Il Consiglio di Stato ed il rimborso dei costi per l’accesso ai dati personali

Autore: Avv. Hermans Joseph IEZZONI Data: 22 settembre 2009

Il Consiglio di Stato in sede giurisdizionale, sentenza 5198/2009, si è occupato del diritto di accesso ai dati personali e precisamente dell’articolo 10 del decreto legislativo 30 giugno 2003 n. 196 che prevede la corresponsione di un rimborso dei costi “effettivamente supportati” qualora non risulti conferma dell’esistenza di dati che riguardano l’interessato.

Poiché il rimborso è subordinato all’individuazione a cura del Garante, per la protezione dei dati personali, di un tetto massimo, anche forfettario, che tenga conto del numero e della complessità delle richieste, oltre che di eventuali particolari supporti per riproduzione, secondo il Consiglio di Stato tale potere ha come finalità di interesse pubblico quella di impedire che costi eccessivi disincentivino l’esercizio di un diritto e per questo il Garante è chiamato a stabilire un equilibrio economico tra la pretesa di chi esercita il diritto di accesso verso i propri dati ed i titolari del trattamento.

Dalla natura di interesse legittimo della situazione soggettiva del titolare del trattamento dei dati discende che la competenza a giudicare la controversia e la lesione dell’interesse appartenga alla giustizia amministrativa.

REPUBBLICA ITALIANA

IN NOME DEL POPOLO ITALIANO

Il Consiglio di Stato in sede giurisdizionale (Sezione Sesta) ha pronunciato la seguente

DECISIONE

sul ricorso in appello n. 3767 del 2009, proposto dal GARANTE PER LA PROTEZIONE DEI DATI PERSONALI, in persona del Presidente pro tempore, rappresentato e difeso dall’Avvocatura Generale dello Stato presso cui è domiciliato in Roma, via dei Portoghesi n. 12;

contro

CRIF S.P.A., in persona del legale rappresentante pro tempore, rappresentato e difeso dagli avvocati Riccardo Imperiali e Gianfranco di Sabato, con domicilio eletto presso lo studio dell’avvocato Maria Selvaggia Forza in Roma via Carlo Poma, n. 4;

per l’annullamento

della sentenza del Tribunale Amministrativo Regionale del Lazio sezione seconda,23 gennaio 2009 , n. 587;

Visto il ricorso con i relativi allegati;

Visto l’atto di costituzione in giudizio della parte appellata;

Viste le memorie prodotte dalle parti a sostegno delle rispettive difese;

Visti gli atti tutti della causa;

Alla pubblica udienza del 19 maggio 2009 relatore il Consigliere Aldo Fera.

Udite per le parti l’Avv. dello Stato Aiello e l’Avv. Imperiali e Di Sabato;

Avvisate le parti che l’appello, vertendo in materia di silenzio dell’amministrazione, va deciso, ai sensi dell’articolo 21 bis della legge 6 dicembre 1971 n. 1034 aggiunto dall’articolo 2 della legge 21 luglio 2000 n. 205, nella presente camera di consiglio;

Ritenuto e considerato in fatto e in diritto quanto segue:

FATTO

Oggetto dell’appello è la sentenza specificata in rubrica, con la quale il TAR del Lazio, in accoglimento del ricorso proposto da CRIF s.p.a. contro il silenzio-rifiuto serbato dal Garante per la protezione dei dati personali sull’istanza intesa ad ottenere l’emanazione degli atti di cui all’articolo 10, comma 8, del decreto legislativo 30 giugno 2003 n. 196, inerenti al contributo di cui al precedente comma 7, ha ordinato all’autorità amministrativa intimata di attivare il procedimento amministrativo relativo all’istanza medesima.

Secondo il primo giudice, che ha affermato la propria giurisdizione ritenendo inapplicabile nella specie l’articolo 152, comma 1, del decreto legislativo n. 196/2003 2003 , “il Garante intimato non è munito di potestà discrezionale in ordine all’an del concreto provvedere“.

