L’archivio SentenzeWeb viola la normativa a tutela della privacy: il Garante della Privacy sanziona la Corte di cassazione (Vincenzo Giglio)

2017

Nel fascicolo n. 3/2017 della rivista Questione Giustizia, fu pubblicato l’articolo “Banche dati di giurisprudenza, nomofilachia e trasparenza dell’attività giurisdizionale. L’esperienza del Ced della Corte di cassazione” (consultabile a questo link), a firma del Dr. Vincenzo Di Cerbo, già presidente della sezione lavoro della Suprema Corte e addetto all’ufficio del Massimario.

La persona giusta, dunque, per parlare di ItalgiureWeb e della sua emanazione SentenzeWeb.

È di particolare interesse, nell’economia di questo post, il paragrafo 6 dello scritto, laddove si tratta il tema della trasparenza dell’attività giurisdizionale e del diritto alla privacy.

L’Autore espresse questo convincimento: “l’inserimento delle decisioni di legittimità nell’archivio SentenzeWeb (l’archivio contiene attualmente oltre 456.000 fra sentenze e ordinanze delle quali oltre 154.000 emesse dalle sezioni civili e oltre 301.000 emesse dalle sezioni penali) è stato realizzato sostanzialmente nel pieno rispetto delle procedure finalizzate a garantire il corretto oscuramento dei dati; ciò trova conferma nel numero estremamente ridotto (di poco superiore alla dozzina) di casi nei quali l’erronea applicazione delle suddette procedure ha determinato la pubblicazione in chiaro di provvedimenti da oscurare. Occorre peraltro, da un lato, velocizzare le procedure di verifica in concreto dei numerosi provvedimenti (alcune migliaia) rimossi dall’archivio perché sospettati, in base a criteri di selezione automatica, di contenere dati sensibili; dall’altro, una volta che la verifica abbia dato esito positivo, velocizzare le attività di oscuramento. Il Ced della Corte è fortemente impegnato a risolvere le suddette criticità attraverso l’adozione di idonee misure organizzative (quanto alla prima) e la realizzazione di appositi strumenti informatici (quanto alla seconda)”.

2024

Assunta questa autorevole opinione come punto di partenza, spostiamoci adesso ad un periodo più vicino all’attuale.

Il 9 maggio 2024, il Garante per la protezione dei dati personali ha emesso il provvedimento n. 435 (allegato alla fine del post).

Si avverte fin d’ora, per quanto inusitato possa apparire, che il procedimento di che trattasi si è svolto nei confronti della Corte di cassazione e che il suo esito è stato negativo per la convenuta.

Ne riportiamo adesso il contenuto letterale e integrale, fatta eccezione per l’epigrafe.

“1. La vicenda e l’attività istruttoria del Garante.

L’Autorità ha ricevuto dal Ministero della Giustizia un ricorso, ex art. 152 del Codice, volto ad ottenere la deindicizzazione del nominativo del ricorrente dal portale “SentenzeWeb” (cfr. nota

prot. n. 23407 del 28 aprile 2022), nel quale si premetteva in fatto che:

“1) al link http://www.italgiure.giustizia.it/sncass/ è attivo un motore di ricerca che consente la “ricerca libera” tra le Sentenze ed Ordinanze della Suprema Corte di cassazione;

2) Il sito internet sopra citato, di proprietà del Ministero della Giustizia, è direttamente gestito dall’Hostmaster del medesimo Ministero (con sede in Roma alla Via Crescenzio n°17/C) ed alimentato dal Centro Elettronico di Documentazione della Suprema Corte di cassazione (con sede in Piazza Cavour);

3) Il motore di ricerca attivo al link sopra citato, consente non solo la ricerca delle pronunce della Suprema Corte di Cassazione, ma altresì consente la ricerca tra le pronunce della medesima Suprema Corte: ciò significa, all’atto pratico, che è – quindi – possibile non solo ricercare una pronuncia mediante digitazione degli estremi della stessa (il che non crea alcun contrasto con la normativa vigente), ma è altresì possibile la ricerca non solo per argomento, ma anche ricercando semplicemente il nominativo di una delle parti in causa, oppure addirittura effettuando una ricerca finanche per malattia o patologia, alla quale viene poi accostato il nominativo dell’interessato interessato, unitamente a tutti i suoi dati anagrafici ed al nominativo del suo difensore o dei suoi difensori;

4) Ad esempio, mediante semplice digitazione sul motore di ricerca del nominativo “Mario ROSSI”, è possibile visualizzare indiscriminatamente ed in forma assolutamente integrale tutte le pronunce che riguardano proprio Mario ROSSI, unitamente ai relativi dati anagrafici, oppure digitando nel motore di ricerca la parola “HIV” è, ad esempio, possibile visualizzare tutte le sentenze nelle quali sono coinvolti soggetti che hanno l’HIV o chiesto un risarcimento per danni per aver contratto la malattia, visualizzandone i nominativi ed i relativi dati anagrafici: eppure l’art. 22 del Codice della Privacy al comma 8 dispone espressamente che “I dati idonei a rivelare lo stato di salute non possono essere diffusi”; Sul c.d. portale SentenzeWeb è, infatti, possibile fare liberamente delle ricerche inerenti non solo le Sentenze ed Ordinanze della Suprema Corte di Cassazione, ma anche ricercare e scaricare liberamente tutte le pronunce che riguardano segnatamente un particolare soggetto, rilevato che i provvedimenti vengono infatti pubblicati integralmente sul sito, con nomi e cognomi e dati anagrafici e sono ricercabili a semplice digitazione tra l’altro proprio di tali nomi e cognomi sul motore di ricerca dell’anzidetto portale, ricercabile al link http://www.italgiure.giustizia.it/sncass/”.

