Regolamento - 27/04/2016 - n. 679 art. 82 - Diritto al risarcimento e responsabilità

Il diritto al risarcimento del danno alla privacy

L'art. 82 del Regolamento è la disposizione cui fare esclusivo riferimento in materia di risarcimento dei danni materiali ed immateriali derivanti da violazione della normativa sulla protezione dei dati personali, ossia in materia di danno patrimoniale e non patrimoniale. Nella materia in esame è peraltro evidente come la potenzialità offensiva possa infatti estrinsecarsi non solo in una perdita economica (es. in conseguenza all'accesso di terzi a un conto corrente bancario conseguente a un furto di identità o alla perdita derivante da illegittima segnalazione a centrali rischi, ecc.) ma anche in un danno non patrimoniale, sovente connesso alla tutela dell'immagine, del decoro e della dignità dell'essere umano. La disciplina si pone ampiamente in linea di continuità rispetto al previgente art. 15 del cod. privacy (Pelino, cit., 596, Ratti, cit., 615, per una disamina della problematica durante la vigenza cod. privacy, si rimanda a Simeoli (a cura di) Acciai, cit., 321 e ss.).

È stato, inoltre, confermato dal Regolamento non solo il diritto di chiunque a ottenere il risarcimento dei danni derivanti da violazioni di dati personali, ma anche quello a ottenerlo in modo integrale.

Il Legislatore europeo, come evincibile dalla lettura del considerando 146, rappresenta che il danno va inteso in senso lato e la sua esegesi va effettuata tenendo conto degli orientamenti della Corte di giustizia europea, senza che ciò pregiudichi la possibilità, per il soggetto leso, di far valere anche le altre norme del diritto dell'Unione o degli Stati membri.

L'art. 82 del Regolamento, allo stato, costituisce una norma speciale, dunque prevalente su quelle generali. Va altresì ricordato che l'art. 15 cod. privacy, disposizione che in precedenza disciplinava il risarcimento del danno, è stato abrogato dal d.lgs. n. 101/2018, passaggio utile di cui tenere conto nella disamina della giurisprudenza pregressa. Tale disposizione richiamava espressamente il regime di inversione dell'onere della prova di cui all'art. 2050 c.c. equiparando, in questo modo, l'attività di trattamento dei dati ad un'attività pericolosa. Oggi il regime probatorio disciplinato dall'art. 82 GDPR prevede ugualmente, al paragrafo terzo, un meccanismo di inversione dell'onere probatorio analogo a quello dell'art. 2050 c.c., se non addirittura più stringente, come evidenzia la clausola “in alcun modo imputabile”.

La giurisprudenza ha considerato pericolose le attività potenzialmente lesive del bene dell'integrità fisica. Sono stati rinvenuti precedenti relativi alle attività edilizie (v. Cass. n. 6739/1988, Cass. n. 8304/1987, in Arch. civ., 1988, 822), alle gare di sci (Cass. n. 7571/1990), alle piste di bob (Cass. n. 7571/1990), al gas in bombole (v. Cass. n. 6325/1988), alla caccia (Cass. n. 5222/1977), alla doma di cavalli (Cass. n. 3616/1988) alla produzione e distribuzione di energia elettrica (v. Cass. n. 2584/1989) ed ai go-karts (Trib. Roma 31 gennaio 1967, in Temi romana, 1967, II, 253).

La disciplina processuale inerente la tutela dei dati personali

L'art. 82 del Regolamento che disciplina il risarcimento dei danni materiali ed immateriali, da intendersi come i danni patrimoniali e morali, si pone in linea di continuità rispetto al previgente art. 15 del cod. privacy (Pelino, cit., 596, Ratti, cit., 615, per una disamina della problematica durante la vigenza cod. privacy, si rimanda a Simeoli (a cura di) Acciai, cit., 321 e ss.).

È stato, infatti, confermato il diritto di chiunque ad ottenere il risarcimento dei danni derivanti da violazioni di dati personali.

Il Legislatore europeo, come evincibile dalla lettura del considerando 146, rappresenta che l'esegesi del danno vada effettuata tenendo conto degli orientamenti della Corte di giustizia europea senza che ciò pregiudichi la possibilità, per il soggetto leso, di far valere anche le altre norme del diritto dell'Unione o degli Stati membri.

L'art. 82 del Regolamento, allo stato, costituisce l'unica norma di diritto sostanziale specifica che riconosce il diritto al risarcimento del danno conseguente ad illegittimo trattamento dei dati personali, considerato che l'art. 15 cod. privacy è stato abrogato dal d.lgs. n. 101/2018.

Il citato art. 15 del cod. privacy prevedeva il diritto al risarcimento del danno, patrimoniale e non derivante dal trattamento dei dati personali, Si tratta di uno dei casi, in corso di continuo ampliamento anche ad opera della giurisprudenza, previsti dal nostro ordinamento giuridico in cui viene riconosciuto il diritto ad ottenere il risarcimento dei danni non patrimoniali a prescindere dalla circostanza che la condotta, dalla quale è derivato il danno morale, integri o meno un reato (art. 185 c.p.).

L'art. 15 richiamava espressamente l'art. 2050 c.c. equiparando, in questo modo, l'attività di trattamento dei dati ad un'attività pericolosa La pericolosità sussiste nel caso in cui vi sia l'elevata possibilità del verificarsi del danno stante la spiccata potenzialità offensiva dell'attività posta in essere. In materia di privacy è evidente come la potenzialità offensiva possa estrinsecarsi non solo in un danno patrimoniale (es. furto di identità, illegittima segnalazione a centrali rischi, ecc.) ma anche in un danno morale, sovente connesso alla tutela dell'immagine, del decoro e della dignità dell'essere umano.

La giurisprudenza ha considerato pericolose le attività potenzialmente lesive del bene dell'integrità fisica. Sono stati rinvenuti precedenti relativi alle attività edilizie (v. Cass. n. 6739/1988, Cass. n. 8304/1987, in Arch. civ., 1988, 822), alle gare di sci (Cass. n. 7571/1990), alle piste di bob (Cass. n. 7571/1990), al gas in bombole (v. Cass. n. 6325/1988), alla caccia (Cass. n. 5222/1977), alla doma di cavalli (Cass. n. 3616/1988) alla produzione e distribuzione di energia elettrica (v. Cass. n. 2584/1989) ed ai go-karts (Trib. Roma 31 gennaio 1967, in Temi romana, 1967, II, 253).

I soggetti obbligati al risarcimento del danno alla privacy

L’azione di risarcimento dei danni, derivante da violazione della privacy, può essere fatta valere, secondo le previsioni dell’art. 82, comma 1 del Regolamento, nei confronti del titolare o del responsabile.

È interessante osservare come il Regolamento abbia individuato ambiti di responsabilità differenti nei confronti di tali ruoli privacy.

La responsabilità per i danni alla privacy del titolare

Il Titolare, infatti, è responsabile per i danni derivanti da qualsiasi violazione degli obblighi previsti dal Regolamento ove il riferimento al Regolamento, come si è già avuto modo di chiarire, va effettuato tenendo conto di quanto previsto dal considerando 146.

Peraltro, il Titolare del trattamento, laddove datore di lavoro, potrebbe rispondere per le attività di trattamento dei dati personali, poste in essere dai dipendenti, conformemente alle istruzioni ricevute (si pensi ai soggetti autorizzati ex art. 2-quaterdecies cod. privacy).

Come noto l’art. 2049 c.c. (che disciplina la responsabilità dei padroni e dei committenti, ove tra i padroni rientrerebbero anche i datori di lavoro) stabilisce la responsabilità dei datori di lavoro anche nel caso in cui il danno sia una conseguenza del fatto illecito del preposto (dipendente o collaboratore).

La responsabilità per i danni alla privacy degli incaricati al trattamento

In verità la giurisprudenza formatasi in materia di responsabilità per danni alla privacy, in applicazione dei principi di cui all’art. 2050 richiamato dall’art. 15 cod. privacy, ha affermato una responsabilità solidale tra il datore di lavoro e gli incaricati al trattamento che avevano effettuato una comunicazione non autorizzata dei dati personali in violazione di legge V. Trib. Pordenone 16 aprile 2010, in anaao.it. Il caso concreto riguardava l’illegittima comunicazione di dati sanitari (stato di tossicodipendenza) in un ospedale pubblico, da parte di una caposala ad un congiunto di una paziente. Nella fattispecie non solo mancava il consenso della paziente ma la stessa aveva richiesto espressamente di non procedere alla comunicazione dei suoi dati sanitari. Orbene il giudice “Valutati i poteri di direzione del titolare e di imposizione delle misure di sicurezza che dovevano ritenersi necessarie nel caso di specie, ma delle quali non è stata fornita alcuna prova dalla resistente (la struttura ospedaliera) ed atteso il potere di autonomia della capo sala, che ben può e deve valutare nei singoli casi le situazioni nelle quali sia possibile esternare affermazioni della specie di cui si discute, il presente giudicante ritiene che la responsabilità possa essere in concreto suddivisa al 50% tra la resistente, quale titolare e responsabile del trattamento e la incaricata del trattamento. Posto che quest’ultima non è parte del presente giudizio non può applicarsi la regola della solidarietà dal lato passivo di cui all’art. 2055 c.c.” Conseguentemente il giudice dopo aver liquidato, in via equitativa, ex art. 1226 c.c., il danno non patrimoniale in euro 15.000 condannava ad euro 7.500 la struttura ospedaliera.

La responsabilità per danni alla privacy  del responsabile del trattamento

Per quanto riguarda, invece, l’ambito di responsabilità civile per i danni sofferti da chiunque, che l’art. 82 sancisce in capo al responsabile del trattamento, va osservato che tale norma richiama esclusivamente due ipotesi che, tuttavia, non possono considerarsi esaustive.

Tali ipotesi sono costituite:

i) dal mancato adempimento corretto degli obblighi stabiliti specificamente dal Regolamento a carico dei responsabili del trattamento;

ii) nel caso in cui abbia agito in modo difforme o contrario alle istruzioni ricevute dal Titolare.

Si ricorda, infatti, che il responsabile è tenuto anche a segnalare, ai sensi dell’art. 28, comma 3, al Titolare le istruzioni che non rispondono al dettato normativo e risponde, nei confronti del Titolare, per le attività poste in essere da parte del sub-responsabile.

Parimenti si ritiene che tale responsabilità solidale possa essere fatta valere anche in un’azione civile risarcitoria e non solo in ambito di responsabilità amministrativa.

Peraltro, il responsabile dovrà rispondere civilmente dei danni nel caso in cui questi siano derivati dalla mancata assistenza al Titolare in caso di necessità di compilazione della valutazione di impatto (si pensi all’ipotesi, tutt’altro che improbabile, in cui il responsabile si rifiuti di rilasciare le informazioni necessarie per eseguire la valutazione di impatto), o in caso di data breach, o ancora nel caso in cui non abbia provveduto alla compilazione del registro dei trattamenti o alla nomina del DPO, pur essendovi tenuto, o ancora, non consenta al titolare, o al soggetto terzo, dallo stesso nominato di eseguire l’attività di audit, che come noto sarà preordinata alla verifica del rispetto degli obblighi assunti con il contratto di gestione dei dati personali o altro atto giuridico (es. il mandato di nomina a responsabile).