L’appellante, che contesta le motivazioni contenute nella sentenza, propone i seguenti motivi d’appello:

1. quanto alla giurisdizione, l’avverbio “comunque” contenuto con riferimento alla “applicazione delle disposizioni del presente codice” nel richiamato articolo 152, comma 1, del decreto legislativo n. 196/2003, introduce un principio di inderogabilità al criterio attributivo della giurisdizione stabilito direttamente dal legislatore;

2. quanto al merito della sentenza, dal principio di tendenziale gratuità dell’esercizio del diritto di accesso si ricava che lo speciale contributo previsto dalla legge può essere richiesto solo nel caso in cui il Garante nei casi previsti dalla legge ne abbia individuato l’importo massimo. Nel caso di specie ciò è stato fatto con deliberazione di carattere generale del 23 dicembre 2004, n. 12, tuttora vigente e mai impugnata dal ricorrente di primo grado. Né alcun rilievo può essere dato alla circostanza che in quella sede il Garante, con norma transitoria limitata al solo anno 2005, abbia attribuito alla ricorrente la facoltà di chiedere un contributo in poche limitate ipotesi. Si tratta infatti di una norma eccezionale non rinnovabile perché non esistono più i presupposti per la sua reiterazione. In sostanza, secondo l’appellante, l’articolo 10 del codice della privacy, nell’affermare il Garante “può provvedere, non impone alcun obbligo, bensì attribuisce all’Autorità il potere di determinare l’an e il quantum del contributo.”

Conclude quindi chiedendo, in riforma della sentenza appellata, il rigetto del ricorso di primo grado.

La CRIF s.p.a., costituita nel presente giudizio d’appello, controbatte le tesi avversarie, osservando in particolare che la richiesta di richiedere un contributo, nell’ipotesi in cui risulta confermata l’esistenza dei dati che riguardano l’interessato, è dovuta non solo al notevole impiego di mezzi in relazione alla complessità e all’entità della richiesta, ma soprattutto al fatto che tale tipo di richieste è notevolmente aumentato dal 2004 al 2008, comportando un costo notevole per l’impresa. Conclude, infine, per il rigetto dell’appello.

DIRITTO

1. Oggetto dell’appello, proposto dal Garante per la protezione dei dati personali, è la sentenza di cui all’epigrafe, con la quale il Tar del Lazio, in accoglimento del ricorso proposto da CRIF s.p.a. contro il silenzio-rifiuto serbato sull’istanza intesa ad ottenere l’emanazione degli atti di cui all’articolo 10, comma 8, del decreto legislativo 30 giugno 2003 n. 196, inerenti al contributo di cui al precedente comma 7, ha ordinato all’autorità intimata di attivare il procedimento amministrativo relativo all’istanza medesima.

2. L’appello, con il quale la sentenza di primo grado è contestata sotto i profili del difetto di giurisdizione del giudice amministrativo e dell’inesistenza dell’obbligo di provvedere da parte della autorità intimata, è da respingere.

I due motivi d’appello vanno trattati congiuntamente, in quanto entrambe le questioni richiedono l’analisi del potere attribuito al Garante in relazione alla specifica situazione soggettiva dell’avente titolo al contributo in questione.

In presenza di un sistema costituzionale di riparto della giurisdizione incentrato sulla natura – di interesse legittimo o di diritto soggettivo- della situazione giuridica soggettiva fatta valere in giudizio dal privato, che ammette la giurisdizione esclusiva (articolo 103, comma 1, della Costituzione) del giudice amministrativo, solo in via di eccezione e limitatamente “ a specifiche controversie connotate non già da una generica rilevanza pubblicistica, bensì dall’intreccio di situazioni soggettive qualificabili come interessi legittimi e come diritti soggettivi” (Corte costituzionale, 6 luglio 2004 , n. 204), una lettura dell’articolo 152, comma 1, del decreto legislativo n. 196/2003 nel senso della introduzione di una giurisdizione esclusiva nei riguardi del giudice ordinario estesa agli interessi legittimi appare non condivisibile e non conforme alla norma Costituzionale. La disposizione di cui all’art 152 richiamato, non persegue la finalità sostenuta dall’appellante, di fondare la giurisdizione sulla sola individuazione del soggetto pubblico coinvolto alla controversia, bensì quella di chiarire come i provvedimenti del Garante riguardanti la protezione dei dati personali, in quanto incidenti su diritti soggettivi dei privati, sono soggetti al sindacato dell’autorità giudiziaria ordinaria secondo le particolari regole di procedura dettate dai successivi comma contenuti nel medesimo articolo.

