Risarcimento: i paletti della Cassazione
Laviolazione della privacy assume forme molto diverse, dallo spamming, all’installazione di cookie senza previa acquisizione del consenso, ad un trasferimento illecito di dati extra-UE o alla comunicazione errata di dati personali, a soggetti che non dovevano venirne a conoscenza. Occorre prendere le mosse da un dato di fatto: la gran parte delle condotte che si pongono in contrasto con la disciplina in materia di protezione dei dati personali, difficilmente causano un danno materiale (che si ripercuote direttamente sulla sfera materiale del soggetto danneggiato), ma il più delle volte si riflettono sulla sfera immateriale della persona che subisce la violazione (danno non patrimoniale).
In tutte queste eventualità, il soggetto che subisce la violazione non ha ripercussioni materiali dirette, ma potrà, a seconda dei dati violati e delle condotte poste in essere, subire una compromissione della propria “tranquillità”, provare sofferenza emotiva o veder lesa la propria reputazione. Si tratta, quindi, di danni psicologici/sociali che non hanno un diretto impatto sulla sfera patrimoniale del danneggiato.
Con una recente ordinanza (la n. 16402 del 10 giugno 2021) la Corte di Cassazione, riconfermando una serie di precedenti decisioni analoghe, si è pronunciata sulla risarcibilità del danno derivante dalla violazione delle norme in materia di protezione dei dati personali, rigettando la richiesta di risarcimento economico del danno non patrimoniale da parte di un ricorrente.
A fronte di una sempre maggior rilevanza ed attenzione per la tutela dei dati personali, le posizioni della Corte di Cassazione potrebbero essere strumentalizzate per confermare quelle tesi, emerse in tempi recenti, che vorrebbero relegare tale diritto ad un rango “minore”, quasi un ostacolo allo svolgimento di alcune attività, tanto da non essere considerato risarcibile il danno provocato dal mancato rispetto dello stesso. In verità così non è, ma anzi tali sentenze confermano la congruenza delle decisioni della Suprema Corte con l’impianto europeo e nazionale, in materia di risarcimento del danno non patrimoniale ed avallano le scelte del legislatore europeo.
Le caratteristiche che deve assumere il danno non patrimoniale, per poterne statuire la risarcibilità, sono state già da tempo chiarite: in materia di violazione delle norme relative alla protezione dei dati personali, sotto il previgente Codice privacy (196/2003), avevano sottolineato la necessità del requisito della gravità della lesione. Il giudice cioè deve ponderare sulla serietà del danno, il quale non può ravvisarsi nella mera violazione delle disposizioni, ma deve essere valutato quale conseguenza a sé stante di tali violazioni (si veda la Cass. n. 222/2016).
Tutte le ipotesi di violazione della privacy rientrano comunque nell’ambito del danno non patrimoniale (senso unitario, conseguente alle famose sentenze gemelle “di San Martino” del 2008 che hanno negato l’ingresso nel nostro ordinamento del cosiddetto danno esistenziale) che, anche dopo le ulteriori sentenze del 2019 (il cd. decalogo del 11/11/2019), rimane una figura unitaria nel nostro ordinamento, quale strumento di riparazione del danno alla persona, senza possibilità di duplicazioni risarcitorie.
Risarcibilità. Per ottenerla, sulla scia di tali impostazioni, anche la recente ordinanza ha rigettato la richiesta di risarcimento. La Corte di Cassazione, richiamando quanto già deciso nella pronuncia n. 17383 del 20/8/2020, ha ribadito il principio secondo cui il danno non patrimoniale risarcibile, derivante dalla violazione della normativa in materia di protezione dei dati personali, non può sottrarsi alla verifica della “gravità della lesione” e della “serietà del danno”.
Anche per tale diritto opera il bilanciamento con il principio di solidarietà, ex art. 2 Cost., che si concretizza nella necessità di tollerare la lesione minima di tale diritto, pur determinando la violazione di un diritto fondamentale, tutelato dagli artt. 2 e 21 Cost. e dall’art. 8 della CEDU. Ciò significa che la semplice violazione delle prescrizioni in materia di protezione dei dati personali non può, di per sé e da sola, determinare la lesione ingiustificabile del diritto, ma è necessario che la condotta offenda in maniera sensibile la portata del diritto stesso traducendo il danno immateriale nel GDPR e nell’ordinamento europeo.
Si può obiettare che queste pronunce sono tutte basate sul “vecchio” art. 15 del D.lgs n. 196/2003, che richiamava l’art. 2050 del codice civile e che faceva riferimento al danno non patrimoniale solo per dichiararne la risarcibilità, “anche” per la violazione delle previsioni del previgente art. 11. Anche l’art. 23 della Direttiva 95/46/CE non poneva alcuna distinzione tra danno patrimoniale e non patrimoniale (o meglio, materiale o immateriale), avendo dato l’opportunità ad alcuni giudici degli Stati membri di escludere la risarcibilità del danno non patrimoniale.
