Il danno da violazione della privacy deve essere rilevante: così la Cassazione
La Suprema Corte di Cassazione interviene, con una ordinanza della fine di agosto del 2020, sul risarcimento per violazione del trattamento dei dati personali, ribadendo il principio in base al quale il danno da privacy non si sottrae alla verifica della “gravità della lesione” e della “serietà del danno”.
(Nella foto: l'Avv. Fulvio Sarzana)
Afferma la Corte che “Il danno non patrimoniale risarcibile ai sensi dell’art. 15 del d.lgs. 30 giugno 2003, n. 196 (cosiddetto codice della privacy), pur determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli artt. 2 e 21 Cost. e dall’art. 8 della CEDU. non si sottrae alla verifica della “gravità della lesione” e della “serietà del danno” (quale perdita di natura personale effettivamente patita dall’interessato), in quanto anche per tale diritto opera il bilanciamento con il principio di solidarietà ex art. 2 Cost., di cui il principio di tolleranza della Ric. 2018 n. 33578 sez. M1 – ud. 14-01-2020 -3- lesione minima è intrinseco precipitato, sicché determina una lesione ingiustificabile del diritto non la mera violazione delle prescrizioni poste dall’art. 11 del codice della privacy ma solo quella che ne offenda in modo sensibile la sua portata effettiva.
Il relativo accertamento di fatto è rimesso al giudice di merito e resta ancorato alla concretezza della vicenda materiale portata alla cognizione giudiziale ed al suo essere maturata in un dato contesto temporale e sociale.”
Va detto che la sentenza si riferisce ad un periodo precedente l’entrata in vigore del GDPR ( regolamento generale privacy).
Gli art 11 e 15 del Codice Privacy italiano sono stati infatti abrogati.
A seguito dell’abrogazione espressa dell’art. 15 (“danni cagionati per effetto del trattamento”) del D.lgs. 196/2003 (“Codice Privacy”) da parte del D.lgs. 101/2018 (la norma italiana di raccordo con il GDPR), l’art. 82 del GDPR è ora la norma cardine sulla responsabilità civile nel trattamento dei dati personali e sul conseguente diritto al risarcimento.
L’art.82 comma 1° del GDPR, chiarendo l’ambito soggettivo attivo e passivo del diritto al risarcimento stabilisce che: «Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento».
Il 2° comma dell’art. 82 precisa che la richiesta di risarcimento potrà essere proposta non solo nei confronti del titolare del trattamento ma anche verso il responsabile del trattamento designato ai sensi dell’art. 28 GDPR limitatamente all’inadempimento degli obblighi a lui imposti dal GDPR o se abbia agito in modo difforme o in contrasto con le istruzioni ricevute dal titolare.
L’art.82 comma 3° del GDPR, riprendendo la disposizione del Considerando 146, enuclea la condizione secondo la quale il titolare o il responsabile del trattamento è esonerato dalla responsabilità «se dimostra che l’evento dannoso non gli è in alcun modo imputabile».
L’art. 82, comma 4° GDPR enuclea la regola della solidarietà passiva dei titolari (e co-titolari) e dei responsabili nell’obbligo di risarcire il danno all’interessato qualora essi siano coinvolti nello stesso trattamento e siano responsabili del danno causato dal trattamento.
L’art.82 comma 5° del GDPR attribuisce, nei rapporti interni, le conseguenze patrimoniali del danno cagionato.
Sarà interessante verificare quale sarà ora l’atteggiamento della giurisprudenza di merito e di legittimità in relazione ai principi comunitari stabiliti dall’art 82 del GDPR che non coincidono perfettamente con quanto prevedeva l’art. 15 del Codice Privacy, che collegava espressamente un trattamento illecito di dati personali alla responsabilità civile ex art. 2050 c.c. quale attività pericolosa sancendo inoltre la risarcibilità del danno non patrimoniale (art. 2059 c.c.).
di Fulvo Sarzana (Nòva Il Sole 24 Ore)