Categoria: art. 82 GDPR – Diritto al risarcimento e responsabilità

Risarcimento del danno da violazione della data protection

Cass. sez. I  n. 13.073 Ord. 12.05.2023, rel. Terrusi:

<<III. – Dalla sentenza si apprende che il trattamento illecito era stato integrato nel seguente modo: il 12/8/2020 il comune di (Xxxx) aveva pubblicato sul proprio sito istituzionale una determina relativa pignoramento per un certo importo dello stipendio di una dipendente comunale, tale per cui l’ente si era assunto l’impegno di versare il quinto dello stipendio a favore della società creditrice; nella determina era stata omessa la pubblicazione dei dati della debitrice, ma nella nota contabile allegata l’espressa indicazione dei dati era stata invece mantenuta, e i dati erano così finiti, seppure per poco più di un giorno, nell’albo pretorio on line del comune medesimo>>.

Principi di diritto:

<<– in base alla disciplina generale del Regolamento (UE) 2016.679, cd. GDPR, il titolare del trattamento dei dati personali è sempre tenuto a risarcire il danno cagionato a una persona da un trattamento non conforme al regolamento stesso, e può essere esonerato dalla responsabilità non semplicemente se si è attivato (come suo dovere) per rimuovere il dato illecitamente esposto, ma solo “se dimostra che l’evento dannoso non gli è in alcun modo imputabile”;[meglio: come obbligazione ex lege, il regime è quello della’rt. 1218 cc]

– l’esclusione del principio del danno in re ipsa presuppone, in questi casi, la prova della serietà della lesione conseguente al trattamento; ciò vuol dire che può non determinare il danno la mera violazione delle prescrizioni formali in tema di trattamento del dato, mentre induce sempre al risarcimento quella violazione che concretamente offenda la portata effettiva del diritto alla riservatezza>>. [che possa esserci stata una violazione  senza aver provocato un danno, mi pare esatto ma anche quasi ovvio]

(segnalazione e link da post di Stefano Aterno/E-Lex  su Linkedin)

Sul tema v. SALANITRO U., ILLECITO TRATTAMENTO DEI DATI PERSONALI E RISARCIMENTO DEL DANNO NEL PRISMA DELLA CORTE DI GIUSTIZIA, Riv. dir. civ., 3-2023

Sul risarcimento del danno da violazione della data protection (art. 82 GDPR)

Corte di Giustizia 04.05.2023, C-300/21, UI v. Österreichische Post AG sulla disciplina europea del risarcimento da violazione privacy (anzi, data protection…):

L’articolo 82 GDPR deve essere interpretato nel senso che:

1) la mera violazione delle disposizioni di tale regolamento non è sufficiente per conferire un diritto al risarcimento.
2) osta a una norma o una prassi nazionale che subordina il risarcimento di un danno immateriale, ai sensi di tale disposizione, alla condizione che il danno subito dall’interessato abbia raggiunto un certo grado di gravità.
3)  ai fini della determinazione dell’importo del risarcimento dovuto in base al diritto al risarcimento sancito da tale articolo, i giudici nazionali devono applicare le norme interne di ciascuno Stato membro relative all’entità del risarcimento pecuniario, purché siano rispettati i principi di equivalenza e di effettività del diritto dell’Unione.

La regola sub 1) è scontata.

Quella sub 3) quasi (ma è utile la precisazione del limite del rispetto della effettività del diritto UE).

Più interessante è quella sub 2).

Risarcimento danno da violazione della data protection (art. 82 GDPR)

Rielvante questione portata alla Corte di Giustizia circa i presupposti per la risarcibiità del danno provocato da violazione della data protection (causa C-300/21).

Questioni pregiudiziali, § 14:

«1)      Se ai fini del riconoscimento di un risarcimento ai sensi dell’articolo 82 dell’RGPD (…) occorra, oltre a una violazione delle disposizioni dell’RGPD, che il ricorrente abbia patito un danno, o se sia già di per sé sufficiente la violazione di disposizioni dell’RGPD per ottenere un risarcimento.

2)      Se esistano, per quanto riguarda il calcolo del risarcimento, altre prescrizioni di diritto dell’Unione, oltre ai principi di effettività e di equivalenza.

3)      Se sia compatibile con il diritto dell’Unione la tesi secondo cui il presupposto per il riconoscimento di un danno immateriale è la presenza di una conseguenza o di un effetto della violazione di un diritto avente almeno un certo peso e che vada oltre l’irritazione provocata dalla violazione stessa».

Sono  state depositate le conclusion 06.10.2022 dell’AG Sanchez-Bordona :

«L’articolo 82 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che:

ai fini del riconoscimento di un risarcimento per danni subiti da una persona in conseguenza di una violazione del menzionato regolamento non è sufficiente, di per sé, la mera violazione della norma, se essa non è accompagnata dal relativo danno, materiale o immateriale [ovvio, dato il tenore della disposizione].

Il risarcimento del danno immateriale disciplinato dal regolamento 2016/679 non si estende alla mera irritazione che l’interessato possa provare a causa della violazione delle disposizioni del regolamento 2016/679 [ancora abbastanza ovvio, pur se un pò meno]. Spetta ai giudici nazionali stabilire quando, a motivo delle sue caratteristiche, la sensazione soggettiva di malessere possa essere considerata, in ciascun caso, un danno immateriale [punto importante, ma incerto: non ci sarà così una frantumazione nazionale della relativa regola, dubbio che si pone peraltro per quasi tutto il diritto armonizzato UE in relazione ai rimedi per la sua  violazione?]: ».

