Questo interrogativo è stato affrontato di recente nella sentenza n. 19270 della Corte di Cassazione, Sez. I Civile del 7 luglio 2021.
La Corte di Cassazione, infatti, ha fatto rientrare nel novero dei dati personali anche la chiave elettronica dell’autovettura e per questo motivo ha accolto il ricorso di un’automobilista contro la BMW ITALIA SPA, per aver consegnato una copia della chiave elettronica ad un truffatore, integrando ciò un trattamento illecito di dati personali.
La vicenda
Un automobilista aveva chiesto al Tribunale di Milano la condanna di BMW ITALIA SPA al risarcimento di tutti i danni, patrimoniali e non patrimoniali subiti, per l’illecito trattamento dei suoi dati personali, avvenuto attraverso il rilascio di un duplicato della chiave elettronica della sua autovettura (che era stata rubata) ad un soggetto non autorizzato che poi si era rivelato un truffatore.
Il Tribunale di Milano rigettava però il ricorso affermando che non veniva riscontrato alcun illecito trattamento dei dati personali in occasione della consegna di una copia della chiave elettronica; questa, infatti, non aveva la natura di “dato personale”. Osservava il Tribunale di primo grado che un eventuale trattamento si sarebbe potuto avere con la comunicazione del numero di telaio, poiché solo questo aveva le caratteristiche del dato personale. Dato che il numero del telaio era già nella disponibilità del soggetto che aveva rubato l’autovettura, la consegna della chiave elettronica, per il Tribunale di Milano, non aveva comportato alcun illecito trattamento dei dati personali.
Il ricorso per cassazione contro la sentenza del Tribunale di Milano
Nell’impugnativa avverso la sentenza di primo grado davanti alla Corte di Cassazione il ricorrente puntualizzava che la censura non avesse ad oggetto la comunicazione del numero di telaio dell’autovettura, ma l’indebito trattamento e la comunicazione del codice individuale “Personality Code”. Questo “Codice” viene abbinato alla vettura di ogni cliente ed è indispensabile per accedere all’utilizzo dell’automezzo ed è gestito direttamente ed esclusivamente dal gruppo BMW.
Nel caso specifico, il codice individuale è stato immagazzinato nella chiave elettronica che veniva indebitamente rilasciata; infatti, questo “codice” contiene una serie di dati in grado di fornire informazioni sul soggetto proprietario.
A ben veder, quindi, la vicenda processuale non riguardava il furto che si era verificato, ma la cessione a terzi di un dispositivo – la chiave elettronica – contenente una serie di dati in grado di fornire informazioni sul soggetto proprietario.
Infatti, il ricorrente denunciava l’illiceità della comunicazione dei codici personali “Personality Code”, avvenuta mediante la consegna del duplicato della chiave a persona diversa dal proprietario dell’autoveicolo.
Si richiama l’attenzione su un elemento di fatto rilevante.
La vicenda ha avuto inizio nel 2012, quindi prima dell’entrata in vigore del GDPR. Pertanto, sia la Cassazione sia il Tribunale di Milano hanno applicato il Codice della Privacy ( D.lgs. 30 giugno 2003, n. 196) allora applicabili. Tale statuizione è assolutamente in linea con le successive disposizioni fissate dal GDPR.
La Cassazione Civile, nella sentenza n. 19270 del 7 luglio 2021, che riforma quella di 1° grado, afferma che il Tribunale di Milano ha errato nel considerare che quale trattamento dei dati solamente quello relativo all’acquisizione del numero di telaio, senza rilevare che il “Personality Code” è un dato personale ai sensi della 4 GDPR. Quindi la consegna di questo integrava un trattamento dei dati personali. La Cassazione richiamando la definizione di dato personale, ossia qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale, ha aggiunto che sono dati personali : “ anche i dati costituenti la chiave di accesso al sistema elettronico di apertura e chiusura dell’autoveicolo, in quanto ciò che rileva non è il numero in sé ma il suo collegamento a una persona”.
Conclusione
La Corte di Cassazione non solo afferma che il Tribunale di Milano ha errato laddove ha ritenuto che il trattamento rilevante fosse esclusivamente quello relativo all’acquisizione del numero di telaio, ma afferma anche che le informazioni contenute nella chiave elettronica dell’auto sono dati personali.
Proprio per questo motivo, il Tribunale di Milano avrebbe dovuto valutare l’impatto del relativo trattamento illecito che il ricorrente aveva subito (ossia., l “interessato” ai sensi dell’art. 4 del GDPR) nel momento in cui veniva consegnata ad un soggetto non autorizzato una copia della sua chiave elettronica.
Questo articolo ti è stato utile?
Consulta le nostre sezioni dedicate al Regolamento 679/2016 (GDPR) e privacy e al supporto alle stazioni appaltanti. Puoi anche iscriverti alla nostra newsletter e non perdere le notizie più importanti in tema di Appalti, anticorruzione, digitalizzazione della PA e D.Lgs. 231 responsabilità delle persone giuridiche. Non preoccuparti, saremo moderati. Anche noi odiamo lo SPAM.