Trattamento illecito dei dati personali, tutti gli aspetti risarcitori - Cyber Security 360

La normativa

Trattamento illecito dei dati personali, tutti gli aspetti risarcitori

Ai numerosi trattamenti cui i dati personali sono sottoposti, per esempio sui social network e le altre piattaforme web, ma anche da app, banche e assicurazioni, corrispondono rischi di illeciti, che portano danni agli interessati: vediamo le regole per valutare i risarcimenti

20 Apr 2021
P
Tiziana Pica

Avvocato - Studium Cives

Milioni di persone hanno concesso a una serie di piattaforme virtuali il trattamento di alcuni dei loro dati personali e pubblicando commenti, foto, notizie quegli tessi soggetti, interessati del trattamento dei loro dati da parte del social network, divengono a loro volta autori di trattamenti di dati personali di altre persone.

Accanto alle molteplici forme di trattamento dei dati personali nelle piazze virtuali dei social network, delle app mobili e della stampa, il dato è costantemente esposto ai trattamenti effettuati da istituti assicurativi, bancari, multinazionali che operano nel settore dei beni di largo consumo, enti sportivi. A tali trattamenti corrisponde un rischio di trattamenti illeciti fonte di danni a discapito degli interessati.

Il trattamento dei dati personali attraverso le pagine digitali

Come ormai tutti dovremmo sapere il dato personale è qualsivoglia dato o informazione che rende una persona fisica identificata o identificabile direttamente o indirettamente (nome, cognome, data di nascita, codice fiscale, un numero di matricola, il codice generato depositando la domanda per un concorso pubblico ecc.). Le immagini (fotografiche e video) sono un dato personale.

Accanto ai dati personali ci sono poi le categorie di dati particolari, ovvero quelle informazioni o dati che “rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona” (art. 9, parag. 1, GDPR).

L’orientamento ormai costante della Giurisprudenza e del Garante Privacy riconduce nell’ambito di categorie particolari di dati quelle informazioni che partendo da un riferimento normativo o da un dato economico sono idonee a rivelare, anche indirettamente, informazioni sull’esistenza di una situazione di sofferenza, o una condizione di disagio sociale o economico o psicofisico di una persona e/o del suo nucleo (familiare, scolastico, lavorativo).

Il consenso privacy nel digital advertising: ecco come valutare il legittimo interesse

Ebbene, attraverso la carta stampata, le versioni on line dei quotidiani e delle testate giornalistiche (e le loro pagine social ufficiali) – la cui risonanza mediatica e la capacità di raggiungere in pochi istanti una platea indistinta di lettori sparpagliati per il globo intero sono state di gran lunga amplificate – nonché attraverso le pagine dei social network (Facebook, Twitter in prima fila) e le app il trattamento dei dati personali e delle categorie particolari di dati è quotidianamente minacciato da condotte illecite.

Nell’Agorà virtuale della pagina bianca dove chiunque può entrare e pubblicare non si esercita sempre e solo la libertà costituzionalmente garantita di manifestare il proprio pensiero. Né ricorre unicamente l’esercizio della libertà di stampa e il dovere d’informazione.

Tali diritti devono esistere e resistere ma pur sempre nel rispetto dei principi fondanti la correttezza e liceità del trattamento dei dati personali, da una parte, e nel rispetto della dignità e della reputazione della persona i cui dati sono divulgati a mezzo di un articolo giornalistico oppure di un “post” o commento di un soggetto noto o meno sulle pagine social, dall’altra.

I pensieri, le opinioni, le notizie pubblicate nelle pagine digitali possono violare i dati personali e/o arrecare un danno alla persona e pertanto i loro autori devono tener conto non solo della tutela amministrativa (dinanzi al Garante) ma anche di quella risarcitoria (in sede giudiziaria).

Risarcimento del danno non patrimoniale da illecito trattamento del dato ante GDPR

Prima dell’entrata in vigore del GDPR, in Italia la materia era disciplinata dall’articolo 15 Decreto Legislativo 196/2003 (“Codice Privacy”), a norma del quale: “Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile”.

Vigeva dunque una forma di responsabilità extracontrattuale generale che rinviava espressamente a quanto stabilito dal codice civile per la responsabilità per esercizio di attività pericolosa.

L’orientamento interpretativo della norma era diviso tra coloro per i quali l’art. 15 del D.lgs. n. 196/2003 introduceva una forma di responsabilità oggettiva, la cui prova liberatoria da parte del danneggiante poteva quindi essere offerta solo provando il caso fortuito e la forza maggiore; e coloro per i quali, invece, l’art. 15 del codice privacy stabiliva una responsabilità soggettiva aggravata da presunzione di colpa, superabile provando di aver adottato tutte le misure tecniche ed organizzative idonee a prevenire il danno verificatosi. Il dibattito si rifletteva, e in parte ancora si riflette, sul tema dell’onere probatorio del convenuto.

