x

x

Redazione Comitato scientifico Autori Fotografi Partner
Cerca
ABBONAMENTI LOGIN

Provochi un danno per trattamento dei tuoi dati? Come difenderti

Dati personali
Dati personali

Altri articoli dell'autore

Diritto /

Galeotto fu Google Street View

Diritto /

Geolocalizzazione dei dipendenti: il ruolo della DPIA va valorizzato

Diritto /

Chiamate tra operatori e consumatori: per il Garante francese sono registrabili senza consenso

Indice:

1. La responsabilità ex articolo 82 GDPR

2. La questione del danno in re ipsa

3. La giurisprudenza italiana ante GDPR

4. Il recente approdo giurisprudenziale austriaco

5. Un primo bilancio

 

1. La responsabilità ex articolo 82 GDPR

Fra i tanti risvolti che la normativa privacy europea ha avuto rispetto all’ordinamento nazionale italiano, uno dei principali è sicuramente quello in relativo alla responsabilità civile derivante dalla violazione delle disposizioni in materia.

Come è noto, la previgente legislazione in materia era regolata dall’articolo 15 Decreto Legislativo 196/2003 (“Codice Privacy”), a norma del quale: “Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile”. La disposizione prevedeva dunque una forma di responsabilità extracontrattuale generale e rinviava espressamente al disposto del codice civile relativo alla responsabilità per esercizio di attività pericolosa.

Oggi, a seguito dell’abrogazione dell’articolo sopra riportato ad opera del Decreto Legislativo 101/18, la questione resta interamente regolata dall’articolo 82 del Regolamento 679/2016 (“GDPR”), basato sui seguenti elementi:

  • responsabilità del titolare del trattamento che violi il GDPR e responsabilità del responsabile del trattamento che violi gli obblighi GDPR al medesimo espressamente riferiti o che agisca in modo difforme rispetto alle legittime istruzioni impartite dal titolare;
  • rapporto di solidarietà nell’obbligazione risarcitoria se l’unico trattamento coinvolge sia il titolare che il responsabile e ad entrambi sia ascrivibile la violazione;
  • esonero da entrambe le forme di responsabilità menzionate nel caso in cui si dia prova che l’evento dannoso non sia imputabile al titolare/responsabile.

 

2. La questione della natura della responsabilità e del danno in re ipsa

Già sotto la previgente legislazione, dottrina e giurisprudenza si erano posti la questione della natura della responsabilità civile privacy.

Per taluno, l’articolo 15 Codice Privacy introduceva una forma di responsabilità oggettiva, la cui prova liberatoria da parte del danneggiante poteva quindi essere offerta solo provando il caso fortuito e la forza maggiore. Per altri, la disposizione in commento stabiliva invece una responsabilità soggettiva aggravata da presunzione di colpa, superabile provando di aver adottato tutte le misure tecniche ed organizzative idonee a prevenire il danno verificatosi. Il dibattito aveva quindi importanti riflessi in tema di onere probatorio del convenuto (solitamente corrispondente al titolare del trattamento).

In questa dinamica si inseriva altresì la questione della natura in re ipsa del danno. In breve, vi era chi riteneva che, stante il carattere inviolabile del diritto soggettivo alla privacy, il danno derivante dal trattamento illecito di dati non richiedesse di verificare l’ingiustizia ai fini della configurabilità dello stesso. In altre parole, tale dottrina sosteneva che l’interessato non dovesse provare la serietà della lesione ai fini della configurazione del danno, venendo a rilevare il grado di gravità della medesima solo per ciò che attiene la quantificazione monetaria del danno stesso.

Dal combinato delle due tesi (articolo 15 come responsabilità oggettiva e danno privacy come in re ipsa), la posizione in giudizio del convenuto finiva così per aggravarsi ed essere messa fortemente in difficoltà.

 

3. La giurisprudenza italiana ante GDPR

La Cassazione fu presto investita delle questioni sopra introdotte ed è pervenuta agli approdi che seguono.

