Categoria: art. 82 GDPR – Diritto al risarcimento e responsabilità

Risarcimento del danno “immateriale” (non patrimoniale) da illecito trattamento dati (per omessa vigilanza contro intrusioni esterne)

Corte giustizia 14.12.2023, C-340/21, in un’azione di danni a seguito di intrusione nei database dell’amministraizone finanziaria bulgara:

le questioni pregiudiziali dal foro bulgaro:

«1)      Se gli articoli 24 e 32 del [RGPD] debbano essere interpretati nel senso che è sufficiente che abbia avuto luogo una divulgazione o un accesso non autorizzati ai dati personali, ai sensi dell’articolo 4, punto 12, del [RGPD], da parte di persone che non sono dipendenti dell’amministrazione del titolare del trattamento e non sono soggette al suo controllo, per ritenere che le misure tecniche e organizzative adottate non siano adeguate.

2)      In caso di risposta negativa alla prima questione, quale debba essere l’oggetto e la portata del controllo giurisdizionale di legittimità nell’esame dell’adeguatezza delle misure tecniche e organizzative adottate dal titolare del trattamento ai sensi dell’articolo 32 del [RGPD].

3)      In caso di risposta negativa alla prima questione, se il principio di responsabilità di cui agli articoli 5, paragrafo 2, e 24 [del RGPD], in combinato disposto con il considerando 74 di tale regolamento, debba essere interpretato nel senso che, in un procedimento giudiziario conformemente all’articolo 82, paragrafo 1, del citato regolamento, incombe sul titolare del trattamento l’onere di provare che le misure tecniche e organizzative sono adeguate ai sensi dell’articolo 32 del [RGPD].

Se una perizia possa essere considerata un mezzo di prova necessario e sufficiente per determinare se le misure tecniche e organizzative adottate dal titolare del trattamento, in un caso come quello di specie, fossero adeguate, qualora l’accesso e la divulgazione non autorizzati di dati personali siano conseguenza di un “attacco hacker”.

4)      Se l’articolo 82, paragrafo 3, del [RGPD] debba essere interpretato nel senso che la divulgazione o l’accesso non autorizzati a dati personali ai sensi dell’articolo 4, paragrafo 12, di tale regolamento che, come nel caso di specie, ha avuto luogo mediante un “attacco hacker” da parte di persone che non sono dipendenti dell’amministrazione del titolare del trattamento e che non sono soggette al suo controllo configura un evento che non è in alcun modo imputabile a quest’ultimo e che gli consente di essere esonerato dalla responsabilità.

5)      Se l’articolo 82, paragrafi 1 e 2, del [RGPD], in combinato disposto con i considerando 85 e 146 di tale regolamento, debba essere interpretato nel senso che, in un caso come quello di specie, in cui ha avuto luogo una compromissione della protezione dei dati personali, verificatasi sotto forma dell’accesso non autorizzato e nella diffusione di dati personali mediante un “attacco hacker”, le sole inquietudini e ansie e i soli timori provati dalla persona interessata in merito ad un eventuale futuro uso improprio dei dati personali rientrino nella nozione di danno immateriale, che deve essere interpretata estensivamente, e facciano sorgere il diritto al risarcimento, qualora tale uso improprio non sia stato accertato e/o la persona interessata non abbia subito alcun ulteriore danno».

Risposte della CG:

<<1)      .. una divulgazione non autorizzata di dati personali o un accesso non autorizzato a tali dati da parte di «terzi», ai sensi dell’articolo 4, punto 10, di tale regolamento, non sono sufficienti, di per sé, per ritenere che le misure tecniche e organizzative attuate dal titolare del trattamento in questione non fossero «adeguate», ai sensi di tali articoli 24 e 32. [alquanto ovvio]

2)      L’articolo 32 del regolamento 2016/679

dev’essere interpretato nel senso che:

l’adeguatezza delle misure tecniche e organizzative attuate dal titolare del trattamento ai sensi di tale articolo deve essere valutata dai giudici nazionali in concreto, tenendo conto dei rischi connessi al trattamento di cui trattasi e valutando se la natura, il contenuto e l’attuazione di tali misure siano adeguati a tali rischi.    [alquanto ovvio]

3)      Il principio di responsabilità del titolare del trattamento, enunciato all’articolo 5, paragrafo 2, del regolamento 2016/679 e concretizzato all’articolo 24 di quest’ultimo,

deve essere interpretato nel senso che:

nell’ambito di un’azione di risarcimento fondata sull’articolo 82 di tale regolamento, al titolare del trattamento di cui trattasi incombe l’onere di dimostrare l’adeguatezza delle misure di sicurezza da esso attuate ai sensi dell’articolo 32 di detto regolamento. [già più interessante, visto che l’art. 82.3 3. secondo cui <<Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile>>, non è chiarissimo nel porre un’inversione dell’onere della prova come i nostri art. 2047 segg. c.c.].