In tale “partita” la Corte di Cassazione, con la recentissima Ordinanza n. 17383/2020, ha affermato che nell’ambito del trattamento dei dati personali il danno non patrimoniale può dar luogo al diritto al risarcimento solamente quando vengano accertate la gravità della lesione, la serietà e la rilevanza del danno.

Nello specifico la Cassazione ha affermato che “Il danno non patrimoniale risarcibile ai sensi del D.lgs. 30 giugno 2003, n. 196, art. 15 (cosiddetto codice della privacy), pur determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli artt. 2 e 21 Cost. e dall’art. 8 della CEDU, non si sottrae alla verifica della “gravità della lesione” e della “serietà del danno” (quale perdita di natura personale effettivamente patita dall’interessato), in quanto anche per tale diritto opera il bilanciamento con il principio di solidarietà ex art. 2 Cost., di cui il principio di tolleranza della lesione minima è intrinseco precipitato, sicchè determina una lesione ingiustificabile del diritto non la mera violazione delle prescrizioni poste dall’art. 11 del codice della privacy ma solo quella che ne offenda in modo sensibile la sua portata effettiva” (Cass. Civ., sez. VI, 14 gennaio – 20 agosto 2020, n. 17383).

Dunque, stando a tale pronuncia, il danno da violazione della normativa in materia di protezione dei dati personali non è in re ipsa bensì deve essere verificato concretamente e dunque il diritto al risarcimento sorge quando, a seguito di una concreta valutazione da parte del giudice, il danno venga reputato “serio” e rilevante.

Nella sua valutazione il giudice è chiamato a tenere conto del principio di tolleranza in base al quale il danno non patrimoniale è risarcibile quando supera una certa soglia di tolleranza. Ai fini della risarcibilità del danno non sarebbe dunque sufficiente il solo disagio o fastidio ma sarebbe necessaria un’effettiva lesione seria dei diritti dell’interessato.

Tale pronuncia si fonda però sugli artt. 11 e 15 del Codice privacy ormai abrogati. È antecedente al Regolamento UE n. 2016/679. Cronologicamente dopo il 25 maggio 2018 (quando il GDPR è divenuto direttamente applicabile in tutti gli Stai membri, determinando l’abrogazione dell’15 del Codice privacy italiano), ma nell’ambito di giudizi avviati sulla base della previgente normativa del nostro Codice Privacy, il risarcimento del danno immateriale da lesione del dato personale ha avuto ulteriori sviluppi.

È stato ribadito che l’accertamento del “danno non patrimoniale risarcibile ai sensi del D.lgs. 30 giugno 2003, n. 196, art. 15 (cosiddetto codice della privacy), (…) di fatto è rimesso al giudice di merito e resta ancorato alla concretezza della vicenda materiale portata alla cognizione giudiziale ed al suo essere maturata in un dato contesto temporale e sociale” (Cass. Civ. Sez. VI, 20/08/2020, n. 17383; Cass. civ. Sez. III, 15/07/2014, n. 16133).

Nell’azione di risarcimento del danno non patrimoniale da lesione dei dati personali e della privacy intesa come diritto alla riservatezza e alla reputazione, “La posizione del danneggiato è tuttavia agevolata dall’onere della prova più favorevole, come previsto dall’art. 2050 c.c., nonché dalla possibilità di dimostrare il danno anche solo tramite presunzioni semplici e dal risarcimento secondo equità” (Cass. Civ, sez. I, 08/01/2019, n. 207).

E, nel contesto del “danno non patrimoniale risarcibile ai sensi dell’art. 15, D.Lgs. 30 giugno 2003, n. 196, (…) deve ammettersi la possibilità per il danneggiato di fornire la prova del pregiudizio subito mediante il ricorso a presunzioni.

Ne consegue, pertanto, un’inversione dell’onere della prova a favore dell’interessato, gravando sul danneggiante l’onere di dimostrare il mancato verificarsi del pregiudizio nel caso concreto, ovvero che lo stesso sia irrilevante o, ancora, che il danneggiato abbia tratto vantaggio dalla condotta illecita” (Cass. Civ. Sez. I, 04/06/2018, n. 14242).

Risarcimento dal danno immateriale dopo l’adeguamento del Codice Privacy al GDPR

Dopo il 25 maggio 2018 e a seguito dell’abrogazione dell’art. 15 del Codice Privacy con il D.Lgs. n. 101/18, la risarcibilità del danno da violazione del trattamento dei dati personali è trattata dall’art. 82 del Regolamento n. 679/2016.

Come noto, il pilastro fondante l’assetto dell’intero Regolamento è il principio di accountability, ovvero “responsabilizzazione”: tutti gli “attori” coinvolti in condotte definibili “trattamento di dati personali” devono agire consapevolmente e rispondono dei trattamenti posti in essere.

