In materia di protezione dei dati personali, di cui al D.  Lgs. Nr 196 del 2003, prescrivendo che il trattamento dei dati personali avvenga nell’osservanza dei principi di proporzionalità, di pertinenza e di non eccedenza rispetto agli scopi per i quali i dati stessi sono raccolti, non consente che gli spazi condominiali, aperti all’accesso di terzi estranei rispetto al condominio, possano essere utilizzati per la comunicazione di dati personali riferibili al singolo condomino: ne consegue che – fermo restando il diritto di ciascun condomino di conoscere, anche di propria iniziativa, gli inadempimenti altrui rispetto agli obblighi condominiali – l’affissione nella bacheca dell’androne condominiale, da parte dell’amministratore, dell’informazione concernente le posizioni di debito del singolo condomino costituisce un’indebita diffusione di dati personali, come tale fonte di responsabilità civile ai sensi degli artt. 11 e 15 del citato codice (Cass. 7 ottobre 2022, n. 29323).

1.Il caso all’esame della Corte

Con l’ordinanza n. 29323 del 7 ottobre 2022, la Prima Sezione della Suprema Corte si è pronunciata su una questione relativa alla tutela dei dati personali in condominio.

Nello specifico, il Tribunale di Bari aveva respinto la domanda risarcitoria avanzata, ai sensi dell’art. 15 D. L.gs. 196/2003 (Codice della privacy), da uno dei condomini nei confronti del condominio e del suo amministratore.

L’attore affermava l’esistenza di tali danni, scaturenti dall’illegittimo trattamento dei dati personali, generato da alcune condotte come quella di divulgazione, mediante l’affissione nella bacheca condominiale esposta alla possibile visione dei terzi estranei al condominio, di un avviso di convocazione assembleare con annesso ordine del giorno relativo a una richiesta di conciliazione circa un decreto ingiuntivo; si censurava, altresì, la condotta consistente nella consegna ai condomini, tramite un addetto alle pulizie, di ulteriore documento, aperto e liberamente intellegibile, volto a chiarire i motivi della convocazione.

Il Giudice pugliese, tuttavia, ha rigettato la domanda, reputando non assolto l’onere probatorio circa i danni patiti e il nesso causale con il trattamento dei dati personali. Il Tribunale di Bari, infatti, ha specificato che non era stato provato il fatto che terzi soggetti, al di fuori dei condomini, avessero preso visione del documento, né che l’addetta alle pulizie avesse potuto leggere sui fogli aperti.

La vicenda in esame, pertanto, permette di effettuare un’indagine sulla tematica del rapporto intercorrente fra la gestione condominiale e la tutela della privacy. Quest’ultima, infatti, come si evidenzierà in seguito, costituisce un fondamentale diritto della persona ai sensi dell’art. 2 Cost; ciò non significa, tuttavia, che la riservatezza debba ricevere sempre una tutela incondizionata, ma deve bilanciarsi con gli altri interessi che, nel caso di specie, consistono nella gestione e nel corretto funzionamento della cosa comune. Questa lettura sarebbe in linea anche con quella prospettata dalla Corte Cost. n. 85/2013 secondo cui “tutti i diritti fondamentali tutelati dalla Costituzione si trovano in rapporto di integrazione reciproca e non è possibile pertanto individuare uno di essi che abbia la prevalenza assoluta sugli altri. La tutela deve essere sempre «sistemica e non frazionata in una serie di norme non coordinate ed in potenziale conflitto tra loro». Se così non fosse, si verificherebbe l’illimitata espansione di uno dei diritti, che diverrebbe “tiranno” nei confronti delle altre situazioni giuridiche costituzionalmente riconosciute e protette, che costituiscono, nel loro insieme, espressione della dignità della persona”.

Al fine di comprendere l’esatta portata della soluzione prospettata dalla Suprema Corte nell’ordinanza in commento, è necessario svolgere, preliminarmente, delle considerazioni sull’esatta portata della protezione dei dati personali e dei risvolti applicativi in ambito condominiale.

Nel dettaglio, occorre verificare, altresì, il rapporto fra la tutela della privacy con riferimento alla comunicazione delle situazioni di morosità resa agli altri condomini e quella rivolta ai terzi creditori.

