Articoli, saggi, Responsabilità oggettiva, semioggettiva -  Mazzon Riccardo - 2015-03-11

RISARCIMENTO E ATTIVITA' PERICOLOSA: TRATTAMENTO DATI PERSONALI - Riccardo MAZZON

le sentenze più recenti in argomento: Tribunale Palermo, sezione III, n. 2904 del 11 giugno 2011

art. 15 del d. lgs. n. 196/2003

chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile

L'interessante pronuncia nasce da fattispecie così, per quanto qui d'interesse, ricostruita dal Tribunale adito:

gli attori sono titolari di conto corrente abilitato all'operatività on line;

dal predetto conto era stato eseguito un bonifico di euro 5.500,00 a favore di terza persona;

tale operazione non venne autorizzata dagli attori, ma da costoro disconosciuta (tramite reclamo, fax e denuncia);

non vi è agli atti documentazione che possa dimostrare la regolarità dell'operazione di bonifico (cfr. amplius il volume "Responsabilita' oggettiva e semioggettiva", Riccardo Mazzon, Utet, Torino 2012).

Avendo a mente tale ricostruzione, il giudicante ricorda come costituisca regola generale quella secondo cui il creditore, che agisce in giudizio - sia per l'adempimento sia per la risoluzione ed il risarcimento del danno -, deve fornire la prova della fonte negoziale del suo diritto, limitandosi ad allegare l'inadempimento della controparte, su cui incombe l'onere della dimostrazione del fatto estintivo costitutivo dell'adempimento; nel caso di specie, precisa il Tribunale, gli attori hanno provato l'esistenza del rapporto obbligatorio in forza del quale agiscono ed allegato l'inadempimento della convenuta.

Quanto alle difese dell'istituto di credito,

"da un canto, si sono limitate ad affermare labialmente che il correntista "potrebbe aver fornito a terzi" i codici e chiavi di accesso ai servizi dispositivi, dall'altro, hanno indicato le misure di sicurezza predisposte per evitare l'accesso al sistema, producendo le certificazioni di conformità e sicurezza del sistema, rilasciate da Organismi di Certificazioni, accreditati presso il (...). Tali certificazioni, sebbene siano idonee ad attestare la sicurezza di quel tipo di sistema adoperato, non consentono di escludere la possibilità che si possa verificare un bug nello stesso. Inoltre, il sistema predisposto dalla società convenuta non appare adeguato alla tecnologia esistente, invero, il PIN richiesto era di sole 4 cifre, mentre l'identificativo utente corrispondeva all'indirizzo e-mail di poste italiane del cliente (nel caso di specie (...)), pertanto, facilmente ricavabile. Infine, contrariamente a quanto previsto contrattualmente la società convenuta non ha dato conferma, a mezzo posta elettronica dell'avvenuto bonifico, di cui gli attori ebbero conoscenza solamente il giorno seguente" Tribunale Palermo, sez. III, 11/06/2011, n. 2904 - Diritto & Giustizia 2011.

Di qui la ritenuta applicabilità, da parte del Tribunale, al caso di specie, della previsione di cui all'art. 15 del d. lgs. n. 196/2003, la quale statuisce che chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile; invero, la società convenuta, non impedendo a terzi di introdursi illecitamente nel sistema, ha cagionato un danno ai propri risparmiatori, quale titolare del trattamento dei dati personali.

Ulteriormente, precisa sempre il giudicante, l'art. 31 del d. lgs. n. 196/2003 impone che i dati personali, oggetto di trattamento, siano custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta; in applicazione dei predetti principi, l'istituto convenuto avrebbero dovuto adottare tutte le misure di sicurezza, tecnicamente idonee e conosciute in base al progresso tecnico, a prevenire danni, come quelli verificatisi in capo agli attori, non essendo sufficiente la non violazione di norme di legge, posto che la diligenza richiesta deve essere valutata con maggior rigore, atteso che la prestazione inerisce all'esercizio di un'attività professionale:

"nel caso in esame, nessuna prova è stata fornita ed il sistema adottato dalla convenuta appare inadeguato se raffrontato con quello adoperato da altri operatori, cui successivamente la stessa società convenuta si è conformata, (cfr. lettera (...), allegata all'istanza di remissione in termini, di cui si consente la produzione attesa la formazione della stessa in data successiva allo scadere dei termini di cui all'art. 183 VI comma c.p.c..)" Tribunale Palermo, sez. III, 11/06/2011, n. 2904 - Diritto & Giustizia 2011.



Autore

immagine A3M

Visite, contatti P&D

Nel mese di agosto 2020 Persona & Danno ha registrato oltre 241.000 visite.

Articoli correlati