Laddove sia il Titolare che il Responsabile eseguano il medesimo trattamento (o parte di esso) vi sarà una responsabilità solidale nei confronti del Titolare che potrà adire in giudizio anche solo uno di essi che, successivamente, potrà agire in via di rivalsa nei confronti dell’altro.

Le norme riportate nell’art. 82 di fatto si preoccupano di garantire l’efficacia del risarcimento in favore dei soggetti lesi che saranno liberi di adire tutti i soggetti, ai quali può essere imputato il danno, o solo alcuni di loro.

La responsabilità per il danno alla privacy in caso di contitolarità del trattamento

Si aggiunga che in caso di Contitolari del trattamento uno degli elementi da inserire necessariamente nell’accordo di contitolarità di cui all’art. 26, è costituito dall’indicazione specifica degli obblighi che gravano in capo a ciascuno dei Contitolari.

Sarà, pertanto, necessaria particolare cura redazionale nella compilazione di tali accordi di contitolarità poiché da essi discenderà anche la responsabilità risarcitoria per violazione di dati personali nei confronti dei soggetti lesi. Peraltro, proprio la dimostrazione della suddivisione dei compiti tra i vari Contitolari e del rispetto di tale suddivisione potrà costituire la prova di non imputabilità, richiesta dal legislatore europeo per andare esente da responsabilità.

La ripartizione di responsabilità per danni alla privacy tra titolari e/o responsabili

In presenza di più soggetti responsabili o titolari, quindi, opera un regime non di responsabilità solidale in senso stretto, visto che viene fatta salva l’azione di rivalsa, bensì una responsabilità pro-quota.

Tale impostazione risulta confermata dal considerando 146 che recita: “Tuttavia, qualora essi siano riuniti negli stessi procedimenti giudiziari conformemente al diritto degli Stati membri, il risarcimento può essere ripartito in base alla responsabilità che ricade su ogni titolare del trattamento o responsabile del trattamento per il danno cagionato dal trattamento, a condizione che sia assicurato il pieno ed effettivo risarcimento dell’interessato che ha subito il danno. Il titolare del trattamento o il responsabile del trattamento che ha pagato l’intero risarcimento del danno può successivamente proporre un’azione di regresso contro altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento”.

Da ultimo si ricorda che costituiranno utili elementi al fine di provare l’adeguamento agli obblighi del Regolamento l’adesione ai Codici di condotta di cui all’art. 42 GDPR (Lesce, Lonigro, De Lucia).

La problematica della responsabilità per danni alla privacy di coloro non tenuti all’osservanza del Regolamento

Una delle problematiche che la dottrina si è posta inerenti l’obbligo di risarcimento dei danni, conseguente a violazione del Regolamento e delle altre norme poste a tutela dei dati personali, è se legittimati passivi dell’azione di risarcimento dei danni possano essere anche soggetti differenti da coloro che ricoprono un ruolo privacy attivo.

A parere di chi scrive, fino a quando non si assisterà ad un’interpretazione giurisprudenziale estensiva, il soggetto interessato può convenire in giudizio coloro che rivestono dei ruoli privacy attivi, tra essi, a titolo esemplificativo, si ricordano: il titolare, il contitolare, il responsabile, il sub-responsabile, l’amministratore di sistema o anche il soggetto autorizzato al trattamento ai sensi dell’art. 2-quaterdecies cod. privacy. L’ambito di responsabilità di ciascuno di tali soggetti sarà differente ma il comune indicatore necessario all’affermazione di tale responsabilità sarà l’imputabilità della condotta.

Da più fonti, infatti, è stata criticata quella che, prima facie, potrebbe apparire una delimitazione dei diritti risarcitori dei soggetti interessati i cui diritti potrebbero essere lesi dalla violazione delle norme a tutela dei dati previste nel Regolamento posta in essere da parte di soggetti che non abbiano nessuno dei ruoli attivi privacy sopra indicati, ma si tratta di un falso problema: si dimentica, infatti, che l’art. 82 va necessariamente interpretato tenendo conto, soprattutto, di quello che è l’ambito di applicabilità del Regolamento che stabilisce, all’art. 2, che lo stesso non si applica ai trattamenti “effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico”.

È evidente che nei confronti dei soggetti differenti da quelli obbligati al rispetto del Regolamento potranno essere fatte valere azioni risarcitorie anche in caso di violazione di dati personali ma non facendo uso dell’art. 82, bensì delle altre norme di presidio che sussistono nella normativa vigente.

Nel caso, ad esempio, di diffusione di immagini non autorizzata da parte del soggetto interessato, il soggetto leso potrà convenire il soggetto che ha posto in essere la diffusione richiamando l’art. 2043 c.c. e l’art. 97 della l. n. 633/1941 (legge sul diritto d’autore), nel caso in cui il trattamento illegittimo concerna dati appartenenti a “categorie particolari di dati” (ex art. 9 GDPR) oppure a dati “comuni” non agevolmente reperibili da banche dati accessibili a chiunque, potrà agevolmente essere contestata la violazione di cui all’art. 2050 c.c. tanto più che l’abrogato art. 15 cod. privacy parificava l’attività di trattamento di tutte le tipologie di dati personali ad un’attività pericolosa.

La casistica delle violazioni al dato personale

Dalla disamina della giurisprudenza formatasi in materia di risarcimento del danno conseguente a violazione del dato personale e dalla lettura del considerando 75 si è potuto individuare un’ampia casistica di ipotesi di violazioni di dati personali.

Il considerando 75 evidenzia le ipotesi in cui i trattamenti sono rischiosi come i casi in cui il trattamento può comportare:

– discriminazioni;

– furto o usurpazione d’identità;

– perdite finanziarie;

– pregiudizio alla reputazione;

– perdita di riservatezza dei dati personali protetti da segreto professionale;

– decifratura non autorizzata della pseudonimizzazione;

– o qualsiasi altro danno economico o sociale significativo.

La giurisprudenza, peraltro, ha avuto modo di occuparsi in plurime occasioni di fattispecie differenti di violazione di dati personali, come, ad esempio:

1. Il danno da spamming;

2. Il danno da telefonate indesiderate;

3. Il danno da comunicazioni elettorali indesiderate;

4. Il danno da illegittima segnalazione alle centrali rischi (private o pubbliche), v. Trib. Lecce 5 agosto 2008, n. 1596;

5. Il danno da illegittima comunicazione di dati sanitari o da illegittima diffusione dei dati sanitari;

6. Il danno da perdita di dati;

7. Il danno da illegittimo controllo datoriale mediante, ad esempio, accesso ai dati presenti sul PC del dipendente, o raccolti tramite software che consentono la tracciatura delle attività dei dipendenti, ecc.;

8. il danno da violazione del diritto all’oblio.

L'onere probatorio: prima e dopo il Regolamento

L'onere probatorio gravante in capo ai soggetti interessati che intendono far valere il danno conseguente alla violazione del dato personale, risulta negativamente condizionato, per un verso, dall'altalenante giurisprudenza in materia di danno morale e, per altro verso, dalla tendenza ad elevare la soglia di tolleranza richiesta da parte dei giudici di legittimità che, sovente, si traduce in una compromissione ingiustificata del diritto al dato personale (v. Cass. n. 3311/2017).

Tale limatura del diritto sostanziale al risarcimento in caso di violazione di dato personale si riflette inevitabilmente anche su altri diritti fondamentali, come il diritto all'immagine, alla reputazione al decoro e viene spesso giustificata da ragioni di natura procedurale o dall'espressione del potere di valutazione equitativo del giudice di primo grado.

L'art. 82 consente, al soggetto convenuto, di andare esente da responsabilità se “dimostra che l'evento dannoso non gli è in alcun modo imputabile”.

Parimenti il soggetto leso che intenda far valere il danno sarà tenuto a fornire in giudizio la prova dell'esistenza del danno. Tale onere probatorio resta implicitamente confermato dall'art. 82.

Peraltro, la giurisprudenza di legittimità ha affermato che l'onere probatorio, derivante dal combinato di cui agli artt. 15 cod. privacy ed art. 2050 c.c. e gravante in capo a chi intende far valere in giudizio una responsabilità per illegittimo trattamento di dati personali, si estrinseca nell'obbligo di provare il danno la cui consistenza deve essere oggetto di adeguata e proporzionata deduzione da parte del soggetto interessato (in tal senso v. Cass. n. 217/2019, Cass. n. 10683/2016 e App. Palermo n. 1404/2018).

Le tesi della responsabilità oggettiva e della colpa presunta

Il richiamo all’art. 2050 c.c., da parte dell’ormai abrogato art. 15 cod. privacy, era stato interpretato differentemente. In un primo tempo, la giurisprudenza aveva avvalorato la tesi dell’inquadramento di tale forma di responsabilità, come responsabilità oggettiva, senza la necessità, quindi, per il ricorrente, di dover provare l’elemento doloso o colposo mentre, successivamente, è stato richiamato l’istituto della colpa presunta.

Circa la tesi della responsabilità oggettiva v. Cass. n. 26516/2009 e Cass. n. 8457/2004.

Al di là della responsabilità oggettiva o colposa, sottostante all’art. 2050 c.c., veniva richiesto, in capo al soggetto interessato, la prova della sussistenza del nesso di causalità tra l’attività ed il danno patito, per cui si affermava, allora come ora, l’onere probatorio in relazione sia all’esistenza del danno che alla riconducibilità di quel danno alla condotta (cfr. Cass. n. 5254/2006, Trib. Mantova 5 agosto 2009, Trib. Pordenone 26 aprile 2010, Trib. Palermo 12 gennaio 2010, in Contratti, 2010, 504; Cass. sez. lav., n. 19554/2006).

Invece, secondo una parte della dottrina il richiamo all’art. 2050 c.c. implicava esclusivamente la volontà del legislatore di ricorrere all’inversione dell’onere probatorio (v. Franzoni, 902).

Si aggiunga che anche dopo l’entrata in vigore del Regolamento la dottrina ritiene che, nonostante l’abrogazione dell’art. 15 del Codice e quindi del richiamo all’art. 2050 c.c., occorra fare riferimento a quest’ultimo in sede di azione risarcitoria del danno alla privacy (v. Scarpellini Camilli, Duplice binario, “public private enforcement”, in Guida al diritto, 22.11.2018.

La prova della non imputabilità del danno alla privacy

Il sistema di responsabilità di cui all'art. 82, secondo la Corte di giustizia europea (C:667/21, del 21 dicembre 2023 pubbl. gennaio 2024, punto 103) si basa su una responsabilità presunta del titolare con l'inversione dell'onere probatorio in capo al Titolare e al Responsabile, posto che “la prova della non imputabilità” grava in capo al soggetto convenuto. La prova della non imputabilità in capo al Titolare e al Responsabile non si traduce in una presunzione assoluta di responsabilità poiché questi possono fornire la prova contraria finalizzata a dimostrare, ad esempio, di aver adottato misure tecniche ed organizzative tali da evitare, per quanto possibile, qualsiasi violazione di dati personali.

I giudici della Corte di giustizia europea (CGUE, 14.5.2023, Natsionalna agentsia za prihodite, C-340/21) hanno evidenziato che gli artt. 24 e 32 non possano essere interpretati nel senso che un data breach implichi automaticamente la valutazione di non adeguatezza delle misure adottate da parte del Titolare e/o del Responsabile. Non è ipotizzabile interpretare gli artt. 5, 24 e 32 come un obbligo di evitare qualsiasi danno (sent. Corte giustizia europea 14 dicembre 2023, cit.).

