La sentenza

Violazione della privacy e risarcimento del danno: i paletti della Cassazione

Una sentenza della Corte di Cassazione si è pronunciata sulla risarcibilità del danno derivante dalla violazione delle norme in materia di protezione dei dati personali. Rigettata la richiesta di risarcimento economico del danno non patrimoniale

16 Ago 2021
Massimiliano Nicotra

avvocato Senior Partner Qubit Law Firm

privacy

Con una recente ordinanza (la n. 16402 del 10 giugno 2021) la Corte di Cassazione, ponendosi nel solco di una serie di decisioni analoghe precedenti, si è pronunciata sulla risarcibilità del danno derivante dalla violazione delle norme in materia di protezione dei dati personali, rigettando la richiesta di risarcimento economico del danno non patrimoniale da parte di un ricorrente.

Il tema appare di particolare interesse perché a fronte di una sempre maggior rilevanza ed attenzione per la tutela dei dati personali, le posizioni della Corte di Cassazione potrebbero essere strumentalizzate per confermare quelle tesi, emerse in tempi recenti, che vorrebbero relegare tale diritto ad un rango “minore”, quasi un ostacolo allo svolgimento di alcune attività, tanto da non essere considerato risarcibile il danno provocato dal mancato rispetto dello stesso.

In verità così non è, ma anzi tali sentenze confermano la congruenza delle decisioni della Suprema Corte con l’impianto europeo e nazionale in materia di risarcimento del danno non patrimoniale ed avallano, a parere di chi scrive, le scelte del legislatore europeo.

Risarcimento danni per violazione del GDPR, ecco chi paga e quanto

Violazione della privacy e danno non patrimoniale

Per comprendere la vicenda occorre prendere le mosse da un dato di fatto: la gran parte delle condotte che si pongono in contrasto con la disciplina in materia di protezione dei dati personali difficilmente causano un danno materiale (ossia un danno che si ripercuote direttamente sulla sfera materiale del soggetto danneggiato), ma il più delle volte si riflettono sulla sfera immateriale della persona che subisce la violazione. Si pensi allo spamming, all’installazione di cookie senza previa acquisizione del consenso, ad un trasferimento illecito di dati extra-UE, alla comunicazione errata di dati personali a soggetti che non dovevano venirne a conoscenza.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy

In tutte queste ipotesi il soggetto che subisce la violazione non ha ripercussioni materiali dirette, ma potrà, a seconda dei dati violati e delle condotte poste in essere, subire una compromissione della propria “tranquillità”, provare sofferenza emotiva o veder lesa la propria reputazione. Si tratta, quindi, di danni psicologici o sociali che non hanno un diretto impatto sulla sfera patrimoniale del danneggiato.

Tutte queste ipotesi rientrano nell’ambito del danno non patrimoniale – nel senso unitario conseguente alle famose sentenze gemelle cd. di San Martino del 2008 che hanno negato l’ingresso nel nostro ordinamento del cosiddetto danno esistenziale – che, anche dopo le ulteriori sentenze del 2019 (il cd. decalogo del 11/11/2019), rimane una figura unitaria nel nostro ordinamento quale strumento di riparazione del danno alla persona, senza possibilità di duplicazioni risarcitorie.

Le caratteristiche del danno per ottenere la risarcibilità

Le caratteristiche che deve assumere il danno non patrimoniale per poterne statuire la risarcibilità sono state già da tempo chiarite dai giudici di palazzo Cavour, che proprio in materia di violazione delle norme in materia di protezione dei dati personali, sotto il previgente Codice privacy, avevano sottolineato la necessità del requisito della gravità della lesione, nel senso che il giudice deve effettuare una ponderazione circa la serietà del danno, il quale non può ravvisarsi nella mera violazione delle disposizioni, ma deve essere valutato quale conseguenza a sé stante di dette violazioni (si veda la Cass. n. 222/2016).

