In una recente ordinanza n. 13073/2023 (Cass. civ., Sez. I, Ord. 12-05-2023, n. 13073) la Cassazione ha affermato il principio in base al quale anche in caso di danno “marginale” causato all’interessato, il titolare è chiamato a rispondere del danno.
La vicenda riguarda una richiesta di risarcimento del danno ai sensi dell’articolo 82 del GDPR. La norma in questione stabilisce il diritto al risarcimento connesso alla violazione del Regolamento: «Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento». La Cassazione ha rigettato il ricorso di un Comune contro la sentenza con cui il Tribunale aveva condannato l’Ente al risarcimento dei danni cagionati ad una dipendente a causa del trattamento illecito di dati personali.
Le controversie riguardanti l’applicazione della normativa in materia di protezione dei dati personali sono attribuite al giudice ordinario, le cui decisioni non sono appellabili. L’articolo 152 comma 1 d.lgs. 196/2003 stabilisce che «tutte le controversie che riguardano le materie oggetto dei ricorsi giurisdizionali di cui agli articoli 78 e 79 del Regolamento e quelli comunque riguardanti l’applicazione della normativa in materia di protezione dei dati personali, nonché il diritto al risarcimento del danno ai sensi dell’articolo 82 del medesimo regolamento, sono attribuite all’autorità giudiziaria ordinaria». Il comma 1-bis prevede che le controversie di cui al comma 1 sono disciplinate dall’articolo 10 del decreto legislativo 1° settembre 2011, n. 150. L’articolo 10 comma 10 del d.lgs. 150/2011 dispone che «la sentenza che definisce il giudizio non è appellabile […]».
Di conseguenza, aveva condannato il Comune al risarcimento del danno secondo quanto previsto dall’articolo 82 del GDPR.
L’Ente impugnava la decisione, affermando di aver adottato un adeguato sistema di gestione della privacy e insistendo sull’accidentalità dell’errore commesso dall’operatore e sulla brevità della violazione, cui era stato posto rimedio in un breve arco temporale.
Inoltre, il Comune affermava che la dipendente non avesse fornito in primo grado alcuna prova del danno subito in conseguenza della pubblicazione del visto di regolarità contabile contenente i suoi dati personali. Il Tribunale avrebbe ignorato le circostanze in cui era avvenuto l’illecito, ritenendo il danno in re ipsa per il solo fatto che si fosse verificato un trattamento dei dati personali dell’interessata non conforme al dettato normativo.
La decisione
La Corte di Cassazione ha chiarito in costa consiste la responsabilità ex articolo 82 GDPR.
Innanzitutto, l’accidentalità della violazione commessa dall’operatore non fa venir meno la responsabilità: «il titolare del trattamento dei dati risponde anche per il fatto colposo dei propri dipendenti» secondo quanto previsto in generale dall’articolo 2049 cc.
Il nodo cruciale ai fini della responsabilità sta nell’accertamento di un danno non patrimoniale conseguente alla lesione del diritto fondamentale alla protezione dei dati personali. Il GDPR all’articolo 82 sancisce la rilevanza del rimedio risarcitorio, cosicché il soggetto danneggiato da un trattamento illecito dei suoi dati «può ottenere il risarcimento di qualunque danno occorsogli, anche se la lesione sia marginale».
La Corte ha richiamato il Considerando 146 del GDPR che, sebbene privo di valore normativo, è utile per delimitare l’ambito di applicazione del rimedio risarcitorio previsto dal Regolamento.
La previsione stabilisce che «Il titolare del trattamento o il responsabile del trattamento dovrebbe risarcire i danni cagionati a una persona da un trattamento non conforme al presente regolamento ma dovrebbe essere esonerato da tale responsabilità se dimostra che l’evento dannoso non gli è in alcun modo imputabile». In questo caso è stato il Comune stesso ad aver ammesso di aver diffuso dati reputazionali non ostensibili tramite un proprio operatore autorizzato.
Il Considerando 146 prosegue affermando che «Il concetto di danno dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di giustizia in modo tale da rispecchiare pienamente gli obiettivi del presente regolamento». Da questa circostanza la Cassazione ha argomentato nel senso di escludere che il danno possa dirsi in re ipsa, ritenendo invece che debba essere verificata la gravità della lesione e la serietà del danno.
La violazione delle norme poste in tema di trattamento non è di per sé in grado di ledere in maniera effettiva il diritto alla riservatezza del dato, ma deve esserne accertata la reale portata offensiva. Di qui, l’adeguatezza dell’accertamento svolto dal Tribunale, che ha ritenuto provato il danno in relazione alla tipologia del dato illecitamente diffuso e al contesto socio-lavorativo nel quale è avvenuta l’ostensione.
Infine, rispetto alla difesa del Comune sulla mancata considerazione da parte del Tribunale del provvedimento del Garante relativo alla rinuncia al reclamo dell’interessata, la Cassazione ha precisato che la comunicazione del Garante aveva lasciato impregiudicati i diritti del soggetto leso, non contenendo la definizione di merito del reclamo. Il Garante si era limitato a prendere atto della decisione dell’interessata, anzi confortando la valutazione di responsabilità del titolare del trattamento.
Conclusioni
La Corte rigetta il ricorso affermando che il titolare del trattamento dei dati personali è sempre tenuto a risarcire il danno cagionato a una persona da un trattamento non conforme al regolamento stesso, a nulla rilevando la circostanza che il soggetto si sia prontamente attivato per rimuovere il dato illecitamente esposto.
In conclusione, la circostanza per cui il titolare o il responsabile del trattamento dimostra di aver adottato le misure idonee ad evitare il danno non esclude la responsabilità ex articolo 82 GDPR.
Il danno rilevante ai fini del suo accertamento non è in re ipsa, per la mera violazione formale della normativa a tutela della riservatezza, ma si lega ad un’offesa concreta al diritto alla riservatezza, da valutarsi alla luce delle circostanze del caso (in cui avviene la violazione) e degli obiettivi perseguiti dalla normativa in materia.
Questo articolo ti è stato utile?
Consulta le nostre sezioni dedicate al Regolamento 679/2016 (GDPR) e privacy e al supporto alle stazioni appaltanti. Puoi anche iscriverti alla nostra newsletter e non perdere le notizie più importanti in tema di Appalti, anticorruzione, digitalizzazione della PA e D.Lgs. 231 responsabilità delle persone giuridiche. Non preoccuparti, saremo moderati. Anche noi odiamo lo SPAM.