Tale principio è alla base anche dell’art. 82 del GDPR che appunto prevede:

  • la responsabilità del Titolare del trattamento che violi il GDPR e responsabilità del Responsabile del trattamento che violi gli obblighi GDPR al medesimo espressamente riferiti o che agisca in modo difforme rispetto alle istruzioni impartite dal Titolare;
  • una responsabilità solidale tra Titolare e Responsabile del trattamento nell’obbligazione risarcitoria se l’unico trattamento coinvolge sia il titolare che il responsabile e ad entrambi sia ascrivibile la violazione;
  • l’esonero da entrambe le forme di responsabilità menzionate nel caso in cui Titolare e/o Responsabile forniscano la prova che l’evento dannoso non sia imputabile al titolare/responsabile.

L’art. 82 ha così introdotto una responsabilità solidale del Titolare e del Responsabile (o dei Responsabili) del trattamento da inadempimento che vorrebbe, e dovrebbe, porre l’Interessato in una posizione rafforzata mirando a garantirgli un risarcimento effettivo.

Trattandosi di una responsabilità da inadempimento l’onere probatorio che grava sul soggetto convenuto in giudizio consiste nel dover dimostrare di aver operato non solo nel rispetto del dato normativo, ma anche adottando sul piano operativo effettive misure organizzative e strumenti che nell’ottica della privacy by design e della privacy by default fossero idonee a prevenire il rischio di violazioni analoghe a quella da cui è derivato il danno immateriale all’Interessato.

L’interessato e le prove

Quest’ultimo, dal canto suo, deve dimostrare il nesso eziologico: ovvero che il danno immateriale subito sia derivato proprio dal trattamento dei suoi dati personali posto in essere dal Titolare e/o dal Responsabile omettendo o realizzando una o più violazioni della vigente normativa in materia di privacy e/o di norme o atti con cui il singolo Stato membro ha dato attuazione a quanto stabilito dal GDPR.

Prova di non facile allegazione per l’interessato soprattutto nel caso di danno immateriale derivato da trattamenti di dati illeciti posti in essere nelle pagine, “finestre” di piattaforme e siti web, soprattutto sotto il profilo della non lieve o minimale entità.

Ebbene, la persona fisica la cui reputazione, come persona e/o come professionista o titolare di una determinata attività o incarico pubblico, sia stata lesa a seguito di un trattamento dei suoi dati personali effettuato a mezzo stampa o sui social network in violazione degli artt. 5, 6 del Regolamento UE n. 2016/679, ed eventualmente integrativo anche del reato di diffamazione o altro illecito penale, ha diritto ad agire in via risarcitoria.

La domanda di risarcimento dei danni in caso di violazione dei dati personali mira a ristorare il soggetto Interessato del danno arrecato alla sua reputazione. La reputazione (personale), in ambito sociologico, è un concetto che attiene alla credibilità e, dunque la considerazione, che un determinato soggetto ha all’interno di un gruppo sociale.

Il nome e il cognome, i dati personali come le foto, ogni giorno potrebbero essere associati a informazioni, commenti che potrebbero danneggiare la qualità/affidabilità di una persona.

Ed allora, essendo “dato personale” qualsiasi informazione associata direttamente o indirettamente ad un soggetto identificabile, ecco che anche un’informazione negativa e/o non corretta che getta ombre e ambiguità, denigra una persona estranea a determinati fatti diviene un’etichetta pesante che mina e lede l’interessato.

Proprio per tali considerazioni il pregiudizio alla reputazione è stato espressamente previsto nei Considerando numero 75 e numero 85 del Regolamento UE n. 2016/679 (cd. GDPR) come uno dei rischi per i diritti e le libertà delle persone fisiche.

I tre generi di danno 

Il Considerando numero 85 del GDPR individua tre tipologie dei danni che potrebbero derivare a seguito di una violazione di dati personali: i danni fisici, i danni materiali e i danni immateriali patiti dalle persone fisiche. Si pensi, alla perdita del controllo sui dati da parte dell’Interessato (ad esempio a causa di un data breach), ad una truffa contrattuale realizzata mediante il furto d’identità, al pregiudizio della reputazione che appunto rientra fra i danni c.d. immateriali.

Inoltre, il Considerando numero 146 del Regolamento UE n. 2016/679 ha ribadito che “Il titolare del trattamento o il responsabile del trattamento dovrebbe risarcire i danni cagionati a una persona da un trattamento non conforme al presente regolamento ma dovrebbe essere esonerato da tale responsabilità se dimostra che l’evento dannoso non gli è in alcun modo imputabile. Il concetto di danno dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di giustizia in modo tale da rispecchiare pienamente gli obiettivi del presente regolamento”.