Ebbene sembrerebbe che il legislatore europeo abbia inteso consentire l'inversione dell'onere probatorio anche in ordine al nesso eziologico tra la condotta ed il danno, posto che “la prova della non imputabilità” grava in capo al soggetto convenuto.

La non imputabilità (ex art. 82) potrà, pertanto, essere provata dal soggetto convenuto in un'azione di risarcimento dei danni per violazione della privacy, dimostrando che l'evento dannoso non è riconducibile ad una condotta attiva o omissiva allo stesso riconducibile in via diretta o indiretta (si pensi all'operato dei dipendenti).

La mancanza del nesso eziologico potrebbe essere dovuta ad un fattore interruttivo (si pensi ad una causa di forza maggiore) oppure ad un fattore esterno riconducibile ad altri soggetti (es. fatto del danneggiato o interamente ascrivibile a criminali informatici).

La Direttiva 95/46 prevedeva espressamente come cause interruttive del nesso eziologico e, quindi, della imputabilità del danno, il caso fortuito, la forza maggiore e il fatto del danneggiato. Tali esclusioni non sono state riprodotte anche nel Regolamento poiché, si ritiene, che la non imputabilità possa essere giuridicamente riconosciuta in casi maggiormente ampi rispetto a tali concetti che prima erano richiamati nella Direttiva 95/46/CE laddove il Titolare e/o il Responsabile convenuti in giudizio dimostrino che il fatto causativo del danno non sia a loro, in alcun modo, ascrivibile.

In virtù del considerando 74 il Titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle proprie attività di trattamento al Regolamento, compresa l'efficacia delle misure. Le misure dovrebbero tener conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento nonché del rischio per i diritti e le libertà delle persone fisiche.

Ad onore del vero l'art. 82 dovrà essere interpretato sistematicamente con l'art. 32 per cui un ipotizzabile intervento di un terzo danneggiante (si pensi al furto di password o altra ipotesi di data breach) non manderà esente da responsabilità il Titolare o il Responsabile nel caso in cui non abbia adottato misure di sicurezza adeguate rispetto al trattamento dei dati posto in essere (prevenendo il furto con specifiche misure di sicurezza informatiche).

Tale tesi è stata confermata pienamente da parte della Corte di giustizia europea (terza sezione) con la sentenza del 14 dicembre 2023 (causa C-340/21) che ha evidenziato come, in caso di data breach, al fine di affermare o meno l'imputabilità del danno derivante dalla illegittima diffusione dei dati in internet operata dai criminali informatici, occorrerà una valutazione di adeguatezza delle misure di sicurezza predisposte dal Titolare e/o dal Responsabile.

Tale valutazione di adeguatezza dovrà essere stata effettuata, in prima battuta, da parte dei soggetti tenuti all'adozione delle misure di sicurezza adeguate valutando tutti gli elementi considerati dall'art. 32 (ivi inclusi i costi che costituiscono una novità nel nostro ordinamento ma non nella normativa europea) e, in un secondo momento, da parte dell'autorità giudiziaria nazionale innanzi alla quale si sarà incardinato il giudizio per il risarcimento del danno.

Il verificarsi di un data breach, quindi, non implica una presunzione assoluta di non adeguatezza delle misure adottate dal Titolare o dal Responsabile convenuto, né implica, d'altro canto, un'interruzione del nesso eziologico tra la condotta omissiva del convenuto e il danno verificatosi.

La verifica inerente l'adeguatezza delle misure di sicurezza adottate potrà essere effettuata da parte dei giudici nazionali mediante gli strumenti processuali ritenuti più adeguati e conformi all'ordinamento dello Stato membro.

Una prova utilizzabile in giudizio per la valutazione dell'adeguatezza delle misure di sicurezza è costituita dalla perizia informatica (come prospettato dai giudici bulgari nella remissione delle questioni pregiudiziali alla Corte di giustizia europea) seppur la Corte europea ha sottolineato che pur essendo la perizia un mezzo utile non deve ritenersi che la stessa sia una prova necessaria e sufficiente (Corte giustizia europea, sent. del 14 dicembre 2023).

Nello stesso senso, cfr. CGUE, sent. 25 gennaio 2024, causa C-687/21, BL c. MediaMarktSaturn, ECLI:EU:C:2024:72, per cui nell’ambito di un’azione di risarcimento il fatto che taluni dipendenti del titolare del trattamento abbiano consegnato, per errore, a un terzo non autorizzato, un documento contenente dati personali non è sufficiente - di per sé - a ritenere che le misure tecniche e organizzative attuate dal titolare del trattamento di cui trattasi non fossero “adeguate” ai sensi dell’art. 32 GDPR.

Sembrerebbe, pertanto, che, in termini fattuali, l'onere probatorio dei soggetti convenuti per il risarcimento del danno, ex art. 82, non si discosti dall'onere cui si era tenuti durante la vigenza dell'art. 15 cod. privacy, pertanto, la prova liberatoria sarà costituita da:

a) la prova che il danno derivi da terzi (fatti salvi i limiti di cui all'interpretazione sistematica che si impone e sopra riportata) o da forza maggiore o altra causa interruttiva del nesso causale (es. caso fortuito), fermo restando l'adempimento degli obblighi del Regolamento da parte dei soggetti convenuti e l'adempimento dell'onere probatorio da parte degli stessi in materia di non imputabilità. Sul tema appare interessante la sentenza dei giudici di legittimità della sezione civile, n. 10646 del 26 giugno 2012, laddove evidenziano: «in tema di trattamento dei dati personali, l'onere della prova per la mancata custodia degli stessi incombe al danneggiante, come disposto dall'art. 2050 c.c., richiamato dall'art. 15 cod. privacy, salvo che le notizie siano note già prima della loro diffusione da parte di questo, poiché, in tal caso, il danneggiato non è esentato dall'onere di dimostrare o, quanto meno, di indicare elementi presuntivi idonei a motivare la convinzione che la divulgazione sia riconducibile a chi possiede tali dati e non a chi abbia in precedenza pubblicato le medesime informazioni»;

b) la prova di aver adottato tutte le misure idonee ad evitare il danno (art. 2050 c.c.). In argomento v. Cass. n. 8451/2012; Cass. n. 10422/2016; Cass. n. 19872/2014; Cass. n. 1931/2017.

Tale prova, alla luce della sentenza della Corte di giustizia europea del 14 dicembre 2023 ed, a parere di chi scrive, va interpretata per un verso con riferimento alle misure di sicurezza adeguate e, per altro verso, all'adempimento degli altri obblighi normativi gravanti in capo al soggetto convenuto, anche in virtù del combinato di cui agli artt. 24, 32 e 5, laddove il corretto adempimento avrebbe consentito di evitare il danno.

In tema di ripartizione dell'onere della prova, colui che agisca, alla stregua degli artt. 15 del d.lgs. n. 196/2003 e art. 2050 c.c., per l'abusiva utilizzazione delle proprie credenziali informatiche (nella specie, mediante illegittime disposizioni di bonifico), spetta soltanto la prova del danno in quanto riferibile al trattamento del suo dato personale, mentre il titolare del trattamento del dato (nella specie, l'istituto creditizio) risponde dei danni conseguenti al fatto di non aver impedito a terzi di introdursi illecitamente nel sistema telematico mediante la captazione dei codici d'accesso del correntista, ove non dimostri che l'evento dannoso non gli sia imputabile perché discendente da trascuratezza, errore o frode del correntista o da forza maggiore (Cass. n. 10638/2016).

Oppure, si aggiunga alla luce dell'orientamento sul danno elaborato da parte della Corte di giustizia europea, conformemente a quanto previsto dal considerando 146.

La non imputabilità del danno è un concetto noto al sistema civilistico italiano poiché richiamato anche dall'art. 1218 c.c. in materia di responsabilità per inadempimento di obbligazioni contrattuali. Tale norma, infatti, statuisce l'obbligo per il debitore di procedere al risarcimento del danno se non prova che l'inadempimento sia stato determinato da impossibilità della prestazione che derivi da una causa che non sia non imputabile al medesimo debitore (Ratti, cit., 621).

Chi scrive ritiene che, tale problematica, non vedrà nell'immediato soluzioni pratiche differenti da quelle finora già individuate dalla giurisprudenza nel nostro Paese, né appare probabile il rischio, che possano verificarsi situazioni di “turismo del foro” nonostante sarà altamente probabile la quantificazione del medesimo danno in termini differenti tra Paese e Paese, posto che la scelta del foro sarà effettuata da parte dei soggetti danneggiati, vale a dire persone fisiche che, verosimilmente, sceglieranno il foro in cui esse domiciliano o risiedono per far valere i loro diritti.

Un rischio residuale potrebbe essere individuato solo nei casi in cui il mandato all'esercizio dell'azione venga conferito, dai soggetti lesi, ad enti del terzo settore per azioni pluri-individuali (in argomento v. commento art. 80).

L'onere probatorio del danno patrimoniale

L'onere probatorio relativo al danno patrimoniale conseguente da violazione di dati personali non si discosta dalle altre azioni risarcitorie finalizzate ad ottenere il risarcimento di un danno patrimoniale. Il soggetto danneggiato, che potrà essere chiunque, dovrà provare il lucro cessante ed il danno emergente derivante dalla condotta dei soggetti convenuti.

Tra le prime sentenze italiane dei giudici di merito inerenti il risarcimento del danno conseguente al trattamento illecito di dati personali si ricorda la sentenza del Tribunale di Roma (n. 31848/2004) che liquidò il danno patrimoniale derivato ad una società a causa della erronea segnalazione ad una Centrale rischi effettuata da parte di un istituto di credito che aveva determinato l'inaccessibilità al credito per la Società danneggiata.

Nel caso di specie il Tribunale capitolino ha provveduto alla liquidazione del danno patrimoniale di 884.843 euro sulla considerazione che l'inaccessibilità al credito aveva determinato il fallimento della Società. Per comprendere il passaggio, occorre tenere conto che fino al d.l. 6.12.2011, n. 201, convertito, con modificazioni, dalla l. 22.12. 2011, n. 214, cd. “Decreto Monti” i dati che si riferivano in via diretta o indiretta a persone giuridiche venivano giuridicamente qualificati come dati personali al pari di quelli che consentivano l'identificazione, diretta o indiretta, di persone fisiche.

Il danno deve essere sempre oggetto di proporzionata e adeguata deduzione da parte dell'interessato (Cass. I, n. 207/2019).

L'onere probatorio del danno non patrimoniale

  La previsione della risarcibilità del danno non patrimoniale in caso di violazione di dati personali costituisce, come già evidenziato, una deroga al principio generale secondo cui il danno non patrimoniale è dovuto in caso di illecito penale come da art. 2059 c.c. e 185 c.p. Tale obbligo risarcitorio, dalla lettura della sentenza delle Sezioni Unite della Suprema Corte dell'11 novembre 2008, n. 26972, ritroverebbe il fondamento in un orientamento costituzionalista dell'art. 2059 c.c., in virtù di tale tesi ermeneutica l'obbligo del risarcimento del danno non patrimoniale va previsto non solo in presenza di un fatto che possa, in via astratta, essere giuridicamente qualificato come reato, ma anche in tutti i casi in cui la legge prevede espressamente il risarcimento del danno non patrimoniale nonché laddove «il fatto illecito abbia violato in modo grave diritti inviolabili della persona, come tali oggetto di tutela costituzionale».

