Il Risarcimento dei Danni per Trattamento Illecito di Dati Personali

La sentenza della Corte di Cassazione, Cass. civ., Sez. I, Ord. 12-05-2023, n. 13073, affronta un caso in cui un Comune è stato condannato a risarcire i danni causati a un’impiegata a seguito di un trattamento illecito dei suoi dati personali. Questa sentenza solleva importanti questioni in merito al risarcimento dei danni derivanti da violazioni delle normative sulla protezione dei dati personali, in particolare il Regolamento (UE) 2016/679, noto come GDPR.

I Fatti del Caso

Nel caso in questione, il Comune aveva accidentalmente pubblicato sul proprio sito istituzionale una determina relativa al pignoramento per un certo importo dello stipendio di una dipendente comunale, violando così le norme di protezione dei dati personali previste dal GDPR. Scoperto l’errore il Comune aveva ammesso che la divulgazione dei dati era avvenuta accidentalmente, attivandosi tempestivamente per rimuovere i suddetti dati in poco più di 24 ore.

Ciononostante, il Tribunale di prima istanza aveva rilevato la responsabilità del Comune, imponendo allo stesso il risarcimento del danno. La Corte d’Appello confermava tale sentenza la quale, a sua volta, veniva impugnata dal Comune di fronte agli Ermellini.

La sentenza della Suprema corte, rigettando le istanza del Comune, sottolinea che il danno non patrimoniale risarcibile in casi di violazione dei dati personali è determinato dalla lesione del diritto fondamentale alla protezione dei dati personali, sancito sia a livello costituzionale che dal GDPR. Ricordando che il GDPR, all’articolo 82, stabilisce che chiunque subisca un danno materiale o immateriale causato da una violazione delle disposizioni del regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento dei dati o dal responsabile del trattamento.

Il Cambiamento Normativo

Prima dell’entrata in vigore del Regolamento (UE) 2016/679, nel nostro ordinamento, il tema della responsabilità civile derivante dall’illecito trattamento dei dati personali trovava la propria disciplina nell’art. 15 del d.lgs. 30 giugno 2003 n. 196 (Codice in materia di protezione dei dati personali). Questo stabiliva che chiunque causasse danno ad altri a causa del trattamento di dati personali doveva risarcire il danno ai sensi dell’art. 2050 del codice civile. Il danno non patrimoniale era risarcibile anche in caso di violazione dell’articolo 11.

Con l’entrata in vigore del GDPR, la normativa è cambiata, introducendo regole più uniformi per la responsabilità in caso di trattamento illecito dei dati personali. La nuova normativa stabilisce che chiunque subisca un danno materiale o immateriale causato da una violazione del regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. Tuttavia, questi soggetti possono essere esentati dalla responsabilità se dimostrano che l’evento dannoso non è loro “in alcun modo imputabile.”

La Responsabilità del Titolare vs. il Responsabile

La responsabilità del titolare e quella del responsabile discendono da fatti diversi. Il titolare è colui che determina le finalità e i mezzi del trattamento ed è responsabile per il danno cagionato dal suo trattamento che violi il regolamento. Inoltre, secondo la massima degli ermellini “il titolare del trattamento dei  dati personali è sempre tenuto a risarcire il danno cagionato a una persona da un trattamento non  conforme al regolamento stesso, e può essere esonerato dalla responsabilità non semplicemente se si è  attivato (come suo dovere) per rimuovere il dato illecitamente esposto, ma solo “se dimostra che l’evento  dannoso non gli è in alcun modo imputabile”.

Il responsabile, invece, tratta dati personali per conto del titolare del trattamento e risponde solo se non ha adempiuto gli obblighi del regolamento specificamente diretti ai responsabili del trattamento o ha agito in modo difforme rispetto alle istruzioni del titolare.

La Serietà del Danno

Per quanto riguarda il risarcimento del danno non patrimoniale, derivante da una lesione del diritto fondamentale alla protezione dei dati personali, devono ricorrere i presupposti della gravità della lesione e della serietà del danno. La violazione delle prescrizioni in materia di protezione dei dati personali può ritenersi ingiustificabile, e dunque risarcibile, solo se la stessa ha offeso in maniera sensibile la portata del diritto stesso. Pertanto può non determinare il danno la mera violazione delle  prescrizioni formali in tema di trattamento del dato, mentre induce sempre al risarcimento quella violazione  che concretamente offenda la portata effettiva del diritto alla riservatezza

L’onere della prova per dimostrare il danno non patrimoniale è a carico del danneggiato, mentre il titolare del trattamento deve dimostrare di aver adottato misure adeguate per evitare il danno.

Il Principio di Accountability

L’entrata in vigore del GDPR ha introdotto il principio di accountability, che impone al titolare del trattamento di assumersi la responsabilità di individuare un equilibrio tra interessi contrapposti, con piena autonomia di giudizio. L’accountability richiede al titolare di modulare la concreta attuazione dei principi sanciti dalla normativa, in astratto, e di documentare come ha dato attuazione alle previsioni normative.

In conclusione, il Regolamento (UE) 2016/679 ha ridefinito il quadro normativo in materia di trattamento dei dati personali, introducendo regole più uniformi sulla responsabilità e sull’accountability. Queste normative pongono un’enfasi significativa sulla protezione dei dati personali e sul risarcimento dei danni in caso di violazioni. La sentenza della Corte di Cassazione rafforza l’importanza di tali norme e la necessità per le organizzazioni di rispettarle per evitare controversie legali e risarcimenti dei danni. La protezione dei dati personali è una questione cruciale nella società digitale odierna e richiede l’attenzione e la conformità da parte di tutti gli attori coinvolti.