Per quanto attiene alla natura della responsabilità, pur non entrando nello specifico sul punto, il Supremo Giudice lascia intendere che si tratti di una responsabilità soggettiva aggravata da presunzione di colpa, nella misura in cui sostiene che “Va ricordato, quanto all’onere della prova, che, alla stregua dell’articolo15 del d.lgs. n. 196 del 2003, e dell’ articolo 2050 c.c., su colui che agisce per l’abusiva utilizzazione dei suoi dati personali incombe soltanto - seppure in via preliminare rispetto alla prova, da parte del danneggiante della mancanza di colpa, l’onere di provare il danno subito, siccome riferibile al trattamento del suo dato personale” (Cass. 23/05/2016, n. 10638). Se ne deduce quindi che, se è vero che spettava al danneggiante provare l’assenza di sua colpa, allora tale forma di responsabilità dovesse comunque considerarsi come colposa, per quanto tale colpa fosse presunta.

Risulta però altrettanto innegabile che, dovendo l’assenza di colpa provarsi mediante prova di aver adottato le opportune misure tecniche ed organizzative, nella prassi la responsabilità ex articolo 15 Codice Privacy scontava un alto coefficiente di oggettività, avendo quindi la qualificazione “formale” un impatto modesto circa la posizione processuale del convenuto.

Passando al profilo della risarcibilità del danno in re ipsa, la Corte chiarisce che “In caso di illecito trattamento dei dati personali […], il danno, sia patrimoniale che non patrimoniale, non può essere considerato "in re ipsa" per il fatto stesso dello svolgimento dell’attività pericolosa. Anche nel quadro di applicazione dell’articolo 2050 c.c., il danno, e in particolare la "perdita", deve essere sempre allegato e provato da parte dell’interessato” (Cass. 25/1/2017, n. 1931), tuttavia “la posizione attorea è agevolata dall’onere della prova più favorevole, come descritto all’articolo 2050 c.c., rispetto alla regola generale del danno aquiliano, nonché dalla possibilità di dimostrare il danno anche solo tramite presunzioni semplici e dal risarcimento secondo equità.” (Cass. 5/3/2015, n. 4443).

Utile sottolineare che le conclusioni raggiunte dalla Cassazione in materia privacy sono tutt’oggi coerenti alle massime dello stesso giudice con riferimento ad altre categorie di diritti inviolabili.

Si può qui fare l’esempio delle controversie in materia di mobbing, in occasione delle quali la Corte ha espressamente statuito che “Il danno non patrimoniale, anche nel caso di lesione di diritti inviolabili, non può mai ritenersi in re ipsa, ma va debitamente allegato e provato da chi lo invoca” (Cass. Civ., Sez. Lav., 18/01/17, n. 1185).

Entrambi gli approdi continuano a far parte del patrimonio giurisprudenziale del Supremo Giudice, come prova la loro puntuale citazione in Cass. Civ., Sez. I, ord. n. 207/2019, sebbene vada sottolineato che, ad oggi, le conclusioni della giurisprudenza nazionale sul danno in re ipsa in relazione al trattamento illecito dei dati si siano formate solo su vicende ante GDPR.

 

4. Il recente approdo giurisprudenziale austriaco

A questo punto, si pone il problema di comprendere se le conclusioni raggiunte dalla giurisprudenza sotto la previgente legislazione possano ritenersi valide anche per l’interpretazione e l’applicazione ex articolo 82 GDPR.

In attesa che la produzione giurisprudenziale CGUE faccia chiarezza sul punto, può citarsi una recente pronuncia del Tribunale regionale austriaco (Landesgericht) di Feldkirch (nello specifico, Giudizio del 13.02.2020 - Az.: 1 R 182/19 b), la quale offre molti spunti di rilievo.

Riassumendo le statuizioni del giudice austriaco, l’autorità ritiene che, seppur il GDPR non standardizzi alcuna soglia per il risarcimento di danni, “tuttavia, non tutti i sentimenti di disagio, che sono collegati a una violazione, sono indennizzabili, ma la perdita di interessi deve avere un certo peso”. In altre parole, al pari della giurisprudenza nostrana ante GDPR, il Tribunale austriaco sposa l’impossibilità di avallare la tesi della configurabilità del danno in re ipsa derivante da trattamento illecito di dati, richiedendo quindi sempre la prova dell’ingiustizia sofferta.

In aggiunta, il giudice definisce altresì dei possibili criteri a cui poter fare riferimento per la quantificazione del danno immateriale, quali:

  • grado di impatto sulla persona lesa;
  • categorie di dati interessate dalla violazione;
  • gravità e durata dell’infrazione;
  • trasmissibilità o meno dei dati a terzi.

