La Corte di Cassazione, sez. I, con la recentissima ordinanza n. 29982 del 31.12.2020 (ud. 12.11.2020) è tornata a distanza di pochi mesi dalla sentenza n. 17383 del 20 agosto 2020 ad esaminare il tema della risarcibilità del danno non patrimoniale legato alla violazione della normativa sulla protezione dei dati e lo ha fatto circoscrivendone nuovamente il diritto alla verifica della “gravità della lesione” e alla “serietà del danno”
L’ordinanza ha riguardato un procedimento ex art. 152 Codice Privacy depositato ante Regolamento Europeo (GDPR) attivato da un collaboratore scolastico nei confronti del Ministero dell’Istruzione, Università e Ricerca per la presunta diffusione da parte del direttore amministrativo della scuola di informazioni alla Polizia Giudiziaria riguardanti pregresse contestazioni disciplinari che lo stesso collaboratore aveva ricevuto in passato e che avrebbero cagionato in lui umiliazione, disagio e imbarazzo.
La diffusione dei dati era stata oggetto di censura ex art. 15 del Codice Privacy da parte del ricorrente in quanto le informazioni erano state fornite alla Polizia Giudiziaria nell’ambito di un procedimento penale che riguardava un altro soggetto e in cui il collaboratore scolastico era la persona offesa.
Questa recentissima ordinanza offre lo spunto per tornare su chi, come ed entro che limite è possibile risarcire un danno per un trattamento illecito dei dati e su quali sono gli aspetti che il titolare del trattamento deve far valere per escludere la sua responsabilità.
Il tema non è affatto banale. Si pensi alle più recenti esperienze di attacchi informatici subiti da aziende che hanno causato la diffusione dei dati personali dei propri clienti e fornitori.
L’abrogato art. 15 del Codice Privacy e l’art. 82 del Regolamento
Ebbene, a seguito dell’abrogazione espressa dell’art. 15 (“danni cagionati per effetto del trattamento”) del D.lgs. 196/2003 (“Codice Privacy”) da parte del D.lgs. 101/2018 (la norma italiana di raccordo con il GDPR), l’art. 82 del GDPR è ora la norma cardine sulla responsabilità civile nel trattamento dei dati personali e sul conseguente diritto al risarcimento.
L’art.82 comma 1° del GDPR, chiarendo l’ambito soggettivo attivo e passivo del diritto al risarcimento stabilisce che “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”.
Il 2° comma dell’art. 82 precisa che la richiesta di risarcimento potrà essere proposta non solo nei confronti del titolare del trattamento ma anche verso il responsabile del trattamento designato ai sensi dell’art. 28 GDPR limitatamente all’inadempimento degli obblighi a lui imposti dal GDPR o se abbia agito in modo difforme o in contrasto con le istruzioni ricevute dal titolare.
L’art.82 comma 3° del GDPR, riprendendo la disposizione del Considerando 146, enuclea la condizione secondo la quale il titolare o il responsabile del trattamento è esonerato dalla responsabilità “se dimostra che l’evento dannoso non gli è in alcun modo imputabile”.
L’art. 82, comma 4° GDPR enuclea la regola della solidarietà passiva dei titolari (e co-titolari) e dei responsabili nell’obbligo di risarcire il danno all’interessato qualora essi siano coinvolti nello stesso trattamento e siano responsabili del danno causato dal trattamento.
L’art.82 comma 5° del GDPR attribuisce, nei rapporti interni, le conseguenze patrimoniali del danno cagionato.
Le norme citate vanno lette inoltre con il Considerando 74 del GDRP secondo cui “È opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure. Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche” e il Considerando 85 “Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata. Pertanto, non appena viene a conoscenza di un’avvenuta violazione dei dati personali, il titolare del trattamento dovrebbe notificare la violazione dei dati personali all’autorità di controllo competente, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che il titolare del trattamento non sia in grado di dimostrare che, conformemente al principio di responsabilizzazione, è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Oltre il termine di 72 ore, tale notifica dovrebbe essere corredata delle ragioni del ritardo e le informazioni potrebbero essere fornite in fasi successive senza ulteriore ingiustificato ritardo”.
