LA TUTELA "ITINERANTE" DELLA PRIVACY: NECESSARIO PREDISPORRE UN'AUTONOMA CAUSA PER OGNI UTILIZZO ILLEGITTIMO DEI DATI.

Corte Suprema di Cassazione
Sentenza n. 23280 del 8 novembre 2007

LA CORTE SUPREMA DI CASSAZIONE
SEZIONE TERZA CIVILE
Composta dagli Ill.mi Sigg.ri Magistrati:
Dott. MAZZA Fabio - Presidente -
Dott. FILADORO Camillo - Consigliere -
Dott. SPIRITO Angelo - rel. Consigliere -
Dott. LEVI Giulio - Consigliere -
Dott. LANZILLO Raffaella - Consigliere -
ha pronunciato la seguente:

sentenza

sul ricorso proposto da:
M.E., in proprio e quale Amministratore Unico della società Alfa, elettivamente domiciliato in _______________, presso lo studio dell'avvocato P. N., che lo
difende unitamente all'avvocato M.A., giusta delega in
atti;
- ricorrente -
contro
la società Beta, elettivamente domiciliato in ________
________, presso lo studio dell'avvocato C. C., che lo
difende, giusta delega in atti;
- resistente -
contro
GARANTE PROTEZIONE DATI PERSONALI, in persona del Presidente p.t.,
elettivamente domiciliato in ROMA VIA DEI PORTOGHESI 12, presso gli
uffici dell'AVVOCATURA GENERALE DELLO STATO, da cui è difeso per
legge;
- resistente -
contro
Consorzio Gamma, in persona del Segretario
Generale pro tempore sig. T.M., elettivamente domiciliato in
__________________, presso lo studio dell'avvocato
R. G., che lo difende unitamente all'avvocato C. L.,
giusta delega in atti;
- resistente -
contro
la società Delta, in persona dell'Amministratore Delegato, legale rapp.te
p.t., Dott. C.C., elettivamente domiciliato in __________
__________, presso lo studio dell'avvocato F. M. S.,
difeso dall'avvocato I. R., giusta delega in atti;
- resistente -
e contro
la società Epsilon;
- intimato -
avverso la sentenza n. 15832/06 del Tribunale di ROMA, emessa il
20/07/2006, depositata il 26/07/06;
udita la relazione della causa svolta nella Camera di consiglio il
25/09/07 dal Consigliere Dott. Angelo SPIRITO;
lette le conclusioni scritte dal Sostituto Procuratore Generale Dott.
ENNIO ATTILIO SEPE che ha chiesto si dichiari inammissibile il
ricorso, con le conseguenze di legge.

Fatto

Il M. citò innanzi al Tribunale di Roma l'Autorità Garante per la Protezione dei Dati Personali, la società Beta, la società Beta, il consorzio Gamma, la società Delta., perché fosse annullato il provvedimento reso dal menzionato Garante in data 14.11.2003, fosse accertata l'illegittimità del trattamento dei dati personali effettuato dalle altre convenute e queste ultime fossero condannate al risarcimento dei danni.
Il Tribunale di Roma, con provvedimento depositato il 26 luglio 2006, dichiarò la propria incompetenza e la competenza del Tribunale di Milano. Propone ricorso per regolamento di competenza il M.. Gli intimati tutti hanno depositato memoria.

