La Cassazione civile, Sez. II, con sentenza del 21 maggio 2026, n. 15625 (Pres. Falaschi, Rel. De Giorgio) si è pronunciata sulla legittimità dell’avvenuta estrazione di alcuni dati personali di una specifica categoria di soggetti pre individuata, da parte di INPS, in occasione dei controlli occasionati dall’erogazione del c.d. bonus Covid.
Alla luce della necessaria emissione immediata del pagamento del bonus, INPS aveva infatti riservato ad un momento successivo la verifica dei presupposti per l’ottenimento del bonus stesso.
Poiché il D.l. n. 18/2020 escludeva il diritto al bonus Covid per coloro che fossero stati iscritti, al momento della presentazione della domanda, ad altre forme di previdenza obbligatorie (come i parlamentari e gli amministratori regionali e locali), INPS aveva effettuato una verifica, verso questi ultimi, acquisendo i dati anagrafici dei titolari di incarichi elettivi dalle banche dati della Camera, del Ministero dell’Interno e del Senato, estraendo il codice fiscale e, tramite il confronto con i codici fiscali dichiarati dai richiedenti il bonus, ha individuato i soggetti incompatibili suindicati.
In tale contesto, il Garante Privacy ha evidenziato come, tramite tale operazione, fossero stati violati i principi di liceità, correttezza e trasparenza, di minimizzazione dei dati trattati, di esattezza, di protezione dei dati personali fin dalla progettazione e per impostazione predefinita nonché l’obbligo di realizzare una valutazione d’impatto e, da ultimo, il principio di responsabilizzazione.
INPS, a seguito della sanzione comminata dal Garante, ha richiesto all’autorità giudiziaria, l’annullamento del provvedimento ovvero la riduzione della sanzione.
Alla luce dell’accoglimento del ricorso e annullato il provvedimento del Garante, da parte del Giudice, l’Autorità Garante ha proposto ricorso per Cassazione.
Sulla base giuridica del trattamento
Secondo il Garante, INPS aveva effettuato gli accertamenti sulla sussistenza dei presupposti legittimanti l’erogazione del bonus per categorie di soggetti, e non in relazione al singolo beneficiario. INPS, infatti, aveva chiesto al Ministero del lavoro un parere solo in merito ai parlamentari e agli organi rappresentativi degli enti locali, e non in termini generali rispetto ai requisiti previsti dalla legge.
La Corte, in merito al citato motivo, ha ritenuto come il trattamento oggetto di causa risulti essere finalizzato ad un pubblico interesse o connesso all’esercizio di pubblici poteri di cui era investito il titolare del trattamento.
I dati oggetto di trattamento, si precisa, erano quelli anagrafici di deputati e amministratori regionali e locali ed è stato effettuato tramite banche dati aperte disponibili a chiunque. Per tale motivo, la Corte ha ritenuto non trattarsi di dati sensibili di cui all’art. 9 GDPR.
In aggiunta, l’art. 6 GDPR disciplina le condizioni di liceità del trattamento, prevedendo, per l’ipotesi in cui esso avvenga senza il consenso dell’interessato, ma per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, che lo stesso si fondi su un’adeguata base normativa.
La Corte, quindi, ha evidenziato come il Tribunale di merito abbia ritenuto chiara e precisa la base giuridica costituita dalla normativa emergenziale di cui al D.l. n. 18/2020. Era quindi irrilevante la richiesta del parere ministeriale, quale base giuridica dedotta dal Garante a sostegno della legittimità del trattamento.
Sul preventivo e generalizzato trattamento di dati personali
Secondo l’orientamento del Garante il trattamento realizzato da INPS è risultato essere preventivo e generalizzato. Ha, infatti, riguardato tutti i richiedenti il bonus covid, anche coloro nei confronti dei quali le domande erano già state esaminate e rigettate.
La Cassazione, nel ricordare come il principio di privacy by design abbia lo scopo di garantire un corretto livello di privacy e protezione dei dati personali fin dalla fase di progettazione, evidenzia come il titolare e il responsabile del trattamento debbano essere proattivi e preventivi, individuando a tal fine le misure tecniche ed organizzative idonee a rispettare le garanzie.
Deve evidenziarsi, però, come il considerando 4 del GDPR preveda che la protezione dei dati personali non sia un diritto assoluto ma debba essere considerato “alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità”.
Anche il principio di minimizzazione non ha carattere assoluto, deve, infatti, essere realizzata di volta in volta la comparazione tra la tutela del diritto alla riservatezza dei dati personali e le esigenze che ne giustificano il trattamento.
Il diritto alla corretta gestione de propri dati, quindi, va necessariamente bilanciato con gli altri diritti altrettanto rilevanti sul piano costituzionale.
Nel caso di specie, i diritti costituzionalmente rilevanti in gioco erano la celerità, trasparenza ed efficacia dell’attività amministrativa. La ponderazione tra gli interessi coinvolti è rimessa al giudice di merito ed è insindacabile in sede di legittimità.
In aggiunta, la Corte evidenzia come debba tenersi conto del fatto che il trattamento oggetto di causa sia avvenuto in un caso particolare, legato allo stato emergenziale, all’ingente quantità di domande pervenute a all’esigenza di assicurare la rapidità della risposta istituzionale.
Sull’errata estrazione dei dati da parte di INPS
Altro motivo indicato dal Garante nel ricorso era la possibile errata estrazione da parte di INPS del codice fiscale dei soggetti appartenenti alla classe politica, in quanto non in grado di scongiurare rischio di c.d. omocodie (ossia l’identità di codice fiscale fra due o più persone).
La Cassazione, al riguardo precisa come i dati raccolti dovevano presumersi esatti. L’art. 6 d.m. 12 marzo 1974 n. 2227, infatti, “prevede che, quando l’espressione alfanumerica relativa ai primi quindici caratteri del codice risulta comune a due o più soggetti, si provvede a differenziarla per ciascuno dei soggetti successivi al primo soggetto codificato, il che significa che a nessuno dei soggetti coinvolti viene attribuito il codice così determinato”.
In aggiunta, precisa la Corte, non vi è alcun rischio per la riservatezza nella modalità utilizzata da INPS alla luce del fatto che è impossibile associare un qualsiasi soggetto al codice eventualmente errato.
In merito al caso di specie, poi, viene rilevato come non sia stata evidenziata alcuna inesattezza nell’identificazione dei soggetti. La contestazione in questione è quindi meramente astratta.
#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
Cristiana
Source link
