Tag: danno non patrimoniale da violazione privacy

Risarcimento del danno non patrimoniale da violazione di privacy

In un caso di erronea divulgazione online da parte della PA di dati sanitari di una pazienda, però immediatamente eliminata, regola la domanda risarcitoria Cass. sez. III, 16/04/2024 ord. n. 10.155, rel. Ambrosi:

<<1.1. Secondo il costante orientamento di questa Corte, in materia di responsabilità civile, è configurabile il risarcimento del danno non patrimoniale, da identificare con qualsiasi conseguenza pregiudizievole della lesione.

All’esito della pronunzia Corte Cost. n. 235 del 2014 e dell’entrata in vigore della L. n. 124 del 2017 (che all’art. 1, comma 17, ha modificato l’art. 138 Cod. ass. richiamato dai ricorrenti), questa Corte ha posto in rilievo come il giudice del merito sia tenuto “a valutare tanto le conseguenze subite dal danneggiato nella sua sfera morale (che si collocano nella dimensione del rapporto del soggetto con sé stesso), quanto quelle incidenti sul piano dinamico – relazionale della sua vita (che si dipanano nell’ambito della relazione del soggetto con la realtà esterna, con tutto ciò che, in altri termini, costituisce “altro da sé”)” (così Cass., 31/1/2019, n. 2788; Cass., 21/9/2017, n. 21939).

Il danno preteso, dovendo necessariamente consistere in un profilo consequenziale rispetto al fatto dannoso denunciato (non potendo esaurirsi nella figura del c.d. danno-evento, ossia in re ipsa), dev’essere essere oggetto di specifica allegazione e di prova, anche tramite il ricorso al valore rappresentativo di presunzioni semplici (v. Cass. Sez. 3, Ordinanza n. 19551 del 10/07/2023, Rv. 668139 – 01; Cass. Sez. 3, Sentenza n. 20643 del 13/10/2016, Rv. 642923 – 02), ossia anche attraverso l’indicazione degli elementi costitutivi e delle specifiche circostanze di fatto da cui desumerne, sebbene in via presuntiva, l’esistenza (Cass. Sez. 3, Ordinanza n. 34026 del 18/11/2022, Rv. 666153 – 01).

Inoltre, questa Corte ha posto in evidenza che in tema di liquidazione equitativa del danno non patrimoniale, la liquidazione compiuta dal giudice di merito sfugge ad una precisa valutazione analitica e resta affidata al criterio equitativo, non sindacabile in sede di legittimità allorquando lo stesso giudice dia conto del criterio medesimo e la valutazione risulti congruente al caso e la concreta determinazione dell’ammontare del danno non sia, per eccesso o per difetto, palesemente sproporzionata (Cass. Sez. 3 14/07/2004, n. 13066) o non congrua (Cass. Sez. 3, 7/03/2003 n. 3414) o, addirittura, simbolica o irrisoria (Cass. Sez. 3, 16/05/2003 n. 7632).

3.1.2. Sul punto, giova sottolineare come nella specie il Tribunale ha avuto cura di evidenziare che la divulgazione di informazioni in violazione degli obblighi di riservatezza e di privacy avvenuta in modo illegittimo (in particolare, circa gli aspetti inerenti allo stato di salute e alla vita sessuale della odierna parte ricorrente, nonché alle prestazioni sanitarie cui era stata sottoposta, e alle coordinate bancarie del coniuge su cui accreditare il rimborso ottenuto) determinò l’odierna azienda controricorrente a provvedere in un tempo brevissimo (nelle ore immediatamente successive alla pubblicazione) ad oscurare i dati sensibili presenti nel testo diffuso.

Di conseguenza, il Tribunale ha correttamente considerato il complesso degli elementi istruttori documentali e testimoniali acquisiti ed è pervenuto alla quantificazione e liquidazione del danno in via equitativa, in modo unitario e omnicomprensivo e proporzionato al danno di natura non patrimoniale subìto in concreto dalla parte ricorrente>>.

Risarcimento del danno “immateriale” (non patrimoniale) da illecito trattamento dati (per omessa vigilanza contro intrusioni esterne)

Corte giustizia 14.12.2023, C-340/21, in un’azione di danni a seguito di intrusione nei database dell’amministraizone finanziaria bulgara:

le questioni pregiudiziali dal foro bulgaro:

«1)      Se gli articoli 24 e 32 del [RGPD] debbano essere interpretati nel senso che è sufficiente che abbia avuto luogo una divulgazione o un accesso non autorizzati ai dati personali, ai sensi dell’articolo 4, punto 12, del [RGPD], da parte di persone che non sono dipendenti dell’amministrazione del titolare del trattamento e non sono soggette al suo controllo, per ritenere che le misure tecniche e organizzative adottate non siano adeguate.

2)      In caso di risposta negativa alla prima questione, quale debba essere l’oggetto e la portata del controllo giurisdizionale di legittimità nell’esame dell’adeguatezza delle misure tecniche e organizzative adottate dal titolare del trattamento ai sensi dell’articolo 32 del [RGPD].

