Diritto alla privacy, risarcimento per ogni violazione, anche lieve, che ne offenda in modo sensibile l'effettiva portata

Privacy - Illecito trattamento dei dati personali - Risarcimento danni - Titolare del trattamento - Esonero - Condizioni.
Il titolare del trattamento dei dati personali è sempre tenuto a risarcire il danno, anche marginale, cagionato a una persona da un trattamento non conforme al GDPR, e può essere esonerato dalla responsabilità solo se dimostra che l'evento dannoso non gli è in alcun modo imputabile, e non semplicemente dal fatto che si sia attivato, come suo dovere, per rimuovere il dato illecitamente esposto. La sola violazione delle prescrizioni formali in tema di trattamento del dato può non determinare il danno, mentre induce sempre al risarcimento la violazione che concretamente offenda la portata effettiva del diritto alla riservatezza. (Fattispecie relativa ad ostensione all'albo pretorio on line di un Comune dei dati personali di una dipendente relativi a pignoramento dello stipendio per errore di distrazione di altro dipendente per un solo giorno)
• Corte di Cassazione, Sezione 1 civile, ordinanza 12 maggio 2023, n. 13073

Risarcimento del danno - Trattamento illecito di dati personali - Danno non patrimoniale - Soglia di risarcibilità - Apprezzamento giudiziale - Modalità.
Il danno non patrimoniale risarcibile ai sensi dell'art. 15 del d.lgs. n. 196 del 2003 (codice della privacy), pur determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli artt. 2 e 21 Cost. e dall'art. 8 della CEDU, non si sottrae alla verifica della "gravità della lesione" e della "serietà del danno", in quanto anche per tale diritto opera il bilanciamento con il principio di solidarietà ex art. 2 Cost., di cui quello di tolleranza della lesione minima è intrinseco precipitato, sicché determina una lesione ingiustificabile del diritto non la mera violazione delle prescrizioni poste dall'art. 11 del codice della privacy, ma solo quella che ne offenda in modo sensibile la sua portata effettiva, restando comunque il relativo accertamento di fatto rimesso al giudice di merito.
• Corte di Cassazione, Sezione 6 Civile, Ordinanza 20 agosto 2020, n. 17383

Protezione dei dati personali - Non luogo a provvedere pronunciato dal garante della privacy, ex art. 149, comma 2, del d.lgs. n. 196 del 2003, per effetto della spontanea adesione del titolare del trattamento del dato alle richieste del ricorrente - Esercizio dell'azione risarcitoria innanzi all'autorità giudiziaria ordinaria - Impedimento - Esclusione - Conseguenze con riguardo al termine per proporre tale azione.
La statuizione di non luogo a provvedere assunta dall'Autorità Garante per la protezione dei dati personali ex art. 149, comma 2, del d.lgs. 30 giugno 2003, n. 196, derivante dall'adesione spontanea da parte del titolare del trattamento alla cancellazione e non utilizzazione di dati, così come richiesto dagli interessati, non impedisce l'esercizio dell'azione di risarcimento del danno davanti all'autorità giudiziaria ordinaria, nè tale azione deve essere proposta nel termine perentorio di trenta giorni dalla comunicazione del provvedimento del Garante.
• Corte di Cassazione, Sezione 1 Civile, Sentenza 17 settembre 2014, n. 19534