Uno dei pilastri su cui si fonda l’intero impianto normativo del Regolamento (UE) del Parlamento europeo e del Consiglio n. 679 del 27 aprile 2016, “Regolamento generale per la protezione dei dati personali”, (comunemente indicato con la sigla GDPR, stante per “General Data Protection Regulation”), è rappresentato dal principio di accountability, espressione che, sebbene in maniera riduttiva, potrebbe essere tradotta come “principio di responsabilizzazione”.
Ai sensi del principio in esame, sancito dall’art. 5, comma 2, del Regolamento, il titolare del trattamento è tenuto ad effettuare il trattamento dei dati personali nel rispetto dei principi di cui al comma 1 della medesima disposizione.[1]
Affinché detti principi risultino effettivamente osservati, il titolare dovrà adottare talune particolari misure tecniche e organizzative, gravando su di lui l’onere di dimostrare che le decisioni assunte e i comportamenti attuati risultano effettivamente adeguati ai rischi connessi al trattamento in esame.
La mancata osservanza delle norme del Regolamento, da cui derivi la lesione di una situazione giuridica soggettiva protetta dalla legge, integra un’ipotesi di trattamento illecito, da cui può scaturire, ai sensi dell’art. 82 del GDPR, la responsabilità civile del titolare o del responsabile del trattamento, oltre all’applicazione del regime delle sanzioni amministrative.[2]
Già prima dell’entrata in vigore del Regolamento (UE) n. 679 del 2016, la previsione della configurazione di un’ipotesi di responsabilità civile in caso di illecito trattamento di dati personali era contemplata all’interno del D.Lgs. n. 196 del 30 giugno 2003, “Codice in materia di protezione dei dati personali”, comunemente denominato Codice Privacy.
L’art. 15 recitava: “Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’art. 2050 c.c.”.
Il trattamento dei dati personali, pertanto, veniva espressamente equiparato, verosimilmente per la natura dei mezzi adoperati, a un’attività pericolosa[3], lì dove l’art. 2050 c.c. prevede che chiunque cagioni un danno ad altri svolgendo un’attività pericolosa è tenuto al risarcimento, ove non sia in grado di dimostrare di aver adottato tutte le misure idonee ad evitare il danno.
Con il rinvio alla prefata disposizione codicistica, dunque, operava una presunzione iuris tantum di colpa in capo al danneggiante, tenuto a fornire la prova di aver adottato, per contro, tutte le cautele necessarie a scongiurare il verificarsi del danno patito, realizzandosi, così, un’inversione dell’onus probandi.
Pertanto, sebbene non fosse ancora vigente il Regolamento (UE) n. 679 del 2016, emerge come il legislatore – almeno a livello nazionale – avesse già puntato sullo schema della responsabilizzazione del titolare del trattamento, prevedendo che questi, per liberarsi dell’obbligo di risarcire il danno su di lui gravante, dovesse rendere conto di tutte le misure adottate, obbligandolo, in qualche modo, a una preventiva attività di compliance privacy.
Grazie all’evoluzione giurisprudenziale, si è giunti nel tempo a ritenere risarcibile, ex art. 2050 c.c., oltre al danno patrimoniale sofferto, anche il danno morale.
Sicché, in virtù del richiamo a siffatta norma, nel testo dell’art. 15, già il Codice Privacy contemplava la possibilità che l’interessato, i cui dati personali fossero stati trattati in maniera illecita, potesse agire per ottenere il risarcimento sia del danno patrimoniale subito sia di quello non patrimoniale.
Il secondo comma dello stesso articolo prevedeva, altresì, la risarcibilità del danno non patrimoniale anche in caso di violazione dell’art. 11 Codice Privacy, concernente le modalità del trattamento e i necessari requisiti dei dati personali raccolti.
Successivamente, l’entrata in vigore del D.Lgs. n. 101 del 10 agosto 2018, “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché’ alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”, emanato in attuazione dell’art. 13 della Legge di delegazione europea n. 163 del 25 ottobre 2017, ha comportato l’abrogazione di tutto il Titolo III della Parte I del D.Lgs. n. 196/2003 e, perciò, anche del citato art. 15.
A ben vedere, all’interno del D.Lgs. n. 101/2018 mancano previsioni in materia di responsabilità civile, dovendosi, pertanto, fare necessariamente riferimento soltanto a quanto previsto dal GDPR, peraltro norma europea di rango regolamentare e dunque direttamente applicabile.