2.La tutela dei dati personali

La tematica della protezione del dato personale è strettamente connessa al diritto al rispetto della vita privata e familiare, del domicilio e della corrispondenza nonché alla dignità della persona umana che, infatti, rappresenta il valore dominante di tutte le Carte dei Diritti.

La disciplina in materia risulta espressamente indirizzata ad assicurare che il trattamento dei dati personali avvenga nel rispetto della dignità umana e delle libertà fondamentali (art. 1 D. Lgs. 196/2003).  La tutela del dato personale rappresenta un diritto fondamentale dell’individuo ed è riconosciuta in diverse disposizioni del diritto sovranazionale come si evince dalla lettura dell‘articolo 8 della Convenzione Europea dei Diritti dell’Uomo e dall’articolo 16 del TFUE (Trattato sul funzionamento dell’Unione europea). Ulteriore riferimento sovranazionale si rinviene nell’art. 8 Carta dei Diritti Fondamentali dell’Unione Europea che prevede che ogni persona ha il diritto alla tutela dei dati personali che la riguardano e tali dati devono essere trattati secondo il principio di lealtà e con finalità determinate in base al consenso dell’interessato. In particolare, il diritto alla protezione dei dati personali, rispetto al più generale diritto alla riservatezza, estende la tutela dell’individuo oltre la sfera della vita privata nella dimensione sociale, garantendo così l’autodeterminazione decisionale e il controllo sulla circolazione dei propri dati. Tale diritto può definirsi come il diritto a raccogliere e trattare in modo lecito informazioni riguardanti una persona fisica individuata o individuabile.

Tale materia ha registrato un significativo percorso evolutivo che rinviene la sua origine nella Direttiva 95/46/CE, ispirata a una logica statica dove l’obiettivo era evitare che altri potessero entrare in possesso dei dati personali senza il consenso del titolare. Pochi anni dopo, il legislatore italiano è intervenuto, adottando il c.d. Codice della Privacy (dlgs 196/2003) recentemente modificato dal d. lgs. 101/2018.

In ultima analisi, infine, occorre menzionare il Regolamento 679/2016 UE il quale si pone come obiettivo quello di regolare la circolazione e il trattamento dei dati personali, sul presupposto che, a seguito del mutamento storico-sociale, ogni operazione che si effettua lascia, inevitabilmente, una traccia informatica. Il GDPR all’art. 4 fornisce importanti indicazioni circa la definizione di dato personale, la nozione di trattamento del dato e il titolare dello stesso. Per dato personale si intende, infatti, qualsiasi informazione riguardante una persona fisica identificata o identificabile (il c.d. interessato); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Per trattamento invece si intende qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione . Il titolare del trattamento, infine, è la persona fisica o giuridica, l’autorità pubblica che determina la finalità e i mezzi del trattamento dei dati personali.  Nella materia condominiale, il condominio è il soggetto titolare del trattamento e l’amministratore, in quanto rappresentante legale del condominio, ha il duplice ruolo di titolare ex art. 24 GDPR e responsabile del trattamento ex art. 28 GDPR. L’amministratore, infatti, è non solo il rappresentate legale del condominio, ma anche colui il quale gestisce i dati per conto del titolare del trattamento (cioè il condominio, il quale sarà tenuto a fornire l’informativa ai condomini). I singoli condomini rivestono invece il ruolo di “interessati” del trattamento giacchè i dati personali sono direttamente a loro riconducibili.

3. Risvolti applicativi in ambito condominiale

Chiarita la cornice normativa entro cui si inserisce la tutela dei dati personali, occorre verificare i concreti risvolti applicativi in materia condominiale. La protezione dei dati personali in condominio può emergere in diverse occasioni come, ad esempio, nell’installazione di impianti di video sorveglianza nelle aree comuni (sul punto v. G. Cice, La video-sorveglianza nel condomino, in Consulenza.it, 17 giugno 2022) o nell’affissione nelle bacheche condominiali di comunicazioni di dati concernenti le eventuali situazioni di morosità dei singoli condomini.