Risarcimento del danno non patrimoniale cagionato da lesione della privacy

Così ha statuito Cass. 11.020 del 26.04.2021, rel. Fidanzia, su istanza ex art. 152 c. priv. (probabilmente ex art. 15 c. priv.) per pubblicazione non giustificata di notizie riservate (precedenti provedimenti disciplinati subiti quale dipendente pubblico di chi ora è sottoposto a procedimneto disciplinere come avvocato):

<<In ordine al risarcimento dei danni, va preliminarmente osservato che questa Corte (vedi Cass. n. 17383 del 20/08/2020) ha già enunciato il principio di diritto secondo cui il danno non patrimoniale risarcibile, ai sensi del D.Lgs. n. 196 del 2003, art. 15 (codice della privacy), pur determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli artt. 2 e 21 Cost. e dall’art. 8 della CEDU, non si sottrae alla verifica della “gravità della lesione” e della “serietà del danno”, in quanto anche per tale diritto opera il bilanciamento con il principio di solidarietà ex art. 2 Cost., da cui deriva (come intrinseco precipitato) quello di tolleranza della lesione minima , sicché determina una lesione ingiustificabile del diritto non la mera violazione delle prescrizioni poste dall’art. 11 del codice della privacy, ma solo quella che ne offenda in modo sensibile la sua portata effettiva, restando comunque il relativo accertamento di fatto rimesso al giudice di merito.

Deve, inoltre, rilevarsi che il danno alla privacy, pur non essendo, come ogni danno non patrimoniale, in “re ipsa”, non identificandosi il danno risarcibile con la lesione dell’interesse tutelato dall’ordinamento, ma con le conseguenze di tale lesione, può essere, tuttavia, provato anche attraverso presunzioni (vedi in materia di lesione del danno non patrimoniale dell’onore, Cass. n. 25420 del 26/10/2017, i cui principi, sotto il profilo della prova del danno, sono applicabili anche al caso in esame).>>

Quindi bene aveva deciso il Trib. a quo: <<Il Tribunale di Firenze ha avuto cura di verificare la “gravità della lesione” e la “serietà del danno”, evidenziando che la divulgazione di una pluralità di procedimenti disciplinari a carico dell’avv. M. – “peraltro generica e dunque maggiormente offensiva in quanto allusiva (aperta a qualunque interpretazione soggettiva) “- era stata effettivamente dannosa, determinando conseguenze inevitabilmente negative, oltre che sulla sfera emotiva dell’odierno controricorrente (già provato da procedimenti disciplinati infondati), sulla sua immagine e sulla sua reputazione sociale nel ristretto ambiente lavorativo in cui era da breve tempo entrato (due anni). In particolare, il giudice di merito ha messo in luce la condizione di particolare fragilità in cui si trova un avvocato iscritto all’Ordine forense solo da un paio d’anni, il quale è soprattutto impegnato nella costruzione di una propria immagine e credibilità professionale non solo in relazione ai potenziali clienti, ma anche rispetto a quei colleghi che possono così sensibilmente incidere sulla sua attività, anche per il futuro.>>

Profili processuali sul risarcimento del danno da illecito trattamento dati ex art. 15 cod. privacy

Qualche spunto processuale sul risarcimento del danno ex art. 15 cod. privacy (testo allora vigente) in Cass. ord. 14.618 del 26.5.2018, PF c. Comune di Cellara CS.

Oggi analoga disposizione sta nell’art. 82 del reg. _UE GDPR.

<<2.3. Risulta decisivo osservare che l’illegittimo trattamento di dati sensibili D.Lgs. n. 196 del 2003, ex art. 4 configurabile come illecito ai sensi dell’art. 2043 c.c., non determina un’automatica risarcibilità del danno poichè il pregiudizio (morale e/o patrimoniale) deve essere provato dal danneggiato secondo le regole ordinarie, quale ne sia l’entità e la difficoltà di assolvere l’onere probatorio, trattandosi di un danno-conseguenza e non di un danno-evento, senza che rilevi in senso contrario il suo eventuale inquadramento quale pregiudizio non patrimoniale da lesione di diritti costituzionalmente garantiti (Cass. n. 15240 del 03/07/2014). Tuttavia, poichè i danni cagionati per effetto del trattamento dei dati personali, in base al D.Lgs. 30 giugno 2003, n. 196, art. 15 sono assoggettati alla disciplina di cui all’art. 2050 c.c., il danneggiato è tenuto solo a provare il danno e il nesso di causalità con l’attività di trattamento dei dati, mentre incombe al danneggiante la prova di aver adottato tutte le misure idonee ad evitare il danno stesso (Cass. n. 10646 del 26/06/2012; Cass. n. 18812 del 05/09/2014).

2.4. La ricorrente opera una non condivisibile sovrapposizione tra i rispettivi oneri probatori e confonde l’onere della prova del danno e del nesso di causalità, che gravava su di lei, con l’onere di provare la condotta scriminante ex art. 2050 c.c., che gravava sull’autore del fatto illecito, senza cogliere la ratio decidendi focalizzata proprio sulla mancata prova dell’assunto costituito dalla avvenuta pubblicazione on cine della delibera in versione integrale, posto che dalle deposizioni dei testi ( F. e M., oltre che C., padre della amministrata) non era emerso che gli stessi avessero visionato il testo integrale della delibera on line>>

I fatti storici sottostanti:

<<P.F., nella qualità di amministratrice di sostegno di C.A., aveva chiesto al Tribunale di Cosenza la condanna del Comune di Cellara al risarcimento dei danni subiti dall’amministrata a causa della pubblicazione sull’albo pretorio on-line del Comune di Cellara della (OMISSIS) con la quale era stata accolta la richiesta di ricovero della stessa presso un centro socio-riabilitativo diurno per disabili, contenente informazioni sul suo stato di salute. Il Comune aveva resistito.>>