I mercoledì della privacy: risarcimento del danno per trattamento illecito dei dati solo in casi specifici

Si è spesso parlato di tutela dei dati personali come “attività pericolosa” e, come tale, rientrante nella disciplina prevista dall'articolo 2050 Codice civile. L'onere della prova atto a dover dimostrare di aver attuato tutte quelle misure tecnico ed organizzative necessarie per far si che il danno ai diritti e alle libertà fondamentali dell'interessato non si verificasse, incombe in via totalitaria in capo al titolare e al responsabile del trattamento dei dati, i quali, a loro volta, rispondono solidalmente in relazione al loro operato e hanno poi diritto di rivalsa tra di loro laddove un soggetto venisse condannato per l'illecito operato di un altro soggetto collegato al trattamento considerato illegittimo.

Quando scatta il risarcimento
Fin qui, nulla quaestio.Il problema che si è posta la Cassazione riguarda, invece, il passo immediatamente successivo. Premesso che vi è stato un illecito trattamento dei dati, premessa la responsabilità del titolare del trattamento, quand'è che scatta il risarcimento?L'ordinanza emessa dagli ermellini 16402/21, dovendosi esprimere sul punto, ha chiarito che, in materia di violazione del trattamento dei dati personali, occorre che il soggetto denunci in maniera analitica i danni sofferti, senza potersi limitare ad eccepire che l'illecito uso dei dati gli avrebbe procurato una generica sofferenza.Quest'ultima è, di per se sola, da considerarsi inadeguata ad ottenere il riconoscimento del danno non patrimoniale.

Il fatto
Il tribunale di Messina aveva rigettato la domanda proposta da un soggetto, finalizzata a far accertare l’illecito trattamento dei suoi dati personali da parte dell’Inps, che aveva ottenuto per il tramite di una società di investigazioni, la documentazione attestante la sua situazione retributiva a fare data dal 1° agosto 1999 al 30 settembre 2013, al fine di acquisire elementi di prova da far valere nell’ambito di un procedimento penale nel quale il soggetto era coinvolto. Il giudice di merito aveva rigettato la richiesta del ricorrente ricordando che quest’ultimo aveva eccepito la violazione della normativa sul trattamento dei dati personali, senza specificare però le conseguenze negative subite a seguito del trattamento ritenuto illecito.

Le norme richiamate
Nel caso in specie, secondo la Corte, è rilevante la circostanza che il ricorrente avesse dedotto esclusivamente la violazione delle normative sul trattamento dei dati personali senza specificare le conseguenze negative dallo stesso subite a seguito del trattamento ritenuto illecito. Secondo la Corte, infatti: «vige il principio di diritto secondo cui il danno non patrimoniale risarcibile ai sensi dell'articolo 15 Dlgs 196/2003, pur determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli articoli 2 e 21 Costituzione e dall'articolo 8 della Cedu, non si sottrae alla verifica della «gravità della lesione» e della «serietà del danno», in quanto anche per tale diritto opera il bilanciamento con il principio di solidarietà ex articolo 2 Costituzione, di cui quello di tolleranza della lesione minima è intrinseco principato».

La prova del danno
Quindi, non esiste nemmeno in caso di violazione della privacy il cosiddetto danno in «re ipsa», in se stesso. Bensì, secondo la Suprema corte, determina una lesione ingiustificabile del diritto, non la mera violazione delle prescrizioni del codice privacy, «ma solo quella che ne offenda in modo sensibile la sua portata effettiva, restando comunque il relativo accertamento di fatto rimesso al giudice di merito».Concludono sul punto gli ermellini specificando che il danno relativo all'illecito trattamento però, seppur non è un'automatica conseguenza della lesione subita, può essere provato anche attraverso “presunzioni” (Cassazione 19434/19 e 29206/19). Tanto meno potrebbe ritenersi sufficiente l'asserzione generica da parte dell'interessato che si senta leso, di aver subito, genericamente, “una sofferenza”, in quanto si tratta di una dichiarazione “generica ed apodittica”, inidonea anche solo a far comprendere i motivi di tale turbamento.

Conseguenze in ambito condominiale
Quali le implicazioni di questa pronuncia in ambito condominiale, lo potremo valutare solo con il tempo. Certamente, andare a limitare la possibilità di risarcimento del danno ai soli casi in cui effettivamente questo sia comprovabile consente già un piccolo sospiro di sollievo per l'amministratore responsabile o titolare del trattamento che sia. Azioni bagatellari da parte del condomino o dell'interessato in genere possono considerarsi scongiurate, seppur resta in piedi il rischio (forse anche maggiore) di subire sanzioni amministrative in caso di illecito trattamento dei dati.

Queste seguono un percorso a se stante, prevedono pene salatissime che vengono emesse secondo i parametri indicati nell'articolo 82 Gdpr e, purtroppo, non necessitano di un danno procurato a terzi soggetti per poter essere emesse. Semmai, l'aver causato un pregiudizio, potrà essere considerato un'ulteriore aggravante della quale il Garante terrà conto al momento della definizione dell'importo da sanzionare. Nessun rilassamento dunque, l'accountability è e resta un principio cardine che deve guidare le attività dei titolari e dei responsabili del trattamento. Amministratore incluso.