L'approfondimento

GDPR e risarcimento dei danni per trattamento illecito dei dati, ecco le regole

A far luce sulla normativa relativa al risarcimento dei danni per violazioni in materia di data protection e trattamento illecito dei dati, intervengono due sentenze della Cassazione del 2018 e del 2019. Ecco alcune riflessioni

31 Gen 2020
S
Barbara Sabellico

Avvocato giuslavorista


Due sentenze della Corte di Cassazione offre lo spunto per riflettere sul risarcimento del danno non patrimoniale conseguente alla violazione del dato a causa di trattamenti illeciti. Il tutto alla luce del GDPR e della normativa nazionale, quale il D.lgs. 101/2018.

Quest’ultimo provvedimento ha infatti coordinato il Regolamento con le previgenti norme nazionali di settore ed in particolare, in materia di responsabilità civile, ha sancito l’abrogazione del titolo terzo della parte prima del Codice Privacy (D. Lgs.vo n. 196/2003), travolgendone l’art. 15.

Le sentenze della Cassazione

Certo è che di fronte ad un allora stringato art. 15 del Codice Privacy ci troviamo oggi di fronte ad un art. 82 del Regolamento composto da ben sei commi.  L’art. 15 del Codice Privacy si agganciava poi all’art. 2050 cod. civ. riconducendo nell’alveo delle attività pericolose il trattamento illecito dei dati che permetteva, quindi, di avere certezza sulla natura giuridica della responsabilità.

L’abrogazione dell’art. 15 fa sì che ad oggi va fatto esclusivo riferimento all’art. 82 del Regolamento che muove però da una ratio diversa da quella dell’art. 15. Si è infatti passati dal principio del consenso informato dell’interessato alla responsabilizzazione del titolare del trattamento che deve mettere in atto tutta una serie di misure al fine di evitare la circolazione incontrollata dei dati.

Novità a livello nazionale, le rinveniamo in due sentenze emesse dalla Suprema Corte. La prima, in ordine cronologico, del 2018 alla n.ro 14242, che si è occupata della violazione di dati giudiziari; la seconda, del 2019, alla n.ro 207/2019, ove si torna a discutere di responsabilità del comportamento degli intermediari finanziari per erronea segnalazione di un soggetto alla Centrale rischi della Banca d’Italia.

Il primo caso

Il primo caso tratta di un dipendente dell’Agenzia Doganale il quale a seguito di un procedimento penale veniva trasferito presso un altro ufficio. Le censure sollevate dal dipendente muovevano sul presupposto che il provvedimento di trasferimento era stato comunicato con protocollo ordinario, e non riservato, come richiesto qualora il contenuto della comunicazione abbia ad oggetto dati giudiziari; il tutto aggravato dal fatto che la comunicazione riportava in dettaglio molti fatti inerenti proprio al procedimento penale che a causa della modalità di trasmissione avevano permesso la diffusione delle notizie in esso contenute non solo al titolare del trattamento, ma nel contesto dell’ambiente lavorativo.

Rivoltosi all’Autorità Garante, il dipendente si è visto rigettare le proprie richieste poiché il Collegio Giudicante ha ritenuto lecito l’operato del datore di lavoro. Ne seguiva quindi il ricorso all’autorità giudiziaria che, diversamente, riconosceva le ragioni del dipendente condannando l’Agenzia delle Dogane a risarcire i danni non patrimoniali dal medesimo sofferti per la lesione del diritto alla riservatezza. L’Agenzia delle Dogane proponeva quindi ricorso in Cassazione lamentando, in particolare, la mancanza di allegazione probatoria del danno asseritamente patito e lo stesso nesso causale tra trattamento illecito dei dati personali e danno lamentato.

Il secondo caso

Il secondo caso, invece, riguarda l’illegittima segnalazione dell’intermediario finanziario e la vicenda trova spunto dalla sentenza n. 207/2019, ove la Corte di Cassazione ha approfondito il tema della responsabilità degli intermediari finanziari per erronea segnalazione di un nominativo alla Centrale rischi della Banca d’Italia. Anche in questo caso il giudizio è giunto in Cassazione e la Corte ha stabilito la fondatezza della richiesta di risarcimento del danno non patrimoniale, ed in particolare quello reputazionale, ma non ha invece riconosciuto i presupposti di un danno patrimoniale.