4)      L’articolo 32 del regolamento 2016/679 e il principio di effettività del diritto dell’Unione

devono essere interpretati nel senso che:

al fine di valutare l’adeguatezza delle misure di sicurezza che il titolare del trattamento ha attuato ai sensi di tale articolo, una perizia giudiziaria non può costituire un mezzo di prova sistematicamente necessario e sufficiente. [alquanto ovvio]

5)      L’articolo 82, paragrafo 3, del regolamento 2016/679

deve essere interpretato nel senso che:

il titolare del trattamento non può essere esonerato dal suo obbligo di risarcire il danno subito da una persona, ai sensi dell’articolo 82, paragrafi 1 e 2, di tale regolamento, per il solo fatto che tale danno deriva da una divulgazione non autorizzata di dati personali o da un accesso non autorizzato a tali dati da parte di «terzi», ai sensi dell’articolo 4, punto 10, di detto regolamento, dato che tale responsabile deve allora dimostrare che il fatto che ha provocato il danno in questione non gli è in alcun modo imputabile. [alquanto ovvio]

6)      L’articolo 82, paragrafo 1, del regolamento 2016/679

deve essere interpretato nel senso che:

il timore di un potenziale utilizzo abusivo dei suoi dati personali da parte di terzi che un interessato nutre a seguito di una violazione di tale regolamento può, di per sé, costituire un «danno immateriale», ai sensi di tale disposizione>>. [interessante]

Risarcimento del danno da violazione della data protection

Cass. sez. I  n. 13.073 Ord. 12.05.2023, rel. Terrusi:

<<III. – Dalla sentenza si apprende che il trattamento illecito era stato integrato nel seguente modo: il 12/8/2020 il comune di (Xxxx) aveva pubblicato sul proprio sito istituzionale una determina relativa pignoramento per un certo importo dello stipendio di una dipendente comunale, tale per cui l’ente si era assunto l’impegno di versare il quinto dello stipendio a favore della società creditrice; nella determina era stata omessa la pubblicazione dei dati della debitrice, ma nella nota contabile allegata l’espressa indicazione dei dati era stata invece mantenuta, e i dati erano così finiti, seppure per poco più di un giorno, nell’albo pretorio on line del comune medesimo>>.

Principi di diritto:

<<– in base alla disciplina generale del Regolamento (UE) 2016.679, cd. GDPR, il titolare del trattamento dei dati personali è sempre tenuto a risarcire il danno cagionato a una persona da un trattamento non conforme al regolamento stesso, e può essere esonerato dalla responsabilità non semplicemente se si è attivato (come suo dovere) per rimuovere il dato illecitamente esposto, ma solo “se dimostra che l’evento dannoso non gli è in alcun modo imputabile”;[meglio: come obbligazione ex lege, il regime è quello della’rt. 1218 cc]

– l’esclusione del principio del danno in re ipsa presuppone, in questi casi, la prova della serietà della lesione conseguente al trattamento; ciò vuol dire che può non determinare il danno la mera violazione delle prescrizioni formali in tema di trattamento del dato, mentre induce sempre al risarcimento quella violazione che concretamente offenda la portata effettiva del diritto alla riservatezza>>. [che possa esserci stata una violazione  senza aver provocato un danno, mi pare esatto ma anche quasi ovvio]

(segnalazione e link da post di Stefano Aterno/E-Lex  su Linkedin)

Sul tema v. SALANITRO U., ILLECITO TRATTAMENTO DEI DATI PERSONALI E RISARCIMENTO DEL DANNO NEL PRISMA DELLA CORTE DI GIUSTIZIA, Riv. dir. civ., 3-2023

Sul risarcimento del danno da violazione della data protection (art. 82 GDPR)

Corte di Giustizia 04.05.2023, C-300/21, UI v. Österreichische Post AG sulla disciplina europea del risarcimento da violazione privacy (anzi, data protection…):

L’articolo 82 GDPR deve essere interpretato nel senso che:

1) la mera violazione delle disposizioni di tale regolamento non è sufficiente per conferire un diritto al risarcimento.
2) osta a una norma o una prassi nazionale che subordina il risarcimento di un danno immateriale, ai sensi di tale disposizione, alla condizione che il danno subito dall’interessato abbia raggiunto un certo grado di gravità.
3)  ai fini della determinazione dell’importo del risarcimento dovuto in base al diritto al risarcimento sancito da tale articolo, i giudici nazionali devono applicare le norme interne di ciascuno Stato membro relative all’entità del risarcimento pecuniario, purché siano rispettati i principi di equivalenza e di effettività del diritto dell’Unione.