La gravità della violazione sussiste nel caso in cui vi sia lesione del diritto alla riservatezza (art. 2 Cost.) oppure del diritto all'immagine, o alla dignità (art. 3 Cost.), o ancora del diritto alla segretezza della corrispondenza (art. 15 Cost.).

L'ammissibilità della risarcibilità del danno non patrimoniale conseguente alla violazione dei dati personali è stata ampliata a seguito delle prime sentenze in materia di danno alla privacy emesse dalla Corte di giustizia europea laddove la stessa ha riconosciuto:

(i) la risarcibilità anche del mero timore di un trattamento illegittimo potenziale a seguito di illegittima diffusione dei dati (sent. 14 dicembre 2023);

(ii) la risarcibilità del danno alla privacy indipendentemente dalla esiguità o meno del danno o del superamento di una soglia minima (sent. 4 maggio 2023);

(iii) la risarcibilità del danno effettivamente concreto avendo l'art. 82 una funzione pienamente compensativa (sent. 21 dicembre 2023 pubbl. gennaio 2024).

Nei primi anni conseguenti all'introduzione, nel sistema normativo italiano, del diritto alla tutela dei dati personali, prevaleva l'orientamento giurisprudenziale secondo cui il danno non patrimoniale dovesse essere considerato in re ipsa: ebbene il declino di tale orientamento va temporalmente ricondotto, in via definitiva, alla sentenza delle Sezioni Unite della Cass. n. 26972/2008.

Il declino del danno non patrimoniale come danno in re ipsa

 Le Sezioni Unite hanno evidenziato che la tesi del danno in re ipsa “snatura la funzione del risarcimento, che verrebbe concesso non in conseguenza dell'effettivo accertamento di un danno, ma quale pena privata per un comportamento lesivo”: Il risarcimento, infatti, ha non solo una portata sanzionatoria, ma anche una funzione compensativa, seppur eventualmente concorrente con altre funzioni (deterrente, consolatoria) riconosciute al sistema della responsabilità civile (v. in tal senso anche Cass. n. 16133/2014 e Cass. n. 22100/2013).

Si ritiene assolutamente condivisibile l'orientamento dottrinale, secondo cui: “non può che prendersi atto di ciò che accade nella normalità dei casi secondo il principio dell'id quod plerumque accidit; che in dette ipotesi non si è in presenza di un danno insito nella violazione, danno in re ipsa, ma di una prova del danno di regola in re ipsa che può trovare nel singolo caso una smentita qualora si dimostrino circostanze dalle quali desumere che quella sofferenza non vi è stata, come, per esempio, nell'ipotesi in cui la parte, consapevolmente in torto, abbia beneficiato per tutto il corso del processo di condizioni alla medesima non spettanti” (cfr. Angarano).

L'orientamento dei giudici di legittimità in materia di danno in re ipsa conferma la necessità di tenere fermo il principio ancorato al dettato dell'art. 1223 c.c., applicabile nel campo aquiliano per il tramite dell'art. 2056 c.c. (Cass. I, n. 1931/2017; Cass. I, n. 12954/2016).

L'inammissibilità del danno morale come danno in re ipsa è confermata dalla Corte di giustizia europea (sent. del 4 maggio 2023) laddove evidenzia che il considerando 146 valuta l'art. 82 come uno strumento che mira a garantire un “pieno ed effettivo risarcimento del danno subito”.

La necessità della prova del danno

In virtù di tali principi, il danno è una conseguenza dell'illecito (ovvero dell'inadempimento), ossia della lesione dell'interesse protetto, la lesione del diritto viene a concretizzarsi in una “perdita” oppure in “mancato guadagno”, riconducibili per il tramite del nesso eziologico alla lesione medesima.

La necessità della prova del danno è stata egregiamente rappresentata dai giudici della Corte di Appello di Palermo, che evidenziano come “non già il danno, ma la sua prova sia per così dire in re ipsa, e cioè – più precisamente – goda di facilitazioni agganciate al congegno presuntivo (artt. 2727 e 2729 c.c.), distinguendo tra conseguenze generalmente determinate, secondo l'id quod plerumque accidit, da una particolare lesione e conseguenze specificamente legate alla situazione del danneggiato: ma il danno, ed in particolare la “perdita”, deve essere sempre oggetto di proporzionata ed adeguata deduzione da parte dell'interessato” (App. PalermoIII, n. 1404/2018).

Il danno non patrimoniale può essere provato con presunzioni semplici (v. Cass. n. 10512/2016). La presunzione semplice implica che vi siano indizi gravi precisi e concordanti e si possa ricorrere alla prova testimoniale. La presunzione semplice può essere superata dalla prova contraria.

Come noto si tratta di beni giuridici immateriali per cui ricorrere ad una prova di tipo presuntivo appare particolarmente rilevante.

Al fine di provare l'esistenza del danno non patrimoniale può essere fatto uso anche della prova testimoniale per dimostrare l'esistenza di uno stato di sofferenza fisica o psichica correlato all'illecita divulgazione di dati o informazioni personali” (Cass. civ., ord. n. 22100/2013);

La prova testimoniale è sempre ammessa quando (art. 2724 c.c.) è preesistente un principio di prova per iscritto, quando si è nell'impossibilità morale o materiale di procurarsi una prova scritta, quando il contraente, senza sua colpa, ha perso il documento che gli fornisce la prova.

Il danno in re ipsa, pertanto, non consiste in una lesione intrinseca del danno ma in un ragionamento di carattere presuntivo, vale a dire lo strumento intorno al quale ruota l'istruttoria dei giudizi risarcitori. La differenza si appalesa in tutta la sua portata se si ragiona in termini di possibilità di fornire la prova contraria; tale prova contraria, infatti, sarebbe possibile solo nel secondo caso e non nel primo.

L'orientamento, secondo cui il danno alla reputazione personale deve ritenersi in re ipsa, si ispira, ad un orientamento di legittimità ormai superato (cfr. la citata Cass. I, n. 11103/1998, Cass. I, n. 2576/1996, Cass. III, n. 4881/2001, Cass. III, n. 9233/2007).

Si aggiunga che grava in capo al soggetto danneggiato l'onere di provare in concreto, mediante circostanze specifiche, la compromissione del suo diritto personale ed il suo nesso con la condotta illecita (cfr. in tal senso, Trib. di Paola 9 marzo 2018 e Trib. Teramo 9 ottobre 2012, n. 725).

Peraltro, questo orientamento era stato già affermato dalla giurisprudenza anche di merito, v. tra tutte la sent. del Trib. di Lecce 5 agosto 2008, n. 1496, che aveva ritenuto di dover condannare un istituto di credito al risarcimento del danno non patrimoniale derivante ad un soggetto totalmente estraneo ad una vicenda contrattuale che era stato erroneamente segnalato ad una centrale rischi privata come “cattivo pagatore”.

L'orientamento dei giudici di legittimità in materia di danno in re ipsa conferma la necessità di tenere fermo il principio ancorato al dettato dell'art. 1223 c.c., applicabile nel campo aquiliano per il tramite dell'art. 2056 c.c. (Cass. I, n. 1931/2017; Cass. I, n. 12954/2016).

La liquidazione del danno non patrimoniale ed il principio di solidarietà come limite al risarcimento

Anche abbastanza recentemente la Suprema Corte ha evidenziato come l'onere probatorio è agevolato dal richiamo all'art. 2050 c.c. (Cass. n. 4443/2015), rispetto alla regola della responsabilità aquiliana e dalla possibilità di dimostrare il danno anche solo tramite presunzioni semplici e dal risarcimento secondo equità.

Circa la possibilità di una liquidazione equitativa anche in materia di danno reputazionale e indipendentemente dalla prova di un concreto nocumento agli interessi commerciali patrimoniali del soggetto leso (si ricordano Cass. I, n. 11103/1998 e Cass. I, n. 2576/1996).

La giurisprudenza di legittimità ormai, in più occasioni, pur riconoscendo l'esistenza del danno non patrimoniale risarcibile ai sensi dell'allora art. 15 cod. privacy ed attualmente dell'art. 82 del Regolamento, derivante dalla lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli artt. 2 e 21 della Costituzione e dall'art. 8 della CEDU, ha evidenziato come tale danno non si sottragga alla verifica della “gravità della lesione” e della “serietà del danno” (inteso come perdita di natura personale di fatto patita dall'interessato).

Il percorso logico giuridico, dei giudici di piazza Cavour, che porta a negare la liquidazione del danno non patrimoniale, si basa sul bilanciamento con il principio di solidarietà previsto dall'art. 2 della Costituzione in virtù del quale va tollerata la cosiddetta lesione minima.

Ne consegue che, secondo tale orientamento giurisprudenziale, l'obbligo di risarcimento del danno non patrimoniale conseguente alla violazione dei dati personali non deriva da una semplice lesione dei principi di cui all'art. 5 del GDPR o da una violazione delle prescrizioni delle altre norme del Regolamento bensì richiederebbe un ingiustificabile lesione del diritto al dato personale o, quanto meno, un'offesa sensibile alla portata effettiva delle norme.

Tale tesi dei giudici nazionali, tuttavia, si pone in contrasto con quanto affermato dai giudici della Corte di giustizia europea che hanno affermato come “l'art. 82 par. 1 deve essere interpretato nel senso che esso osta a una norma o una prassi nazionale che subordina il risarcimento di un danno immateriale, ai sensi di tale disposizione, alla condizione che il danno subito dall'interessato abbia raggiunto un certo grado di gravità” (sent. CGEU 4 maggio 2023).

L'accertamento di fatto inerente la sussistenza di una tale lesione del dato personale e la valutazione della stessa entità della lesione sono rimessi al giudice di merito. Il giudice deve accertare la vicenda concreta tenendo conto anche del contesto temporale e sociale in cui si è verificato il danno (Cass., III, n. 16133/2014).

Ai fini della risarcibilità dei danni ai dati personali è necessario che la lesione venga valutata tenendo conto del principio di solidarietà per cui vi sarà la tolleranza dei danni lievi ed il giudice di merito, invece, dovrà condannare al risarcimento dei danni in caso di danni gravi o serietà della lesione, ossia quando vi sia una perdita di natura personale effettivamente patita dall'interessato.

Anche in presenza di una violazione delle prescrizioni di legge il risarcimento sarà dovuto solo se la violazione della norma offende in modo sensibile la sua portata effettiva (Ordinanza Corte di Cassazione VI, n. 17383/2020) e la mera violazione delle disposizioni del regolamento non sono di per sé bastevoli a conferire un diritto al risarcimento (sentenza Corte di giustizia europea del 4 maggio 2023).

Le limitazioni al diritto al risarcimento derivanti dal principio di tolleranza

  Ai fini della risarcibilità dei danni ai dati personali, almeno fino al primo intervento della Corte di giustizia europea del maggio 2023 era necessario che la lesione venisse valutata tenendo conto del principio di solidarietà per cui si affermava il principio di tolleranza dei danni lievi. Conseguentemente il giudice di merito, avrebbe dovuto condannare al risarcimento dei danni solo in caso di danni gravi o serietà della lesione, ossia quando vi era una perdita di natura personale effettivamente patita dall'interessato.