In entrambe le decisioni la Corte di Cassazione ha rigettato il ricorso sul presupposto della corretta applicazione da parte del giudice di merito, tra l’altro, dei principi sottesi al riconoscimento del diritto al risarcimento del danno non patrimoniale derivante dall’illecito trattamento dei dati personali. Da ciò sembra desumersi che attualmente la Corte di Cassazione sembra muovere sul principio per cui la mera circostanza che i dati personali siano utilizzati in modo illecito non sia di per sé idonea a legittimare il risarcimento del danno non patrimoniale, essendo invece necessario verificare altri presupposti quali la “gravita della lesione” e la “serietà del danno” tale da considerarsi ‘ingiustificabile’.

Il risarcimento del danno

Come già accennato, le sentenze della Suprema Corte trattano di risarcimento dei danni da trattamento illecito sotto la vigenza dell’art. 15 del D. lgs.vo n. 196/2003. Tale precetto stabiliva: “Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’art. 2050 cod. civ..

Il danno non patrimoniali è risarcibile anche in caso di violazione dell’articolo 11 e quindi anche  nell’ipotesi in cui non fossero stati rispettati i principi di liceità e di correttezza del trattamento, nonché i principi di finalità, esattezza, necessità, completezza, non eccedenza e pertinenza.

Al riguardo, può osservarsi come nella disciplina in esame il legislatore abbia espressamente previsto il risarcimento del danno non patrimoniale nell’ipotesi di violazione delle disposizioni in essa contenute, in tal modo superando i limiti posti dall’art. 2059 cod. civ..

WEBINAR
Network e Security Automation: i vantaggi per le aziende
Sicurezza
Software

Tuttavia, poiché la disciplina ricollega il risarcimento del danno non patrimoniale alla violazione di regole di condotta, senza un immediato riferimento all’interesse protetto,  ci si è chiesti se sia sufficiente la violazione di una norma sul trattamento dei dati per qualificare il danno come ingiusto e, di conseguenza, affermarne la risarcibilità, oppure se sia necessario verificare la concreta lesione di un interesse protetto.

Di fatto sull’argomento la soluzione ad oggi prospettata dalla Corte di Cassazione non è univoca poiché un orientamento sembra diretto a riconoscere il danno già nella illegittimità della condotta mentre un altro propende per la necessaria individuazione di una specifica situazione soggettiva protetta dalla norma lesa.

Dalla lettura di questi ultimi provvedimenti giurisprudenziali, appare verosimile che il risarcimento del danno eventualmente patito andrà quindi misurato in una ottica solidaristica misurando quindi la gravità della offesa rispetto agli interessi tutelati dalla normativa in materia di trattamento dei dati personali.

E qui ritorna alla ribalta la notissima sentenza della Corte di Cassazione emessa a Sezioni Unite nel 2008 in materia di risarcimento del danno non patrimoniale ove gli Ermellini stabilirono che ai fini della quantificazione del danno occorre indagare sulla gravità della lesione e serietà del danno ove viene bilanciato da una parte il principio di solidarietà verso il danneggiato e, dall’altra, quello di tolleranza imposto dal contesto sociale. Ove la lesione superi il livello di tollerabilità del vivere civile ed il pregiudizio che ne consegue non sia di modesta entità ecco, che assume rilevanza la non patrimonialità del danno.

La tutela dei diritti inviolabili

In proposito, può osservarsi come il riferimento ai requisiti della gravità della lesione e della serietà del danno, da parte delle Sezioni Unite del 2008, abbia sollevato alcuni problemi interpretativi a fronte della laconicità dell’argomentazione offerta dalla Corte. In particolare, non è chiaro in quale fase del giudizio sulla risarcibilità del danno non patrimoniale dovesse operare il filtro della gravità della lesione.