1.1. A seguito dell’esame del ricorso, l’Ufficio del Garante ha effettuato due accessi al portale “SentenzeWeb”, che consente la libera consultazione degli “archivi delle sentenze civili e penali della Cassazione”, raggiungibile all’indirizzo web http://www.italgiure.giustizia.it/sncass/ (di cui si è dato conto nei verbali di operazioni compiute del 31 maggio 2022 e del 9 novembre 2022). In particolare, nell’ambito del secondo accesso, si è provveduto ad effettuare alcune ricerche utilizzando, tra le altre, la parola chiave “HIV”, constatando che vengono mostrati, tra i risultati della ricerca, n. 115 provvedimenti giurisdizionali, riferiti agli anni dal 2017 al 2022, di cui n. 78 civili e n. 37 penali, di cui si è provveduto ad acquisire copia in formato PDF.

Da un primo esame dei risultati delle predette ricerche è risultato che, come rappresentato anche nel ricorso, un rilevante numero di provvedimenti recavano in chiaro il nome e il cognome dei soggetti cui si riferisce la patologia oggetto di ricerca. In particolare, tra i 115 provvedimenti rilevati, 43 recavano in chiaro i dati identificativi di interessati affetti da “HIV” che risultavano, in data 9 novembre 2022, ancora pubblicati e liberamente accessibili sul portale “SentenzeWeb”.

Nel corso del medesimo accertamento, sono state effettuate ulteriori ricerche utilizzando le seguenti parole chiave: a) “violenza sessuale”, constatando che venivano mostrati, tra i risultati della ricerca, n. 771 provvedimenti giurisdizionali, riferiti agli anni dal 2017 al 2022, di cui n. 238 civili e n. 533 penali; b) “minore sessuali”, constatando che venivano mostrati, tra i risultati della ricerca, n. 189 provvedimenti giurisdizionali, riferiti agli anni dal 2017 al 2022, di cui n. 20 civili e n. 169 penali. Da un primo esame di un campione dei risultati delle predette ricerche, è risultato che due provvedimenti recavano in chiaro il nome e il cognome di vittime dei reati di cui all’art. 734 bis c.p., di cui è stata acquisita copia (Cass. civ. ord. sez. 3 n. 14943 dell’11 maggio 2022; Cass. pen. sez. 2 n. 44321 del 30 novembre 2021). Anche tali provvedimenti risultavano, in data 9 novembre 2022, ancora pubblicati e liberamente accessibili sul portale “SentenzeWeb”.

Con nota prot. 67422 del 21 novembre 2022, questa Autorità ha chiesto sia al Ministero della Giustizia sia alla Corte informazioni in merito a quanto accertato. In particolare, l’Ufficio ha chiesto, anche alla luce della sentenza della Corte di Cassazione sez. I n. 10510 del 20 maggio 2016, e “tenuto conto dell’obbligo di legge erga omnes di oscurare i dati identificativi degli interessati, cui sono riferiti i dati di cui al comma 5 dell’art. 52 citato, nonché di cui agli artt. 9 del Regolamento (UE) 2016/679 e 2-septies, comma 8, del Codice, ed al fine di consentire a questa Autorità di esaminare compiutamente il caso e di valutare le iniziative da intraprendere a tutela dei diritti e delle libertà delle persone fisiche, ai sensi dell’art. 58, par. 2, del Regolamento”, ogni elemento e informazione utili alla valutazione dei profili di protezione dei dati personali, con specifico riferimento a:

a) le disposizioni che regolano i trattamenti relativi alla pubblicazione dei provvedimenti giurisdizionali attraverso il citato portale “SentenzeWeb”;

b) la titolarità dei predetti trattamenti (art. 4, par. 1, punto 7), Regolamento) e i rapporti intercorrenti tra il Ministero e la Suprema Corte nell’esercizio delle rispettive competenze;

c) la descrizione delle misure tecniche e organizzative, allo stato adottate o anche in animo di predisporre, al fine di rispettare i previsti obblighi ex lege di oscuramento dei dati.

Inoltre, attesa la necessità di impedire il prodursi di un ulteriore pregiudizio alle persone interessate, l’Autorità ha invitato i destinatari della richiesta a valutare la necessità di oscurare i dati identificativi dei soggetti offesi da atti di violenza sessuale e delle persone affette da HIV nelle pronunce sopra menzionate ed in quelle che comunque recassero la medesima tipologia di informazioni, comunicando le determinazioni eventualmente assunte al riguardo nell’esercizio delle rispettive competenze.