L’articolo 82[4] del GDPR appare ben più articolata rispetto a quella dell’abrogato art. 15 contenuto nel Codice Privacy.
Volendo effettuare una comparazione tra le due norme, è possibile, anzitutto, constatare come, mentre ai sensi dell’art. 15, obbligato al risarcimento del danno risultava essere genericamente “chiunque” avesse cagionato un danno, l’articolo 82 individua, quali soggetti tenuti al risarcimento, esclusivamente le figure del titolare o del responsabile del trattamento.
Pertanto, gli illeciti commessi da altri soggetti, non ricadendo nel regime di cui all’articolo 82 GDPR, saranno assoggettati alle generali norme codicistiche in materia di responsabilità.
Al pari di quanto già previsto dal Codice Privacy, anche il GDPR esclude la responsabilità del titolare o del responsabile quando questi riescano a dimostrare che l’evento dannoso verificatosi non è in alcun modo a loro imputabile.
Anche l’articolo 82 contempla un’inversione dell’onere probatorio, il quale graverà in capo al titolare e al responsabile che vogliano rimanere esenti dall’obbligo di risarcimento del danno. Alla luce del principio di accountability e del concetto di responsabilizzazione che permea l’intero impianto normativo del Regolamento (UE) n. 679 del 2016, dunque, il titolare o il responsabile del trattamento che voglia non essere ritenuto responsabile ex art. 82 dovrà dimostrare di aver adottato tutte le misure tecniche e organizzative necessarie e idonee a scongiurare il verificarsi del danno prodottosi.
Mentre nel testo dell’abrogato art. 15, il danno cagionato veniva espressamente equiparato ad un danno derivante dall’esecuzione di attività pericolosa, occorre comprendere quale sia la natura del danno a cui si fa riferimento nell’art. 82, mancando, in tale disposizione, qualsiasi richiamo all’art. 2050 c.c.
In proposito, il Considerando 146 del GDPR sancisce che “(…) Il concetto di danno dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di giustizia in modo tale da rispecchiare pienamente gli obiettivi del presente regolamento. Ciò non pregiudica le azioni di risarcimento di danni derivanti dalla violazione di altre norme del diritto dell’Unione o degli Stati membri (…)”.
Alla luce di ciò, dunque, è possibile evincere come la disposizione di cui all’art. 82 non sia da intendersi in un’ottica di esclusione, dal novero dei danni risarcibili, di quelli derivanti da una violazione di normative diverse da quella del GDPR, essendo bensì possibile agire ogni qualvolta si verifichi l’inosservanza anche di altre norme del diritto europeo o degli Stati membri concernenti il trattamento di dati personali.
Inoltre, al pari di quanto già in precedenza previsto dall’art. 15 Codice Privacy, anche il GDPR contempla la possibilità di richiedere un risarcimento sia dei danni patrimoniali (materiali) che non patrimoniali (immateriali).
A differenza dell’art. 15 – rispetto al quale la risarcibilità anche del danno immateriale era desumibile dal richiamo all’art. 2050 c.c. – l’art. 82 del Regolamento contiene un espresso riferimento ad entrambe le categorie di danno.
Il Considerando 85, in particolare, chiarisce che “Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale (…)”.
Al fine di garantire la maggiore tutela possibile all’interessato, il legislatore europeo ha previsto il configurarsi di un’ipotesi di responsabilità solidale, riferita all’intero ammontare del danno, per il titolare e il responsabile che siano coinvolti nel medesimo trattamento e siano, in base alle previsioni di cui ai commi 2 e 3, responsabili del danno causato dal trattamento.
Il danneggiato, pertanto, potrà rivolgere la totalità della propria pretesa risarcitoria ad uno soltanto tra il titolare e il responsabile, il quale sarà tenuto a risarcire l’intero ammontare del danno, potendo poi questi esperire un’azione di regresso nei confronti dell’altro coobbligato in solido per la parte del risarcimento corrispondente alla sua responsabilità.
L’articolo 15, invece, non conteneva alcuno specifico riferimento alla responsabilità solidale. Tuttavia, stante il richiamo all’art. 2050 c.c., è possibile ritenere che, anche in passato, potesse configurarsi una solidarietà di questo tipo.
L’ultimo comma dell’articolo 82 del GDPR prevede che per ottenere il risarcimento del danno si debba agire in virtù di quanto indicato del paragrafo 2 dell’art. 79.