Verrebbe invece  da dire che il sol fatto di violare un precetto normativo dovrebbe importare una censura a prescindere da valutazioni giurisprudenziali sull’intensità del pregiudizio. Al più, “l’intensità” potrebbe assurgere a parametro successivo per la quantificazione del danno.

D’altronde, se i diritti inviolabili, sono tali, devono essere sempre risarciti. La serietà del danno e la gravità dell’offesa devono operare come criteri di risarcimento del danno; non già, invece, quali metri di selezione dei danni non patrimoniali. Sarebbe un abominio dubitare che possa esistere un provvedimento  legislativo che ritenga “ingiusta” la lesione dei diritti ivi tutelati;  ingiustizia che non può essere poi nuovamente messa in discussione in base alla intensità del pregiudizio.

L’immissione nei diritti inviolabili della persona, come la sua riservatezza, comporta una intollerabilità intrinseca, che deve garantire l’an del risarcimento del danno alla persona e che non può essere letto in maniera diversa perché ciò porterebbe al paradosso che un diritto della persona, che è inviolabile di per sé, è però censurabile solo oltre una soglia minima quale l’accettabilità secondo i principi di solidarietà sociale.

Le indicazioni del GDPR

Insomma, verrebbe da dire: “Nulla di nuovo all’orizzonte rispetto al passato”. E con il regolamento UE 2016/679? L’entrata in vigore di tale provvedimento sovranazionale e la conseguente abrogazione della disciplina dell’art. 15 del D. Lgs.vo n. 196/2003 mettono in luce come non mai le distonie legate al fatto che da una parte ci troviamo di fronte ad un provvedimento europeo che tende ad uniformare gli impianti legislativi tra i vari Stati membri, dall’altra, alla compresenza di differenti precetti nazionali in materia di responsabilità civile.

In attesa di esaminare le prime decisioni che saranno assunte da parte delle autorità giudiziarie appartenenti ai diversi Paesi europei, può tuttavia osservarsi come la disposizione introdotta dal Regolamento, nel disporre che “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto ad ottenere il risarcimento” e che “Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità (…) se dimostra che l’evento dannoso non gli è in alcun modo imputabile”, sembra invece porre l’attenzione sulle esigenze di protezione del danneggiato.

Al riguardo è stato in particolare posto in luce come la disciplina a tutela dei dati personali non sia solamente rivolta alla protezione della persona ma anche a regolare la circolazione delle informazioni. In questo contesto, vengono altresì in considerazione i rischi che possono derivare dal trattamento dei dati personali per la società nel suo insieme e le disposizioni poste a tutela di determinati gruppi sociali.

In particolare, in tema di responsabilità civile, l’art. 82 del regolamento UE 2016/679, dispone che: “1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento ponendo una presunzione di colpa, che il titolare o il responsabile del trattamento possono superare solo se dimostrano che l’evento dannoso non gli è in alcun modo imputabile.

Il concetto di danno dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di giustizia in modo tale da rispecchiare pienamente gli obiettivi del presente regolamento. Ciò non pregiudica le azioni di risarcimento di danni derivanti dalla violazione di altre norme del diritto dell’Unione o degli Stati membri.

Una ulteriore conferma della volontà del legislatore comunitario di favorire una efficace tutela dell’interessato, si rinviene, altresì, nella disciplina di cui all’art. 80 del regolamento, la quale introduce un meccanismo di rappresentanza affidato ad Enti senza scopo di lucro vòlto ad agevolare gli interessati nella tutela delle proprie ragioni

Ancora, sempre nella prospettiva di accrescere la tutela dell’interessato può leggersi, altresì, la previsione di cui all’art. 82, par. 4, la quale disciplina la responsabilità solidale tra i titolari e i responsabili coinvolti nel medesimo trattamento illecito. Infine, può altresì osservarsi come il profilo del rischio derivante dal trattamento dei dati personali rappresenti un elemento chiave di tutela nel regolamento UE 2016/679, incentrato sul principio di accountability e di gestione del rischio. Nello specifico, la disciplina in esame ha introdotto una maggiore responsabilità dei titolari del trattamento ai fini della prevenzione dei rischi e, di conseguenza, dei danni che ne possono derivare per i diritti e le libertà delle persone fisiche