Infine, altro principio cardine è fissato nel Considerando 146 secondo cui “Il titolare del trattamento o il responsabile del trattamento dovrebbe risarcire i danni cagionati a una persona da un trattamento non conforme al presente regolamento ma dovrebbe essere esonerato da tale responsabilità se dimostra che l’evento dannoso non gli è in alcun modo imputabile. Il concetto di danno dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di giustizia in modo tale da rispecchiare pienamente gli obiettivi del presente regolamento. Ciò non pregiudica le azioni di risarcimento di danni derivanti dalla violazione di altre norme del diritto dell’Unione o degli Stati membri. Un trattamento non conforme al presente regolamento comprende anche il trattamento non conforme agli atti delegati e agli atti di esecuzione adottati in conformità del presente regolamento e alle disposizioni del diritto degli Stati membri che specificano disposizioni del presente regolamento. Gli interessati dovrebbero ottenere pieno ed effettivo risarcimento per il danno subito. Qualora i titolari del trattamento o i responsabili del trattamento siano coinvolti nello stesso trattamento, ogni titolare del trattamento o responsabile del trattamento dovrebbe rispondere per la totalità del danno. Tuttavia, qualora essi siano riuniti negli stessi procedimenti giudiziari conformemente al diritto degli Stati membri, il risarcimento può essere ripartito in base alla responsabilità che ricade su ogni titolare del trattamento o responsabile del trattamento per il danno cagionato dal trattamento, a condizione che sia assicurato il pieno ed effettivo risarcimento dell’interessato che ha subito il danno. Il titolare del trattamento o il responsabile del trattamento che ha pagato l’intero risarcimento del danno può successivamente proporre un’azione di regresso contro altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento”.
Violazione dei dati, ambito soggettivo e oggettivo di risarcibilità del danno
Quindi per mettere ordine iniziamo a dire che la normativa in materia di protezione dati definisce con margini molto ampi gli ambiti soggettivi e oggettivi di risarcibilità del danno.
Da un punto di vista soggettivo, quindi, può agire chiunque ritiene di aver subito un danno materiale o immateriale causato dall’inosservanza del GDPR.
L’azione può essere esperita sia nei confronti del titolare del trattamento sia del responsabile se non prova di aver agito osservando tutte le istruzioni impartite dal primo. Resta però il principio del Considerando 146 che qualora i titolari del trattamento o i responsabili del trattamento siano coinvolti nello stesso trattamento, ogni titolare del trattamento o responsabile del trattamento dovrebbe rispondere per la totalità del danno. Se poi il procedimento viene riunito, il risarcimento può essere ripartito in base alla responsabilità che ricade su ogni titolare del trattamento o responsabile del trattamento per il danno cagionato dal trattamento, a condizione che sia assicurato il pieno ed effettivo risarcimento dell’interessato che ha subito il danno. Il titolare del trattamento o il responsabile del trattamento che ha pagato l’intero risarcimento del danno può successivamente proporre un’azione di regresso contro altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento.
Secondo il GDPR (art. 79 comma 2) le azioni per l’esercizio del diritto al risarcimento del danno devono essere promosse dinnanzi all’autorità giurisdizionale dello Stato membro in cui l’interessato risiede abitualmente salvo che il titolare o responsabile non sia un’amministrazione pubblica nel qual caso prevale la giurisdizione che comprende l’autorità pubblica. Nel caso di specie la competenza spetterebbe in via ordinaria al giudice civile fatto salvo il riparto di competenza tra giurisdizione civile ed amministrativa.
Da un punto di vista oggettivo, invece, il GDPR si limita a descrivere alcune condotte in danno degli interessati ossia:
- perdita del controllo dei dati personali che li riguardano,
- limitazione dei loro diritti,
- discriminazione,
- furto o usurpazione d’identità,
- perdite finanziarie,
- decifratura non autorizzata della pseudonimizzazione,
- pregiudizio alla reputazione,
- perdita di riservatezza dei dati personali protetti da segreto professionale,
- qualsiasi altro danno economico o sociale significativo alla persona fisica interessata.
L’elenco non è peraltro tassativo.
Violazione dei dati, la prova a carico del titolare di non imputabilità dell’evento dannoso
Passiamo al tema della prova a carico del titolare / responsabile sulla non imputabilità dell’evento dannoso (violazione della normativa sulla protezione dei dati).
L’art. 24 GDPR e il Considerando 74 prescrivono che il titolare deve mettere in atto, previa valutazione della natura, dell’ambito, del contesto e delle finalità del trattamento nonché dei rischi per gli interessati, le misure tecniche e organizzative adeguate prescrivendo inoltre al titolare di essere in grado di dimostrare l’efficacia di dette misure. L’imputabilità del titolare e del responsabile quindi dovrà essere necessariamente valutata alla luce dei principi di responsabilizzazione e accountability del GDPR che si traduce in responsabilità civile se si realizza un danno. In tal caso, il titolare / responsabile dovrà fornire la prova che il danno si è verificato perché non poteva essere previsto poiché esulava da un loro controllo (caso fortuito o forza maggiore).