Le azioni rivolte al titolare o del responsabile del trattamento dovranno dunque essere esperite, mediante ricorso dinanzi alle autorità giurisdizionali dello Stato membro in cui il titolare o il responsabile ha uno stabilimento.
Alternativamente, dette azioni potranno essere promosse dinanzi alle autorità giurisdizionali dello Stato in cui l’interessato ha residenza abituale, eccetto nel caso in cui il titolare, o il responsabile del trattamento, sia un’Autorità pubblica di uno Stato membro nell’esercizio dei pubblici poteri.
Avverso il provvedimento con cui l’autorità giudiziaria si pronuncia in merito al ricorso in questione, sarà poi possibile adire esclusivamente la Corte di Cassazione.
Preme comprendere, a questo punto, quali siano i danni effettivamente risarcibili in caso di illecito trattamento di dati personali. Mentre non sussistono particolari criticità per ciò che concerne la risarcibilità dei danni materiali, maggiormente problematica si appalesa l’ipotesi del risarcimento di danni immateriali.
In particolare, come è stato confermato anche dalla Suprema Corte in alcune pronunce, il danno non patrimoniale, derivante da una violazione della normativa in materia di protezione dei dati personali, è considerato risarcibile soltanto qualora si accerti la “gravità della lesione” e la “serietà del danno”.[5]
Non è dunque sufficiente la mera lesione di un interesse tutelato per la configurazione del danno derivante dalla violazione della normativa in materia di trattamento dei dati personali, ma è necessario che essa cagioni delle conseguenze realmente pregiudizievoli nella sfera personale del danneggiato e che il diritto salvaguardato ex lege risulti leso in maniera alquanto sensibile.
Di conseguenza, “il risarcimento del danno non patrimoniale è dovuto solo nel caso in cui sia superato il livello di tollerabilità ed il pregiudizio non sia futile”[6], di modo che risulteranno escluse, dalle ipotesi risarcitorie, tutte quelle in cui il danno lamentato si riveli essere un mero fastidio o un lieve disagio.
Per approfondire la tematica in questione, interessante risulta l’analisi delle conclusioni dell’Avvocato Generale UE, Giovanni Pitruzzella, presentate il 27 aprile 2023, in merito alla causa C-340/21, riguardante la responsabilità del titolare del trattamento in caso di violazione dei dati personali per accesso illecito da parte di terzi e la conseguente richiesta di risarcimento del danno morale subito.
A seguito di un attacco hacker avvenuto nel luglio del 2019 a danno dell’Agenzia Nazionale delle Entrate bulgara (NAP), sono state pubblicate online svariate informazioni fiscali e previdenziali di milioni di contribuenti bulgari, i quali hanno convenuto in giudizio l’Agenzia delle Entrate, lamentando il mancato rispetto dei principi sanciti dal Regolamento (UE) n. 679 del 2016, e, più nello specifico, la mancata adozione di adeguate misure tecniche e organizzative necessarie a garantire l’effettiva sicurezza del trattamento.
Uno dei soggetti lesi, in particolare, ha sostenuto di aver subito un danno morale, consistente nel timore di subire future ulteriori violazioni dei propri dati personali, per il quale ha richiesto un risarcimento.
In primo grado, il giudice ha rigettato la domanda del ricorrente, affermando che l’accesso ai dati dell’interessato da parte di un terzo non fosse imputabile alla NAP e che gravasse sul ricorrente l’onere di provare l’inadeguatezza delle misure adottate dall’Agenzia, negando, così, la risarcibilità del danno morale.
A seguito della proposizione dell’appello avverso la sentenza di primo grado, la Corte Suprema amministrativa bulgara ha deciso di sottoporre alla Corte di Giustizia dell’Unione Europea alcune questioni pregiudiziali, riguardanti la verifica delle violazioni al trattamento dei dati, le responsabilità del titolare del trattamento e, infine, la risarcibilità del danno morale così come richiesto dal ricorrente.
In merito a quest’ultima questione, anche alla luce delle suesposte argomentazioni concernenti i parametri della “gravità della lesione” e della “serietà del danno”, è agevolmente comprensibile come l’Avvocato Generale abbia concluso ribadendo che il pregiudizio consistente nel timore di un potenziale futuro uso improprio di dati personali può costituire danno morale, e perciò essere oggetto di risarcimento, a condizione che la persona che si dichiari lesa dimostri che si tratti di un rischio reale e concreto e non di un semplice disagio o fastidio dell’interessato i cui dati sono stati illecitamente carpiti.