Il Considerando 85

Su quale tipologia di danno si riferisca il legislatore europeo soccorre il Considerando numero 85 il quale fornisce un elenco esemplificativo delle tipologie dei danni che potrebbero palesarsi a seguito di una violazione di dati personali. Tale elenco è raggruppabile in tre tipologie quali: i danni fisici, i danni materiali ed i danni immateriali patiti dalle persone fisiche. Si pensi, ad esempio: alla perdita del controllo sui dati da parte dell’interessato, al furto d’identità, al pregiudizio della reputazione.

Il Considerando numero 85 è altresì interessante poiché è dirimente della volontà del legislatore europeo di considerare danno in sé la lesione della sfera giuridica dell’interessato. Tale riflessione poggia sul fatto che il testo del regolamento sembra suggerire che non si possa negare un risarcimento del danno anche solo per il semplice fatto che si sia verificata una violazione della sfera informativa dell’interessato al di là del concetto di gravità.

Si tratta di uno strappo significativo rispetto al concetto di danno che la Suprema Corte di Cassazione ha enunciato in anni recenti al fine di limitare i giudizi di responsabilità, o ancora più schiettamente, contenere la liquidazione dei danni patiti dal danneggiato. In ogni caso, questo della quantificazione del danno sarà un punto che di certo riceverà un chiarimento da parte della Corte di Giustizia, anche qui per uniformarne gli effetti di un illecito ed al fine di evitare il cd. forum shopping da parte di un interessato particolarmente attento alla diversa sensibilità sull’argomento delle varie magistrature dei Paesi europei.

Lo scenario futuro

Insomma è chiaro come nella violazione dei dati, ed in generale in un trattamento illecito, sono da sempre coinvolti diritti e libertà fondamentali di rilevanza costituzionale che non possono trovare alcun filtro di gravità; la violazione del dato è di per sé fatto grave poiché incide su precetti costituzionali. E della contezza del legislatore europeo sulla rilevante valenza dei diritti da tutelare, ve ne è un segnale evidente anche sotto altro profilo.

Salta infatti immediatamente all’occhio come l’articolo 82 del regolamento, così come organizzato, pone forte rilevanza alla importanza del pactum fiduciae tra titolare del trattamento ed interessato, al punto di propendere per una responsabilità civile del trattamento illecito e violazione di dati come responsabilità da inadempimento.

Tale riflessione porterebbe come conseguenza altrettanto sostanziale di allungare il termine prescrizionale dell’azione di responsabilità da cinque a dieci anni rispetto alla commissione del fatto, salvo ovviamente un termine di prescrizione maggiore laddove l’inadempimento costituisca reato con termine di prescrizione maggiore.

Occorrerà quindi porre attenzione sul dies a quo tenendo conto della prescrizione europea. Infatti fino all’abrogazione dell’articolo 15 del Codice Privacy la normativa nazionale, rinviando alle regole della responsabilità extracontrattuale, richiamava il termine di cinque anni, mentre l’articolo 82 del Regolamento, configurando una responsabilità da inadempimento, porta ad immaginare un termine di prescrizione decennale. Non dobbiamo infatti dimenticare che in ipotesi di contrasto tra una norma di un regolamento europeo ed una norma nazionale prevarrà la norma europea.

WHITEPAPER
Sicurezza: perchè puntare su un approccio zero trust?
Sicurezza
Sicurezza dei dati

Ancora una volta, quindi, il legislatore europeo sembra mostrare maggiore sensibilità nel legiferare sui fatti della vita riconoscendo l’inviolabilità di certi diritti quali quelli della persona, anche attraverso le sue informazioni personali, affinché non sia violata la fiducia in quel momento riposta nell’interessato quando affida se stesso (e quindi il dato) ‘nelle mani’ di uno sconosciuto.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3