Con la sentenza n. 17383 del 20 agosto 2020, la Cassazione si è pronunciata sul risarcimento del danno non patrimoniale per violazione dei dati personali ai sensi degli ormai abrogati articoli 11 e 15 del D. Lgs. 196/2003 (“Codice Privacy”), i quali prevedevano la risarcibilità del danno, anche di natura non patrimoniale, cagionato per effetto del trattamento illegittimo dei dati personali.

In questa sentenza, la Suprema Corte ha ribadito un principio già espresso in precedenza: il danno non patrimoniale derivante dalla violazione dell’art. 15 del Codice Privacy può essere risarcito solo qualora venga provata la gravità della lesione e la serietà del danno.

La questione da ultimo sottoposta alla Cassazione nasceva dalla presentazione di una domanda di risarcimento del danno da parte di uno studio associato nei confronti di un istituto bancario, per avere quest’ultimo, a detta dello studio, violato il dovere di segretezza delle informazioni bancarie, avendo la banca inviato una raccomandata, priva di busta e ripiegata su sé stessa, contenente la revoca degli affidamenti concessi allo studio.

In primo grado il Tribunale di Roma rigettava la domanda per difetto di prova sia dell’evento lesivo (la lettura del testo della raccomandata da parte di terzi) sia del danno conseguenza di natura patrimoniale o non patrimoniale subito dal proponente.

Avverso tale decisione, lo studio associato ricorreva quindi in Cassazione. Quest’ultima, interpellata sulla questione, ha rigettato il ricorso ribadendo che “il danno non patrimoniale risarcibile ex art. 15 del Codice privacy, pur determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli artt. 2 e 21 della Costituzione e dall’art. 8 della CEDU, non si sottrae alla verifica della “gravità della lesione” e della “serietà del danno” (quale perdita di natura personale effettivamente patita dall’interessato), in quanto anche per tale diritto opera il bilanciamento con il principio di solidarietà ex art. 2 della Costituzione, di cui il principio di tolleranza della lesione minima è intrinseco precipitato, sicché determina una lesione ingiustificabile del diritto non la mera violazione delle prescrizioni poste dall’art. 11 del Codice Privacy ma solo quella che ne offende in modo sensibile la sua portata effettiva. Il relativo accertamento di fatto è rimesso al giudice di merito e resta ancorato alla concretezza della vicenda materiale portata alla cognizione giudiziale ed al suo essere maturata in un dato contesto temporale e sociale (Cass. 16133/2014; Cass. 20615/2016)”.

Si segnala che la Suprema Corte si è pronunciata su fatti occorsi antecedentemente all’entrata in vigore del Regolamento UE 679/2016 (“GDPR”), normativa attualmente applicabile in materia di protezione dei dati personali.

In base alla normativa privacy attualmente in vigore, il diritto al risarcimento del danno per violazioni delle disposizioni del GDPR è disciplinato dall’art. 82 del GDPR, che dispone che “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”.

In tema di danno rileva anche il Considerando 146 del GDPR, secondo il quale: “Il concetto di danno dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di Giustizia in modo tale da rispecchiare pienamente gli obiettivi del GDPR”.

È interessante notare che, rispetto all’abrogato art. 15 del Codice Privacy che prevedeva espressamente la risarcibilità del danno non patrimoniale, l’art. 82 del GDPR fa riferimento ai danni “materiali” e “immateriali”.

Nonostante la differente formulazione normativa, la dottrina ha evidenziato una linea di continuità rispetto alla normativa previgente, ritenendo che il richiamo si riferisca tanto ai danni patrimoniali quanto a quelli non patrimoniali di cui all’art. 2059 del c.c. e che la dicitura derivi da una errata traduzione del testo inglese “material and non-material damage[1]. Sarà comunque opportuno attendere nuove pronunce giurisprudenziali in materia al fine di verificare se l’orientamento fino a oggi adottato e sposato dalla Cassazione sia ancora attuale.

Si segnala che la principale novità introdotta dall’art. 82 del GDPR riguarda l’individuazione dei soggetti chiamati a rispondere del danno derivante da illecito trattamento dei dati personali.

Rispetto al precedente art. 15 del Codice Privacy, che prevedeva la responsabilità in capo a “chiunque” avesse cagionato il danno per effetto del trattamento dei dati personali, l’art. 82, comma 2, del GDPR fa espresso riferimento alla responsabilità sia del titolare sia del responsabile del trattamento.

In particolare, il titolare sarà tenuto a risarcire il danno nel caso in cui lo stesso sia “coinvolto nel trattamento” e tale trattamento violi le disposizioni del GDPR; contrariamente, il responsabile del trattamento, nominato dal titolare ai sensi dell’art. 28 del GDPR, risponderà “per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento”.

Ai sensi del comma 3 dell’art. 82, nonché del Considerando 146 del GDPR, è previsto un esonero di responsabilità conseguente al danno cagionato da illecito trattamento qualora il titolare o il responsabile del trattamento siano in grado di dimostrare che l’evento non sia a loro in alcun modo imputabile.

Infine, il comma 4 dell’art. 82 istituisce un regime di responsabilità solidale tra il titolare e il responsabile del trattamento nei limiti in cui siano entrambi coinvolti nel trattamento dei dati da cui deriva il danno, riconoscendo il diritto di regresso nei confronti degli altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento per la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno cagionato.

[1] G.M. Riccio, G. Scorza, E. Belisario, “GDPR e normativa privacy, Commentario”, Wolters Kluwer, 2018, pp. 601 ss.