Sotto quest’ultimo profilo, giova precisare che la Suprema Corte è intervenuta più volte, ribadendo che i diritti connessi al trattamento dei dati personali sono da considerarsi fondamentali e caratterizzati da un nucleo di intangibilità, sicché ne è impedita ogni limitazione che sia imposta da ragioni legate alla gestione dell’organizzazione condominiale (sul punto cfr. Cass. Civ, 4 gennaio 2011, n. 186Cass., 7 maggio 2018, n. 10866). I dati riferiti ai singoli comproprietari, raccolti e utilizzati per le finalità riconducibili alla disciplina civilistica dell’art. 1117 ss. c.c., compresi quelli relativi alle posizioni debitorie, vanno qualificati come dati personali ai sensi dell’art. 4, co. 1 lett. b), d. lgs. n. 196/2003, trattandosi di informazioni riferibili a un soggetto determinato o determinabile.  Ai sensi di legge, infatti, “dato personale”, oggetto di tutela, è “qualunque informazione” relativa a persona fisica, giuridica, ente o associazione, identificati o identificabili, anche indirettamente (Cass., 5 luglio 2018, n. 17665; Cass., 31 maggio 2021, n. 15161).

La gestione delle parti comuni implica che l’amministratore possa procedere alla raccolta, registrazione, conservazione, elaborazione e selezione delle informazioni concernenti le posizioni di dare e avere dei singoli condomini. Inoltre, ragioni di buon andamento e trasparenza giustificano una comunicazione di questi dati ai condomini, su iniziativa dell’amministratore in sede di rendiconto annuale di assemblea, o nell’ambito delle informazioni periodiche trasmesse nell’assolvimento degli obblighi scaturenti dal mandato ricevuto e anche su richiesta di ciascun condomino, essendo questi investito di un potere di vigilanza e di controllo sull’attività di gestione delle cose, dei servizi e degli impianti comuni, che lo facoltizza a richiedere in ogni tempo all’amministratore informazioni sulla situazione contabile del condominio, comprese quelle che riguardano eventuali posizioni debitorie degli altri partecipanti.

Va precisato, tuttavia, che il trattamento per essere lecito deve osservare i principi di proporzionalità e non eccedenza rispetto agli scopi per i quali essi sono raccolti ex art. 11 D.lgs. 196/2003 (A. Scarpa, Bacheche condominiali e tutela della privacy, in libro dell’anno del diritto, Treccani, 2012); ne discende, pertanto, che l’amministratore, quale titolare del trattamento, deve adottare alcune cautele nella gestione di questi dati personali (che possono riguardare, tra l’altro, indirizzi di posta elettronica dei condomini, dati anagrafici, numeri telefonici o le situazioni di morosità).

4.I provvedimenti del Garante per la protezione dei dati personali

La materia è stata interessata, altresì, da diversi provvedimenti del Garante per la protezione dei dati personali fra cui si segnala il provvedimento del 19 maggio 2000, quello del 12 dicembre 2001 e, infine, quello del 18 maggio del 2006. Nella prima decisione, il Garante aveva riconosciuto a tutti i singoli condomini la contitolarità del trattamento dei dati personali in possesso al condominio, affidandone però all’amministratore la concreta gestione. Da tale premessa ne conseguiva la liceità della conoscenza, per ciascun condomino, dei dati personali trattati presso il condominio ai sensi degli artt. 1117 e ss. c.c. Nel secondo provvedimento richiamato, invece, il Garante aveva accolto il ricorso di una condomina che lamentava una lesione ai propri dati personali causata dall’affissione nella bacheca condominiale, posta nello spazio di accesso comune all’edificio, dell’ordine del giorno di un’assemblea condominiale nella quale comparivano alcuni dati personali relativi alle posizioni debitorie della stessa ricorrente nei confronti del condominio. In quest’occasione, quindi, il Garante evidenziò che il trattamento, consistente nell’affissione di avvisi contenenti dati personali nei luoghi di transito nei quali potessero avere accesso anche persone estranee al condominio, comportava una diffusione illecita di dati personali.

Il Garante per la protezione dei dati personali, infine, con il provvedimento del 18 maggio 2006, recante prescrizioni ai sensi dell’art. 154, co. 1, lett. c), d.lgs. 196/2003, dirette ai soggetti titolari di un trattamento di dati personali nell’ambito dell’attività di amministrazione dei condomini, forniva importanti indicazioni.