1.2. Con note del 13 e del 16 dicembre 2022, il Ministero della Giustizia ha rappresentato che: “il portale «SentenzeWeb» è stato realizzato – ed è gestito – dal Centro elettronico di documentazione, … la titolarità dei diritti sulla banca dati è in capo alla Corte medesima … la titolarità del trattamento dei dati spetta al Presidente Aggiunto della Corte” e che “la titolarità dei diritti sulla banca dati SentenzeWeb, come meglio specificato dall’art. 64 quinquies della l. n. 633 del 1941, è in capo alla Corte di cassazione.”.

Con nota del 13 dicembre 2022, la Corte Suprema ha riscontrato, a sua volta, la richiesta di informazioni, trasmettendo a questa Autorità la relazione redatta dal Presidente aggiunto “quale titolare del trattamento dei dati ai sensi dei decreti del Primo Presidente n. 87 del 2004 e 47 del 2018”, evidenziando, conclusivamente, che l’attività del Centro elettronico di documentazione, nell’osservanza delle indicazioni di cui al decreto n. 178 del 2016, dei magistrati e del personale amministrativo della Corte di cassazione, è costantemente protesa ad assicurare il puntuale adempimento “dell’obbligo di legge di oscurare i dati identificativi degli interessati, cui sono riferiti i dati di cui al comma 5 dell’art. 52 d.lgs. n. 196 del 2003, nonché di cui agli artt. 9 del Regolamento (UE) 2016/679 e 2-septies, comma 8, del Codice della Privacy”. Infine, aderendo all’invito del Garante, nella Relazione si è rappresentato che “tutti i provvedimenti indicati [ossia: i 43 provvedimenti di cui all’elenco ali. n. 1) – nessuno dei quali riporta l’indicazione di oscuramento nel PQM o il relativo timbro apposto dalla cancelleria – e i due provvedimenti (Cass. pen. 44321/2021 e Cass. civ. n. 14943/2022) indicati a p. 2 della anzidetta nota] sono stati tempestivamente rimossi e codificati con la dicitura «in fase di valutazione oscuramento».”.

1.3. In data 3 marzo 2023, l’Ufficio del Garante ha effettuato un terzo accesso al portale “SentenzeWeb”, di cui si è redatto verbale di operazioni compiute, nel corso del quale sono state effettuate ulteriori ricerche utilizzando le seguenti parole chiave: a) “malato”, constatando che vengono mostrati, tra i risultati della ricerca, n. 681 provvedimenti giurisdizionali, riferiti agli anni dal 2018 al 2023, di cui n. 283 civili e n. 398 penali; b) “malattia”, constatando che vengono mostrati, tra i risultati della ricerca, n. 6.143 provvedimenti giurisdizionali, riferiti agli anni dal 2018 al 2023, di cui n. 3.216 civili e n. 2.927 penali. Da un primo esame di un campione dei risultati delle predette ricerche, risulta che tre provvedimenti recano in chiaro il nome e il cognome di interessati, affetti da patologie oncologiche (Cass. pen., sez. 4, n. 46662, udienza del 14 settembre 2022; Cass. pen., sez. 4, n. 47390, udienza del 16 maggio 2022; Cass. pen., sez. 4, n. 48247, udienza del 15 dicembre 2022).

1.4. Poiché le giustificazioni fornite dalla Suprema Corte di cassazione non sono apparse idonee a giustificarne la condotta, con nota prot. n. 40891 dell’8 marzo 2023, l’Ufficio ha comunicato alla Suprema Corte, in qualità di titolare del trattamento, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, paragrafo 2, del Regolamento in relazione all’accertata pubblicazione sul portale “SentenzeWeb” di sentenze recanti dati identificativi di persone offese da atti di violenza sessuale e di soggetti affetti da HIV o da altre patologie.

Con nota del 9 marzo 2023, la Suprema Corte ha informato l’Autorità che a far data dal medesimo giorno il servizio di consultazione on line delle sentenze emesse dalla Corte (portale SentenzeWeb) era stato sospeso in via cautelativa e che erano già in corso verifiche al fine di valutare l’adozione di eventuali misure e adempimenti, ai sensi del punto 3 della suddetta comunicazione di avvio del procedimento.

