A fini risarcitori, l’interessato deve provare il nesso eziologico tra danno e illecito trattamento dei dati nonostante l’inversione dell’onere della prova.
Una recentissima pronuncia ha rigettato le richieste di risarcimento avanzate nei confronti di una società telefonica – rappresentata in giudizio da Giovanni Maria Riccio e Adriana Peduto – perché carenti di prove adeguate circa la responsabilità da illecito trattamento dei dati personali.
Si tratta di una decisione in controtendenza rispetto ad altre rese in casi analoghi. Troppo spesso, infatti, i giudici di merito ritengono sufficiente verificare il trattamento illecito del titolare per accertare, automaticamente e senza ulteriori risultanze probatorie, l’esistenza di un danno quale diretta conseguenza dell’illecito.
Simili decisioni si fondano su di un’erronea interpretazione delle disposizioni in materia (art. 82 GDPR e art. 2050 codice civile), e non appaiono conformi all’ormai consolidato orientamento della Corte di Cassazione in tema di ripartizione dell’onere probatorio.
Breve disamina del giudizio
Nel caso di specie, il ricorrente lamentava la mancata risposta, da parte di una società di telefonia, a una sua richiesta di accesso ex art. 15 GDPR, e pertanto chiedeva al Tribunale di accertare tale condotta illecita. Chiedeva inoltre il risarcimento del danno patito, poiché aveva ricevuto fastidiose telefonate promozionali da sedicenti operatori della società.
Richiamandosi agli artt. 12 e 15 GDPR, il Tribunale ha verificato il mancato rispetto degli obblighi di legge in tema di diritto di accesso, così accertando l’illecito.
Ciononostante, il giudice di merito ha constatato la mancanza di un nesso eziologico: il ricorrente, infatti, non aveva dimostrato un collegamento tra il danno patito per le fastidiose telefonate e l’illecita condotta della società di telefonia. Inoltre, il danno lamentato non era stato specificamente allegato o provato. Per tali motivi, il Tribunale ha rigettato la richiesta di risarcimento.
È interessante sottolineare che l’inadempimento all’obbligo di rispondere all’istanza di accesso è stato comunque oggetto di effettivo accertamento, e nessuna prova in senso contrario è stata fornita dalla società. Tanto sarebbe bastato, in altre sedi, per accogliere qualsivoglia pretesa del ricorrente. Eppure, senza dare adito a rigidi automatismi, il giudice di merito ha richiesto la dimostrazione di un effettivo danno patito dal ricorrente, nonché di un nesso di causalità tra questo e la – pur accertata – condotta illecita.
Malgrado la peculiarità di tale decisione, l’interpretazione adottata dal Tribunale appare perfettamente in linea sia con i princìpi sanciti dalle normative europee e nazionali, sia con i criteri ermeneutici forniti dalla Corte di Cassazione in materia di responsabilità da illecito trattamento dei dati, che si riportano di seguito.
Responsabilità per illecito trattamento nel GDPR
Come è noto, il Regolamento UE 2016/679 mira a mantenere un delicato bilanciamento tra protezione dei dati (a tutela dei diritti e delle libertà delle persone fisiche) e circolazione degli stessi (a tutela degli interessi economici delle imprese). Ciò avviene considerando il grande dinamismo e l’estrema varietà delle operazioni di trattamento dei dati personali, soprattutto quando queste avvengono mediante l’impiego di nuove tecnologie.
Ecco perché le disposizioni e i princìpi del Regolamento, oltremodo flessibili, rimettono la diretta gestione del trattamento alle parti coinvolte nello stesso (c.d. risk-based approach), perseguendo due obiettivi fondamentali:
- da un lato, un empowerment degli interessati, cui sono conferiti una serie di diritti immediatamente e gratuitamente spendibili;
- dall’altro, una significativa responsabilizzazione (accountability) di titolari e responsabili del trattamento, tenuti a garantire e a comprovare che le proprie operazioni rispettino le prescrizioni in materia.
La diretta congiunzione di tali elementi può rinvenirsi nel disposto dell’art. 82 del GDPR, che conferisce agli interessati un diritto al risarcimento del danno patito a causa di un trattamento non conforme alle prescrizioni imposte a titolari e responsabili.