La regola sub 1) è scontata.

Quella sub 3) quasi (ma è utile la precisazione del limite del rispetto della effettività del diritto UE).

Più interessante è quella sub 2).

Risarcimento danno da violazione della data protection (art. 82 GDPR)

Rielvante questione portata alla Corte di Giustizia circa i presupposti per la risarcibiità del danno provocato da violazione della data protection (causa C-300/21).

Questioni pregiudiziali, § 14:

«1)      Se ai fini del riconoscimento di un risarcimento ai sensi dell’articolo 82 dell’RGPD (…) occorra, oltre a una violazione delle disposizioni dell’RGPD, che il ricorrente abbia patito un danno, o se sia già di per sé sufficiente la violazione di disposizioni dell’RGPD per ottenere un risarcimento.

2)      Se esistano, per quanto riguarda il calcolo del risarcimento, altre prescrizioni di diritto dell’Unione, oltre ai principi di effettività e di equivalenza.

3)      Se sia compatibile con il diritto dell’Unione la tesi secondo cui il presupposto per il riconoscimento di un danno immateriale è la presenza di una conseguenza o di un effetto della violazione di un diritto avente almeno un certo peso e che vada oltre l’irritazione provocata dalla violazione stessa».

Sono  state depositate le conclusion 06.10.2022 dell’AG Sanchez-Bordona :

«L’articolo 82 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che:

ai fini del riconoscimento di un risarcimento per danni subiti da una persona in conseguenza di una violazione del menzionato regolamento non è sufficiente, di per sé, la mera violazione della norma, se essa non è accompagnata dal relativo danno, materiale o immateriale [ovvio, dato il tenore della disposizione].

Il risarcimento del danno immateriale disciplinato dal regolamento 2016/679 non si estende alla mera irritazione che l’interessato possa provare a causa della violazione delle disposizioni del regolamento 2016/679 [ancora abbastanza ovvio, pur se un pò meno]. Spetta ai giudici nazionali stabilire quando, a motivo delle sue caratteristiche, la sensazione soggettiva di malessere possa essere considerata, in ciascun caso, un danno immateriale [punto importante, ma incerto: non ci sarà così una frantumazione nazionale della relativa regola, dubbio che si pone peraltro per quasi tutto il diritto armonizzato UE in relazione ai rimedi per la sua  violazione?]: ».

Risarcimento del danno non patrimoniale cagionato da lesione della privacy

Così ha statuito Cass. 11.020 del 26.04.2021, rel. Fidanzia, su istanza ex art. 152 c. priv. (probabilmente ex art. 15 c. priv.) per pubblicazione non giustificata di notizie riservate (precedenti provedimenti disciplinati subiti quale dipendente pubblico di chi ora è sottoposto a procedimneto disciplinere come avvocato):

<<In ordine al risarcimento dei danni, va preliminarmente osservato che questa Corte (vedi Cass. n. 17383 del 20/08/2020) ha già enunciato il principio di diritto secondo cui il danno non patrimoniale risarcibile, ai sensi del D.Lgs. n. 196 del 2003, art. 15 (codice della privacy), pur determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli artt. 2 e 21 Cost. e dall’art. 8 della CEDU, non si sottrae alla verifica della “gravità della lesione” e della “serietà del danno”, in quanto anche per tale diritto opera il bilanciamento con il principio di solidarietà ex art. 2 Cost., da cui deriva (come intrinseco precipitato) quello di tolleranza della lesione minima , sicché determina una lesione ingiustificabile del diritto non la mera violazione delle prescrizioni poste dall’art. 11 del codice della privacy, ma solo quella che ne offenda in modo sensibile la sua portata effettiva, restando comunque il relativo accertamento di fatto rimesso al giudice di merito.

