Il danno da lesione della privacy non è in re ipsa

Con l'ordinanza 10.06.2021 n.16402 la Suprema Corte ribadisce che, anche in tema di violazione dei dati personali, il danno per essere risarcibile, deve rispondere ai requisiti di "serietà del danno" e di "gravità della lesione", non identificandosi lo stesso con la mera lesione dell'interesse tutelato dall'ordinamento, ma con le conseguenze di tale lesione, potendo poi essere provato anche attraverso presunzioni.

Il caso deciso dalla Suprema Corte riguarda l'azione risarcitoria promossa dal ricorrente (vittima di un agguato) nei confronti dell'INPS per illecito trattamento dei dati personali relativi all'intera sua vita lavorativa che, acquisiti nel corso delle indagini difensive, volte a verificare se al momento dell'agguato la vittima fosse munita di regolare porto d'armi, erano poi stati prodotti nel procedimento penale a carico degli autori dell'agguato.

Il giudice di I grado, pur ritenendo che le informazioni inerenti l'attività lavorativa prestata dalla vittima dell'agguato in epoca antecedente ai fatti oggetto del giudizio penale, fossero effettivamente eccedenti le finalità per la quale quei dati erano stati raccolti e trattati, negava l'esistenza di un pregiudizio di natura non patrimoniale, essendo stata esclusivamente dedotta la violazione della normativa sul trattamento dei dati personali, senza specificare le conseguenze negative subite a seguito del trattamento ritenuto illecito.

La Cassazione, rigettando il ricorso, ha enunciato il principio di diritto secondo cui il danno non patrimoniale risarcibile ai sensi dell'art. 15 Dlg.196/2003 (Codice Privacy) pur determinato da una lesione del diritto fondamentale alla protezione dei dati tutelato dagli art. 2 e 21 Cost. e dall'art. 8 Cedu, non si sottrae alla verifica della gravità della lesione e della serietà del danno; ciò in quanto anche per tale diritto opera il bilanciamento con il principio di solidarietà ex art. 2 Cost. di cui quella di tolleranza della lesione minima è l'intrinseco precipitato, sicchè determina una lesione ingiustificabile del diritto non la mera violazione delle prescrizioni poste dall'art. 11 del Codice Privacy, ma solo quella che ne offende in modo sensibile la sua portata effettiva, restando comunque il relativo accertamento di fatto rimesso al giudice di merito. Precisa, infatti, la Corte che la mera allegazione da parte del ricorrente che l'illecito uso dei dati personali riguardanti la sua vita lavorativa gli avrebbe provocato una sofferenza (seppure che di tali dati erano venuti a conoscenza i soggetti che gli aveva teso un agguato) costituisce un'asserzione generica ed apodittica inidonea anche solo a far comprendere i motivi del turbamento, che, come osservato dal giudice del merito non potevano presumersi in re ipsa.

Nonostante il principio sia stato pronunciato in relazione alla lamentata violazione della normativa sul trattamento dei dati in allora disciplinata dall'art. 11 Codice Privacy ed alla richiesta risarcitoria del danno non patrimoniale di cui all'art 15 del citato Codice -norme queste abrogate per effetto del Dlg. 101/2018 (normativa italiana di raccordo con il Regolamento UE n.2016/679 meglio noto come GDPR)- si ritiene che il principio affermato dalla Suprema Corte rimanga valido anche nella attuale vigenza del GDPR.

L'Art. 82 del Regolamento Europeo, quale norma cardine sulla responsabilità civile nel trattamento dei dati personali e sul conseguente diritto al risarcimento "materiale o immateriale", si pone in linea di continuità con l'abrogato art. 15 Codice Privacy, posto che al di là della testuale traduzione della versione italiana del GDPR (che ha ripreso letteralmente la dizione "material or non-material damage" della versione inglese) il richiamo è evidentemente ai danni patrimoniali e non patrimoniali dell'art. 15 del Codice Privacy causati da una violazione del Regolamento così come dalle norme interne degli ordinamenti nazionali dallo stesso richiamate.

Parimenti, si ritiene che la mera violazione delle norme di per sé non sia idonea a fondare un risarcimento del danno, in assenza di dimostrazione di una lesione concreta. In tal senso milita anche il Considerando 146 che prevede che il titolare ed il responsabile debbano risarcire il danno (da intendersi in senso lato: danno fisico, patrimoniale e non patrimoniale) cagionato a "una persona".

Pertanto, anche nella vigenza della attuale normativa privacy, come riformata dopo il necessario adeguamento al GDPR, continua ad essere onere del danneggiato provare, anche mediante presunzioni, il danno subito per l'illegittimo trattamento ed il nesso di causalità tra violazione e danno, non identificandosi quest'ultimo con il trattamento dei dati effettuato in violazione del regolamento, dovendosi, invece, lo stesso concretizzare in un pregiudizio nella sfera degli interessi del danneggiato, che quando "non patrimoniale", dovrà, comunque, essere effettivamente grave ed aver superato il limite della tollerabilità della lesione minima, nel solco già tracciato dalle S.U. 11.11.2008 n.26972 ( cd. sentenze gemelle).

a cura dell'Avv. Francesca Perego Mosetti Patrocinante in Cassazione e Giurisdizioni Superiori, STUDIO LEGALE PEREGO MOSETTI , Partner 24ORE