Diritto

1) Deve essere preliminarmente respinta l'eccezione d'inammissibilità del ricorso per intempestività, formulata dall'Avvocatura dello Stato (in difesa del Garante) sul presupposto che la sentenza fu pronunziata nell'udienza del 22 giugno 2006 (alla quale l'ordinanza del 22 febbraio 2006 aveva rinviato per la precisazione delle conclusioni, la discussione orale e la contestuale sentenza) ed il ricorso fu consegnato per la notificazione a mezzo posta in data 13 ottobre 2006 (ossia oltre i trenta giorni stabiliti perentoriamente dall'art. 47 c.p.c.). In proposito, deve essere ribadito il principio secondo cui la facoltà di proporre istanza di regolamento di competenza presuppone che la sentenza sia stata depositata in cancelleria completa della motivazione; l'istanza predetta non è, pertanto, ammissibile ove proposta - con riferimento ad una pronuncia decisiva della questione di competenza - sulla base del solo dispositivo letto in udienza e prima del deposito della relativa motivazione, la cui comunicazione segna l'inizio della decorrenza del termine stabilito dal secondo comma dell'art. 47 cod. proc. civ. (tra le varie, cfr Cass. 9 luglio 1999, n. 7199).
Nella specie all'udienza del 22 giugno 2006 il giudice ha dato lettura del solo dispositivo, mentre la motivazione è stata depositata il 26 luglio 2007 e la relativa comunicazione è avvenuta il 15 settembre 2007.
Sicché, il ricorso è stato tempestivamente notificato in data 13 ottobre 2006.
2) Il Tribunale ha ritenuto che, secondo la prospettazione dei fatti offerta dallo stesso ricorrente, il trattamento sarebbe avvenuto mediante la cessione dei dati dalla società Epsilon (con sede in Milano) alla società Delta (con sede in Bologna) ed al Consorzio Gamma (con sede in Milano), mentre la società Beta (con sede in Roma) apparirebbe estranea alle attività di trattamento, essendosi limitata ad agire per il recupero del credito su mandato della società Zeta, senza effettuare alcuna segnalazione alle banche dati;
che, dunque, i trattamenti assunti come illegittimi sarebbero avvenuti tutti in sedi diverse da quella di Roma; che la domanda risarcitoria proposta nei confronti della società Beta non ha natura inderogabile; che la competenza territoriale stabilita dal D.Lgs. n. 196 del 2003, art. 152, ha natura funzionale ed inderogabile, in relazione alla quale non è applicabile il cumulo soggettivo di cui all'art. 33 c.p.c.; che, in conclusione, è territorialmente incompetente il Tribunale di Roma e competente quello di Milano.
Il ricorrente sottopone alla Corte i seguenti quesiti: A) se nei casi in cui l'interessato proponga ricorso D.Lgs. n. 196 del 2003, ex art. 152, nei confronti di una pluralità di titolari del trattamento dei dati personali aventi sede in luoghi diversi e nei confronti del Garante per la Protezione dei Dati Personali per l'impugnazione di un provvedimento del Garante stesso emesso nei confronti di tutti i titolari e per il risarcimento del danno subito a causa del trattamento effettuato da tutti i titolari, vi sia pluralità di fori inderogabili alternativi tutti ugualmente competenti. Con conseguenza, nella fattispecie, del Tribunale di Roma; B) se nei casi in cui l'interessato proponga ricorso D.Lgs. n. 196 del 2003, ex art. 152, nei confronti del Garante per la Protezione dei Dati Personali per l'impugnazione di un provvedimento da questo emesso sia competente il foro erariale previsto dall'art. 25 c.p.c.. Con conseguente competenza, nella fattispecie, del Tribunale di Roma.
Ai quesiti, così come formulati, va fornita la seguente risposta.
I primi due commi dell'art. 152 citato così recitano: "Tutte le controversie che riguardano, comunque, l'applicazione delle disposizioni del presente codice, comprese quelle inerenti ai provvedimenti del Garante in materia di protezione dei dati personali o alla loro mancata adozione, sono attribuite all'autorità giudiziaria ordinaria.
Per tutte le controversie di cui al comma 1 l'azione si propone con ricorso depositato nella cancelleria del tribunale del luogo ove risiede il titolare del trattamento".
In tal modo il legislatore ha istituito una competenza territoriale funzionale ed inderogabile a favore del tribunale del luogo dove risiede il titolare del trattamento; competenza che riguarda anche le controversie inerenti i provvedimenti (o la loro mancata adozione) del Garante.
Ciò comporta, in primo luogo, l'inapplicabilità del disposto dell'art. 33 c.p.c. sul cumulo soggettivo, in quanto, determinando uno spostamento di competenza territoriale rispetto agli ordinari criteri, esso può ritenersi applicabile solo se detti criteri sono relativi e derogabili e non anche quando hanno, invece, carattere assoluto ed inderogabile (Cass. 7 luglio 2004, n. 12428).
