Condominio e diritto alla riservatezza: affissione elenco morosi e risarcimento danni

Tribunale di Taranto, Sezione Civile, sentenza 7 aprile 2025, n. 826. In funzione di giudice di appello, in composizione monocratica.

Massima: “Se l’art. 1129, comma 9, c.c., stabilisce che, salvo che sia stato espressamente dispensato dall’assemblea, l’amministratore di condominio è tenuto ad agire per la riscossione forzosa delle somme dovute dagli obbligati, tuttavia, ciò che allo stesso non è consentito è la pubblicità indiscriminata dei dati dei condomini morosi, dovendo egli comunque osservare i principi di proporzionalità, di pertinenza e di non eccedenza rispetto agli scopi per i quali i dati sono raccolti. Grava, cioè, sull’amministratore il dovere di adottare le opportune cautele per evitare l’accesso a quei dati da parte di terzi e così, pur essendo tenuto ad indicare analiticamente i dati dei condomini morosi in rendiconto o a fornire l’elenco completo ai terzi creditori, non può procedere all’affissione dei suddetti dati nella bacheca dell’androne condominiale. Infatti, in tale caso, l’affissione del dato personale concernente le posizioni di debito del singolo condomino, avvenendo in uno spazio accessibile al pubblico, si risolverebbe nella messa a disposizione di quei dati in favore di una serie indeterminata di persone estranee e, quindi, in una indebita diffusione, come tale illecita e fonte di responsabilità civile”.

CASO

Con la sentenza in commento, il Tribunale di Taranto ha accolto l’appello proposto da un condomino esercente un’attività professionale, oltre che residente nello stabile, contro la pronuncia di rigetto emessa in primo grado dal Giudice di Pace, riconoscendo la responsabilità civile dell’amministratore del condominio per illecito trattamento di dati personali.

La condotta antigiuridica è consistita nell’affissione, all’interno delle bacheche dell’androne condominiale, di un elenco dei condomini morosi, contenente nominativi e importi dovuti, in violazione della normativa sulla protezione dei dati personali.

SOLUZIONE

Il Tribunale ha qualificato tale condotta come diffusione illecita di dati personali ai sensi degli artt. 11 e 15 del D.lgs. 196/2003 (Codice Privacy) e dell’art. 82 del Reg. (UE) 2016/679 (GDPR), con conseguente condanna al risarcimento del danno non patrimoniale in favore del condomino leso.

QUESTIONI

Il caso oggetto della sentenza in commento concerne una prassi – illecita – invalsa in molti condomini consistente nell’affissione di dati personali dei condomini morosi (nominativi e/o altri riferimenti personali, con l’indicazione del relativo debito) in spazi comuni, quali, ad esempio, la bacheca ubicata nell’androne dello stabile, accessibili ad un numero indeterminato e indeterminabile di persone e, quindi, visibili e liberamente accessibili da parte di terzi, senza il consenso del titolare dei dati (interessato).

Pertanto occorre, preliminarmente delineare un inquadramento normativo concernente i dati personali e gli obblighi dell’amministratore.

Ai sensi dell’art. 4, n. 1, GDPR, per dato personale deve intendersi «qualsiasi informazione riguardante una persona fisica identificata o identificabile», mentre ai sensi dell’art. 4, n. 12, GDPR, la violazione dei dati personali consiste nella «divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati».

I dati relativi alle posizioni debitorie dei condomini rientrano a pieno titolo in tale definizione, in quanto riconducibili a soggetti determinati e contenenti informazioni economiche potenzialmente lesive della reputazione personale e professionale.

L’amministratore di condominio, ai sensi dell’art. 1129, comma 9, c.c. e dell’art. 63 disp. att. c.c., è tenuto ad agire per il recupero coattivo delle quote condominiali e a comunicare ai creditori i dati dei condomini morosi. Tuttavia, tale obbligo non può estendersi a forme di divulgazione generalizzata come l’affissione pubblica nei locali comuni, che deve considerarsi eccedente rispetto alle finalità del trattamento, in violazione dell’art. 5, par. 1, lett. c), GDPR (principio di minimizzazione dei dati).