Anche in presenza di una violazione delle prescrizioni di legge accertata il risarcimento sarà dovuto solo se la violazione della norma offende in modo sensibile la sua portata effettiva (cfr. Cass. VI, ord. n. 17383/2020;Trib. Milano, n. 7732/2023).

La mera violazione di una o più delle norme del Regolamento, ad oggi, non implica, comunque, la risarcibilità del danno alla privacy.

Si aggiunga che laddove vi siano dei dubbi circa la significativa e sensibile lesione del dato personale, tale da superare l'applicabilità del principio di tolleranza, nonché oggi si potrebbe affermare all'esistenza di un danno effettivamente concreto, al caso che, di volta in volta, si prospetta, la parte che si ritiene lesa nei suoi dati personali (soggetto interessato), dovrà prestare attenzione non solo alla circostanza che si potrà fare affidamento su un'unica valutazione del fatto (considerato che le sentenze sono inappellabili) ma anche al rischio che il PG possa avanzare istanza nei suoi confronti di condanna per responsabilità aggravata, ai sensi dell'art. 96, comma 3 c.p.c., per abuso degli strumenti processuali (in argomento v. Cass. VI, ord. n. 17383/2020; Cass.III, n. 7726/2016; Cass. n. 17902/2010 e S.U.n. 26972/2008).

In virtù di tale norma il giudice può, d'ufficio, condannare la parte soccombente al pagamento, a favore della controparte, di una somma equitativamente determinata che consiste in una vera e propria pena pecuniaria che non ha alcun nesso con il danno casualmente derivato dalla condotta processuale per abuso dello strumento processuale.

L'eliminazione della necessità di una soglia minima di danno, ovviamente, riduce anche il rischio di soccombenza ai sensi dell'art. 96 comma 3 c.p.c. ma esso non può escludersi in toto laddove l'azione sia destituita di ogni fondamento o il danno si rilevi all'esito dell'accertamento processuale, di fatto inesistente.

In modo ineccepibile ed in contrasto con quanto previsto dai giudici nazionali, la Corte di giustizia europea (EU:C:2023/370, C-300/21 del 4 maggio 2023) ha svincolato la risarcibilità del danno alla privacy alla soglia di gravità poiché tale modalità “...rischierebbe di nuocere alla coerenza del regime istituito dal RGPD, poiché la graduazione di una siffatta soglia, da cui dipenderebbe la possibilità o meno di ottenere detto risarcimento, potrebbe variare in funzione della valutazione dei giudici aditi...”.

La previsione di una soglia minima per la risarcibilità del danno alla privacy contrasta con due principi fondamentali del risarcimento del danno alla privacy costituiti da: (i) principio di effettività del danno che richiede che il danno risarcito nella sua integrità (funzione compensativa piena); (ii) principio di uniformità che esclude un'interpretazione diversa da parte dei giudici dei vari Paesi europei.

La stessa Corte di giustizia europea, successivamente, con sentenza del 14 dicembre 2023, ha affermato che l'art. 82 deve essere interpretato nel senso che: il timore che ha un soggetto interessato di un potenziale utilizzo abusivo dei propri dati personali da parte di terzi, a seguito della violazione del regolamento, può costituire un “danno immateriale” risarcibile.

Sembra inserirsi solo parzialmente nel solco dell'orientamento giurisprudenziale della Corte di giustizia europea sopra richiamata, l'Ordinanza del 12 maggio 2023 dei giudici di Piazza Cavour (Cass. I ord., n. 13073/2023 (ud. 19-04-2023), laddove stabilisce che: “e il soggetto danneggiato a seguito di un trattamento dei suoi dati in violazione delle norme del GDPR e di quelle nazionali di recepimento (cfr. il d.lgs. n. 101 del 2018 di aggiornamento del codice privacy) può ottenere il risarcimento di qualunque danno occorsogli, anche se la lesione sia marginale”. I giudici proseguono affermando che “il titolare risponde per il danno causato dal trattamento in violazione del regolamento indipendentemente dall'eventuale concorso del responsabile specifico”.

Il concetto di danno è d'altronde precisato nel Considerando 146 del GDPR, secondo il quale “Il titolare del trattamento o il responsabile del trattamento dovrebbe risarcire i danni cagionati a una persona da un trattamento non conforme al presente regolamento ma dovrebbe essere esonerato da tale responsabilità se dimostra che l'evento dannoso non gli è in alcun modo imputabile”. Vi si trova scritto, inoltre, che il concetto di danno “dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di giustizia in modo tale da rispecchiare pienamente gli obiettivi del regolamento”; sicché “gli interessati dovrebbero ottenere pieno ed effettivo risarcimento per il danno subito”.

Tuttavia, gli stessi giudici di legittimità si affrettano a chiarire che i Considerando dei Regolamenti non hanno valore normativo ma hanno la funzione di spiegare le ragioni dell'intervento normativo e ne integrano la “concisa motivazione”, come chiarito anche dalla Guida pratica comune del Parlamento Europeo, del Consiglio e della Commissione per la redazione dei testi legislativi dell'Unione Europea del 2015.

Alla luce di quanto sopra viene ribadito, pertanto, il principio di diritto secondo cui “l'esclusione del principio del danno in re ipsa presuppone, in questi casi, la prova della serietà della lesione conseguente al trattamento; ciò vuol dire che può non determinare il danno la mera violazione delle prescrizioni formali in tema di trattamento del dato, mentre induce sempre al risarcimento quella violazione che concretamente offenda la portata effettiva del diritto alla riservatezza” (Cass. I, ord. 13073/2023).

Il principio affermato dal GDPR di effettività del risarcimento ovviamente, a parere di chi scrive, si pone in antitesi con quello della soglia minima che, a sua volta, in Italia è estrinsecazione dei principi di tolleranza e di solidarietà in favore del soggetto danneggiante con evidente sacrificio del diritto alla privacy medesimo.

Tanto è che la Corte di giustizia europea ha affermato espressamente che la previsione di una soglia minima del danno al fine di riconoscerne la risarcibilità si pone in contrasto non solo con il principio di effettività ma anche con quello di uniformità considerata la funzione compensativa dell'art. 82. I giudici europei proseguono rappresentando che tale funzione garantisce il risarcimento integrale del danno subito a causa della violazione del Regolamento senza che sia necessario che tale siffatta compensazione integrale implichi anche il versamento di una somma a titolo di danno punitivo che non è stato previsto dal Regolamento (sent. 4 maggio 2023).

Il rischio della responsabilità aggravata in caso di danno esiguo

 In un caso specifico i giudici di legittimità (v. Cass. I, n. 3311/2017), hanno ravvisato una responsabilità aggravata del ricorrente, un avvocato, che aveva ricevuto dieci mail promozionali in tre anni. I giudici di legittimità hanno ritenuto di punire il ricorrente, ex art. 96, comma 3, con la condanna al pagamento di euro 1500 per responsabilità aggravata (oltre alle spese di giudizio), poiché “ha percorso tutti i gradi di giudizio per un danno, indicato in euro 360,00, ipotetico e futile, consistente al più in un modesto disagio o fastidio, senz'altro tollerabile collegato al fatto, connesso ad un uso ordinario del computer, di avere ricevuto dieci email indesiderate, di contenuto pubblicitario, nell'arco di tre anni”.

A parere di chi scrive la condanna per responsabilità aggravata per abuso processuale in un'azione di risarcimento danni per violazione dei dati personali non può non tenere conto dei seguenti elementi fortemente ostativi rispetto ad una pronunzia di condanna:

1) l'accertamento in sede giudiziale dell'illiceità della condotta tenuta dalla parte convenuta e, quindi, il riconoscimento dell'esistenza e dell'effettività del diritto al bene giuridico costituito dal dato personale che ritrova il proprio fondamento giuridico, prima ancora che nel Regolamento, nella nostra Carta fondamentale come espressione principe del diritto alla riservatezza (nella specie era stata accertata l'attività di spamming);

2) la circostanza che il danno fosse concreto e sussistesse nesso causale tra illecito e conseguenza dannosa;

3) la previsione di soli due gradi di giudizio nel nostro ordinamento ai sensi dell’art. 10 d.lgs. 150/11, vale a dire il primo grado in Tribunale, con un rito modellato su quello del lavoro, e il secondo grado costituito dalla possibilità di ricorrere in cassazione in presenza di motivi di legittimità, con verosimile violazione dei principi di “effettività” e di “equivalenza” del diritto unionale (cfr. per tutti CGUE, 20.6.2024, Artemis, C‑367/23, punto 25);

4) la sussistenza di un consolidato orientamento della Corte di giustizia che non pone alcuna soglia “de minimis” alla risarcibilità del danno, ben potendo un disagio, sia pure modesto, accedere al risarcimento integrale (cfr., ex pluribus, CGUE, 20.6.2024, PS, C-590/21, punto 26; 4.10.2024, Agentsia po vpisvaniyata, C‑200/23, pt. 149)

La funzione compensativa dell'art. 82 e la quantificazione del danno alla privacy

«Tenuto conto della funzione compensativa del diritto al risarcimento previsto all'articolo 82 del RGPD, come sottolineato, in sostanza, dall'avvocato generale ai paragrafi 39, 49 e 52 delle sue conclusioni, un risarcimento pecuniario fondato su tale disposizione deve essere considerato «pieno ed effettivo» se consente di compensare integralmente il danno concretamente subito a causa della violazione di tale regolamento, senza che sia necessario, ai fini di una siffatta compensazione integrale, imporre il versamento di un risarcimento punitivo» (4.5.2023, Österreichische Post AG, C-300/21, punto 58).

L'art. 82 non ha, infatti, una funzione punitiva come le sanzioni di cui all'art. 83, pur se esso svolge ruolo complementare a queste ultime, poiché costituisce un incentivo al rispetto del Regolamento, in quanto scoraggia la reiterazione di comportamenti illeciti.

In merito alla quantificazione del risarcimento, la Corte di Giustizia ritiene che la gravità della violazione posta in essere dal titolare o dal responsabile del trattamento non incida sulla liquidazione del danno immateriale, ciò proprio per la funzione compensativa e non punitiva del risarcimento (cfr. CGUE, 21.12.2023, Krankenversicherung Nordrhein, C-667/21, dispositivo; 20.6.2024, Scalable Capital, cause riunite C-182/22 e C-189/22, punto 28). Resta fermo, precisa la Corte, che la compensazione deve essere integrale, ossia permettere il pieno ristoro del danno concretamente subito a causa della violazione del Regolamento.

Occorre segnalare che la giurisprudenza più recente della Corte di giustizia ha riconosciuto la piena risarcibilità, a titolo di danno immateriale, del timore di un male futuro, ritenendola compatibile conla funzione compensativa, purché il danno sia dimostrato dall'interessato e risulti eziologicamente derivante da una violazione accertata del Regolamento, cfr., tra tante, CGUE, 14 dicembre 2023, Natsionalna agentsia za prihodite, C ‑ 340/21, punti 79 – 80 .

Allo stesso modo, è stato considerato danno-conseguenza idoneo al risarcimento, sempre nei limiti della funzione compensativa, quello consistente in una perdita di controllo dell'interessato sui propri dati, anche di durata limitata, fermo restando l'onere probatorio di costui, l'accertata violazione del Regolamento e la sussistenza di un nesso eziologico tra violazione e danno (cfr. da ultimo, CGUE, 4.10.2024, Agentsia po vpisvaniyata, C ‑ 200/23, pt. 145 e 150 ). Si rimanda per approfondimenti all'ultimo paragrafo del presente commento.