Con nota del 7 aprile 2023, la Suprema Corte ha trasmesso un’ulteriore nota, con la quale – nel ribadire la sospensione della funzionalità del servizio SentenzeWeb – ha fornito alcune osservazioni in ordine a quanto rappresentato nella suddetta comunicazione di avvio del procedimento “al fine di far conoscere quali iniziative siano state già intraprese o si intenda intraprendere per conformare il trattamento in corso alla disciplina in materia di protezione dei dati personali.”. In particolare, in una prospettiva di piena collaborazione con l’attività del Garante, la Suprema Corte ha rappresentato di aver tempestivamente promosso un’attenta analisi delle problematiche che sono state rappresentate dall’Autorità ed ha elencato le già adottate misure di protezione dei dati contenuti nella banca dati “SentenzeWeb” secondo la prospettiva indicata nella suddetta comunicazione dell’Autorità, nonché quelle che si intendeva adottare in tempi ragionevolmente contenuti. Infine si è rappresentato che la necessità di dare piena ed efficace attuazione ad alcune delle misure organizzative già adottate, ha indotto la Corte a chiedere una proroga di 60 giorni per la trasmissione del riscontro; richiesta che è stata accolta dall’Autorità con nota prot. n. 66026 del 20 aprile 2023.

Con nota del 1° giugno 2023, la Suprema Corte ha inviato la memoria difensiva, nella quale si è dato conto delle ulteriori attività che sono state poste in essere “al fine di offrire la massima protezione alla tutela dei dati personali in sede di diffusione dei provvedimenti sul servizio SentenzeWeb in conformità alle previsioni normative, al fine di poterne disporre la riattivazione a seguito di positivo apprezzamento del Garante”. In particolare, è stato rappresentato che “la Prima Presidenza, all’esito della riunione svoltasi con il GPDP il 6 aprile 2023, al fine di richiamare l’attenzione e accrescere la consapevolezza sia dei magistrati che del personale della Corte sul tema della protezione dei dati personali in sede di diffusione dei provvedimenti giurisdizionali, con nota del 7 aprile 2023 ha invitato: a dare puntuale applicazione alle direttive presidenziali già adottate, in ordine alle procedure finalizzate ai controlli “a monte” e a “valle” dei provvedimento oggetto di oscuramento; a prestare assoluta attenzione nella redazione dei provvedimenti alle misure da adottare in presenza di dati personali di cui sia vietata la diffusione. […] In esito ai successivi approfondimenti coordinati dal Segretariato generale con riguardo al complesso di funzioni e attività che incidono sulla gestione dei dati personali, la Prima Presidente ha adottato nuove e articolare direttive, che aggiornano e sostituiscono il decreto n. 178 del 2016 tenendo conto dell’evoluzione normativa e delle indicazioni del GPDR. Le nuove direttive […], nell’ambito del complessivo quadro normativo di riferimento, prendono in esame i passaggi essenziali della gestione dei ricorsi a partire dal momento della loro iscrizione nel registro generale fino al deposito e alla pubblicazione del provvedimento decisorio, cui segue la fase di inserimento di tale provvedimento nelle banche dati accessibili al pubblico. Ognuno di questi passaggi è stato esaminato con specifica indicazione degli interventi che le cancellerie, il personale dell’ufficio per il processo e i magistrati devono effettuare per assicurare il rispetto delle garanzie proprie dei dati personali meritevoli di tutela. In tale contesto si è tenuto conto delle specificità del rito civile e di quello penale e delle conseguenti caratteristiche del lavoro delle cancellerie e dei magistrati. […]

In tale contesto, è stato richiesto all’Ufficio del Massimario e del Ruolo di elaborare un glossario di parole significative al fine di rappresentare la presenza nel provvedimento di dati sensibili che non possono essere diffusi, e di consentire l’adozione sia di specifici controlli “a valle” sia di strumenti di “alert” a monte. Si è così pervenuto ad un elenco di parole chiave […], che ha formato oggetto delle direttive emanate dalla Prima Presidente e che, nello stesso tempo, è stato utilizzato dal CED per i controlli informatici posti in essere […]”.

Inoltre, le nuove direttive adottate dalla Prima Presidente della Corte, con decreto n. 78 del 1° aprile 2023 [il testo dell’appena menzionato decreto è allegato alla fine del post, NDR], oltre a fornire indicazioni metodologiche e applicative al personale e ai magistrati della Corte, prevedono che “al fine di accrescere la consapevolezza del personale e dei magistrati alle Corte sui temi in esame, i Presidenti titolari delle Sezioni civili e penali, all’esito dell’interlocuzione con i Presidenti non titolari e con i magistrati della Sezione, curano, con cadenza almeno bimensile, la verifica della completezza e dell’attualità delle voci di glossario predisposte dall’Ufficio del Massimario e del Ruolo. Qualora rilevino criticità o incompletezze, provvedono a segnalarle alla Prima Presidenza per il tramite del Segretariato generale, e ai Direttori dell’Ufficio del Massimario e del Ruolo e del CED per le iniziative di rispettiva competenza”.

