Illecito trattamento dei dati, come valutare se si ha diritto al risarcimento - Cyber Security 360

La normativa

Illecito trattamento dei dati, come valutare se si ha diritto al risarcimento

Il trattamento illecito dei dati personali, che si configura per esempio quando vengono usati per finalità diverse da quelle per cui sono stati forniti, può dare origine al diritto di risarcimento del danno: per capire quando questa situazione si concretizza, oltre al GDPR, è interessante una pronuncia della Cassazione

27 Gen 2021
M

I dati forniti a terzi devono essere trattati dal titolare e dai responsabili del trattamento conformemente alla normativa in vigore e per le finalità per cui sono forniti: la divulgazione di dati riservati o il loro uso per finalità diverse, configurando un illecito trattamento dei dati personali, possono dare origine a un diritto al risarcimento del danno.

Nella prassi, molto frequentemente ci si domanda però quali sono i presupposti e le condizioni per ottenere il risarcimento dei danni non patrimoniali conseguenti alla lesione del diritto al corretto e legittimo trattamento dei dati personali.

Illecito trattamento dei dati personali, la normativa di riferimento

Alla luce del novum apportato dal Regolamento Europeo sulla protezione dei dati personali n. 679/2016 e dal D.lgs. 101/2018 che ha novellato il c.d. “Codice privacy” è stato abrogato l’art. 15 del D.lgs. 193/06, che disciplinava tale tipologia di illecito riconducendolo nel paradigma dell’art. 2050 del c.c., norma che scolpisce un’ipotesi speciale di responsabilità extracontrattuale, in particolare quella che può derivare dall’esercizio di attività pericolose.

WEBINAR
[WEBINAR, 4 maggio] Operatori ICT: ruolo chiave nella protezione dei dati per le aziende
Sicurezza
Trade

L’art. 2050, che secondo la tesi che appare maggioritaria scolpisce un illecito con colpa presunta, prevede un’inversione dell’onere della prova a carico dell’autore del danno, tenuto a dimostrare di aver adottato tutte le misure idonee ad evitarlo per essere esente da responsabilità, di contro, residua in capo al danneggiato la prova del nesso eziologico fra fatto ed evento nonché delle conseguenze dannose che derivano dall’evento dannoso.

Illecito trattamento dei dati personali: cosa dice il GDPR

Attualmente è l’art. 82 del GDPR a disciplinare espressamente e specificamente la responsabilità civile nel trattamento dei dati personali e sul conseguente diritto al risarcimento.

In particolare il primo comma deldell’articolo stabilisce che: «Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento»; al comma 3°, l’art. 82 del GDPR sancisce che il titolare o il responsabile del trattamento è esonerato da responsabilità «se dimostra che l’evento dannoso non gli è in alcun modo imputabile».

In assenza di chiara giurisprudenza formatasi sulla nuova disciplina, potrebbe sostenersi che il citato art. 82 del GDPR delinei una fattispecie di illecito con colpa presunta in continuità con la precedente disciplina o che dalla nuova normativa possa  configurarsi una responsabilità oggettiva comportante una prova liberatoria ancor più gravosa per il danneggiante.

Danno evento e danno conseguenza

Pur avendo espressa considerazione dalla disciplina settoriale, il risarcimento del danno non patrimoniale derivante dall’illecito o comunque non consentito trattamento dei dati personali deve essere collocato all’interno delle categorie giuridiche che caratterizzano il sistema della responsabilità civile.

Al di là dell’individuazione del criterio (oggettivo o soggettivo) di imputazione della responsabilità, il diritto al risarcimento del danno in parola non può ritenersi sussistente in conseguenza della mera lesione del diritto al corretto trattamento dei dati personali.

Infatti, il diritto al risarcimento del danno è subordinato alla verifica della ricorrenza sia del c.d. danno evento che del danno conseguenza.

Il primo ricorre allorché risulti essere lesa una situazione giuridica differenziata e qualificata; il secondo si configura ove si accerti che dal danno evento, come in precedenza declinato, siano derivate delle ripercussioni pregiudizievoli nella sfera giuridica del danneggiato, sia di matrice patrimoniale, sub specie di danno emergente e lucro cessante, che di matrice non patrimoniale, ossia  in termini di conseguenze pregiudizievoli alla sfera non reddituale del danneggiato.

La pronuncia della Corte di Cassazione

Inoltre in tema di danno non patrimoniale, la giurisprudenza della Corte di Cassazione che appare maggioritaria, per evitare la risarcibilità anche di danni meramente bagatellari ossia di scarsissima gravità e rilevanza, esige che debba esserci sia una lesione significativa alla situazione giuridica soggettiva meritevole di tutela che una conseguenza grave che derivi dalla prima.

In tale ottica interpretativa, quindi, vengono individuati due filtri, che riguardano sia il danno evento che il danno-conseguenza che possono ritenersi collegati al dovere di tolleranza e di solidarietà sociale di cui all’art. 2 Cost.

Il soggetto leso, pertanto, laddove sia la lesione che le conseguenze dannose siano minimali, del tutto trascurabili e non significative, non potrà vantare alcun diritto al risarcimento del danno alla luce del dovere di tolleranza insito nell’evocato principio di solidarietà sociale.

L’ordinanza

In tale solco ermeneutico, che esclude la risarcibilità di mere lesioni in sé considerate, si colloca, confermandolo, la recente ordinanza n. 17383/2020 della Corte di Cassazione.

La vicenda è approdata innanzi alla Corte di Cassazione dopo che il Tribunale di Roma ha rigettato la domanda proposta nei confronti di un istituto bancario avente ad oggetto la violazione del dovere di segretezza delle informazioni bancarie in relazione ad una raccomandata  priva di busta e ripiegata su se stessa contenente la revoca degli affidamenti concessi, quindi con una modalità che secondo il ricorrente non consentiva l’adeguata protezione dei dati personali e da cui derivava un lesione risarcibile in re ispa.

Nella citata ordinanza della Suprema Corte si afferma che “non è esatto che gli artt. 11 e 15 del D.lgs. n. 196 del 2003 riconoscono il risarcimento in re ipsa del danno per il solo fatto del trattamento dei dati personali.

Il danno non patrimoniale risarcibile ai sensi dell’art. 15 del D.lgs. 30 giugno 2003, n. 196 (cosiddetto codice della privacy), pur determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli artt. 2 e 21 Cost. e dall’art. 8 della CEDU, non si sottrae alla verifica della “gravità della lesione” e della “serietà del danno” (quale perdita di natura personale effettivamente patita dall’interessato), in quanto anche per tale diritto opera il bilanciamento con il principio di solidarietà ex art. 2 Cost., di cui il principio di tolleranza della lesione minima è intrinseco precipitato, sicché determina una lesione ingiustificabile del diritto non la mera violazione delle prescrizioni poste dall’art. 11 del codice della privacy ma solo quella che ne offenda in modo sensibile la sua portata effettiva”.

I danni secondo il considerando 85 del GDPR

Il considerando 85 del GDPR ha elencato una serie di possibili danni conseguenti dalla violazione dei dati personali che si sostanziano ad esempio nella limitazione di un proprio diritto, usurpazione dell’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza di dati protetti da segreto professionale.

In conclusione l’interessato/danneggiato vedrà riconosciuto il proprio diritto ad essere risarcito laddove dimostri di aver subito un danno dalla lesione dalla violazione dei suoi dati personali unitamente alla quantificazione dei danni provocati dal trattamento illecito e alla prova del nesso eziologico tra i primi due elementi.

WEBINAR
Approccio Zero Trust: quanto è importante in un progetto di security? Scoprilo nel live
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 4