x

x

Redazione Comitato scientifico Autori Fotografi Partner
Cerca
ABBONAMENTI LOGIN

Privacy: se il danno non è grave e non è serio, non esiste

Marina di ravenna
Ph. Enrico Gusella / Marina di ravenna

Altri articoli dell'autore

Diritto /

Galeotto fu Google Street View

Diritto /

Geolocalizzazione dei dipendenti: il ruolo della DPIA va valorizzato

Diritto /

Chiamate tra operatori e consumatori: per il Garante francese sono registrabili senza consenso

Roberto

 

 

GDPR, danno, privacy

 

 

Privacy: se il danno non è grave e non è serio, non esiste

Un’altra ordinanza della Cassazione che ricorda come il danno “privacy” non possa essere in re ipsa, non bastando la mera violazione degli obblighi di legge da parte dei titolari e responsabili del trattamento.

 

La Cassazione ribadisce che il danno non patrimoniale per l’illecito trattamento dei dati deve essere sufficientemente grave e serio affinché sia risarcibile.

Con l’ordinanza n. 16402 depositata il 10 giugno 2021, la Cassazione è tornata a ribadire i noti principi di diritto in materia di risarcibilità del danno da illecito trattamento dei dati personali, che si riassumono nell’escludere la sussistenza del danno in re ipsa, ovverosia per la semplice violazione degli obblighi imposti dalla normativa.

Sebbene la pronuncia si basi su fatti anteriori all’entrata in vigore del GDPR, il principio di diritto si deve ritenere egualmente valido, a maggior ragione se si considera che esistono casi recenti che ne dimostrano l’osservanza in altri ordinamenti europei (se ne parla in questo articolo).

Il caso è di quelli interessanti.

Tutto nasce dal ricorso al Tribunale di Messina da parte del Signor X – non me ne vogliano le lettrici, ma dall’utilizzo degli aggettivi al maschile nell’ordinanza la presunzione è quanto meno in buona fede – che lamentava un illecito trattamento dei dati da parte di un Istituto di Investigazioni che, con la collaborazione dell’INPS, era entrato in possesso di documentazione attestante la sua retribuzione dal 1999 al 2013, poi comunicata al difensore di due imputati in un procedimento penale di cui il Signor X era parte, ed infine prodotta in giudizio.

Il Tribunale di Messina, pur riscontrando che le informazioni del Signor X eccedevano le finalità per le quali erano state raccolte in quanto relative ad epoche precedenti ai fatti oggetto del giudizio, rigettava il ricorso per i seguenti motivi:

  • L’Istituto di Investigazioni non doveva ritenersi responsabile della violazione, essendo eventualmente compito del difensore degli imputati nel procedimento penale, quale mandante dell’Istituto, oscurare le parti con i dati eccedenti prima della produzione in giudizio dei documenti;
  • Il Signor X non aveva specificato quali conseguenze negative risultava aver patito per l’illecito trattamento dei dati lamentano. Il ricorrente si era infatti limitato a sostenere di aver sofferto una seria sofferenza morale derivante dal fatto che i dati relativi alla sua intera carriera lavorativa erano stati divulgati ai due imputati che gli avevano teso un agguato.

Questi due motivi diventavano il centro del ricorso avanzato dal Signor X innanzi alla Cassazione, che si è pronunciata come segue.

In primo luogo, la Corte ha ritenuto che non potesse escludersi, nel caso di specie, una responsabilità dell’Istituto di Investigazioni perché esso era ben consapevole delle finalità che la raccolta dei dati del ricorrente doveva perseguire, ovverosia verificare che il Signor X vantasse un regolare porto d’armi, avendo infatti impiegato una pistola per difendersi dall’agguato ai suoi danni da parte degli imputati nel procedimento penale.

In altre parole, l’Istituto non doveva a monte comunicare al legale degli imputati dati sovrabbondati rispetto alle finalità perseguita con le indagini difensive commissionategli. 

Ciò nonostante, la fondatezza di tale censura non è valsa ad accogliere il ricorso poiché, conformemente a quanto statuito dal Tribunale, la Cassazione ha ritenuto che il ricorrente non abbia provato il danno.

Come si legge a pagina 8 dell’ordinanza, il ricorrente si era limitato a dedurre la violazione della normativa sul trattamento dei dati, asserendo genericamente che l’illecita comunicazione gli avrebbe causato una generica sofferenza.

Sul tema d’altronde la Cassazione è ormai chiara da anni: la mera violazione delle prescrizioni di legge non basta poiché è necessaria una lesione che offenda in modo sensibile la portata effettiva del diritto alla protezione dei dati personali, da accertarsi fattualmente in giudizio mediante verifica della “gravità della lesione” e “serietà del danno”.

Questo perché? per l’operare del principio di tolleranza della lesione minima, intrinseco all’articolo 2 della Costituzione. 

Chiudo con una provocazione (la seconda).

Mettiamo che il trattamento illegittimo consista nello spamming, quando mai potranno esistere la gravità dell’offesa e la serietà del danno? Potrei ricevere 100 mail al giorno da parte dello stesso operatore senza aver espresso alcun consenso però, a patto che ciò mi arrechi sul serio un grave danno (in fondo basterebbe un “seleziona messaggi da legge”, “cestino”…), non mi si potrebbe opporre che avrei semplicemente potuto usare la funzione “blocca mittente” alla quinta mail indesiderata? E che, in fondo, il danno (se c’è) me lo sono andato a cercare, quanto meno in cooperazione colposa.

Il problema c’è, e non è il solo. A noi riflessioni e possibili soluzioni!

L’ordinanza è consultabile qui.   

Articoli più letti su questo argomento

Diritto /

Attacco hacker ai sistemi informatici della regione Lazio: arrivano le sanzioni del Garante Privacy

Diritto /

Riconoscimento facciale: cosa ci insegna la maxi-sanzione a Clearview

Diritto /

Videosorveglianza e servitù: legittima anche senza il permesso di chi ha la servitù di passaggio

Newsletter Abbonamenti