Nella citata nota del 1° giugno 2023, la Suprema Corte ha altresì rappresentato all’Autorità che “per agevolare e rendere efficaci al massimo grado possibile le operazioni di selezione dei provvedimenti suscettibili di oscuramento dei dati personali in sede di diffusione, [… la] Corte ha avviato una stretta collaborazione con il Ministero della giustizia, con cui in data 24 maggio 2023 si è tenuta una riunione […] al fine di giungere all’adozione del sistema automatico di pseudonimizzazione in corso di realizzazione per la Banca dati di merito civile gestita dallo stesso Ministero. Tale sistema […], che si basa su tecnologia di “A.I.”, consente, prima di validare il file analizzato ed esportarlo, di effettuare una review di tutto il documento con apposte le sostituzioni effettuate di compararlo con il file originale in chiaro, in modo da avere contezza in maniera immediata della sentenza/ordinanza pseudonimizzata. […] Con nota del 31 maggio 2023, il Dipartimento per la transizione digitale della giustizia del Ministero della Giustizia ha confermato la disponibilità a mettere a disposizione un apposito strumento per attuare l’azione di pseudonimizzazione dei provvedimenti da parte [… della] Corte, precisando che il sistema “impiega tecniche di autoapprendimento mediante uso di modelli di Named Entity Recognition AI, che consentono di garantire la ripetibilità dell’operazione su una grande quantità di dati in modalità automatica, pur mantenendo la possibilità, da parte dell’operatore, di intervenire per effettuare azioni di verifica e/o di controllo d sostituzione di termini proposti dal sistema in automatico per la pseudonimizzazione” […]”.

OSSERVATO

2. Normativa applicabile ed esito dell’attività istruttoria.

2.1. Il Centro Elettronico di Documentazione (C.E.D.) della Corte Suprema di Cassazione costituisce una struttura autonoma nell’ambito della medesima Corte, alle dirette dipendenze della Prima Presidenza. In particolare il C.E.D. svolge un servizio pubblico di informatica giuridica, per diffondere la conoscenza della normativa, della giurisprudenza e della dottrina giuridica (art. 1, comma 1, D.P.R. 17 giugno 2004, n. 195). Al C.E.D. spettano, tra le altre, le competenze di “informatica giuridica: trattamento, ricerca e diffusione del dato giuridico globale, in sede nazionale ed internazionale, attraverso la formazione e lo sviluppo della banca-dati Italgiure; D.P.R. n. 322/1981 e D.M. 7.2.2006” e “attività di conversione informatica dei documenti della Corte, formazione degli archivi di documentazione giuridica e adeguamento tecnologico del sistema di ricerca ItalgiureWeb” (www.cortedicassazione.it/corte-di-cassazione/it/ced.page).

Nell’informativa “privacy” relativa a Italgiure/Corte di cassazione, raggiungibile all’indirizzo http://www.italgiure.giustizia.it, si legge che “relativamente al presente sito web il titolare del trattamento è la Corte Suprema di Cassazione, con sede in Roma, Piazza Cavour a cui ci si potrà rivolgere per l’esercizio dei diritti così come previsti dall’articolo 17 del GDPR ai seguenti indirizzi mail: privacy.cassazione@giustizia.it e privacycert.cassazione@giustiziacert.it per l’ esercizio dei diritti così come previsti dall’articolo 17 del Regolamento” mentre “ai sensi dell’articolo 28 del Regolamento UE n. 2016/679, su nomina del titolare dei dati, il responsabile del trattamento dei dati del sito http://www.italgiure.giustizia.it è il Primo Presidente Aggiunto”.

Dall’esame della documentazione prodotta, nonché di quanto previsto dall’articolo 1 del D.P.R. n. 195/2004 e di quanto verificato dall’Ufficio mediante verbali di operazioni compiute del 9 novembre 2022 e del 3 marzo 2023, risulta accertato che la Suprema Corte, in qualità di titolare del trattamento ha divulgato – tramite il portale SentenzeWeb raggiungibile mediante accesso diretto tramite il sito http://www.italgiure.giustizia.it (http://www.italgiure.giustizia.it/sncass/) – dati di cui agli articoli 52, comma 5, e 2-septies del Codice, per mezzo della pubblicazione di provvedimenti giurisdizionali contenenti anche ulteriori informazioni riferite agli interessati.

2.2. In relazione, poi, alle modalità adottate dalla Corte per individuare i provvedimenti giurisdizionali contenenti dati personali da oscurare per legge, nel corso dell’istruttoria è emerso che tali modalità, al momento in cui è stato avviato il procedimento in esame (8 marzo 2023), erano basate principalmente sul ricorso a misure organizzative che prevedevano l’intervento umano di diversi soggetti (cancellerie, magistrati addetti all’esame preliminare, Collegi, estensori dei provvedimenti, Ufficio del Massimario, Ufficio del CED), per l’individuazione dei procedimenti in cui sono coinvolti minori (soggetti tutelati in qualunque tipo di procedimento giudiziario) o, limitatamente a taluni tipi di procedimento (indicati negli all. A e B al decreto del Primo Presidente della Corte di Cassazione n. 178/2016), persone anche maggiorenni.

L’unica misura tecnica adottata prevedeva l’esecuzione, da parte dell’Ufficio del CED, di una “serie di ulteriori controlli sulla base di parole chiave e articoli del codice penale” tramite un “sistema automatico”. Peraltro, alla data della comunicazione di avvio del procedimento, non risultava che la Corte avesse fornito indicazioni in merito alla necessità di oscurare i dati identificativi delle persone fisiche nel caso in cui fossero presenti nel provvedimento dati genetici, biometrici o relativi alla salute di cui all’art. 2-septies del Codice.