Comporta, altresì, che siffatta competenza funzionale prevale - limitatamente al caso in cui sia convenuto il Garante ad impugnazione dei suoi provvedimenti o alla mancata adozione degli stessi - anche su quella erariale di cui all'art. 25 c.p.c. (problema, questo, non trattato nel provvedimento impugnato), essendo essa dettata (con esplicito riferimento ai provvedimenti o alla mancata adozione dei provvedimenti del Garante) da una norma speciale che prevale su quella generale.
Da quanto premesso può desumersi che correttamente il giudice ha individuato la natura inderogabile della competenza fissata dall'art. 152 e ne ha ricavato l'inapplicabilità del disposto dell'art. 33 c.p.c. sul cumulo soggettivo. Così come ha correttamente tenuto conto del principio secondo cui la competenza per territorio dev'essere determinata con riferimento alla domanda così come proposta, prescindendo da ogni indagine circa la relativa fondatezza nel merito (tra le varie, cfr. Cass. 18 aprile 2006, n. 8950).
Deve però osservarsi, dalla lettura degli atti (consentita alla Corte che, in sede di regolamento di competenza, è giudice del merito), che (diversamente da come sostenuto dal Tribunale di Roma) il ricorrente non prospetta come unico trattamento lesivo quello compiuto dalla società Epsilon. Al contrario, è agevole rilevare che il M., sia nel procedimento innanzi al Garante, sia nel ricorso innanzi al Tribunale di Roma, ha attribuito a tutte le società convenute la qualità di titolari del trattamento dei dati.
Ne consegue che, non potendo avvalersi del cumulo soggettivo delle domande, il ricorrente deve proporre separate domande davanti a ciascuno dei giudici nel cui territorio hanno sede le convenute. Che, inoltre, il provvedimento del garante dovrà essere impugnato presso ciascuno di quei giudici, per la parte che concerne il singolo titolare del trattamento dei dati.
In conclusione deve essere enunciato il principio secondo cui: la disposizione dell'art. 152 del Codice in materia di protezione dei dati personali (D.Lgs. n. 196 del 2003) stabilisce, a favore del tribunale del luogo ove risiede il titolare del trattamento dei dati stessi, una competenza funzionale ed inderogabile per tutte le controversie che riguardano, comunque, l'applicazione delle disposizioni del codice medesimo, comprese quelle inerenti ai provvedimenti del Garante o alla loro mancata adozione; competenza che, in quanto tale, impedisce il ricorso al cumulo soggettivo delle cause proposte contro più persone, consentito dall'art. 33 c.p.c., e prevale sul foro della pubblica amministrazione stabilito dall'art. 25 c.p.c. (limitatamente alle controversie instaurate contro il Garante in relazione ai provvedimenti da questo emessi o alla loro mancata adozione). Ne consegue che, nel caso in cui il provvedimento del Garante concerne più soggetti titolari del trattamento e l'interessato intenda impugnare il provvedimento e contemporaneamente convenire in giudizio i titolari per il risarcimento del danno, le cause devono essere separatamente proposte innanzi al giudice nel cui territorio ha sede ciascuno dei predetti titolari, il quale ha competenza a giudicare anche nella controversia inerente il provvedimento (o la mancata adozione del provvedimento) del garante, per la parte, in quest'ultimo caso, concernente il titolare convenuto in giudizio.
Nella vicenda in esame, la competenza appartiene, dunque, al giudice nel cui territorio ha sede ciascuno dei titolari del trattamento convenuto in giudizio ed, in particolare, ai Tribunali di Milano, Bologna e Roma. Ognuno di questi giudici deciderà anche in ordine alla controversia inerente il provvedimento del Garante, per la parte in cui il provvedimento stesso tratta del titolare che in quel circondario ha attratto la competenza.
La novità della questione consiglia l'integrale compensazione, tra tutte le parti, delle spese del giudizio per il regolamento di competenza.

P.Q.M.

La Corte, in parziale accoglimento del ricorso, dichiara: la competenza del Tribunale di Milano, quanto all'azione proposta dal M. contro la soc. Epsilon e quella proposta nei confronti del Consorzio Gamma; la competenza del Tribunale di Bologna, quanto all'azione proposta nei confronti della soc. Delta; la competenza del Tribunale di Roma, quanto all'azione proposta nei confronti della soc. Beta; la competenza di ciascuno dei Tribunali sopra indicati, quanto all'azione proposta nei confronti dell'Autorità Garante per la Protezione dei Dati Personali. Compensa interamente tra tutte le parti le spese del giudizio per il regolamento di competenza.