Risarcimento del danno per violazione della privacy: la pronuncia della Corte di Cassazione

La Corte di Cassazione – con l’ordinanza n. 16402 del 10 giugno 2021 – si è pronunciata in ordine alla risarcibilità del danno derivante dalla violazione della privacy (ovverosia della normativa in materia di protezione dei dati personali), rigettando la richiesta di risarcimento economico del danno non patrimoniale avanzata dal ricorrente.

di Avv. Manuel Costa

La Corte di Cassazione si è (nuovamente) pronunciata sulla risarcibilità del danno derivante dalla violazione delle norme in materia di protezione dei dati personali (privacy), rigettando la richiesta di risarcimento economico del danno non patrimoniale avanzata dalla parte ricorrente uniformandosi, la Corte, all’orientamento legislativo-giurisprudenziale di rango comunitario in materia.


Violazione della privacy: il danno non patrimoniale


Ai fini di una migliore comprensione del caso in esame si rappresenta, preliminarmente, come sia inusuale la formazione di un danno materiale (diretto, lesivo nella sfera economica del soggetto danneggiato) derivante dall’esecuzione di una condotta contrastante con la disciplina attinente alla normativa di cui alla tutela della “privacy”.

Tuttalpiù, da siffatte condotte, ne potrebbe conseguire la formazione di un danno “immateriale” in capo al soggetto che subisce una qualche violazione (ad esempio nei casi di spamming, dell’accettazione/installazione di cookies senza previa acquisizione del consenso, ad un trasferimento illecito dei dati personali a soggetti non legittimati alla relativa conoscenza).

Il soggetto che subisce tali violazioni, invero, non subirà alcuna ripercussione materiale diretta quanto, semmai, a seconda della qualità/quantità dati violati, una compromissione della propria sfera emotiva e/o della propria reputazione (ovverosia danni psicologici da cui non discende alcun nocumento diretto nella sfera patrimoniale del danneggiato).

Ecco, dunque, come risulta essere più appropriato parlare di danno non patrimoniale derivante dall’utilizzo di condotte contrastanti con la normativa comunitaria in materia di protezione dei dati personali.

L’ottenimento della statuizione della risarcibilità del danno non patrimoniale è strettamente dipendente/correlata all’effettivo riscontro, nella circostanza di volta in volta prospetta, del requisito della gravità della lesione, nel senso che il giudice deve effettuare una ponderazione circa l’importanza del danno, il quale non può ravvisarsi nella mera violazione delle disposizioni, ma deve essere valutato quale conseguenza a sé stante di dette violazioni (cfr. Cass. n. 222/2016).

Sulla scorta del succitato orientamento, invero, la Corte (con l’ordinanza di cui trattasi) ha rigettato la richiesta di risarcimento avanzata dal ricorrente, richiamando quanto già statuito dalla precedente pronuncia n. 17383 del 20/8/2020, a mente della quale il danno non patrimoniale risarcibile derivante dalla violazione della normativa in materia di protezione dei dati personali (pur determinando la lesione di un diritto fondamentale tutelato dagli artt. 2 e 21 della Costituzione e dall’art. 8 della CEDU), non può sottrarsi alla verifica della “gravità della lesione” e della “serietà del danno” operando, dunque, il bilanciamento con il principio di solidarietà di cui al summenzionato art. 2 della Costituzione.

Ne consegue, dunque, che la semplice violazione delle prescrizioni normative in tema di tutela della privacy non può – ex se – determinare una paventata/astratta ipotesi di lesione del diritto risultando, al contrario, necessaria la concreta “offesa” della posizione giuridico-soggettiva del danneggiato.

Tuttavia, tale impostazione sistematica della Corte di Cassazione stride con le finalità perseguite dal legislatore europeo, il quale ha espressamente disposto che chiunque subisca un danno materiale “o immateriale” causato da una violazione del regolamento ha diritto ad ottenere tale risarcimento (cfr. art. 82 del GDPR) e chiarito, inoltre, che “il concetto di danno dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di giustizia in modo tale da rispecchiare pienamente gli obiettivi del presente regolamentoGli interessati dovrebbero ottenere pieno ed effettivo risarcimento per il danno subito” (cfr. Considerando n. 146 del GDPR).

Dunque: può la persona fisica che subisca un danno non patrimoniale dal trattamento illecito dei suoi dati personali “superare” la linea interpretativa della Corte di Cassazione, richiamando direttamente l’applicabilità dell’art. 82 GDPR e, per l’effetto, la risarcibilità del danno cosiddetto “immateriale” nella sua accezione più generica?

Sembrerebbe di no.

Invero, come evincibile dalle pronunce di cui sopra, la Corte di Cassazione ha inteso applicare pedissequamente i canoni/principi attinenti all’istituto della responsabilità extra-contrattuale anche in materia di violazione dei dai personali ribadendo, in ordine all’onere della prova, la necessità (o meglio, obbligatorietà) che il danneggiato provi – anche attraverso presunzioni – l’effettiva lesione “seria e grave” dell’interesse tutelato dall’ordinamento.

Si segnala, sul punto, la pronuncia n. 11020/2021 della medesima Corte, tramite la quale è stata confermata la condanna al risarcimento del danno non patrimoniale (pari ad € 8.500,00) derivante dall’illecito trattamento dei dati personali, in seguito ad un’accurata verifica/riscontro da parte del Tribunale di primo grado circa la gravità della lesione subita dal danneggiato.

Appare essere indubbio, pertanto, come l’impianto risarcitorio italiano risponda pienamente alle previsioni dell’art. 79 e 82 GDPR, oltre che all’art. 47 della Carta dei diritti Fondamentali dell’Unione Europea, riconoscendo la possibilità – in capo al danneggiato – di ottenere una concreta ed effettiva tutela risarcitoria correlata al nocumento subito.


Le Sanzioni Amministrative previste dal GDPR


Il GDPR ha innalzato la soglia degli importi che le Autorità possono infliggere ai titolari o responsabili del trattamento dei dati personali quale conseguenza di una violazione delle norme dal medesimo regolamento previste. 

Nello specifico:

  • le condotte più gravi soggiacciono ad una sanzione pecuniaria commisurabile fino a 20 milioni di euro (o, alternativamente, al 4% del fatturato globale complessivo se superiore)
  • le condotte meno rilevanti, invece, sono soggette ad una sanzione pecuniaria quantificabile nel massimo di 10 milioni di euro (o 2% del fatturato globale complessivo se superiore).

L’art. 83 GDPR nel definire le modalità di applicazione delle sanzioni pecuniarie impone all’Autorità di controllo di tenere in considerazione una serie di criteri utili ad applicare una gradazione delle sanzioni nel rispetto del principio di proporzionalità.

Tale prescrizione risulta essere rafforzata anche da quanto previsto nel secondo periodo del considerando n. 148, a mente del quale “In caso di violazione minore o se la sanzione pecuniaria che dovrebbe essere imposta costituisse un onere sproporzionato per una persona fisica, potrebbe essere rivolto un ammonimento anziché imposta una sanzione pecuniaria”.


Hai un dubbio o un problema su questo argomento? Scrivi alla nostra redazione giuridica e ricevi la tua risposta ENTRO 7 GIORNI

NEWSLETTER

Categorie