenente ad un’azienda agricola, a cui gli attori avevano inviato propri dati personali e riservati relativi alla situazione amministrativa, tributaria e previdenziale, lamentando dunque l’illecito trattamento dei loro dati da parte del Comune e specificatamente la violazione del diritto alla riservatezza, della sicurezza nelle comunicazioni e della segretezza della corrispondenza.

Di conseguenza i ricorrenti chiedevano che il convenuto operasse la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge ai sensi dell’art. 7, comma 3, lett. b), D.Lgs. n. 196 del 2003 oltre ad essere condannato a risarcire il danno non patrimoniale subito.

Il Tribunale rigettava il ricorso in quanto l’indirizzo PEC indicato dal Comune  nel sito della Prefettura doveva qualificarsi come istituzionale ai sensi del D.L. n. 185 del 2008, inoltre il fatto che l’indirizzo PEC fosse di dominio privato era bilanciato dal fatto che il titolare di tale indirizzo era il responsabile dell’ufficio comunale e non ci sono prove che tali dati potrebbero essere stati portati a conoscenza di soggetti terzi, poiché l’indirizzo di posta elettronica si presume ad uso esclusivo del titolare dello stesso in quanto protetto da password. In aggiunga i ricorrenti non avevano dimostrato che i dati comunicati fossero stati utilizzati per finalità diverse da quelle istituzionali né che del pregiudizio materiale o morale subito. Gli attori proponevano dunque ricorso dinnanzi la Corte di Cassazione.

Il quadro normativo

Nell’ambito del quadro normativo sulla privacy il  D.L. 29 novembre 2008, n. 185, convertito, con modificazioni, nella L. 28 gennaio 2009, n. 2, prevede all’ art. 16 comma 8 che “le amministrazioni pubbliche debbono dotarsi di una casella di posta certificata o analogo indirizzo di posta elettronica di cui al comma 6 per ciascun registro di protocollo e debbono darne comunicazione al Centro nazionale per l’informatica nella pubblica amministrazione, che provvede alla pubblicazione di tali caselle in un elenco consultabile per via telematica”.

 La decisione

La Corte di Cassazione ha affermato che il Tribunale non si è limitato ad eseguire un esame dei fatti caratterizzanti la fattispecie concreta ma ha effettuato una qualificazione della PEC in contrasto con la normativa dettata dal Codice dell’amministrazione digitale in quanto non basta che l’ente pubblico indichi un indirizzo PEC come indirizzo istituzionale per renderlo tale qualora non osservi la normativa di riferimento.

In tal caso dunque, il Comune ha posto in essere condotte illecite ai sensi del D.Lgs. n. 196 del 2003, poiché i dati personali dei ricorrenti dovevano essere inviati mediante un indirizzo PEC conforme ai parametri dettati dall’art. 6 del Codice dell’amministrazione digitale, violando anche il parametro della giuridica riferibilità del mezzo di trasmissione telematica al Comune. I giudici infatti affermano che l’utilizzo di una PEC non giuridicamente riferibile al Comune ha comportato non solo “la comunicazione dell’indirizzo di posta elettronica dei ricorrenti a soggetto non autorizzato, che ha avuto accesso alla corrispondente casella di posta elettronica, ma è anche avvenuta la contestuale trasmissione, con lo stesso mezzo, di documentazione di carattere riservato”.

Infine dunque, il mancato utilizzo di un indirizzo di posta certificata da parte dell’ente ha comportato la lesione del diritto degli interessati a conoscere in qualsiasi momento chi possedeva i loro dati personali e come li adoperava, oltre alla lesione del diritto all’informazione e alla riservatezza dei dati personali e della corrispondenza trasmessa tramite i sistemi informatici.

Di conseguenza la Corte di Cassazione ha accolto il ricorso cassando la sentenza di 1°grado e rinviando la causa al Tribunale territorialmente competente.