Per tali motivi il legislatore europeo ha modificato la previsione in tema di diritto al risarcimento del danno, chiarendo all’art. 82 del GDPR, che chiunque subisca un danno materiale “o immateriale” causato da una violazione del regolamento, ha diritto ad ottenere tale risarcimento. La previsione sembrerebbe rafforzata dalla lettera del Considerando n. 146 del GDPR in cui è specificato che “il concetto di danno dovrebbe essere interpretato in senso lato, alla luce della giurisprudenza della Corte di giustizia, in modo tale da rispecchiare pienamente gli obiettivi del presente regolamento” e che “…gli interessati dovrebbero ottenere pieno ed effettivo risarcimento per il danno subìto”.
La domanda che sorge spontanea, quindi, è se la persona fisica che subisca un danno non patrimoniale, dal trattamento illecito dei suoi dati personali, possa superare la linea interpretativa della Corte di Cassazione, richiamando direttamente l’applicabilità dell’art. 82 GDPR e, quindi, la risarcibilità del danno “immateriale” in senso lato. Riferendosi all’impianto della responsabilità extra-contrattuale che si è nel tempo sviluppato nel nostro ordinamento, vanno applicati detti principi, chiarendo che vi è sempre la necessità che il danneggiato provi, anche attraverso presunzioni, la lesione dell’interesse tutelato dall’ordinamento e che tale lesione sia “seria e grave”.
Ciò è tanto vero che in una precedente pronuncia dell’aprile di questo anno (la n. 11020/2021), i giudici della Corte di Cassazione hanno confermato la condanna al risarcimento del danno non patrimoniale (per un importo di Euro 8.500,00), derivante dall’illecito trattamento dei dati personali (nel caso di specie illecita divulgazione) proprio in considerazione del fatto che vi era stata un’accurata verifica da parte del Tribunale della gravità della lesione e della serietà del danno che ne era derivato.
In sintesi, quindi, non si può affermare che l’applicazione da parte dei giudici della Cassazione dei criteri di valutazione del danno non patrimoniale, in termini di gravità e serietà dello stesso, con il contemperamento derivante dal principio di solidarietà sociale, si ponga in contrasto con le nuove disposizioni del GDPR. È indubbio, infatti, che l’impianto risarcitorio italiano risponda pienamente alle previsioni dell’art. 79 e 82 GDPR, nonché all’art. 47 della Carta dei diritti Fondamentali del UE, riconoscendo la possibilità a chi subisca un danno non patrimoniale dall’illecito trattamento di dati personali, di ottenere una tutela risarcitoria, provando, anche per presunzioni, la gravità della lesione del diritto e la serietà del danno subito.
Risarcimento del danno e sanzioni amministrative. Il GDPR ha innalzato notevolmente gli importi che le Autorità di controllo possono infliggere ai titolari o responsabili del trattamento in conseguenza di una violazione delle norme in esso previste. Le condotte più gravi sono suscettibili di una sanzione pecuniaria (fino a 20 milioni di € o 4% del fatturato globale complessivo) mentre per quelle meno gravi la sanzione pecuniaria arriva fino a 10 milioni o al 2% del fatturato globale complessivo, se superiore).
L’art. 83 GDPR, nel definire le modalità di applicazione delle sanzioni pecuniarie, impone all’Autorità di controllo di tenere in conto una serie di criteri al fine di applicare una gradazione delle sanzioni, nel rispetto del principio di proporzionalità. Ciò è rafforzato anche dal secondo periodo del considerando n. 148, secondo cui “…in caso di violazione minore o se la sanzione pecuniaria che dovrebbe essere imposta costituisse un onere sproporzionato per una persona fisica, potrebbe essere rivolto un ammonimento anziché imposta una sanzione pecuniaria”.
È proprio il concetto di “violazione minore” che dovrebbe essere letto nell’ottica di quanto statuito dai giudici della Corte di Cassazione. Il principio di solidarietà sociale, ex art. 2 Cost. richiamato dai giudici, si pone proprio come criterio di tolleranza della lesione minima al diritto alla protezione dei dati personali, che consente di escludere la risarcibilità di un eventuale danno.
BIBLIOWEB:
Corte di Cassazione – Sezione 1a Civile – ordinanza n. 16402 del 10 giugno 2021 (in PDF allegato)
Tre anni di GDPR https://newmicro.altervista.org/?p=8519
Green Pass e nuovi (vecchi) reati https://newmicro.altervista.org/?p=8679
I tuoi dati sono un tesoro https://newmicro.altervista.org/?p=8404
Diffamazione elettronica https://newmicro.altervista.org/?p=8175
Privacy: le sanzioni fanno male https://newmicro.altervista.org/?p=7027
L’oro dei Big Data https://newmicro.altervista.org/?p=6557
Sicurezza dei dati sanitari http://newmicro.altervista.org/?p=5934
Buone carte per cambiare la PA (finalmente) https://newmicro.altervista.org/?p=5768
Corte di Cassazione – Sezione 1a Civile – ordinanza n. 16402 del 10 giugno 2021 (PDF)
Articoli correlati:
NOV
Per qualsiasi comunicazione tecnica riguardante il presente Sito Web, potete contattare il WEBMASTER inviando un messaggio di posta elettronica. Grazie.
About the Author
Email: [email protected]