Ne consegue che, nel caso sottoposto al Collegio, l’analisi della situazione soggettiva è indispensabile per affermare la giurisdizione.

Ciò detto, l’articolo 10 del decreto legislativo 30 giugno 2003 n. 196, ai comma sette ed otto, afferma che, quando non risulta confermata l’esistenza di dati che riguardano l’interessato, il titolare del trattamento dei dati, nei confronti del quale sia stato esercitato il diritto di accesso, può chiedere un contributo spese non eccedente i costi effettivamente sopportati per la ricerca effettuata nel caso specifico, che “non può comunque superare l’importo determinato dal Garante con provvedimento di carattere generale”. Il comma otto aggiunge, poi, che “con il medesimo provvedimento il Garante può prevedere che il contributo possa essere chiesto quando i dati personali figurano su uno speciale supporto del quale è richiesta specificamente la riproduzione, oppure quando, presso uno o più titolari, si determina un notevole impiego di mezzi in relazione alla complessità o all’entità delle richieste ed è confermata l’esistenza di dati che riguardano l’interessato.” Ed è quest’ultima ipotesi quella che qui interessa, in quanto il ricorrente di primo grado ha chiesto al Garante di autorizzarlo a richiedere il contributo, nella considerazione che il numero delle istanze di accesso si era triplicato passando da quasi 67.000 del 2004 a circa 190.000 del 2008, determinando così un eccessivo onere economico per l’azienda.

Emerge con chiarezza, dalla lettera della disposizione, che il potere attribuito al Garante per la protezione dei dati personali è finalizzato al perseguimento dell’interesse pubblico di conservare un equilibrio economico, contemperando l’interesse di coloro che hanno titolo ad esercitare il diritto d’accesso con quello dei titolari del trattamento dei dati in modo da evitare da un lato che una eccessiva lievitazione dei contributi possa di fatto impedire l’esercizio del diritto e dall’altro che il diritto all’accesso si traduca in un insopportabile peso economico per l’azienda. Nel fare ciò, la legge non prefigura parametri rigidamente predeterminati ma, una volta indicato l’obiettivo da raggiungere ed i presupposti per la richiesta del contributo, si affida al potere discrezionale attribuito alla Garante. Potere discrezionale rispetto al quale la situazione soggettiva delle titolare del trattamento dei dati non può che avere la consistenza dell’interesse legittimo.

Dalla considerazione che precede, quanto alla giurisdizione, emerge la competenza degli organi della giustizia amministrativa a conoscere delle controversie riguardanti l’esercizio, o il non esercizio, del potere di determinazione del contributo, concernendo queste l’accertamento della lesione di interessi legittimi. Quanto al merito, che la discrezionalità attribuita al garante attiene al quomodo ma di certo non all’an. Infatti, al Garante spetta solo il potere di quantificazione del contributo ma non anche quello di stabilire i presupposti in base ai quali il diritto di accesso può comportare la sua corresponsione. Tali presupposti, sono dettati direttamente dal legislatore, che, nel caso di specie, ha ritenuto come il contributo sia dovuto laddove si determini ” un notevole impiego di mezzi in relazione alla complessità o all’entità delle richieste”. Ed è evidente come l’esistenza dei presupposti non può essere valutata a priori, come sostiene l’appellante, ma deve essere apprezzata dagli organi competenti, sulla base delle richieste presentate dai titolari dei trattamento e dopo una adeguata ed approfondita istruttoria. Il che implica necessariamente l’apertura del procedimento amministrativo.

L’appello, pertanto, deve essere respinto.

Le spese seguono la soccombenza e vanno liquidate nella misura di € 3000,00 (tremila) per questo grado di giudizio.

P.Q.M.

Il Consiglio di Stato in sede giurisdizionale, Sezione Sesta, definitivamente pronunciando sull’appello in epigrafe lo respinge.

Condanna l’Amministrazione appellante al pagamento delle spese del presente giudizio, che liquida in complessivi € 3000,00 in favore della società appellante.

Ordina che la presente decisione sia eseguita dall’Autorità amministrativa.