3)      In caso di risposta negativa alla prima questione, se il principio di responsabilità di cui agli articoli 5, paragrafo 2, e 24 [del RGPD], in combinato disposto con il considerando 74 di tale regolamento, debba essere interpretato nel senso che, in un procedimento giudiziario conformemente all’articolo 82, paragrafo 1, del citato regolamento, incombe sul titolare del trattamento l’onere di provare che le misure tecniche e organizzative sono adeguate ai sensi dell’articolo 32 del [RGPD].

Se una perizia possa essere considerata un mezzo di prova necessario e sufficiente per determinare se le misure tecniche e organizzative adottate dal titolare del trattamento, in un caso come quello di specie, fossero adeguate, qualora l’accesso e la divulgazione non autorizzati di dati personali siano conseguenza di un “attacco hacker”.

4)      Se l’articolo 82, paragrafo 3, del [RGPD] debba essere interpretato nel senso che la divulgazione o l’accesso non autorizzati a dati personali ai sensi dell’articolo 4, paragrafo 12, di tale regolamento che, come nel caso di specie, ha avuto luogo mediante un “attacco hacker” da parte di persone che non sono dipendenti dell’amministrazione del titolare del trattamento e che non sono soggette al suo controllo configura un evento che non è in alcun modo imputabile a quest’ultimo e che gli consente di essere esonerato dalla responsabilità.

5)      Se l’articolo 82, paragrafi 1 e 2, del [RGPD], in combinato disposto con i considerando 85 e 146 di tale regolamento, debba essere interpretato nel senso che, in un caso come quello di specie, in cui ha avuto luogo una compromissione della protezione dei dati personali, verificatasi sotto forma dell’accesso non autorizzato e nella diffusione di dati personali mediante un “attacco hacker”, le sole inquietudini e ansie e i soli timori provati dalla persona interessata in merito ad un eventuale futuro uso improprio dei dati personali rientrino nella nozione di danno immateriale, che deve essere interpretata estensivamente, e facciano sorgere il diritto al risarcimento, qualora tale uso improprio non sia stato accertato e/o la persona interessata non abbia subito alcun ulteriore danno».

Risposte della CG:

<<1)      .. una divulgazione non autorizzata di dati personali o un accesso non autorizzato a tali dati da parte di «terzi», ai sensi dell’articolo 4, punto 10, di tale regolamento, non sono sufficienti, di per sé, per ritenere che le misure tecniche e organizzative attuate dal titolare del trattamento in questione non fossero «adeguate», ai sensi di tali articoli 24 e 32. [alquanto ovvio]

2)      L’articolo 32 del regolamento 2016/679

dev’essere interpretato nel senso che:

l’adeguatezza delle misure tecniche e organizzative attuate dal titolare del trattamento ai sensi di tale articolo deve essere valutata dai giudici nazionali in concreto, tenendo conto dei rischi connessi al trattamento di cui trattasi e valutando se la natura, il contenuto e l’attuazione di tali misure siano adeguati a tali rischi.    [alquanto ovvio]

3)      Il principio di responsabilità del titolare del trattamento, enunciato all’articolo 5, paragrafo 2, del regolamento 2016/679 e concretizzato all’articolo 24 di quest’ultimo,

deve essere interpretato nel senso che:

nell’ambito di un’azione di risarcimento fondata sull’articolo 82 di tale regolamento, al titolare del trattamento di cui trattasi incombe l’onere di dimostrare l’adeguatezza delle misure di sicurezza da esso attuate ai sensi dell’articolo 32 di detto regolamento. [già più interessante, visto che l’art. 82.3 3. secondo cui <<Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile>>, non è chiarissimo nel porre un’inversione dell’onere della prova come i nostri art. 2047 segg. c.c.].

4)      L’articolo 32 del regolamento 2016/679 e il principio di effettività del diritto dell’Unione

devono essere interpretati nel senso che:

al fine di valutare l’adeguatezza delle misure di sicurezza che il titolare del trattamento ha attuato ai sensi di tale articolo, una perizia giudiziaria non può costituire un mezzo di prova sistematicamente necessario e sufficiente. [alquanto ovvio]

5)      L’articolo 82, paragrafo 3, del regolamento 2016/679

deve essere interpretato nel senso che:

il titolare del trattamento non può essere esonerato dal suo obbligo di risarcire il danno subito da una persona, ai sensi dell’articolo 82, paragrafi 1 e 2, di tale regolamento, per il solo fatto che tale danno deriva da una divulgazione non autorizzata di dati personali o da un accesso non autorizzato a tali dati da parte di «terzi», ai sensi dell’articolo 4, punto 10, di detto regolamento, dato che tale responsabile deve allora dimostrare che il fatto che ha provocato il danno in questione non gli è in alcun modo imputabile. [alquanto ovvio]

6)      L’articolo 82, paragrafo 1, del regolamento 2016/679

deve essere interpretato nel senso che:

il timore di un potenziale utilizzo abusivo dei suoi dati personali da parte di terzi che un interessato nutre a seguito di una violazione di tale regolamento può, di per sé, costituire un «danno immateriale», ai sensi di tale disposizione>>. [interessante]