Di contro, non appare opportuno attribuire eccessiva enfasi all'arresto CGUE 4 ottobre 2024, causa C-507/23, Patērētāju tiesību aizsardzības centrs, che, in ottemperanza della valenza compensativa e non punitiva del risarcimento,ha ritenuto – in ipotesi – idonea a ristorare un danno immateriale di piccola entità anche una semplice lettera di scuse. La sentenza non solo rappresenta un hapax nel complesso delle pronunce della Corte, ma trova ragione di essere nella particolare normativa lettone che espressamente prevede tale forma di ristoro (cfr. punti 19 e 36 della pronuncia), elemento che osta pertanto ad applicazioni generali. Il Giudice dell'Unione riconduce a sistema l'arresto, ribadendo che il risarcimento deve essere in ogni caso integrale, verifica di merito rimessa al Giudice nazionale.

Ai fini della quantificazione del danno i giudici europei ricordano la necessità che i giudici nazionali applichino le norme interne di ciascuno Stato membro purché vengano rispettati i principi di equivalenza ed effettività.

La non appellabilità delle sentenze in materia di privacy

Le sentenze emesse in materia di tutela della privacy non sono appellabili ma ricorribili direttamente per cassazione. Tale inappellabilità era prevista – nel testo vigente anteriormente alle modifiche apportate dal d.lgs. n. 150/2011, (le cui norme sono applicabili (ex art. 36) esclusivamente ai procedimenti instaurati successivamente alla data di entrata in vigore del medesimo decreto) – dal d.lgs. 30 giugno 2003, art. 152, comma 13, ed attualmente ritrova il fondamento, nel d.lgs. n. 150/2011, art. 10, comma 6.

In argomento si ribadisce, anche alla luce degli orientamenti giurisprudenziali che si vanno formando nonché tenuto conto dell'importanza che il dato personale va assumendo nell'era dell'informazione e del digitale, dell'assoluta necessità di non privare il sistema risarcitorio dell'appellabilità della sentenza del giudice di prime cure innanzi alla Corte di Appello territorialmente competente elevando, così, gli attuali due gradi di giudizio a tre.

Si tratta di una scelta legislativa che va a mortificare l'essenza del diritto alla tutela del dato personale che non ci si stancherà mai di criticare assolutamente inconcepibile tenuto conto sia del riconoscimento costituzionale del diritto alla riservatezza che dell'aumento esponenziale dei rischi di violazione di dati personali strettamente connesso allo sviluppo tecnologico

L'auspicio è quello di un riavvicinamento del diritto sostanziale al diritto naturale evitando quegli scollamenti che, inevitabilmente, vanno a tradursi in un aggravamento della lesività del danno che nelle aule di giustizia, allo stato, stenta ad essere riconosciuto ponendosi in netto contrasto con la stessa ratio dell'art. 82 che, invece, mira al riconoscimento di un'azione risarcitoria efficace.

  Al momento tale auspicato riavvicinamento appare lontano considerato che la Cassazione ha evidenziato come l'unico grado di merito non vìola l'art. 3 della Costituzione poiché il doppio grado di merito non è un principio protetto dalla Costituzione ma una scelta legislativa di economia processuale (Cass. I ord., n. 16402/2021).

Uno sguardo alla Corte di giustizia europea

La Corte di giustizia europea è stata chiamata a pronunziarsi in via pregiudiziale da parte dalla Corte Suprema austriaca nell'ottobre del 2022. Il caso concreto riguardava la richiesta di risarcimento del danno non patrimoniale derivante dalla violazione della privacy nei confronti di una casa editrice che «raccoglieva informazioni sulle affinità della popolazione austriaca in relazione ai partiti politici. Tramite un algoritmo, essa individuava gli «indirizzi di gruppi destinatari» sulla base di fattori sociodemografici» (Österreichische Post AG, C-300/21 del 4 maggio 2023)

Il cittadino austriaco ricorrente evidenziava che non era simpatizzante del partito al quale era stato associato e che anzi l'affinità politica che gli era stata attribuita era per lui offensiva ed infamante e che non gli era stato richiesto alcun consenso al trattamento dei dati. Egli, inoltre, evidenziava di aver provato fastidio e disagio anche derivante dalla mera violazione di legge.

Il giudice austriaco di primo grado aveva rigettato la pretesa risarcitoria. Tale sentenza veniva confermata dal giudice di secondo grado il quale evidenziava che il diritto austriaco non consente il risarcimento per la sola violazione della norma del GDPR e che il semplice disagio non è risarcibile.

L'avvocato generale della CGUE, con un parere dell'ottobre del 2022, è pervenuto alla conclusione che:

– La mera violazione di una norma del GDPR non dia diritto al risarcimento;

– Il GDPR non introduce danni punitivi considerato che il risarcimento ha una funzione riparatoria non sanzionatoria.

– Il danno necessita di essere provato.

– Non possa essere accolto il principio di presunzione del danno ed i soggetti interessati, se manca il danno, potranno avvalersi di altre azioni come il reclamo per la tutela dei loro diritti privacy.

– La violazione delle norme del GDPR non è bastevole ad ottenere il risarcimento dei danni;

– Il danno non può consistere solo in una sensazione di disagio, fastidio o irritazione derivante dalla violazione della norma ma deve essere effettivo, serio poiché le lesioni minime, come nell'ordinamento italiano, vanno tollerate.

Le conclusioni dell'avvocato generale della CGUE, come si può osservare coincidono pienamente con le conclusioni cui era già pervenuta la giurisprudenza italiana ma la Corte di Giustizia europea con sentenza del 4 maggio 2023, confermandolo anche con la sentenza del 21 dicembre 2023 (pubbl. gennaio 2024) ha, invece, enunziato in materia di risarcimento del danno morale alla privacy la risarcibilità degli stessi in presenza delle seguenti tre condizioni:

– Che ci sia stata una violazione del GDPR;

– Che tale violazione abbia provocato un danno materiale o morale;

– E che si possa stabilire un nesso causale tra la violazione ed il conseguente danno.

Per cui la violazione di una o più norme del GDPR è una condizione necessaria ma non sufficiente ai fini del riconoscimento del diritto al risarcimento del danno; il giudice europeo ha rinviato correttamente ai giudici nazionali per le quantificazioni del danno non risolvendo il problema della definizione delle modalità di quantificazione da osservare per il riconoscimento del danno morale ma evidenziando come i concetti di “danno materiale o immateriale” e di “risarcimento del danno” rinvenibili nell'art. 82 GDPR costituiscono “nozioni autonome del diritto dell'Unione, che devono essere interpretate in modo uniforme in tutti gli Stati membri”. Ai fini, invece, della quantificazione del danno i Giudici europei hanno evidenziato come occorra necessariamente che il problema venga affrontato dai giudici nazionali nel rispetto del principio di equivalenza e di effettività del diritto dell'Unione.

L'art. 82 e il considerando 146 impongono, invece, che i giudici nazionali, secondo i Giudici europei, procedano ad un “...pieno ed effettivo risarcimento per il danno subito...” sia esso morale o patrimoniale “tenuto conto della funzione compensativa del diritto al risarcimento previsto dall'art. 82 del RGPD...” affinché si proceda a “...compensare integralmente il danno concretamente subito a causa della violazione di tale regolamento...”.

Si ritiene che correttamente la CGUE non abbia seguito la strada indicata dall'avvocato generale nelle conclusioni dell'ottobre del 2022 di tener conto della “soglia di gravità minima” per il riconoscimento del diritto al risarcimento del danno morale alla privacy.

Nel tentativo di determinare il danno morale, la CGUE ha scelto di non seguire il parere dell'Avvocato generale, pubblicato nell'ottobre 2022, che chiedeva, appunto, una soglia minima al di sopra della quale il danno morale potesse essere risarcito.

Il parere dell'avvocato generale aveva sollevato il timore che l'individuazione di una soglia minima per il danno non materiale, si pensi allo stress o alla stessa salute mentale, fosse difficile da determinare nella pratica con conseguente violazioni dei diritti alla privacy dei soggetti interessati che avevano adito le vie giudiziarie.

La CGUE ha stigmatizzato, correttamente a parere di chi scrive, gli orientamenti giurisprudenziali sorti in alcuni Paesi UE, come il nostro ma anche la Germania e l'Austria, che non hanno riconosciuto un diritto al risarcimento del danno morale alla privacy da “lesione minima” o “esiguo” in virtù di un principio di solidarietà e di tolleranza che impongono il rigetto di richieste risarcitorie in presenza di lesioni non significative.

Le precisazioni della CGUE sembra siano state recepite, come si è visto, dalla più recente giurisprudenza dei giudici di legittimità (Cass. I, ord. n. 13073/2023) che ha, peraltro, ribadito come la non risarcibilità del danno da lesione minima si ponga in contrasto con gli stessi contenuti del considerando 146 ed il principio di effettività del risarcimento. Tuttavia, nonostante tale precisazione i giudici di legittimità nazionali ribadiscono che: “il diritto al risarcimento non si sottrae alla verifica della gravità della lesione e della serietà del danno. Questo perché anche per tale diritto opera il bilanciamento con il principio di solidarietà ex Cost., art. 2, di cui quello di tolleranza della lesione minima è un precipitato. Il senso dell'affermazione, dopo il GDPR, è offerto dalla constatazione che non è tale da determinare una lesione effettiva del diritto la mera violazione delle prescrizioni poste in tema di trattamento, ma lo è invece quella violazione che concretamente offenda la portata effettiva del diritto alla riservatezza del dato”.

Con la sentenza del 4 maggio 2023 i giudici europei hanno evidenziato ai fini della determinazione dell'importo del risarcimento i giudici nazionali debbano applicare le norme interne di ciascuno Stato membro relative all'entità del risarcimento pecuniario, purché siano rispettati i principi di equivalenza e di effettività del diritto dell'Unione.

Un'ulteriore sentenza della Corte di giustizia europea che ha destato particolare interesse poiché ha disaminato la problematica del rapporto tra data breach e obbligo di risarcimento del danno, è la sentenza del 14 dicembre 2023.

Essa ha tratto origine da un data breach subito dall'Agenzia delle entrate bulgara in forza del quale milioni di dati personali dei contribuenti sono stati pubblicati su Internet. A seguito di tale evento numerosi contribuenti hanno richiesto il risarcimento del danno immateriale alla privacy che sarebbe derivato dal timore che i loro dati personali potessero essere impiegati in modo illecito da parte di terzi.

In particolare una contribuente aveva richiesto il risarcimento di una somma equivalente a circa 510 euro per il timore che i suoi dati potessero essere impiegati da parte di terzi per un impiego abusivo, in futuro, e che possa essere oggetto di ricatto, aggressione o rapimento.

La Corte amministrativa suprema bulgara ha avanzato questione pregiudiziale alla Corte di giustizia europea chiedendo se il mero timore di un rischio potenziale di un impiego illecito di dati diffusi illegittimamente potesse costituire un danno risarcibile, ipotesi che i giudici hanno ritenuto risarcibile. I giudici europei, peraltro, si sono soffermati sull'idoneità o meno del data breach a costituire causa di interruzione del nesso eziologico o meglio causa di non imputabilità del danno. In particolare i giudici hanno evidenziato che non sussiste l'automatica responsabilità per danni del Titolare in ogni caso di accesso non autorizzato ai dati personali.

