La Cassazione ha affermato un principio significativo in materia di protezione dei dati personali, statuendo che il titolare del trattamento dei dati personali è sempre tenuto a risarcire il danno cagionato a una persona da un trattamento non conforme al GDPR. Può essere esonerato dalla responsabilità non semplicemente se si è attivato (come suo dovere) per rimuovere il dato illecitamente esposto, ma solo se dimostra che l’evento dannoso non gli è in alcun modo imputabile.
Nel caso di specie, un Comune aveva pubblicato sul proprio sito istituzionale una determina relativa pignoramento per un certo importo dello stipendio di una dipendente comunale, tale per cui l’ente si era assunto l’impegno di versare il quinto dello stipendio a favore della società creditrice. Nella determina era stata omessa la pubblicazione dei dati della debitrice, ma nella nota contabile allegata l’espressa indicazione dei dati era stata invece mantenuta, e i dati erano così finiti, seppure per poco più di un giorno, nell’albo pretorio on line del comune medesimo.
La Cassazione ha stabilito la risarcibilità del danno morale per tale violazione, dal momento che, seppur per un periodo di tempo molto limitato, i dati erano illegittimamente accessibili a terzi. Tuttavia, la sentenza ha anche ricordato che la lesione subita deve essere seria, “ciò vuol dire che può non determinare il danno la mera violazione delle prescrizioni formali in tema di trattamento del dato, mentre induce sempre al risarcimento quella violazione che concretamente offenda la portata effettiva del diritto alla riservatezza”. Pertanto, non è sufficiente dimostrare che sia stata violata una norma del GDPR, ma è necessario, nel concreto, provare che sia stato subito un danno.