In conformità a quanto precede, il Tribunale afferma che “I fatti che giustificano la responsabilità devono essere fatti valere e provati dalla parte lesa, quindi il verificarsi di un danno (materiale o immateriale), la violazione delle norme legali, ovvero l’illegittimità restando quindi sul danneggiante (titolare o responsabile) la possibilità di dimostrare di non essere in alcun modo responsabile per il danno subito, ovvero che la causa del danno si trova al di fuori dell’area di responsabilità del danneggiante o che non ha avuto l’opportunità di prevenire il verificarsi del danno”.

L’interessato non potrà quindi assolvere l’onere della prova adducendo il mero verificarsi della condotta illecita, ovverosia della violazione del GDPR, rendendosi necessaria un’allegazione puntuale di fatti che dimostrino la serietà della lesione patita.

D’altra parte non può però tacersi il fatto che le difficoltà in materia probatoria relative al danno patrimoniale rischierebbero di ledere la pienezza ed effettività della tutela dell’interessato, elementi che costituiscono il cuore pulsante della normativa. Una soluzione di equilibrio rintracciabile nella giurisprudenza (Cass. Civ., Sez. III, ord. 13/02/2018), oggetto di altro contributo sulla presente rivista a cui si rimanda, può individuarsi nel ricorso a strumenti processuali quali il fatto notorio (articolo 115 comma 2 Codice di Procedura Civile) che comportano un sostanziale alleggerimento del carico probatorio in carico all’attore.

 

5. Un primo bilancio

Chiarito quanto precede, può ritenersi, a parere di chi scrive, che, allo stato attuale, le posizioni delle parti coinvolte nella violazione possano così riassumersi:

  • l’interessato ha l’onere di provare, ai fini della configurazione del danno, la serietà della lesione patita dal trattamento illecito, non essendo in re ipsa rispetto alla violazione del GDPR. A ciò si accompagna la prova del nesso di causalità.

Per quanto riguarda la quantificazione monetaria dei danni non patrimoniali, possono essere mutuati (e magari implementati) gli indici elaborati dal giudice austriaco.

  • il danneggiante (titolare o/e responsabile) potrà andare esente da responsabilità provando che la violazione non è dovuta a sua colpa, il che, calato nella normativa GDPR, equivale alla dimostrazione di aver adottato le misure tecniche ed organizzative preventive idonee, in osservanza del principio di accountability, o, in alternativa, alla prova che il danno derivi da terzi.

Stante l’alta tecnicità di tali misure, vero è che, come sottolinea autorevole dottrina (TOSI), che, nei fatti, tale prova finirà nel risolversi nell’allegazione di un caso fortuito o di una forza maggiore che hanno determinato la violazione, portando la responsabilità ex articolo 82 GDPR ad essere concepibile come una responsabilità oggettiva de facto. Dello stesso avviso anche quanti ritengono (BOLOGNINI e PELINO) di condividere l’orientamento dottrinale sfavorevole alla natura in re ipsa del danno.

A questo punto, non resta che attendere e vedere come si pronunceranno gli altri giudici (sia sovranazionali che degli altri ordinamenti UE).

Letture consigliate:

Emilio Tosi, Trattamento illecito dei dati personali, responsabilità oggettiva e danno non patrimoniale alla luce dell’art. 82 del GDPR UE, in Danno e Responsabilità n. 4/2020, IPSOA.

Luca Bolognini & Enrico Pelino (a cura di), Codice della disciplina privacy, Giuffrè, 2019, pp. 440 – 448.

Rossana Ducato, La lesione della privacy di fronte alla “soglia di risarcibilità”: la nuova linea maginot del danno non patrimoniale?, in Trento Law and Technology Research Group Digital Reprints N.8, 2016.

Giulio Ramaccioni, La protezione dei dati personali e il danno non patrimoniale. Studio sulla tutela della persona nella prospettiva risarcitoria, Jovene, 2017.

Vincenzo Cuffaro, Roberto D’orazio, Vincenzo Ricciuto, I dati personali nel diritto europeo, Giappichelli, pp. 1017-1093. 

Articoli più letti su questo argomento

Diritto /

Attacco hacker ai sistemi informatici della regione Lazio: arrivano le sanzioni del Garante Privacy

Diritto /

La tecnica del bilanciamento nel difficile equilibrio tra accesso agli atti amministrativi e tutela della privacy

Diritto /

La riservatezza su Whatsapp

Newsletter Abbonamenti