Il Titolare e/o il Responsabile debbono provare di aver adottato delle misure di sicurezza adeguate per cui non vi è una presunzione assoluta di non adeguatezza delle misure in caso di data breach. Spetterà poi al giudice nazionale valutare se tali misure sono adeguate anche alla luce dei costi sostenuti, dello sviluppo tecnologico e degli altri criteri indicati dagli artt. 24 e 32. I giudici europei concludono nel rappresentare che il data breach non costituisce causa di esonero di responsabilità per il Titolare del trattamento ma questi deve dimostrare che il fatto che ha provocato il danno non gli è imputabile in alcun modo.

Relativamente agli strumenti processuali utili, ad esempio, a dimostrare l'adeguatezza delle misure di sicurezza attuate ai sensi dell'art. 32 i giudici europei hanno evidenziato che spetta all'ordinamento giuridico di ciascuno Stato membro stabilire le modalità procedurali dei ricorsi giurisdizionali destinati a garantire la salvaguardia dei diritti dei singoli, in forza del principio di autonomia processuale, a condizione, tuttavia, che tali modalità non siano meno favorevoli rispetto a quelle relative a situazioni analoghe assoggettate al diritto interno (principio di equivalenza) e che non rendano in pratica impossibile o eccessivamente difficile l'esercizio dei diritti conferiti dal diritto d'Unione (principio di effettività) (punto 59 della sent. CGUE del 14 dicembre 2023).

Il Regolamento nulla stabilisce, quindi, in merito al valore probatorio di un mezzo di prova, come la perizia giudiziaria; spetta al diritto interno stabilire le norme inerenti i mezzi di prova che consentono di valutare l'adeguatezza di tali misure nel contesto concreto, fatto salvo il rispetto dei principi di equivalenza ed effettività. Secondo i giudizi europei una norma di diritto interno che preveda la perizia giudiziaria come mezzo sistematicamente necessario per dimostrare l'adeguatezza delle misure di sicurezza adottate, si porrebbe in contrasto con il principio di effettività considerato che, ad esempio, tale prova potrebbe essere superflua. Peraltro, la Commissione europea che nello specifico caso ha presentato delle osservazioni scritte, ha rappresentato che la perizia giudiziaria non possa essere considerata sufficiente se con tale termine dovesse intendersi che “un giudice nazionale deve dedurre esclusivamente o automaticamente da una perizia giurata che le misure di sicurezza attuate dal titolare del trattamento in questione sono adeguate ai sensi dell'art. 32” (punto 63 della sent. CGUE del 14 dicembre 2023). In conclusione, alla luce delle argomentazioni sopra esposte, l'impiego della perizia giudiziaria al fine di dimostrare l'adeguatezza delle misure di sicurezza adottate, non può costituire un mezzo di prova sistematicamente necessario e sufficiente.

  Un'ultima decisione, in ordine temporale, è stata emanata in materia di risarcimento del danno alla privacy dalla Corte di giustizia europea il 21 dicembre 2023 (C: 667/21 pubblicata nel gennaio 2024) a seguito della richiesta presentata dalla Corte federale del lavoro tedesca dopo il rigetto, sia in primo che in secondo grado di giudizio, di un risarcimento di danno non patrimoniale quantificato dal ricorrente in ventimila euro. Il fatto concreto da cui ha tratto origine la richiesta risarcitoria concerneva la redazione di una perizia medica finalizzata alla verifica di inabilità al lavoro di un dipendente del MDK ossia il medesimo ente pubblico che svolge il servizio medico della cassa malattia e, quindi, preordinato ad eseguire tale attività per i datori di lavoro richiedenti. L'autorità giudiziaria tedesca richiedeva in primo luogo se potesse configurarsi un conflitto di interessi o se ricorreva una delle condizioni di cui all'art. 9 legittimante il trattamento di categorie particolari dei dati (la Corte europea ha riconosciuto il trattamento legittimo) e, tra le altre questioni pregiudiziali richiedeva se ai fini della determinazione del danno rilevi a favore del Titolare o del Responsabile la loro colpa lieve o assenza di colpa e se sulla quantificazione in generale incida il grado di colpa del Titolare e del Responsabile. L'avvocato generale, nel rassegnare le proprie conclusioni, evidenziava un elemento di carattere formale secondo cui se il legislatore avesse inteso fare riferimento al dolo o alla colpa li avrebbe richiamati come fatto nell'art. 83 nonché un elemento ancor più rilevante che risiede nella circostanza che durante i lavori preparatori al Regolamento, la Commissione per le libertà civili, la giustizia e gli affari interni aveva presentato un emendamento che prevedeva la connessione tra dolo, colpa e responsabilità e questo emendamento era stato rigettato. Tali argomenti lasciavano ritenere all'avvocato generale che la responsabilità per i danni alla privacy prescinda dalla colpa. Il medesimo avvocato generale considerava altri aspetti quali la colpa del danneggiato che poteva determinare il venir meno della imputabilità del danno e che il danno vada risarcito (se provato) per cui l'art. 82 darebbe luogo ad una riparazione (relativamente) facile da ottenere sia perché il danneggiato non deve provare la colpa sia perché l'imputazione non dipenderebbe da alcun grado di colpa arrivando a concludere che tale sistema di responsabilità non si baserebbe su una colpa presunta con inversione dell'onere probatorio.

La Corte di Giustizia europea, dopo aver letto le conclusioni dell'avvocato generale, nel rispondere alle questioni pregiudiziali ha evidenziato che l'art. 82, par. 1 debba essere interpretato nel senso che il diritto al risarcimento svolge una funzione compensativa che consente di compensare integralmente il danno subito, e non punitiva o dissuasiva. Inoltre gli stessi giudici evidenziano che l'art. 82 vada interpretato: (i) da un lato nel senso che il sorgere della responsabilità del Titolare è subordinata alla colpa del medesimo Titolare, colpa da ritenersi presunta salvo che il Titolare provi che il fatto causativo del danno non gli sia in alcun modo imputabile; (ii) dall'altro lato che l'art. 82 non richiede che il grado di tale colpa sia preso in considerazione nel calcolare l'importo del risarcimento del danno riconosciuto a titolo di danno immateriale in base a tale disposizione.

Con sentenza (11 aprile 2024, causa C-741/21, GP c. juris GmbH, ECLI: ECLI:EU:C:2024:288) la CGUE (in un caso riguardante la richiesta di risarcimento danni a seguito di molteplici invii di comunicazioni marketing indesiderate, pur a seguito di opposizione) ha stabilito che, ai sensi dell'art. 82 GDPR, una violazione di disposizioni del GDPR che conferiscono diritti alla persona interessata non è - di per sé - sufficiente a costituire un “danno immateriale”, ai sensi di tale disposizione, e ciò indipendentemente dal grado di gravità del danno subito da tale persona (va difatti dimostrato anche il nesso di causalità tra condotta e danno). Altrettanto, non può essere sufficiente che il titolare del trattamento - per essere esonerato dalla sua responsabilità ai sensi dell'art. 82.3 GDPR - faccia valere che il danno di cui trattasi è stato causato dall'errore di una persona che agisce sotto la sua autorità (a norma dell'art. 29 GDPR - spetta al titolare assicurarsi che le proprie istruzioni di trattamento siano correttamente applicate dai propri autorizzati – al più potrà darsi esonero alla prova della mancanza di nesso di causalità testè detto). Infine ha statuito che per determinare l'importo dovuto a titolo di risarcimento di un danno ai sensi delle norme in parola, da un lato, non si devono applicare mutatis mutandis i criteri di fissazione dell'importo delle sanzioni amministrative pecuniarie punitive previste dall'art. 83 GDPR (bensì dovrà applicare le norme nazionali pertinenti, con funzione compensativa) e, dall'altro, non si deve tener conto del fatto che più violazioni del GDPR siano riconducibili ad una medesima operazione di trattamento riguardante la persona che richiede il risarcimento (cioè il risarcimento non potrà comunque arrivare oltre il livello di piena compensazione del danno).

Il contrasto tra orientamento europeo e quello italiano

La giurisprudenza italiana, fin dai primi anni di applicazione della l. n. 675/1996 ha avuto modo di esprimersi su talune figure di danno alla privacy, come ad esempio, il danno da spamming o di invio di sms pubblicitari.

Non si nasconde che alcune sentenze non avrebbero mai dovuto essere emesse, come dimenticare la sentenza del 2004 del Giudice di pace di Napoli in materia di spamming, Autorità giudiziaria che di fatto non era competente in materia posto che la violazione dei dati personali nelle varie normative che si sono succedute è sempre rientrata nella competenza dei tribunali ordinari.

Con gli anni, ovviamente, tali errori grossolani non si sono più verificati ed i casi sottoposti ai giudici si sono diversificati seppur va evidenziato che buona parte delle fattispecie concrete sottoposte all'attenzione dell'Autorità giudiziaria concernono le ipotesi dei danni derivanti da illegittime segnalazioni di dati alle centrali rischi che, di fatto, implicano una limitazione della possibilità del soggetto interessato di accesso al credito.

Tuttavia, come si è potuto vedere, pur in presenza di una indiscussa violazione di una o più norme in materia di tutela dei dati personali il danno alla privacy potrebbe non essere riconosciuto a causa di evidenti difficoltà probatorie ed in considerazione dell'introduzione dei principi di tolleranza e di solidarietà che impongono, appunto, che il soggetto leso sopporti la “lesione minima” tanto che il semplice fastidio derivante dalla violazione di una norma, che potrebbe anche essere la norma inerente la necessità di raccogliere il consenso in ossequio al principio di autodeterminazione informativa, non è di per sé bastevole ad ottenere il risarcimento del danno. Il principio della lesione minima, ovviamente, contrasta con quello di effettività del risarcimento che ritrova fondamento nell'art. 82 GDPR e nel Considerando 146 tanto che prima la Corte di giustizia europea (con sentenza del 4 maggio 2023) e subito dopo i giudici di legittimità con la richiamata ordinanza del 14 maggio 2023, hanno ben evidenziato tale contrasto.

Ad ogni modo la problematica della quantificazione del danno deve essere rimessa necessariamente alle valutazioni dei giudici nazionali anche in ordine all'ammissione degli strumenti processuali più idonei a fornire riscontri probatori, come rappresentato dai giudici europei, ma è auspicabile che l'orientamento europeo si imponga per ovviare a questa caduta libera in sede di accertamento del quantum del danno alla privacy.

È noto, infatti, che la quantificazione del danno in sede processuale, laddove venga riconosciuto, vada sempre più assottigliandosi mentre le sanzioni amministrative derivanti, talvolta dalle violazioni delle medesime norme giuridiche fatte valere in sede civile, solitamente implicano l'applicazione di sanzioni ben più sostanziose. Tali differenze ritrovano nella funzione compensativa del danno alla privacy e nella funzione punitiva e general-preventiva delle sanzioni amministrative il loro fondamento giuridico che si traduce, in concreto, nei diversi criteri di valutazione che la normativa vigente mette a disposizione delle Authority ai fini della determinazione delle sanzioni amministrative da una parte e, dall'altra, nella rimessione ai giudici civili dell'attività di quantificazione del danno secondo il criterio equitativo di quantificare il danno, soprattutto quello non patrimoniale, laddove provato (v. EU C-667/21 sent. CGUE 23 dicembre 2023 pubb. gennaio 2024, III sez.).