Deve, inoltre, rilevarsi che il danno alla privacy, pur non essendo, come ogni danno non patrimoniale, in “re ipsa”, non identificandosi il danno risarcibile con la lesione dell’interesse tutelato dall’ordinamento, ma con le conseguenze di tale lesione, può essere, tuttavia, provato anche attraverso presunzioni (vedi in materia di lesione del danno non patrimoniale dell’onore, Cass. n. 25420 del 26/10/2017, i cui principi, sotto il profilo della prova del danno, sono applicabili anche al caso in esame).>>

Quindi bene aveva deciso il Trib. a quo: <<Il Tribunale di Firenze ha avuto cura di verificare la “gravità della lesione” e la “serietà del danno”, evidenziando che la divulgazione di una pluralità di procedimenti disciplinari a carico dell’avv. M. – “peraltro generica e dunque maggiormente offensiva in quanto allusiva (aperta a qualunque interpretazione soggettiva) “- era stata effettivamente dannosa, determinando conseguenze inevitabilmente negative, oltre che sulla sfera emotiva dell’odierno controricorrente (già provato da procedimenti disciplinati infondati), sulla sua immagine e sulla sua reputazione sociale nel ristretto ambiente lavorativo in cui era da breve tempo entrato (due anni). In particolare, il giudice di merito ha messo in luce la condizione di particolare fragilità in cui si trova un avvocato iscritto all’Ordine forense solo da un paio d’anni, il quale è soprattutto impegnato nella costruzione di una propria immagine e credibilità professionale non solo in relazione ai potenziali clienti, ma anche rispetto a quei colleghi che possono così sensibilmente incidere sulla sua attività, anche per il futuro.>>

Profili processuali sul risarcimento del danno da illecito trattamento dati ex art. 15 cod. privacy

Qualche spunto processuale sul risarcimento del danno ex art. 15 cod. privacy (testo allora vigente) in Cass. ord. 14.618 del 26.5.2018, PF c. Comune di Cellara CS.

Oggi analoga disposizione sta nell’art. 82 del reg. _UE GDPR.

<<2.3. Risulta decisivo osservare che l’illegittimo trattamento di dati sensibili D.Lgs. n. 196 del 2003, ex art. 4 configurabile come illecito ai sensi dell’art. 2043 c.c., non determina un’automatica risarcibilità del danno poichè il pregiudizio (morale e/o patrimoniale) deve essere provato dal danneggiato secondo le regole ordinarie, quale ne sia l’entità e la difficoltà di assolvere l’onere probatorio, trattandosi di un danno-conseguenza e non di un danno-evento, senza che rilevi in senso contrario il suo eventuale inquadramento quale pregiudizio non patrimoniale da lesione di diritti costituzionalmente garantiti (Cass. n. 15240 del 03/07/2014). Tuttavia, poichè i danni cagionati per effetto del trattamento dei dati personali, in base al D.Lgs. 30 giugno 2003, n. 196, art. 15 sono assoggettati alla disciplina di cui all’art. 2050 c.c., il danneggiato è tenuto solo a provare il danno e il nesso di causalità con l’attività di trattamento dei dati, mentre incombe al danneggiante la prova di aver adottato tutte le misure idonee ad evitare il danno stesso (Cass. n. 10646 del 26/06/2012; Cass. n. 18812 del 05/09/2014).

2.4. La ricorrente opera una non condivisibile sovrapposizione tra i rispettivi oneri probatori e confonde l’onere della prova del danno e del nesso di causalità, che gravava su di lei, con l’onere di provare la condotta scriminante ex art. 2050 c.c., che gravava sull’autore del fatto illecito, senza cogliere la ratio decidendi focalizzata proprio sulla mancata prova dell’assunto costituito dalla avvenuta pubblicazione on cine della delibera in versione integrale, posto che dalle deposizioni dei testi ( F. e M., oltre che C., padre della amministrata) non era emerso che gli stessi avessero visionato il testo integrale della delibera on line>>

I fatti storici sottostanti:

<<P.F., nella qualità di amministratrice di sostegno di C.A., aveva chiesto al Tribunale di Cosenza la condanna del Comune di Cellara al risarcimento dei danni subiti dall’amministrata a causa della pubblicazione sull’albo pretorio on-line del Comune di Cellara della (OMISSIS) con la quale era stata accolta la richiesta di ricovero della stessa presso un centro socio-riabilitativo diurno per disabili, contenente informazioni sul suo stato di salute. Il Comune aveva resistito.>>