Pubblicare i dati personali dei propri dipendenti può costare un pesante risarcimento dei danni
Il soggetto leso a seguito di un trattamento dei suoi dati in violazione delle norme del GDPR e di quelle nazionali di recepimento può ottenere il risarcimento di qualunque danno occorsogli
Se un documento con dati personali viene pubblicato per un errore materiale o anche per poco tempo, il titolare del trattamento deve risarcire per il danno cagionato alla persona. Nella vicenda trattata dalla Corte di cassazione nella recente ordinanza 13073/2023 un ente pubblico aveva proposto ricorso per cassazione contro la sentenza con la quale il Tribunale l'aveva condannato a risarcire i danni cagionati a una propria dipendente a causa di un trattamento illecito di dati personali.
La vicenda
L'ente aveva pubblicato sul proprio sito istituzionale una determina relativa al pignoramento per un certo importo dello stipendio di una dipendente, tale per cui l'amministrazione si era assunta l'impegno di versare il quinto dello stipendio a favore della società creditrice; nella determina era stata correttamente omessa la pubblicazione dei dati della debitrice, ma nella nota contabile allegata l'espressa indicazione dei dati era stata invece mantenuta. I dati erano così finiti, seppure per poco più di un giorno, sull'albo online dell'ente coinvolto.
Ebbene per la Suprema Corte in tali circostanze, nonostante la brevità della diffusione e l'evidente errore umano, il trattamento è comunque oggettivamente avvenuto in violazione dei principi di necessità e minimizzazione previsti dalla normativa privacy: l'ente deve pagare i danni al proprio dipendente.
In giudizio l'ente si era difeso affermando che la pubblicazione online dei dati personali della dipendente era avvenuta per un mero incidente, una distrazione. Un operatore durante le operazioni d'ufficio aveva inavvertitamente "flaggato" il campo "pubblica"; a tale incidente era stato posto rimedio in poco più di 24 ore, sicché si sarebbe dovuto ritenere insussistente un danno addossabile all'ente quale conseguenza della accidentale affissione all'albo. Per l'ente il tribunale era incorso nell'errore di aver considerato il danno in re ipsa: la parte attrice nel giudizio di merito non aveva fornito alcuna prova dell'effettivo danno subito in conseguenza della pubblicazione online dei suoi dati personali per un così breve tempo.
La decisione della Cassazione
Secondo la Corte di Cassazione non ha alcuna rilevanza la circostanza che il fatto sia avvenuto per errore umano, distrazione o altro, per l'elementare ragione che il titolare del trattamento dei dati risponde anche per il fatto colposo dei propri dipendenti. Il danno non patrimoniale risarcibile è in questi casi determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato costituzionalmente. La rilevanza del rimedio risarcitorio è confermata dalla disciplina eurounitaria in tema di privacy secondo cui chiunque subisce un danno materiale o immateriale causato da una violazione del Regolamento generale sulla protezione dei dati ha diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. E ciò sta a significare che il soggetto danneggiato a seguito di un trattamento dei suoi dati in violazione delle norme del GDPR e di quelle nazionali di recepimento, può ottenere il
risarcimento di qualunque danno occorsogli, anche se la lesione è marginale; e il titolare risponde per il danno causato dal trattamento in violazione del regolamento indipendentemente dall'eventuale concorso del responsabile specifico.
Il concetto di danno è precisato nello stesso GDPR, secondo il quale il titolare del trattamento o il responsabile del trattamento deve risarcire i danni cagionati a una persona da un trattamento non conforme alla disciplina a tutela della privacy, potendo essere esonerato da tale responsabilità solo se dimostra che l'evento dannoso non gli è in alcun modo imputabile. In tali condizioni il concetto di danno deve essere interpretato in senso lato alla luce della giurisprudenza della Corte di giustizia e in modo tale da rispecchiare pienamente gli obiettivi del Regolamento generale sulla protezione dei dati; sicché gli interessati devono ottenere pieno ed effettivo ristoro per il danno subito.
Nella vicenda il tribunale aveva svolto l'accertamento ritenendo che in effetti un danno era stato integrato dall'ostensione del dato per tipologia e contesto, sebbene solo per un tempo ridotto. E tutto ciò emergeva implicitamente anche dalla descrizione della vicenda materiale e dal suo essere maturata in uno specifico ambito temporale e socio-lavorativo. In casi come quello in vicenda – secondo la Suprema Corte - tutte le eventuali giustificazioni fornite dall'ente non possono essere considerate rilevanti, visto che l'illiceità del trattamento imputabile al titolare non è in alcun modo ragionevolmente contestabile. Benché un documento contenente dati personali sia pubblicato per un mero errore materiale, per un periodo di tempo molto limitato, e l'amministrazione abbia prontamente posto in essere tutte le misure necessarie per rimuovere il documento stesso, il titolare del trattamento deve comunque risarcire il danno cagionato alla persona; potendo essere esonerato da una tale responsabilità non semplicemente se si sia attivato - come è suo dovere - per rimuovere il dato illecitamente esposto, ma solo se dimostri che l'evento dannoso non gli è in alcun modo imputabile.