Ci sono degli elementi da cui si può trarre spunto per dimostrare l’imprevedibilità del danno quali: l’adesione a codici di condotta, la tenuta del registro dei trattamenti, l’attività di audit fatta da terzi qualificati, il ricorso a responsabili del trattamento con comprovate misure specialistiche. La sussistenza di uno o più di questi elementi non è però sufficiente se non si dimostra inoltre che l’azzeramento o comunque la mitigazione del rischio era giustificata da misure tecniche e organizzative proporzionali al grado di rischio che il trattamento presentava originariamente.
In altre parole, vale un principio di inversione dell’onere della prova e quindi per poter essere esonerati da responsabilità, il titolare e il responsabile dovranno provare alternativamente che l’evento dannoso non è ascrivibile in quanto dipende da fonte esterna alla loro sfera di competenza o che sono state predisposte tutte le prevedibili misure tecniche e organizzative per evitare che il danno si verificasse.
La giurisprudenza sull’(abrogato) art. 15 del Codice Privacy
In questo contesto, va letta anche la sentenza n. 17383 del 20 agosto 2020 con cui la Corte di Cassazione si è espressa sul risarcimento del danno non patrimoniale per violazione dei dati personali ai sensi degli ormai abrogati articoli 11 e 15 del D. Lgs. 196/2003 (“Codice Privacy”).
Queste norme prevedevano la risarcibilità del danno, anche di natura non patrimoniale, cagionato per effetto del trattamento illegittimo dei dati personali.
Anche in questa sentenza, il Supremo Collegio ha ribadito un principio già espresso in precedenza in materia di danno: il danno non patrimoniale derivante dalla violazione dell’art. 15 del Codice Privacy può essere risarcito solo qualora venga provata la gravità della lesione e la serietà del danno.
La questione nasceva dalla presentazione di una domanda di risarcimento del danno da parte di uno studio associato nei confronti di un istituto bancario, per avere quest’ultimo, a detta dello studio, violato il dovere di segretezza delle informazioni bancarie, avendo la banca inviato una raccomandata, priva di busta e ripiegata su sé stessa, contenente la revoca degli affidamenti concessi allo studio.
In primo grado il Tribunale di Roma rigettava la domanda per difetto di prova sia dell’evento lesivo (la lettura del testo della raccomandata da parte di terzi) sia del danno conseguenza di natura patrimoniale o non patrimoniale subito dal proponente.
Avverso tale decisione, lo studio associato presentava ricorso per Cassazione. Il Collegio ha rigettato quindi il ricorso osservando che “il danno non patrimoniale risarcibile ex art. 15 del Codice privacy, pur determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli artt. 2 e 21 della Costituzione e dall’art. 8 della CEDU, non si sottrae alla verifica della ‘gravità della lesione’ e della ‘serietà del danno’ (quale perdita di natura personale effettivamente patita dall’interessato), in quanto anche per tale diritto opera il bilanciamento con il principio di solidarietà ex art. 2 della Costituzione, di cui il principio di tolleranza della lesione minima è intrinseco precipitato, sicché determina una lesione ingiustificabile del diritto non la mera violazione delle prescrizioni poste dall’art. 11 del Codice Privacy ma solo quella che ne offende in modo sensibile la sua portata effettiva. Il relativo accertamento di fatto è rimesso al giudice di merito e resta ancorato alla concretezza della vicenda materiale portata alla cognizione giudiziale ed al suo essere maturata in un dato contesto temporale e sociale (Cass. 16133/2014; Cass. 20615/2016)”.
Va detto però che la Suprema Corte si è pronunciata su fatti occorsi ante GDPR e del novellato Codice Privacy in cui è stato espressamente abrogato l’art. 15.
In base alla normativa attualmente in vigore, come detto, il diritto al risarcimento del danno per violazioni delle disposizioni del GDPR è disciplinato dall’art. 82 del GDPR, che dispone che “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”.
Peraltro, in tema di danno rileva, il Considerando 146 del GDPR, aggiunge che: “Il concetto di danno dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di Giustizia in modo tale da rispecchiare pienamente gli obiettivi del GDPR”.
È interessante notare che, rispetto all’abrogato art. 15 del Codice Privacy che prevedeva espressamente la risarcibilità del danno non patrimoniale, l’art. 82 del GDPR fa riferimento ai danni “materiali” e “immateriali”.
Nonostante il tenore letterale, la dottrina ha evidenziato una linea di continuità rispetto alla normativa previgente, ritenendo che il richiamo si riferisca tanto ai danni patrimoniali quanto a quelli non patrimoniali di cui all’art. 2059 del c.c. e che la dicitura derivi da una errata traduzione del testo inglese “material and non-material damage”.
Sarà comunque opportuno attendere le prossime pronunce giurisprudenziali in materia di violazione della normativa sulla protezione dei dati, al fine di verificare se l’orientamento fino a oggi adottato dalla Cassazione sarà confermato anche con riguardo all’art. 82 del Regolamento.