Cassazione: Il danno da violazione della privacy deve essere rilevante

La Corte afferma  che “Il danno non patrimoniale risarcibile ai sensi dell’art. 15 del d.lgs. 30 giugno 2003, n. 196 (cosiddetto codice della privacy), pur determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli artt. 2 e 21 Cost. e dall’art. 8 della CEDU. non si sottrae alla verifica della “gravità della lesione” e della “serietà del danno” quale perdita di natura personale effettivamente patita dall’interessato.

Il relativo accertamento di fatto è rimesso al giudice di merito e resta ancorato alla concretezza della vicenda materiale portata alla cognizione giudiziale ed al suo essere maturata in un dato contesto temporale e sociale.

Va detto che la sentenza si riferisce ad un periodo precedente l’entrata in vigore del GDPR ( regolamento generale privacy).

Gli art 11 e 15 del Codice Privacy italiano sono stati infatti abrogati.

A seguito dell’abrogazione espressa dell’art. 15 (“danni cagionati per effetto del trattamento”) del D.lgs. 196/2003 (“Codice Privacy”) da parte del D.lgs. 101/2018 (la norma italiana di raccordo con il GDPR), l’art. 82 del GDPR è ora la norma cardine sulla responsabilità civile nel trattamento dei dati personali e sul conseguente diritto al risarcimento.

L’art.82 comma 1° del GDPR, chiarendo l’ambito soggettivo attivo e passivo del diritto al risarcimento stabilisce che: «Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento».

Il 2° comma dell’art. 82 precisa che la richiesta di risarcimento potrà essere proposta non solo nei confronti del titolare del trattamento ma anche verso il responsabile del trattamento designato ai sensi dell’art. 28 GDPR limitatamente all’inadempimento degli obblighi a lui imposti dal GDPR o se abbia agito in modo difforme o in contrasto con le istruzioni ricevute dal titolare.

L’art.82 comma 3° del GDPR, riprendendo la disposizione del Considerando 146, enuclea la condizione secondo la quale il titolare o il responsabile del trattamento è esonerato dalla responsabilità «se dimostra che l’evento dannoso non gli è in alcun modo imputabile».

L’art. 82, comma 4° GDPR enuclea la regola della solidarietà passiva dei titolari (e co-titolari) e dei responsabili nell’obbligo di risarcire il danno all’interessato qualora essi siano coinvolti nello stesso trattamento e siano responsabili del danno causato dal trattamento.

L’art.82 comma 5° del GDPR attribuisce, nei rapporti interni, le conseguenze patrimoniali del danno cagionato.

Sarà interessante verificare quale sarà ora l’atteggiamento della giurisprudenza di merito e di legittimità in relazione ai principi comunitari stabiliti dall’art 82 del GDPR che non coincidono perfettamente con quanto prevedeva l’art. 15 del Codice Privacy, che collegava espressamente un trattamento illecito di dati personali alla responsabilità civile ex art. 2050 c.c. quale attività pericolosa sancendo inoltre la risarcibilità del danno non patrimoniale (art. 2059 c.c.).

Autore: Fulvo Sarzana (Nòva Il Sole 24 Ore)

Articolo Ripreso da: Federprivacy.org