L’Avvocato Generale sottolinea, nel dettaglio, come il danno da violazione del diritto alla protezione dei dati personali non sia risarcibile in re ipsa, ponendo l’accento sulla differenza tra un danno immateriale risarcibile e altri generali svantaggi e disagi che l’inosservanza di una norma di legge può provocare in un soggetto titolare di diritti.
Ad essere rilevante risulta l’elemento dell’oggettività, insito nel danno morale provocato dalla violazione: ciò in quanto gli elementi concreti rendono il danno lamentato comprovabile, non essendo sufficienti le mere percezioni soggettive e personali di un individuo e non rilevando banali inquietudini, ansie e timori di scarsa entità.
La soluzione giuridica prospettata è stata dunque quella di riconoscere la possibilità del risarcimento del danno morale, ma soltanto a condizione che l’interessato sia in grado di dimostrare la serietà della lesione subita, nonché la sussistenza di un effettivo nesso di causalità tra il danno arrecatogli e la violazione attuata dal titolare del trattamento.
Ai fini della richiesta risarcitoria, l’interessato dovrà, in definitiva, allegare e provare sia il danno, sia la relazione eziologica tra questo e l’illecito trattamento posto in essere dal titolare o dal responsabile, poiché non è possibile desumere automaticamenteche un danno si configuri semplicemente perché vi è stato un illecito né che, per quanto effettivamente sussistente, questo sia stato cagionato da tale illecito.[7]
[1] Principi applicabili al trattamento di dati personali: liceità, correttezza e trasparenza; limitazione delle finalità; minimizzazione dei dati; esattezza dei dati; limitazione della conservazione; integrità e riservatezza.
[2] Sebbene, secondo una prima ricostruzione, un trattamento di dati si considera illecito quando è contrario alle norme del GDPR (condotta non iure) e lesivo di una situazione giuridica soggettiva tutelata (condotta contra ius), sussiste un’altra opinione secondo cui si potrebbe ritenere che la violazione delle regole, anche procedimentali, del GDPR sia da considerarsi ex se espressione di un danno ingiusto, senza altra ulteriore necessità di prova (danno in re ipsa). Per questo secondo orientamento, cfr. Cass., I Sez. civile, ord., 4 giugno 2018, n. 14242.
[3] L’interpretazione estensiva fornita dalla Corte di Cassazione, invero, consente di includere nella nozione di attività pericolosa anche tutte quelle attività atipiche “che, per la loro stessa natura o per le caratteristiche dei mezzi adoperati, comportino una rilevante possibilità di verificarsi di un danno (…) tenendo presente che anche un’attività per natura non pericolosa può diventarlo in ragione delle modalità con cui viene esercitata o dei mezzi impiegati per espletarla”. Cfr., sul punto, Cass. III Sez. civile, sent., 19 luglio 2018, n. 19180.
[4] Tale norma testualmente sancisce: “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile. Qualora più titolari del trattamento o responsabili del trattamento oppure entrambi il titolare del trattamento e il responsabile del trattamento siano coinvolti nello stesso trattamento e siano, ai sensi dei paragrafi 2 e 3, responsabili dell’eventuale danno causato dal trattamento, ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato.
Qualora un titolare del trattamento o un responsabile del trattamento abbia pagato, conformemente al paragrafo 4, l’intero risarcimento del danno, tale titolare del trattamento o responsabile del trattamento ha il diritto di reclamare dagli altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno conformemente alle condizioni di cui al paragrafo 2. Le azioni legali per l’esercizio del diritto di ottenere il risarcimento del danno sono promosse dinanzi alle autorità giurisdizionali competenti a norma del diritto dello Stato membro di cui all’articolo 79, paragrafo 2”.
[5] Ex multis, cfr. Cass., I Sez. civile, ord., 10 giugno 2021, n. 16402; Cass., VI Sez. civile, ord., 20 agosto 2020, n. 17383; Cass., I Sez. civile, sent., 8 febbraio 2017, n. 3311.
[6] Cfr. Cass., III Sez. civile, sent., 15 luglio 2014, n. 16133.
[7] Cfr. Cass., I Sez. civile, sent., 25 gennaio 2017, n. 1931.