In primo luogo, l’Autorità Garante evidenziava che il trattamento dei dati personali, effettuato durante la gestione dell’attività condominiale, può considerarsi lecita purché riguardi le sole informazioni personali pertinenti e necessarie rispetto allo svolgimento delle attività di gestione e amministrazione delle parti comuni. In secondo luogo, le informazioni trattate possono riguardare non solo l’intera compagine condominiale unitariamente intesa, ma anche il singolo condomino, se indispensabili ai fini della gestione comune. Il Garante evidenzia, altresì, che allo scopo di esercitare controlli relativi alla misura delle contribuzioni per la manutenzione delle parti comuni, ciascun partecipante può essere informato circa l’ammontare della somma dovuta dagli altri. In quarto luogo si sottolinea che, salva la ricorrenza di una causa giustificatrice (come il consenso dell’interessato), va reputata sempre illecita la comunicazione a terzi di dati personali riferiti ai singoli condomini.

Infine, integra un trattamento illecito (anche in violazione del principio di proporzionalità), la diffusione di dati personali effettuata mediante l’affissione di avvisi di mora in spazi condominiali comuni, accessibili anche a terzi estranei al condominio, potendo tali informazioni venire a conoscenza di una serie indeterminata di soggetti. L’esposizione di tali informazioni in questi luoghi può contenere solo avvisi di carattere generale utili a una più efficace comunicazione di eventi di interesse comune, rimettendo a forme di comunicazione individualizzata, o alla discussione assembleare, la trattazione di affari che importi il trattamento di dati personali riferiti a condomini specificamente individuati.

Recentemente l’Autorità, chiamata a fornire chiarimenti rispetto ai profili attinenti il trattamento dei dati personali alla luce del Regolamento UE 2016/679, ha colto l’occasione per confermare, in termini generali, quanto già indicato nel richiamato provvedimento del 2006 in merito al trattamento di dati personali nell’ambito dell’amministrazione di condomìni, chiarendo, con particolare riguardo agli ancora frequenti casi in cui le informazioni inerenti i singoli interessati partecipanti alla compagine condominiale sono oggetto di illecita comunicazione e/o diffusione, che le informazioni relative a quest’ultimi possono essere comunicate a terzi solo con il consenso espresso degli interessati, ovvero in presenza di altri presupposti di liceità legislativamente previsti, come ora individuati nell’art. 6 del RGPD, e comunque nel rispetto dei principi generali di cui all’art. 5 del medesimo Regolamento (cfr. Garante privacy, Relazione annuale 2018, garanteprivacy.it).

La soluzione prospettata dalla Corte.

Alla luce delle evidenziate coordinate normative e giurisprudenziali, va sottolineato che la Suprema Corte, nell’ordinanza in commento, ha ritenuto illecita, non giustificata ed eccedente l’affissione nella bacheca condominiale, esposta al pubblico e soggetta a possibile visione da parte di un numero indefinito di soggetti, l’avviso di convocazione del tenore di quello indicato dallo stesso tribunale, in particolar modo quando tale avviso risulti essere già stato comunicato a tutti i condomini.

La Corte, ponendosi sulla scia dell’ordinamento consolidato, stabilisce che il trattamento dei dati personali debba avvenire nel rispetto dei principi di proporzionalità, di pertinenza e di non eccedenza rispetto agli scopi per i quali i dati stessi sono raccolti. Ne discende, pertanto, che gli spazi condominiali, aperti all’accesso di terzi estranei al condominio, non possano essere utilizzati per la comunicazione di dati personali riferibili al singolo condomino.

Tali informazioni, in definitiva, potrebbero essere oggetto di trattamento, attraverso la comunicazione agli altri condomini che hanno il diritto di conoscere anche le posizioni debitorie degli altri partecipanti al condominio, ma nel rispetto dei principi di proporzionalità e non eccedenza.

In tale prospettiva si ritiene possibile la comunicazione individuale ai singoli condomini delle suddette informazioni, mentre risulta eccessiva, sproporzionata ed eccedente l’affissione nella bacheca condominiale delle situazioni di morosità di alcuni condomini. Nel caso di specie, inoltre, l’affissione nella bacheca condominiale si presentava ultronea ed eccedente perché era stata preceduta da una comunicazione individuale a tutti i condomini.