Al riguardo, si ritiene che le misure adottate non fossero adeguate a prevenire la pubblicazione di provvedimenti giurisdizionali contenenti dati personali da oscurare per legge (artt. 52, comma 5, e 2-septies del Codice). Infatti, nel corso dell’istruttoria, è stato accertato che, effettuando semplici ricerche a campione (non aventi quindi carattere di esaustività) relative a patologie o casistiche di cui al citato articolo 52, il portale “SentenzeWeb” mostrava un numero rilevante di provvedimenti, alcuni dei quali recano le generalità o altri dati identificativi di interessati appartenenti alle categorie descritte (cfr. all. 1 alla richiesta di informazioni del 21 novembre 2022). L’individuazione degli stessi, peraltro, è stata frutto di un esame necessariamente non completo da parte dell’Ufficio dei numerosi provvedimenti giurisdizionali risultanti dalle ricerche effettuate con le parole chiave selezionate (cfr. accertamento del 9 novembre 2022).

La non adeguatezza delle misure adottate dalla Corte è risultata ancora più evidente nel caso di provvedimenti recanti dati genetici, biometrici o relativi alla salute, per i quali non risultavano essere state fornite specifiche indicazioni ai diversi soggetti coinvolti nelle procedure di oscuramento. Ciò, anche considerato che, in relazione ai dati riferiti a interessati affetti da HIV, in base alla legge “ogni […] soggetto che viene a conoscenza di un caso di AIDS, ovvero di un caso di infezione da HIV, […] è tenuto […] ad adottare ogni misura o accorgimento occorrente per la tutela dei diritti e delle libertà fondamentali dell’interessato, nonché della relativa dignità” (art. 5, comma 1, della legge n. 135/1990, come modificato dall’art. 178 del Codice previgente).

Peraltro, dall’ulteriore accesso al portale in esame effettuato in data 3 marzo 2023, nel corso del quale sono state effettuate ulteriori ricerche utilizzando le parole chiave “malato” e “malattia”, sono stati esaminati a campione solo alcuni delle migliaia di provvedimenti giurisdizionali e da un primo esame di uno di questi campioni è risultato che tre provvedimenti recavano in chiaro il nome e il cognome di interessati affetti da patologie oncologiche (Cass. pen., sez. 4, nn. 46662, 47390, 48247 del 2022); provvedimenti che risultavano ancora pubblicati in chiaro nel portale in esame al momento della comunicazione di avvio del procedimento.

RITENUTO

3. Conclusioni.

3.1. Alla luce delle valutazioni sopra riportate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del regolamento del Garante n. 1/2019.

Per tali ragioni si rileva l’illiceità del trattamento di dati personali, consistente nella divulgazione, tramite il sito http://www.italgiure.giustizia.it (http://www.italgiure.giustizia.it/sncass/), dei dati relativi a vittime di violenza sessuale nonché a persone affette dalle suddette patologie, effettuata dalla Suprema Corte in violazione di quanto disposto dagli articoli 52, comma 5, e 2-septies del Codice e del divieto di diffusione di dati di cui all’art. 9 del Regolamento, nonché in maniera non conforme ai principi di liceità e di minimizzazione dei dati di cui all’articolo 5, par. 1, lett. a) e c), del Regolamento (cfr., al riguardo, Cass. civ., Sez. I, del 20 maggio 2016, n. 10510 e Parere del Garante n. 88 del 19 maggio 2020, in http://www.gpdp.it – doc. web n. 9347280).

3.2. Inoltre, tenuto conto di quanto accertato nel corso dell’istruttoria e delle dichiarazioni rese dalla Suprema Corte, si rileva che le modalità adottate fino all’8 marzo 2023 per individuare i provvedimenti giurisdizionali contenenti dati personali da oscurare per legge, non sono risultate conformi al principio di integrità e riservatezza di cui all’articolo 5, par. 1, lett. f), e agli obblighi di cui all’articolo 32 del Regolamento, che stabilisce che il titolare del trattamento debba mettere in atto misure per assicurare su base permanente la riservatezza dei dati personali.

Si prende atto, d’altro canto, che a decorrere dal 9 marzo 2023 è stato sospeso temporaneamente e in via cautelativa il portale SentenzeWeb, in attesa di nuove misure e adempimenti a tutela degli interessati e nel rispetto della normativa in materia di protezione dei dati personali.

3.3. Infine, con riguardo a quanto rappresentato dalla Suprema Corte con note del 7 aprile 2023 e del 1° giugno 2023, circa le nuove modalità di individuazione dei provvedimenti giurisdizionali da sottoporre alle procedure di oscuramento, tenuto conto delle misure adottate dalla Corte nel corso dell’istruttoria (specialmente le nuove direttive emanate della Prima Presidente con decreto n. 78 del 1° aprile 2023), si ritiene che non ricorrano i presupposti per l’adozione delle misure correttive di cui all’articolo 58, par. 2, del Regolamento.