L’inquadramento sistematico sopra delineato deve interfacciarsi con la giurisprudenza rilevante in materia di illecito trattamento di dati personali nell’ambito della dialettica condominiale, in ordine al rapporto intercorrente tra i profili di responsabilità civile e il bilanciamento con l’interesse collettivo.

Il principio affermato dal Tribunale di Taranto si inserisce in un consolidato orientamento giurisprudenziale, secondo cui l’amministratore può legittimamente comunicare ai condomini i dati relativi alla morosità altrui, ma solo nei limiti delle finalità connesse alla gestione condominiale e, soprattutto, nel rispetto della riservatezza e, anche se si tratta di dati non sensibili, dei principi di proporzionalità, di pertinenza e di non eccedenza rispetto agli scopi per i quali i dati stessi sono stati raccolti.

Infatti, a partire dalla nota pronuncia della Suprema Corte n. 186/2011 si è affermato che «l’affissione nella bacheca condominiale, da parte dell’amministratore, dell’informazione concernente le posizioni di debito del singolo partecipante al condominio, costituisce indebita diffusione di dati personali e, come tale, è fonte di responsabilità civile ai sensi degli artt. 11 e 15 del D.lgs. n. 196/2003»[1], principio poi ribadito da un arresto più recente in cui gli Ermellini hanno affermato che, fermo il diritto di ciascun condomino a conoscere le posizioni debitorie degli altri in un’ottica di controllo e trasparenza, costituisce un illecito la comunicazione dei dati personali in spazi accessibili a terzi[2].

Tali pronunce valorizzano il diritto fondamentale alla protezione dei dati personali, sancito dagli artt. 2 e 21 della Carta costituzionale, art. 8 della Carta di Nizza e art. 8 della CEDU, configurandolo come posizione soggettiva meritevole di tutela indipendentemente dalla qualifica del dato come sensibile o meno.

Un altro aspetto saliente della pronuncia in commento riguarda il diritto al risarcimento del danno patrimoniale e non patrimoniale in caso di lesione dei dati personali, con il relativo onere probatorio.

L’art. 82 del GDPR, riferendosi alle tipologie di danno in questione, stabilisce che «chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento».

Dunque, la normativa vigente consente al soggetto danneggiato (interessato) a seguito di un trattamento dei suoi dati in violazione delle norme del GDPR (e, più in generale, della normativa vigente in materia privacy) può ottenere il risarcimento di qualunque danno occorsogli (anche in caso di lesione marginale), sia a seguito di condotta del titolare (ed eventuali contitolari, quindi, «la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali»[3]) che del responsabile del trattamento («la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento»[4]). Il titolare risponde per il danno causato dal trattamento in violazione del regolamento, mentre il responsabile solo del danno causato dal non corretto adempimento dei suoi obblighi specifici, o se ha agito in modo difforme rispetto alle istruzioni del titolare. Eventuali sub-responsabili, invece, rispondono solo internamente, verso il responsabile, non verso gli interessati. In sintesi si configura in capo al titolare ed eventuali responsabili una responsabilità oggettiva per contrarietà ai precetti del GDPR del tutto sovrapponibile a quella di cui all’art. 2050 c.c.[5].

In relazione al soggetto contro cui rivolgere la domanda risarcitoria, al fine di una più completa tutela dell’interessato, vige il c.d. principio del cumulo tra i responsabili (art. 82. par. 4 GDPR), in modo che i danneggiati ottengano sempre l’intero risarcimento del danno, potendo agire per l’intero danno indifferentemente contro uno qualsiasi dei soggetti tenuti solidalmente al risarcimento. Eventuali clausole contrattuali di ripartizione del danno valgono solo nei rapporti interni tra i danneggianti, per cui il soggetto che ha risarcito il danno potrà agire in regresso contro gli altri soggetti per le quote di responsabilità. In assenza di accordi interni occorrerà un accertamento giudiziale per la ripartizione interna per quote.