Le difficoltà probatorie di un danno alla privacy non patrimoniale che non può essere più considerato in re ipsa e che finora ha dovuto cedere il passo di fronte ai principi di tolleranza e di solidarietà, unite a mortificanti quantificazioni in sede di accertamento giurisprudenziale ed addirittura al rischio di condanna per responsabilità aggravata ex art. 96, comma 3, c.p.c., inducono, sovente, i soggetti interessati a rinunziare a far valere giudizialmente il diritto alla privacy che rientra tra i diritti costituzionali.

Il valore non vincolante per i giudici nazionali dei Considerando del GDPR, che richiamano la necessità di accogliere una nozione di danno alla privacy come figura autonoma secondo i principi espressi dalla CGUE consente ragionevolmente di ritenere allo stato che verosimilmente vi sarà una maggiore propensione da parte dei giudici di merito a consentire il risarcimento del danno morale privacy anche di portata esigua ma che a livello di giurisprudenza di legittimità il cammino per il superamento dei principi di solidarietà e di tolleranza si prospetta ancora lungo ed incerto e soprattutto che sarà difficilissimo garantire sull'intero territorio europeo una pari quantificazione del danno alla privacy, per le medesime fattispecie di danno, considerato che si tratta di materia rimessa ai vari Stati membri.

Particolarmente utile potrebbe essere l'approvazione, quanto prima, di Linee Guida unionali che enuncino i criteri cui i giudici nazionali dovranno tenere conto al fine della corretta quantificazione del danno alla privacy sia materiale che immateriale.

Il danno conseguenza da trattamento dei dati personali

Il Regolamento contiene al considerando 85 (e al considerando 75 che ne costituisce la coerente conferma) una rilevante enunciazione suscettibile di essere interpretata come positivo riconoscimento da parte del legislatore di voci di danno conseguenza da violazione dei dati personali. Si tratta di un riconoscimento di enorme portata sistematica, che si inserisce nel dibattuto assetto nazionale, segnato dalle cd. sentenze di “San Martino”, vale a dire dalle quattro sentenze “gemelle” delle Sezioni Unite Cass. S.U., nn. 26972/2008, 26973/2008, 26974/2008, 26975/2008. Le pronunce, se da un lato hanno enunciato il principio dell'integrale risarcimento del danno, dall'altro hanno limitato il risarcimento di quello non patrimoniale in tre modi: ponendo una soglia minima di gravità e serietà dell'illecito; escludendo la risarcibilità del danno in re ipsa/danno evento; focalizzando (sia pure in termini non netti) la risarcibilità del danno non patrimoniale sul danno biologico. È seguita poi una giurisprudenza evolutiva che soprattutto dal 2014 (cfr. Cass., Sez. III, 23.1.2014, n. 1361; Cass., Sez. III, 9.6.2015, n. 11851) si è progressivamente emancipata dalle maglie delle sentenze “gemelle” e, pur nel formale rispetto di queste ultime, ha consolidato orientamenti che hanno riconosciuto quantomeno l'autonomia ontologica del danno morale e del danno per così dire “dinamico-relazionale” (che ha soppiantato pervasivamente il termine “esistenziale”). Resta in ogni caso, nell'orientamento maggioritario, escluso in danno in re ipsa (per una posizione conforme, ancorché meno netta cfr. Cass.,Sez. I, ord. 19.4.2023, n. 13073) e le possibilità di risarcire il danno conseguenza rimangono limitate alle tre classiche componenti della voce unitaria: biologica, morale e, con alcuni distinguo, dinamico-relazionale. Del resto, la giurisprudenza della Corte di giustizia è ferma nell'escludere rilevanza, nell'applicazione dell'art. 82, al danno in re ipsa (cfr. CGUE, 4.10.2024, Agentsia po vpisvaniyata, C-200/23 e precedenti ivi citati). Alla luce di questa sintetica ricostruzione, spicca pertanto la significativa constatazione che, come premesso, i considerando 75 e soprattutto 85GDPR integrano ex lege tipologie di danno conseguenza. Giova riportare un estratto del cons. 85: «Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d'identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata». Si segnala, al primo posto in questo catalogo, meramente esemplificativo, di danni-conseguenza, la voce integrata dalla perdita di controllo dei dati personali da parte dell'interessato. Il diritto al controllo dei dati personali corrisponde infatti al diritto alla protezione dei dati personali, da distinguere concettualmente dal diritto alla privacy/riservatezza. Il potere dell'interessato di controllo sui propri dati personali non va cioè inteso esclusivamente sub specie di diritto alla privacy/riservatezza, in senso classico, ossia quale pretesa negativa di esclusione dei terzi dall'attingibilità di uno spazio privato (right to be let alone), ma è  diritto alla protezione dei dati personali, dunque posizione attiva e dinamica, potere di pretendere, indipendentemente dalla conoscibilità dei dati, l'osservanza di garanzie e il rispetto delle regole nei trattamenti che altri pongano in essere: dunque diritto di conoscere come viene svolto il trattamento (artt. 13-15) e insieme diritto di intervenire quando quelle regole siano violate (artt. 16-22). Si rimanda su questi profili al commento all'art. 1 GDPR. Il diritto di controllo non è necessariamente inciso in conseguenza di una violazione di dati personali, ma può certamente esserlo se questa si traduce, appunto, in una perdita di controllo da parte dell'interessato, anche di durata limitata (cfr. CGUE, 4.10.2024, Agentsia po vpisvaniyata, C-200/23, pt. 156 e pt. 5 dispositivo), fermo l'onere di costui di provare il danno. In tal senso, pare certamente possibile e non difficoltoso il collegamento con le sentenze delle Sezioni Unite del 2008: se l'interessato è messo concretamente nell'impossibilità di esercitare il diritto al controllo dei propri dati personali, nelle declinazioni anzidette, tale diritto viene evidentemente leso in una forma che può ben presentare i connotati della risarcibilità. Sul punto peraltro la Corte di giustizia ha chiarito che nella valutazione del danno da trattamento illecito dei danni personali si prescinde da qualsiasi riferimento a una soglia minima, v. supra par. 9.1 (cfr., ex multis, 4.5.2023, Österreichische Post AG C-300/21,punto 51; 20.6.2024 Scalable Capital, cause riunite C-182/22 e C-189/22, punto 44). Occorre notare, per completare la ricostruzione giuridica, che il diritto alla protezione dei dati personali, da intendere come diritto di controllo, è da tempo istituto separato, nel riconoscimento normativo, rispetto al diritto alla riservatezza/privacy, evidenza che ne marca la differenza concettuale: l'uno, il diritto alla protezione dei dati personali/controllo, è tutelato all'art. 8 Carta dei diritti fondamentali dell'UE, l'altro, il diritto alla privacy/riservatezza, all'art. 7 della Carta. Orbene, dal primo dicembre 2009, data significativamente successiva alle sentenze di “San Martino”, la Carta dei diritti fondamentali dell'UE è stata “costituzionalizzata”. Più precisamente, da quella data essa ha lo stesso valore giuridico dei trattati, come chiarisce l'art. 6, par. 1 TUE. Il diritto alla protezione dei dati personali/controllo, che può essere leso come conseguenza di una violazione della normativa in commento, è precisamente dunque il diritto fondamentale tutelato all'art. 8 Carta UE, diritto che si colloca su un piano paritetico rispetto al diritto alla salute, nella cui lesione si ravvisa il danno biologico (cfr. CGUE, cause riunite C-182/22 e C-189/22, cit. punti 38-39). Appare in definitiva possibile costruire sui considerando 75 e 85GDPR (v. anche infra Corte di giustizia) e sull'art. 8 Carta UE un diritto al ristoro in caso di lesione del controllo sui dati personali così come si riconosce un ristoro in caso di lesione del bene salute: lesione del corpo biologico nel secondo caso, lesione del corpo “elettronico” nel primo, ossia del complesso di elementi informativi nei quali si sostanzia la persona nella società dell'informazione. Giova anche evidenziare che la Corte di giustizia ha ravvisato la naturasui generis del danno da violazione del GDPR, con orientamento ormai consolidato (cfr., ex multis, 20.6.2024, PS, C-590/21, punto 31), che permette approfondimento autonomo sul detto istituto. Ovviamente, da un trattamento illecito di dati potranno ben discendere altresì le più tradizionali fattispecie di danno conseguenza: biologica e/o morale e/o dinamico-relazionale.

 «Il considerando 85, prima frase, del RGPD indica che «[u]na violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d'identità, perdite finanziarie, (...) o qualsiasi altro danno economico o sociale significativo». Da tale elenco esemplificativo dei «danni» che possono essere subiti dagli interessati risulta che il legislatore dell'Unione ha inteso includere in tali nozioni, in particolare, la semplice «perdita di controllo» sui loro dati, a seguito di una violazione di tale regolamento, quand'anche un utilizzo abusivo dei dati di cui trattasi non si sia verificato concretamente a danno di dette persone» (CGUE, 14 dicembre 2023, Natsionalna agentsia za prihodite, C-340/21, punto 82. Cfr. altresì, sia pure incidentalmente, Österreichische Post (danno), C-300/21, punto 17).

 «29. Al riguardo, si deve ricordare che, per giurisprudenza costante, i termini di una disposizione del diritto dell'Unione, la quale non contenga alcun rinvio espresso al diritto degli Stati membri al fine di determinare il suo significato e la sua portata, devono di norma dar luogo, in tutta l'Unione, ad un'interpretazione autonoma e uniforme [sentenze del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità) C-439/19, EU:C:2021:504, punto 81, e del 10 febbraio 2022, ShareWood Switzerland C-595/20, EU:C:2022:86, punto 21], da effettuarsi tenendo conto dei termini di tale disposizione e del contesto in cui si inserisce (v., in tal senso, sentenze del 15 aprile 2021, The North of England P & I Association, C-786/19, EU:C:2021:276, punto 48, nonché del 10 giugno 2021, KRONE – Verlag, C-65/20, EU:C:2021:471, punto 25).

30. Orbene, il RGPD non opera alcun rinvio al diritto degli Stati membri per quanto riguarda il significato e la portata dei termini di cui all'articolo 82 di tale regolamento, in particolare per quanto riguarda le nozioni di «danno materiale o immateriale» e di «risarcimento del danno». Ne consegue che tali termini devono essere considerati, ai fini dell'applicazione di detto regolamento, come nozioni autonome del diritto dell'Unione, che devono essere interpretate in modo uniforme in tutti gli Stati membri» (CGUE, 4 maggio 2023, Österreichische Post (danno), C-300/21, punti 29-30).

 «38. Supporre, per principio, che una lesione personale sia, per sua natura, più grave di un danno immateriale rischierebbe di rimettere in discussione il principio di un risarcimento pieno ed effettivo del danno subito.

39. Tenuto conto dei motivi che precedono, occorre rispondere alla terza questione dichiarando che l'articolo 82, paragrafo 1, del RGPD dev'essere interpretato nel senso che, nell'ambito della determinazione dell'importo del risarcimento dovuto a titolo di risarcimento di un danno immateriale, si deve ritenere che un siffatto danno causato da una violazione di dati personali non sia, per sua natura, meno grave di una lesione personale» (CGUE, 20.6.2024, Scalable Capital, cause riunite C-182/22 e C-189/22, punti 38-39).