Il criterio di imputazione dell’illecito (prima delineato dall’art. 18 della l. n. 675/1996) previsto dal Codice privacy all’art 15 (ora abrogato) non è mutato con l’introduzione del Regolamento europeo anche se l’art. 82 del GDPR introduce interessanti novità. Sia l’art. 82 sia il Considerando 146 stabiliscono che il titolare o il responsabile del trattamento sono esonerati dalla responsabilità conseguente al danno cagionato se dimostrano che l’evento dannoso non gli è in alcun modo imputabile.
La sentenza in commento, pronunciatasi a giugno su un caso precedente l’entrata in vigore del Regolamento, riprende il criterio di imputazione di carattere oggettivo (o semi – oggettivo in quanto residuerebbe un elemento di colpa) tipico della disciplina dell’art. 15 del Codice privacy che nel rimandare all’art. 2050 del codice civile trovava applicazione in caso di danni derivanti da un illecito trattamento dei dati personali. La scelta del Legislatore italiano del 1996 di richiamare l’art. 2050 cc discendeva non da una mera valutazione delle norme del proprio ordinamento bensì dalla formulazione dell’art. 23 della dir. 46/95/CE, a quale espressamente stabiliva che gli Stati membri disponessero che “chiunque subisca un danno cagionato da un trattamento illecito o da qualsiasi altro atto incompatibile con le disposizioni nazionali aveva il diritto di ottenere il risarcimento del pregiudizio subito dal titolare e, nel secondo paragrafo dello stesso art. 23 si aggiungeva che “il responsabile del trattamento poteva essere esonerato in tutto o in parte da tale responsabilità nei limiti se prova che l’evento dannoso non gli è imputabile. La non imputabilità dell’evento dannoso aveva convinto il Legislatore a far riferimento espresso all’art. 2050 cc visto che la prova della non imputabilità è data dalla dimostrazione di aver adottato tutte le misure idonee ad evitare il danno.
Ma, a ben vedere, di danno si deve trattare e di danno concreto e provato come conseguenza della lesione dell’interesse tutelato.
In tema di violazione dei dati personali, la Corte di Cassazione con la sentenza pubblicata il 10 giugno 2021, ha enunciato il principio di diritto secondo cui il danno non patrimoniale risarcibile ai sensi dell’art. 15 del d.lgs. n. 196 del 2003 (codice della privacy), pur determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli artt. 2 e 21 Cost. e dall’art. 8 della CEDU, non si sottrae alla verifica della gravità della lesione e della serietà del danno, in quanto anche per tale diritto opera il bilanciamento con il principio di solidarietà ex art. 2 Cost., di cui quello di tolleranza della lesione minima è intrinseco precipitato, pertanto determina una lesione ingiustificabile del diritto non la mera violazione delle prescrizioni poste dall’art. 11 del Codice della privacy, ma solo quella che ne offenda in modo sensibile la sua portata effettiva, restando comunque il relativo accertamento di fatto rimesso al giudice di merito.
Con la sentenza si è altresì affermato che il danno alla privacy, come ogni danno non patrimoniale, non sussiste in “re ipsa” , non identificandosi il danno risarcibile con la mera lesione dell’interesse tutelato dall’ordinamento, ma con le conseguenze di tale lesione, anche se può essere sempre provato anche attraverso presunzioni.
Nel caso di specie il Tribunale aveva rigettato la domanda proposta dall’interessato finalizzata a far accertare l’illecito trattamento dei suoi dati personali (e ad ottenere il risarcimento del danno) per il trattamento di documentazione attestante la sua situazione retributiva in un certo periodo. Tale documentazione era stata richiesta al fine di acquisire elementi di prova da far valere nell’ambito di un procedimento penale in cui lo stesso interessato era coinvolto come persona offesa dal reato.
Il giudice di primo grado, pur dando atto che le informazioni inerenti l’attività prestata dall’interessato,in epoca precedente ai fatti oggetto del giudizio penale, fossero effettivamente eccedenti le finalità per cui quei dati erano stati raccolti e trattati, ha ritenuto non responsabile l’Istituto di investigazioni difensive che aveva avuto il compito di raccoglierle, essendo eventualmente compito del difensore, prima di effettuare la produzione in giudizio, di oscurare le parti del documento contenente i dati non rilevanti ai fini di difesa.
In primo grado il Tribunale aveva ritenuto che il ricorrente non avesse specificato quali fossero state le conseguenze negative subite per effetto dell’illecito trattamento dei dati personali, nonostante il ricorrente stesso avesse più volte precisato di aver subito un danno morale dovuto alla diffusione dei dati personali in favore di soggetti condannati per un agguato ai suoi danni.
Il ricorrente aveva dimostrato soltanto (attraverso alcuni allegati) che l’illecita diffusione di dati riguardanti l’intera vita lavorativa aveva consentito alla controparte di sostenere che aveva portato illegalmente l’arma con cui si è difeso nell’agguato. Tale circostanza aveva cagionato una seria lesione della sua riservatezza ed una sofferenza morale che però, secondo la Corte, non è stata sufficientemente provata.
La Suprema Corte ha ritenuto infatti non dimostrata da parte del ricorrente la prova del danno e l’esistenza di un pregiudizio di natura non patrimoniale, essendo stata esclusivamente dedotta la violazione della normativa sul trattamento dei dati personali, senza specificare le conseguenze negative subite a seguito del trattamento ritenuto illecito.