Tuttavia, lungi dal disporre regole concrete che valgano per ogni occasione (one-size-fits-all), il Regolamento chiede invece a chi tratta dati personali di applicare i suoi princìpi previa valutazione delle circostanze dello specifico trattamento posto in essere. In sostanza, a titolari e responsabili è demandata l’assunzione del rischio tipico d’impresa, in forza del quale saranno essi stessi a determinare le misure ritenute più adeguate a tutelare i diritti e le libertà delle persone fisiche, anche in base ad analisi costi-benefici.
Per tali ragioni, titolari e responsabili sono esonerati da responsabilità, e quindi dagli obblighi risarcitori, solamente se dimostrano che «l’evento dannoso non gli è in alcun modo imputabile» (art. 82, par. 3, GDPR).
Responsabilità per l’esercizio di attività pericolose nel codice civile
Nell’ordinamento italiano, il trattamento dei dati personali è considerato, per sua natura o (più verosimilmente) per la natura dei mezzi adottati, quale attività pericolosa. Nel trattamento di dati c’è quindi un rischio intrinseco che titolare e responsabile devono tenere presente. In forza di ciò, essi sono tenuti ad adottare tutte le precauzioni, stabilite dalle disposizioni in materia, volte a limitare il rischio quanto più possibile.
Ciò vale a ricondurre il trattamento irrispettoso di dette disposizioni a un’ipotesi di responsabilità ex art. 2050 del codice civile che, come il GDPR, prevede un obbligo risarcitorio a meno che non si provi «di aver adottato tutte le misure idonee a evitare il danno».
Solitamente, ai sensi dell’art. 2043 del codice civile, è chi agisce per il risarcimento a dover allegare e provare ogni elemento posto a fondamento delle sue pretese (ossia, gli elementi costitutivi del fatto, il nesso di causalità, il danno ingiusto e l’imputabilità soggettiva). L’art. 2050 favorisce invece la posizione del danneggiato[1], stabilendo:
- una presunzione di colpa in capo al danneggiante, che dovrà dare la prova liberatoria di aver adottato tutte le misure prescritte dalla legge per evitare il danno (inversione dell’onere della prova);
- la facoltà per il danneggiato di ricorrere a presunzioni semplici (secondo l’id quod plerumque accidit) per dimostrare il danno sofferto;
- la possibilità di un risarcimento secondo equità, che esonera il danneggiato dall’onere di provare il preciso ammontare del danno.
L’interpretazione della Corte di Cassazione
Pur riconducendo l’illecito trattamento al paradigma della responsabilità oggettiva (rectius, semi-oggettiva), consolidato orientamento della Suprema Corte ritiene che il pregiudizio lamentato non possa essere in re ipsa. In altre parole, è sì ammessa una presunzione in merito all’illecito commesso dal titolare del trattamento (sul quale si riversa, come detto, l’onere di provare il contrario), ma da ciò non è possibile desumereautomaticamente:
- che un danno esista semplicemente perché vi è stato un illecito; e
- che, dando comunque prova del danno, questo sia stato causato da tale illecito.
Ai fini della richiesta risarcitoria, pertanto, l’interessato dovrà comunque allegare e provare sia il danno, sia il rapporto di causa-effetto tra questo e l’illecito trattamento del titolare/responsabile.
Se così non fosse, il risarcimento si trasformerebbe in una “pena privata”, e il ruolo dello stesso sarebbe snaturato. Alla pur presente funzione sanzionatoria devono infatti concorrere quella deterrente, quella consolatoria e, soprattutto, quella compensativa, proprie del paradigma della responsabilità aquiliana[2].
Infine, come già sostenuto dal collega Andrea Pisano, il diritto al risarcimento del danno non patrimoniale deve essere bilanciato con la regola di tolleranza della lesione minima (corollario del principio di solidarietà ex art. 2 Costituzione). Ne consegue che, per determinare una lesione ingiustificabile del diritto fondamentale alla protezione dei dati personali, la violazione deve essere tale da offendere in modo sensibile la sua portata effettiva. Il pregiudizio così determinato, quindi, non si sottrae alla verifica della “gravità della lesione” e della “serietà del danno”. L’accertamento di fatto è comunque «rimesso al giudice di merito e resta ancorato alla concretezza della vicenda materiale portata alla cognizione giudiziale ed al suo essere maturata in un dato contesto temporale e sociale»[3].
[1] Ex multis, Cass. Civ. Sez. I, Ord. 08/01/2019, n. 207
[2] Cass. Civ. Sez. I, Sent. 25/01/2017, n. 1931
[3] Ex multis, da ultimo, Cass. Civ. Sez. I, Ord. 17/09/2020, n. 19328