Inoltre, occorre dare atto dell’esistenza di un regime differenziato, in base al quale le persone fisiche, giuridiche o altri enti che trattano dati per attività di impresa o professionale sono soggette al regime speciale agevolato per l’interessato al trattamento tipizzato dall’art. 82 GDPR, con possibilità di vedersi riconoscere il risarcimento del danno patrimoniale e/o non patrimoniale. Le persone fisiche, invece, che trattano dati per scopi domestici o personali, sono soggette al regime ordinario di responsabilità aquiliana (secondo la clausola genarle di cui all’art. 2043 c.c.), per cui il risarcimento del danno non patrimoniale consegue solo alla prova che il trattamento configuri un reato (art. 2059 c.c.) oppure il danneggiato sia in grado di dimostrare la lesione di un diritto fondamentale della persona protetto dall’art. 2 della Carta costituzionale.

Nel caso della pronuncia in commento, il Tribunale tarantino ha ritenuto configurabile un danno non patrimoniale ex art. 15 Codice Privacy, liquidato in via equitativa, valorizzando le seguenti circostanze:

• la durata dell’affissione (tre mesi);
• la professionalità del danneggiato, esercente la propria attività nello stabile;
• la visibilità delle bacheche da parte di soggetti terzi (portiere, ospiti, fornitori);
• il fatto che la diffusione non fosse indispensabile ai fini della gestione condominiale.

La prova del danno è stata ammessa sulla base di presunzioni gravi, precise e concordanti e delle dichiarazioni testimoniali rese in secondo grado. Ciò è conforme all’insegnamento delle Sezioni Unite[6], secondo cui il danno non patrimoniale può essere provato presuntivamente, in ragione della lesione di un diritto fondamentale, anche in assenza di evidenze documentali.

In conclusione, la pronuncia in commento si segnala per la puntuale ricostruzione del bilanciamento tra esigenze di efficienza amministrativa in ambito condominiale e tutela dei diritti della personalità, in particolare il diritto alla riservatezza e alla reputazione dei singoli condomini che ben potrebbero essere lesi da condotte poste in essere in violazione dei principi dettati dal GDPR in tema di protezione dei dati personali (primi tra tutti, liceità, correttezza, trasparenza e minimizzazione dei dati).

Principio di diritto: «L’affissione da parte dell’amministratore condominiale, nella bacheca dell’androne condominiale, di un elenco nominativo dei condomini morosi, integra indebita diffusione di dati personali, ai sensi degli artt. 11 e 15 del D.lgs. 196/2003 e dell’art. 82 Reg. UE 2016/679, essendo inidonea a rispettare i principi di proporzionalità, pertinenza e non eccedenza nel trattamento, ed è fonte di responsabilità civile per danno non patrimoniale, anche in assenza di prova del pregiudizio economico, purché effettivamente lesiva di beni tutelati dall’art. 2 Cost.».

[1] Cassazione civile, sez. I, ordinanza 4 gennaio 2011, n. 186.

[2] Cassazione civile, sez. I, ordinanza 7 ottobre 2022, n. 29323.

[3] Art. 4, n. 7, GDPR.

[4] Art. 4, n. 8, GDPR.

[5] Sul punto il Considerando n. 146 prevede espressamente che: «Il titolare del trattamento o il responsabile del trattamento dovrebbe risarcire i danni cagionati a una persona da un trattamento non conforme al presente regolamento ma dovrebbe essere esonerato da tale responsabilità se dimostra che l’evento dannoso non gli è in alcun modo imputabile», delineando, quindi, una forma di responsabilità oggettiva.

[6] Cassazione civile, Sezioni Unite, sentenza 11 novembre 2008, n. 26972 e seguenti.