Così deciso in Roma, il 19 maggio 2009 dal Consiglio di Stato, in sede giurisdizionale – Sez.VI – nella Camera di Consiglio, con l’intervento dei Signori:

Giuseppe Barbagallo Presidente

Paolo Buonvino Consigliere

Aldo Fera Consigliere est.

Rosanna De Nictolis Consigliere

Domenico Cafini Consigliere

Presidente

Consigliere Segretario

DEPOSITATA IN SEGRETERIA

Il 03/09/2009

(Art. 55, L.27/4/1982, n.186)

Il Direttore della Sezione

| Categorie: diritto, Hermans Joseph Iezzoni, sentenze, tutti | Etichette: 5198/2009, Articolo 10, Codice in materia di protezione dei dati personali, conseguenze del mancato consenso, Consiglio di Stato, costi, dati raccolti, Diffusione, diritti, Diritto soggettivo, equilibrio economico, finalità del trattamento, forfettario, Garante Privacy, incaricato, Informativa, informativa sulla privacy, Interesse legittimo, modalità, Notificazione, Ordinanza, privacy, responsabile, rimborso, Riparto di giurisdizione, soddisfazione, trattamento illecito di dati, Ufficio Del Garante | L'articolo deve essere citato così: "Avv. Hermans Joseph IEZZONI, Il Consiglio di Stato ed il rimborso dei costi per l’accesso ai dati personali, 22 settembre 2009, http://dallatuaparte.com". Grazie!

Yahoo Meme, i termini del servizio visti da vicino

Autore: Avv. Hermans Joseph IEZZONI Data: 21 settembre 2009

Un commento

Ho ricevuto un invito (si ringrazia Paolo Valenti) per provare l’Alpha Version di Meme il nuovo social o, come lo hanno ribattezzato i suoi autori, il nuovo “memeplex” di Yahoo SEA.

Prima di cominciare ad utilizzare Meme, oltre al contratto che regola gli account Yahoo, occorre accettare i termini propri del nuovo servizio che già dalla lettura risultano molto restrittivi .

Prestiamo attenzione a quanto viene proposto. Al primo articolo, dedicato all’Acceptance of Service Terms, Yahoo SEA, riservandosi la libertà di modificare in ogni tempo le clausole, chiede di accettare che ogni utilizzo del servizio, ossia ogni thread immesso, corrisponderà anche ad una nuova accettazione delle clausole e, all’articolo 2, la possibilità che in futuro Meme diventi a pagamento.

Per quanto riguarda il contenuto immesso in Meme, che si tratti di testo, di immagini, di link o video, Yahoo SEA chiede che l’utente la sollevi accettando di esserne giuridicamente il solo responsabile anche per questioni riguardanti la privacy, poiché il servizio è pubblico e le informazioni sono accessibili a chiunque. Unitamente alla lettera d) dell’articolo 3, all’articolo 4 e all’articolo 10, si fa menzione della manleva e si ricava che l’utente dovrà accettare di rimborsare tutti i danni e le spese di Yahoo! SEA e affiliati, comprese quelle legali subite.

Interessante è anche questo passaggio dell’articolo 2, “If the Service provides You with the option of limiting the sharing […] Yahoo! SEA will honor the option You have selected […]” dal quale si può dedurre che in futuro sarà possibile limitare la condivisione dei contenuti magari solo ai propri contatti e non più genericamente al “pubblico”.

L’articolo 3 descrive le pratiche vietate ed il contenuto che l’utente deve impegnarsi a non immettere. Nello specifico, alla lettera a) in tema di diritto d’autore, in estrema sintesi, è vietato inserire tutto quel materiale per il quale non si disponga in prima persona dei diritti o delle autorizzazioni necessarie, anche nel caso in cui tale materiale sia già diffuso al pubblico sul web; alla lettera b) è vietato riferirsi o immettere dati relativi ad una persona che possa essere individuata, ad esempio tramite il nome od altre caratteristiche, se non si è stati autorizzati dalla stessa e per iscritto a farlo; alla lettera c) è vietato ogni contenuto discutibile o pregiudizievole per l’altrui privacy, per le altrui convinzioni religiose o comunque ritenuto illegale, offensivo, diffamatorio, inopportuno, volgare, pornografico e razzista.