Ed è proprio sulla scia di tale impostazione che anche la recente ordinanza ha rigettato la richiesta di risarcimento. Richiamando quanto già deciso precedentemente nella pronuncia n. 17383 del 20/8/2020, la Corte di Cassazione ha ribadito il principio secondo cui il danno non patrimoniale risarcibile derivante dalla violazione della normativa in materia di protezione dei dati personali, pur determinando la lesione di un diritto fondamentale tutelato dagli artt. 2 e 21 Cost. e dall’art. 8 della CEDU, non può sottrarsi alla verifica della “gravità della lesione” e della “serietà del danno”, in quanto anche per tale diritto opera il bilanciamento con il principio di solidarietà ex art. 2 Cost., che si concretizza nella necessità di tollerare la lesione minima di tale diritto.

Ciò significa che la semplice violazione delle prescrizioni in materia di protezione dei dati personali non può, di per sé sola, determinare la lesione ingiustificabile del diritto, ma è necessario che la condotta offenda in maniera sensibile la portata del diritto stesso.

Il danno immateriale nel GDPR e nell’ordinamento europeo

Il lettore, a questo punto, potrebbe obiettare che queste pronunce sono tutte basate sul “vecchio” art. 15 del d.l.vo n. 196/2003, che richiamava l’art. 2050 del codice civile e che faceva riferimento al danno non patrimoniale solo per dichiararne la risarcibilità “anche” per la violazione delle previsioni del previgente art. 11.

Inoltre, l’art. 23 della Direttiva 95/46/CE non poneva alcuna distinzione tra danno patrimoniale e non patrimoniale (o meglio, materiale o immateriale) avendo dato l’opportunità ad alcuni giudici degli Stati membri di escludere la risarcibilità del danno non patrimoniale (vd. il caso Collins v FBD Insurance plc deciso dall’Alta Corte Irlandese) o comunque di limitarne la risarcibilità dal punto di vista economico (si veda il Report “Access to data protection remedies in EU Member States” dell’Agenzia Europea per i Diritti Fondamentali pubblicato nel 2014).

Per tali motivi il legislatore europeo ha modificato la previsione in tema di diritto al risarcimento del danno, chiarendo all’art. 82 del GDPR che chiunque subisca un danno materiale “o immateriale” causato da una violazione del regolamento ha diritto ad ottenere tale risarcimento.

La previsione sembrerebbe rafforzata dalla lettera del Considerando n. 146 del GDPR in cui è specificato che “il concetto di danno dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di giustizia in modo tale da rispecchiare pienamente gli obiettivi del presente regolamento” e che “Gli interessati dovrebbero ottenere pieno ed effettivo risarcimento per il danno subito”.

La domanda che sorge spontanea, quindi, è se la persona fisica che subisca un danno non patrimoniale dal trattamento illecito dei suoi dati personali possa superare la linea interpretativa della Corte di Cassazione richiamando direttamente l’applicabilità dell’art. 82 GDPR e, quindi, la risarcibilità del danno “immateriale” in senso lato.

A parere di chi scrive la risposta non può che essere negativa, nel senso che una tale soluzione sarebbe possibile solo ove i giudici negassero ogni e qualsiasi possibilità di risarcimento del danno non patrimoniale conseguente da violazioni del GDPR. Le pronunce che abbiamo sopra esaminato, però, non operano in tal senso, ma riferendosi all’impianto della responsabilità extra-contrattuale che si è nel tempo sviluppato nel nostro ordinamento, applicano detti principi chiarendo che vi è sempre la necessità che il danneggiato provi, anche attraverso presunzioni, la lesione dell’interesse tutelato dall’ordinamento, e che tale lesione sia “seria e grave”.

Ciò è tanto vero che in una precedente pronuncia dell’aprile di questo anno (la n. 11020/2021) i giudici della Corte di Cassazione hanno confermato la condanna al risarcimento del danno non patrimoniale (per un importo di Euro 8.500,00) derivante dall’illecito trattamento dei dati personali (nel caso di specie illecita divulgazione) proprio in considerazione del fatto che vi era stata un’accurata verifica da parte del Tribunale della gravità della lesione e della serietà del danno che ne era derivato.