Tuttavia, con riguardo alla rappresentata volontà della Suprema Corte di fare ricorso a un c.d. “sistema automatico di pseudonimizzazione” messo a disposizione dal Ministero della giustizia, si richiama l’attenzione sul fatto che la mera sostituzione, in un provvedimento giurisdizionale, del nome e cognome o di altri dati (es. codice fiscale) di una parte con uno pseudonimo non rappresenta un’efficace tecnica di pseudonimizzazione e, diversamente da quanto sostenuto dalla Corte, non consente di realizzare sempre un “processo di alterazione irreversibile dei dati personali, a seguito del quale l’interessato non può essere identificato direttamente o indirettamente”. Ciò, in quanto, anche in assenza delle generalità o di altri dati identificativi diretti di un interessato, i provvedimenti giurisdizionali possono, in alcuni casi, contenere al loro interno altre informazioni (es. i luoghi e/o il contesto in cui si sono svolti i fatti oggetto del procedimento; la denominazione del datore di lavoro; ecc.) attraverso le quali è possibile risalire a una persona fisica identificata o identificabile.

Occorre, infatti, tener presente che il Regolamento definisce la pseudonimizzazione come quel trattamento a seguito del quale “i dati personali non possano più essere attribuiti a un interessato senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile” e stabilisce che, per valutare l’identificabilità di una persona fisica, è necessario considerare tutti i mezzi di cui un soggetto può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente (cfr. art. 4, punto 5), e cons. 26 del Regolamento).

Pertanto, si invita la Suprema Corte a valutare attentamente i rischi per i diritti e le libertà fondamentali delle persone fisiche derivanti dall’utilizzo del citato sistema ai fini dell’oscuramento, nei casi previsti dalla legge, delle generalità e degli altri dati identificativi degli interessati riportati nei provvedimenti giurisdizionali, nonché a individuare e adottare adeguate misure tecniche e organizzative per mitigare tali rischi.

4. Provvedimento.

Il Regolamento attribuisce all’Autorità nazionale di protezione dati e quindi al Garante, in caso di accertamento di trattamenti illeciti per violazione di una o più delle disposizioni da esso stesso dettate, nell’ambito dei compiti e poteri assegnati, quello di adottare sia provvedimenti c.d. correttivi, sia sanzioni amministrative pecuniarie, in una logica di proporzionalità rispetto alla gravità della violazione accertata (cfr. artt. 58, comma 2, e 83, nonché considerando 148 del Regolamento).

In particolare, il complessivo quadro normativo applicabile ai casi di violazione del Regolamento consente al Garante di irrogare sanzioni amministrative pecuniarie di entità diversa a seconda della gravità della violazione riscontrata oppure, per i casi meno gravi, in alternativa alla sanzione pecuniaria, un ammonimento, come pure prescrizioni atte a conformare pienamente i trattamenti alle regole e alle garanzie previste in materia di protezione dei dati personali.

L’articolo 83, comma 2, del Regolamento individua i criteri da tenere in considerazione per determinare, in concreto, l’ammontare della sanzione amministrativa pecuniaria, ma è da ritenere che agli stessi criteri debba anche commisurarsi, a monte, la scelta della misura da adottare (se cioè di natura correttiva o sanzionatoria), in base alla gravità del fatto.

4.1. Ciò premesso, occorre tenere in debito conto ogni elemento riscontrato nel corso dell’istruttoria, a cominciare dal fatto che, come anticipato sopra (cfr. par. 3.2), a decorrere dal 9 marzo 2023 è stato sospeso temporaneamente e in via cautelativa il portale SentenzeWeb, in attesa di nuove misure e adempimenti a tutela degli interessati e nel rispetto della normativa in materia di protezione dei dati personali.

Inoltre deve considerarsi che:

sotto il profilo riguardante l’elemento soggettivo non emerge alcun atteggiamento intenzionale da parte del titolare del trattamento (art. 83, par. 2, lett. b), del Regolamento);

il titolare ha dimostrato una piena cooperazione con l’Autorità al fine di porre rimedio alla violazione e attenuarne gli effetti negativi nei confronti degli interessati (art. 83, par. 2, lett. f), del Regolamento);

nei confronti del titolare non risultano precedenti provvedimenti del Garante per violazioni pertinenti (art. 83, par. 2, lett. e), del Regolamento);

sono state adottate misure da parte del titolare per attenuare il danno subito dagli interessati (art. 83, par. 2, lett. c), del Regolamento).

In conclusione, preso atto dei suddetti elementi, valutate nel loro complesso tutte le risultanze istruttorie del procedimento, si ritiene di dover irrogare al titolare del trattamento l’ammonimento, alla stregua della normativa sopra citata.

