Cosa succede quando si effettua un illecito trattamento dei dati personali?
Chi ne risponde? È sempre risarcibile?
L’evoluzione della normativa e la giurisprudenza hanno fornito, negli anni, interessanti elementi di riflessione, ripresi recentemente dalla Corte di Cassazione (Ord. Sez. 1, 11020/2021) in una decisione proprio in tema di risarcimento del danno non patrimoniale scaturente da un trattamento illecito di dati personali.
Il caso ha origine da un esposto presentato al Consiglio dell’Ordine degli Avvocati avverso un legale presso il quale egli era iscritto; chi aveva presentato l’esposto, che coincide con la ricorrente della decisione della Cassazione, riteneva che il legale si fosse comportato in modo deontologicamente scorretto durante un procedimento disciplinare in cui il legale era difensore. Nell’esposto, tuttavia la “denunciante” oltre a descrivere dettagliatamente i “fatti incriminati” aveva inserito informazioni riguardanti vari procedimenti disciplinari e fatti riguardanti un precedente incarico di cancelliere del tribunale del legale sotto accusa. Il Consiglio dell’Ordine archiviava l’esposto, ma l’avvocato chiede avanti al Tribunale di Firenze ed ottiene il risarcimento del danno non patrimoniale di 5.200,00€, oltre le spese legali avverso la “denunciante” per lesione del proprio diritto alla riservatezza.
Il ragionamento del Tribunale parte dal presupposto che, mentre per quanto riguarda la divulgazione di informazioni relative alla condotta deontologicamente scorretta sotto giudizio non è necessario il consenso dell’interessato data la rilevanza pubblica delle funzioni esercitate dal Consiglio dell’Ordine, la diffusione delle notizie e dei dati relativi ai procedimenti disciplinari intentanti contro di lui quando lavorava come dipendente del tribunale non erano pertinenti e necessari all’interno del procedimento.
Secondo il Tribunale prima e la Corte di Cassazione ora, le informazioni eccedenti erano state riportate dalla “denunciante” allo scopo di screditare il neo-avvocato in una cerchia ristretta di professionisti alla quale si è appena aggregato (soli due anni) e dove ha bisogno di costruire la propria credibilità professionale, omettendo di riferire che tutte le sanzioni a carico del legale erano poi state annullate e suddetti procedimenti archiviati.
La Suprema Corte, cassando il ricorso e confermando la pronuncia del Tribunale, ricorda che “non è ostativa all’integrazione della violazione dell’art. 15 codice della privacy la mera circostanza che la divulgazione della notizia riservata avvenga nel contesto di un procedimento di rilevanza pubblica, risultando comunque illecita la comunicazione dei dati personali non pertinente ed eccedente le finalità per cui essi sono raccolti e trattati”.
Principi, quelli ribaditi dalla Corte di Cassazione ben noti a chi si occupa di questa materia sin dalla Direttiva 95/46/CE. Nel nostro ordinamento il tema della responsabilità civile da trattamento illecito di dati è stato disciplinato nell’ art. 15 del Codice della Privacy che equiparava l’esercizio di attività di trattamento di dati personali all’esercizio di attività pericolose (art. 2050 c.c).. Con l’introduzione del Regolamento Generale sulla Protezione dei dati (GDPR), l’articolo 82 chiarendo l’ambito soggettivo attivo e passivo del diritto al risarcimento stabilisce che: «Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento».
I contenuti dell’articolo, da interpretare secondo il Considerando 146 – che prevede che le azioni risarcitorie derivanti da violazioni di altre norme del diritto UE o degli Stati Membri non sono pregiudicate – si inseriscono in linea di continuità con la disciplina precedente in tema di oggettivazione del rischio, ma vengono poste in rilievo alcune importanti differenze.
Innanzitutto, permane il diritto al risarcimento del danno sia patrimoniale che non patrimoniale.
In particolare, l’art. 82 parla espressamente di danno materiale o immateriale, lasciando quindi aperto lo spiraglio anche a tutti quei danni che possono essere causati dall’evento anche in modo conseguente e non solo diretto. Il danno alla privacy, infatti, non è direttamente identificato quale il danno risarcibile con la lesione dell’interessato tutelato dall’ordinamento, bensì con le conseguenze di tale lesione, dunque potrebbe essere provato anche tramite presunzioni.
Su questo punto il Considerando 85 al GDPR elenca una serie di possibili danni conseguenti ad una violazione di dati personali dell’interessato quali:
• la perdita del controllo dei dati personali;
• la limitazione dei loro diritti;
• la discriminazione, il furto o l’usurpazione d’identità;
• perdite finanziarie;
• decifratura non autorizzata della pseudonimizzazione;
• pregiudizio alla reputazione;
• perdita di riservatezza dei dati personali protetti da segreto professionale;
• qualsiasi altro danno economico o sociale significativo alla persona fisica interessata.
Il senso è ovviamente quello di attribuire all’interessato il diritto ad essere risarcito per ogni tipo di danno che quest’ultimo possa subire dalla lesione e/o dalla violazione dei suoi dati personali.
Altra novità è quella di applicare un regime giuridico diverso a seconda di chi “tratta il dato” distinguendo quindi tra titolare del trattamento, responsabile del trattamento, contitolari, sub- e co-responsabili. L’art. 82, comma 4° GDPR enuclea la regola della solidarietà passiva dei titolari (e co-titolari) e dei responsabili nell’obbligo di risarcire il danno all’interessato qualora essi siano coinvolti nello stesso trattamento e siano responsabili del danno causato dal trattamento.
Ultima considerazione, ma non per importanza, riguarda infine il carattere costituzionale (artt. 2 e 21 cost.) che investe la lesione del diritto fondamentale alla protezione dei dati personali: si rende infatti necessario un bilanciamento con un altro principio di rango costituzionale, che rientra nel novero dell’art. 2, ossia il principio di solidarietà, da cui parimenti ne deriva quello di “tolleranza della lesione minima”. Ciò significa che sarà configurabile una lesione ingiustificabile del diritto alla privacy solo qualora la violazione colpisca in modo veramente apprezzabile e profondo la sua portata effettiva, restando esclusi quei torti più “superficiali”.