Privacy: il risarcimento non è automatico ma basta una lesione effettiva della riservatezza

La Corte d’Appello di Catanzaro (sezione I, sentenza 3 giugno 2026 n. 805) osserva in sentenza (tra altro) come, in tema di illecito trattamento dei dati personali, l’esclusione del principio del danno in re ipsa presupponga la prova della lesione conseguente al trattamento.

In merito non ha alcuna rilevanza il fatto che l’illecito trattamento sia avvenuto per errore umano, distrazione o altro, per la ragione che il titolare del trattamento dei dati risponde anche per il fatto colposo dei propri dipendenti, come sancisce in generale l’art. 2049 c.c. per tutta la materia della responsabilità civile.

Il punto fondamentale è che il danno non patrimoniale risarcibile è in questi casi determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato costituzionalmente (articoli 2, 21 della Costituzione) e dall’articolo 8 della Cedu.

La rilevanza del rimedio risarcitorio è confermata dall’art. 82 GDPR: il soggetto danneggiato a seguito di un trattamento dei suoi dati in violazione delle norme del medesimo GDPR, e di quelle nazionali di recepimento, può ottenere il risarcimento di qualunque danno occorsogli; il titolare risponde per il danno causato dal trattamento in violazione del regolamento indipendentemente dall’eventuale concorso del responsabile specifico.

Il concetto di danno è precisato nel Considerando 146 GDPR secondo cui “il titolare del trattamento o il responsabile del trattamento dovrebbe risarcire i danni cagionati a una persona da un trattamento non conforme al presente regolamento ma dovrebbe essere esonerato da tale responsabilità se dimostra che l’evento dannoso non gli è in alcun modo imputabile”.

Vi si precisa inoltre che il concetto di danno “dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di giustizia in modo tale da rispecchiare pienamente gli obiettivi del presente regolamento”; sicchè “gli interessati dovrebbero ottenere pieno ed effettivo risarcimento per il danno subito”.

I Considerando di un Regolamento UE, o di una Direttiva, svolgono la funzione di spiegare le ragioni dell’intervento normativo e ne integrano la concisa motivazione, non contenendo cioè enunciati di carattere normativo; tuttavia costituiscono in ogni caso elementi non secondari in chiave interpretativa delle norme afferenti.

L’adeguamento del sistema nazionale alle norme del GDPR impone allora di puntualizzare che il diritto al risarcimento non si sottrae alla verifica della gravità della lesione e della serietà del danno.

Questo perchè anche per tale diritto opera il bilanciamento con il principio di solidarietà ex art. 2 Cost., di cui quello di tolleranza della lesione minima è un precipitato.

Il senso dell’affermazione, dopo il GDPR, è offerto dalla constatazione che non è tale da determinare una lesione effettiva del diritto la mera violazione delle prescrizioni poste in tema di trattamento, ma lo è quella violazione che concretamente offenda la portata effettiva del diritto alla riservatezza del dato.

Vanno affermati, in conclusione, i seguenti principi di diritto:

- in base alla disciplina generale del GDPR, il titolare del trattamento dei dati personali è sempre tenuto a risarcire il danno cagionato a una persona da un trattamento non conforme al regolamento stesso, e può essere esonerato dalla responsabilità non semplicemente se si è attivato (come suo dovere) per rimuovere il dato illecitamente esposto, ma solo se dimostra che l’evento dannoso non gli è in alcun modo imputabile;

- l’esclusione del principio del danno in re ipsa presuppone la prova della serietà della lesione conseguente al trattamento. Si vuol dire che può non determinare il danno la mera violazione delle prescrizioni formali in tema di trattamento del dato, mentre induce sempre al risarcimento quella violazione che concretamente offenda la portata effettiva del diritto alla riservatezza.