4.2. Per quanto riguarda le osservazioni rese al punto 3.3, si ritiene necessario ingiungere al titolare del trattamento, ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, di fornire all’Autorità, entro tre mesi dalla data di ricezione del presente provvedimento, informazioni in merito alle eventuali criticità emerse nel corso del primo periodo di applicazione delle nuove direttive emanate dalla Prima Presidente della Corte con decreto n. 78 del 1° aprile 2023 e alle misure adottate per superarle, nonché all’eventuale adozione del c.d. “sistema automatico di pseudonimizzazione” ai fini dell’oscuramento, nei casi previsti dalla legge, delle generalità e degli altri dati identificativi degli interessati riportati nei provvedimenti giurisdizionali della Corte e alle misure adottate per mitigare i rischi per i diritti e le libertà fondamentali delle persone fisiche.

4.3. Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

DICHIARA

l’illiceità del trattamento dei dati personali degli interessati effettuato dalla Corte di cassazione per violazione delle disposizioni di cui agli articoli 5, par. 1, lett. a) e c), del Regolamento in combinato, disposto con l’art. 52, comma 5, e 9 del Regolamento in combinato disposto con l’art. 2 septies, comma 8, del Codice, nonché 5, par. 1, lett. f), e 32 del Regolamento, nei termini di cui in motivazione e, per l’effetto,

AMMONISCE

ai sensi dell’articolo 58, par. 2, lett. b), del Regolamento, la Corte di cassazione, C.F. 80417740588, con sede in Piazza Cavour 00193 Roma, in persona della Prima Presidente pro-tempore, per violazione delle disposizioni di cui agli articoli 5, par. 1, lett. a) e c), del Regolamento, in combinato disposto con l’articolo 52, comma 5, e 9 del Regolamento in combinato disposto con l’articolo 2 septies, comma 8, del Codice, nonché 5, par. 1, lett. f), e 32 del Regolamento;

INGIUNGE

ai sensi degli articoli 58, par. 1, lett. a), del Regolamento e 157 del Codice, alla Corte di cassazione di fornire all’Autorità, entro tre mesi dalla data di ricezione del presente provvedimento, informazioni in merito:

i) alle eventuali criticità emerse nel corso del primo periodo di applicazione delle nuove direttive emanate dalla Prima Presidente della Corte con decreto n. 78 del 1° aprile 2023 e alle misure adottate per superarle;

ii) all’eventuale adozione del c.d. “sistema automatico di pseudonimizzazione” ai fini dell’oscuramento, nei casi previsti dalla legge, delle generalità e degli altri dati identificativi degli interessati riportati nei provvedimenti giurisdizionali della Corte e alle misure adottate per mitigare i rischi per i diritti e le libertà fondamentali delle persone fisiche;

DISPONE

ai sensi dell’articolo 17 del regolamento del Garante n. 1/2019, l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’articolo 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all’articolo 58, par. 2, del Regolamento.

Ai sensi degli articoli 78 del Regolamento, 152 del Codice e 10 del d. lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione, in via alternativa, al tribunale del luogo in cui il titolare del trattamento risiede o ha sede ovvero al tribunale del luogo di residenza dell’interessato, entro trenta giorni dalla data di comunicazione del provvedimento ovvero entro sessanta giorni se il ricorrente risiede all’estero”.

Così esposto il provvedimento, resta solo da aggiungere che si ignora se l’avente diritto si sia avvalso o meno della facoltà di opporsi al provvedimento del Garante e, in caso positivo, se il relativo procedimento sia in corso oppure già concluso e con quale esito.

2025

Si è ritenuta utile una verifica empirica sull’attuale grado di conformazione dell’archivio SentenzeWeb alle prescrizioni del Garante della Privacy.

Ci si limita a segnalare, a conclusione di una ricerca condotta su un campione numericamente modestissimo, tre sentenze la cui presenza in SentenzeWeb è stata verificata oggi 29 aprile 2025, alle ore 12.

La prima è Cassazione penale, Sez. 5^, sentenza n. 42396/2023, udienza del 14 settembre 2023 in cui sono riportati in chiaro i riferimenti nominativi di un’anziana signora parte offesa del delitto di furto aggravato e affetta da demenza senile.

La seconda è Cassazione penale, Sez. 2^, sentenza n. 43912/2022, udienza del 7 ottobre 2022, che verte su una contestazione di riciclaggio seguito al reato di circonvenzione di incapace. I dati nominativi del circonvenuto campeggiano in chiaro e in lungo e in largo in tutta la motivazione.

La terza è Cassazione penale, Sez. 4^, sentenza n. 575/2023, udienza del 5 ottobre 2022, che verte su una contestazione di truffa in un procedimento nel quale sono state acquisite le dichiarazioni della parte offesa che nelle more ha perso la capacità di testimoniare essendo affetta dal morbo di Alzheimer. Le sue generalità sono riportate in chiaro.

Non sono noti i dettagli operativi del nuovo corso che la Suprema Corte si è impegnata a compiere.

Sembrerebbe tuttavia, quali che siano state le linee guida adottate, che la diffusione al pubblico dei nominativi di persone affette da patologie gravi cui consegue la perdita delle capacità cognitiva e di altre persone vittime di circonvenzione di incapace sarebbe da evitare.

E, se così fosse, ci sarebbe materia per un nuovo intervento del Garante.