Chiaro pertanto che nell’attuale quadro normativo, a seguito di una domanda risarcitoria dell’Interessato fondata sulla prova dell’entità del pregiudizio subito, e nel caso di pregiudizi immateriale (non patrimoniale) si tratta della “perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata” (così come il Considerando numero 85 definisce il danno immateriale), il Titolare e/o il Responsabile del trattamento dovrà dimostrare che l’evento generativo del danno non è riconducibile alla propria condotta attiva od omissiva, ancorché indiretta, provando la sussistenza di un fatto interruttivo del nesso causale – fatto del terzo (che però non esime da responsabilità in caso di violazione dell’art. 32 del Regolamento), oppure il caso fortuito – .

Devono cioè dimostrare di aver adottato tutte le misure idonee a evitare il danno (accountability).

La violazione degli atti di soft law

La tutela risarcitoria prevista dal GDPR non ricorre solo in caso di danno derivato dalla violazione del Regolamento UE n. 2016/79 bensì anche in caso di danni derivati da condotte che violino gli atti di c.d. “soft law”, ovvero le disposizioni nazionali “secondarie” nell’ordine gerarchico delle fonti di diritto – tra cui anche i provvedimenti e le Autorizzazioni generali dell’Autorità di Controllo (il Garante privacy) – consistenti negli atti delegati e di esecuzione dei principi fissati dal Regolamento.

E difatti il Considerando numero 146 del GDPR prosegue prevedendo che “Ciò non pregiudica le azioni di risarcimento di danni derivanti dalla violazione di altre norme del diritto dell’Unione o degli Stati membri. Un trattamento non conforme al presente regolamento comprende anche il trattamento non conforme agli atti delegati e agli atti di esecuzione adottati in conformità del presente regolamento e alle disposizioni del diritto degli Stati membri che specificano disposizioni del presente regolamento.

Gli interessati dovrebbero ottenere pieno ed effettivo risarcimento per il danno subito. Qualora i titolari del trattamento o i responsabili del trattamento siano coinvolti nello stesso trattamento, ogni titolare del trattamento o responsabile del trattamento dovrebbe rispondere per la totalità del danno.

Tuttavia, qualora essi siano riuniti negli stessi procedimenti giudiziari conformemente al diritto degli Stati membri, il risarcimento può essere ripartito in base alla responsabilità che ricade su ogni titolare del trattamento o responsabile del trattamento per il danno cagionato dal trattamento, a condizione che sia assicurato il pieno ed effettivo risarcimento dell’interessato che ha subito il danno.

Il titolare del trattamento o il responsabile del trattamento che ha pagato l’intero risarcimento del danno può successivamente proporre un’azione di regresso contro altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento”.

Risvolti operativi della tutela risarcitoria ex art. 82 GDPR

Alla luce di quanto esaminato, si attende che a breve il dato normativo post GDPR passi dal piano teorico ad un diffuso piano operativo con un deciso susseguirsi di pronunce dei Giudici dei Tribunali civili.

Ad oggi, è nota la decisone del Tribunale regionale superiore austriaco di Innsbruck che ha negato che il risarcimento del danno derivante da trattamento illecito dei dati personali sia in re ipsa, stabilendo invece che l’Interessato o altra persona fisica che promuova l’azione risarcitoria debba fornire la prova del danno derivante dall’illiceità del trattamento nonché le caratteristiche del danno subito.

Secondo il Giudice austriaco l’Interessato, non solo deve dimostrare il nesso causale, ma anche allegare alla domanda risarcitoria le prove di quello che pare essere un vero e proprio “danno specifico” subito – difformemente, ad esempio, dalla decisione della Cassazione Civile sopra ricordata secondo cui “La posizione del danneggiato è tuttavia agevolata dall’onere della prova più favorevole, come previsto dall’art. 2050 c.c., nonché dalla possibilità di dimostrare il danno anche solo tramite presunzioni semplici e dal risarcimento secondo equità” (Cass. Civ, n. 207/2019) -.

Dunque, stando a questa sentenza, la tutela risarcitoria parrebbe richiedere anche la dimostrazione di un’effettiva significatività del danno lamentato dall’Attore.

Non ci resta che confidare nell’imminente sviluppo delle decisioni dei Tribunali e delle Corti degli Stati Membri affinché possa toccarsi con mano la forza dell’art. 82 (nonché dei Considerando numero 75, 85, 146 e delle altre norme del GDPR).

Solo così i Titolari e i Responsabili del trattamento potranno avvertirne la minaccia dissuasiva e passare dalle sole dichiarazioni di intenti (come le informative o i codici di condotta) ad un approccio operativo basato sulla privacy by design e by default – come la vera responsabilizzazione vuole –, fatto di pratiche commerciali, condotte aziendali meno sprezzanti e incuranti dei danni anche solo immateriali che possono arrecare.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5