In sintesi, quindi, non si può affermare che l’applicazione da parte dei giudici della Cassazione dei criteri di valutazione del danno non patrimoniale in termini di gravità e serietà dello stesso, con il contemperamento derivante dal principio di solidarietà sociale, si ponga in contrasto con le nuove disposizioni del GDPR.
È indubbio, infatti, che l’impianto risarcitorio italiano risponda pienamente alle previsioni dell’art. 79 e 82 GDPR nonché all’art. 47 della Carta dei diritti Fondamentali dell’Unione Europea, riconoscendo la possibilità a chi subisca un danno non patrimoniale dall’illecito trattamento di dati personali di ottenere una tutela risarcitoria provando, anche per presunzioni, la gravità della lesione del diritto e la serietà del danno subito.

Risarcimento del danno e sanzioni amministrative

In conclusione appare necessario affrontare un altro aspetto che balza subito all’occhio di coloro che si interessano delle vicende relative alla protezione dei dati personali.

E’ noto che il GDPR ha innalzato notevolmente gli importi che le Autorità di controllo possono infliggere ai titolari o responsabili del trattamento in conseguenza di una violazione delle norme in esso previste. Le condotte più gravi sono suscettibili di una sanzione pecuniaria fino a 20 milioni di euro (o 4% del fatturato globale complessivo se superiore) mentre per quelle meno gravi la sanzione pecuniaria arriva fino a 10 milioni di euro (o 2% del fatturato globale complessivo se superiore).

Il lettore potrebbe quindi chiedersi il motivo per cui la medesima condotta (ad esempio l’invio di comunicazioni promozionali senza previo consenso) potrebbe determinare una sproporzione così ampia; in tale ipotesi, infatti, l’Autorità di controllo avrebbe la possibilità di applicare la sanzione nell’importo massimo sopra evidenziato, mentre il singolo potrebbe vedersi rigettata una richiesta di risarcimento del danno non patrimoniale perchè priva dei requisiti di gravità e serietà della lesione.

Anche tale lettura, però, sarebbe fuorviante.

È vero, invece, che l’art. 83 GDPR nel definire le modalità di applicazione delle sanzioni pecuniarie impone all’Autorità di controllo di tenere in conto una serie di criteri al fine di applicare una gradazione delle sanzioni nel rispetto del principio di proporzionalità.

Ciò è rafforzato anche dal secondo periodo del considerando n. 148 secondo cui “In caso di violazione minore o se la sanzione pecuniaria che dovrebbe essere imposta costituisse un onere sproporzionato per una persona fisica, potrebbe essere rivolto un ammonimento anziché imposta una sanzione pecuniaria”.

Conclusioni

È proprio il concetto di “violazione minore” che dovrebbe essere letto nell’ottica di quanto statuito dai giudici della Corte di Cassazione. Il principio di solidarietà sociale ex art. 2 Cost. richiamato dai giudici si pone proprio come criterio di tolleranza della lesione minima al diritto alla protezione dei dati personali che consente di escludere la risarcibilità di un eventuale danno.

Tale principio dovrebbe essere fatto proprio anche dall’Autorità di Controllo, garantendo così un’uniformità di trattamento delle condotte minimamente lesive, portandola ad escludere l’applicazione delle sanzioni pecuniarie in tutti quei casi in cui, secondo la oramai uniforme giurisprudenza della Corte di Cassazione, non sia possibile rinvenire i caratteri di gravità e serietà della lesione al diritto della protezione dei dati personali, dovendosi invece operare il contemperamento con il principio di solidarietà sociale con la conseguente tolleranza dell’ordinamento per tali condotte.

WHITEPAPER
Previeni i difetti di sicurezza nelle applicazioni: la soluzione in 5 punti
Sicurezza
Software
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 4