L’articolo 4, condiziona l’utente ad accordare a Yahoo SEA un illimitato, irrevocabile e irreversibile diritto di distribuzione, diffusione e pubblicazione del materiale inserito, a titolo gratuito, e non solo anche il diritto di poter studiare, modificare, manipolare e trasformare il medesimo contenuto, non solo per adattarlo a piattaforme diverse o ai “media channels”, ma anche per ricavarne algoritmi o integrarvi la pubblicità.

Curiosamente l’articolo 5, nel ribadire la responsabilità dell’utente riguardo la menzione dei crediti per il materiale pubblicato, apre la strada ad una riserva. Infatti Yahoo! SEA si riserva discrezionalmente il diritto di non divulgare i crediti nell’eventualità che possano risultare non appropriati (?!?): “to the manner, mode or type of disclosure, transmission, display, publication and/or running of Content“. E l’articolo 6, ricollegandosi a quanto appena detto, invita l’utente, intenzionato a proteggere la paternità dei propri contenuti, ad inserire, anche nel corpo dei commenti, i propri crediti come farebbe se il materiale appartenesse ad altri.

All’articolo 7, Yahoo! SEA prende genericamente le distanze dal contenuto immesso dai singoli utenti, ribadendo che non ha alcun controllo sulle opinioni espresse ed impegna il contraente a ritenerla sollevata dalla responsabilità per quanto in Meme potrà trovarvi.

Strano poi è l’articolo 8, che mentre menziona la possibilità materiale di cancellare i thread, rendendo così non più disponibile al pubblico il contenuto precedentemente condiviso, invita l’utente ad accettare che Yahoo! SEA ne abbia un pieno controllo irrevocabile anche al di là della sospensione o disattivazione del servizio. Sembra dunque che i dati potranno continuare ad essere diffusi ma è spontaneo domandarsi come questa riserva si concilia con la cancellazione di cui sopra? Ammesso che la clausola si riferisca all’ipotesi del thread condiviso da altri utenti, contenuto che continuerà ad essere visualizzato nella bacheca/home di ciascun contatto, resta il dubbio, leggendo la genericità della clausola, che Yahoo! SEA continui a detenere una copia anche di quanto viene cancellato.

All’articolo 9, l’utente è chiamato ad accettare l’integrazione della pubblicità all’interno dei thread rinunciando anche a percepire qualsiasi utile derivante dall’adversiting.

L’articolo 10, come già visto, si occupa della manleva, mentre l’articolo 11 riguarda la discrezionalità nel potere di Yahoo! SEA e dei suoi affiliati di punire le condotte, anche tentate, in violazione del contratto, sospendendo, cancellando o rifiutando non solo il servizio direttamente connesso a Meme ma anche tutti gli altri erogati da Yahoo!. Questa eccessiva riserva “punitiva” si riscontra anche nelle linee guida dove è possibile leggere: “At the discretion of Yahoo! Southeast Asia, violations may further result in cancellation of your Yahoo! ID and, consequently, in the loss of access to all other portal services“.

All’articolo 12, vi è una clausola di salvaguardia della validità delle intenzioni generali espresse nel contratto in caso di contestata validità. Mentre l’articolo 14 invita l’utente ad accettare la giurisdizione di un Tribunale con sede nella Repubblica di Singapore e le leggi del luogo, a prescindere dai contrasti nell’applicazione dei principi di diritto.

(Attenzione i termini del servizio, accessibili a questa pagina http://meme.yahoo.com/help/atos/, potrebbero essere stati aggiornati rispetto alla data di pubblicazione del presente articolo)

| Categorie: diritto, Hermans Joseph Iezzoni, tutti | Etichette: alpha version, bacheca, ban, clausole, Contratto, Diritto d'autore, disclaimer, divieti, giurisdizione, home, ID, meme, principi di diritto, privacy, regole, restrizioni, servizi, servizio, social, thread, violazione, violazioni, web, Y! Meme, Yahoo! Meme, Yahoo! SEA | L'articolo deve essere citato così: "Avv. Hermans Joseph IEZZONI, Yahoo Meme, i termini del servizio visti da vicino, 21 settembre 2009, http://dallatuaparte.com". Grazie!