→ Le questioni trattate riguarderanno i seguenti profili:

Se una persona subisce una lesione ai propri diritti in materia di trattamento dei dati personali, avrà la possibilità di richiedere il risarcimento per i danni eventualmente subiti?

La tematica solleva importanti considerazioni sia sul piano giuridico che etico, e rappresenta un tema di crescente rilevanza nell’era digitale, in cui la gestione e la protezione dei dati assumono un ruolo centrale nella tutela dei diritti fondamentali

1- La violazione del Regolamento GDPR sulla privacy configura di per sè la risarcibilità del danno (materiale o immateriale) oppure l’esistenza di tali danni va comunque provata in concreto?

2- Nel caso in cui il soggetto abbia subito danni immateriali - la cui prova è più difficoltosa rispetto a quella relativa a danni materiali - mediante quali parametri potranno essere calcolati?

3- Esistono soglie di risarcibilità del danno immateriale, al di sotto del quale il danno non sia risarcibile?

4- Come potrà il Titolare del trattamento essere esonerato da tale responsabilità?

Il Regolamento 679 del 2016, oltre a configurare agli artt. 83 e 84 sanzioni pecuniarie di carattere punitivo, all’art. 82 indica la possibilità per il soggetto danneggiato dal trattamento dei suoi dati personali di ottenere il risarcimento del danno dal Titolare del trattamento o dal Responsabile del trattamento (paragrafo 1) nel caso in cui il Titolare del trattamento dei suoi dati non abbia rispettato le disposizioni del GDPR poste a loro presidio

Questi danni potranno essere di 2 tipi:

- Danni materiali

- Danni immateriali, ossia quelle lesioni non di natura economica o materiale, ma che riguardano aspetti della sfera personale dell’individuo, come il benessere psicologico o la reputazione

Un punto di riferimento lo si ricava dalla sentenza della Corte di Giustizia UE, 4 maggio 2023 (causa C-300/21), destinataria di una questione interpretativa promossa dalla Corte suprema austriaca

Il caso

Una società austriaca aveva raccolto per finalità commerciali un complesso di informazioni sulle affinità politiche della popolazione nazionale

Dall’estrapolazione di alcuni dati di uno dei soggetti monitorati emerse che questi aveva una certa affinità a un determinato partito politico. Ed egli, non avendo prestato il consenso a tale trattamento, decise di ricorrere alle Corti territoriali al fine di:

- ingiungere alla società di cessare il trattamento dei suoi dati personali

- che tale società fosse condannata a versargli un importo, invero abbastanza ridotto (1.000,00 euro) a titolo di risarcimento del danno immateriale

A seguito di decisioni sostanzialmente uniformi delle Corti austriache e di analoghi ricorsi in appello, la Corte Suprema sollevò questione interpretativa di fronte alla Carte di Giustizia dell' Unione Europea

La Corte di Giustizia:

• da un lato confermò la risarcibilità del danno immateriale subìto in conseguenza di un illecito trattamento dei suoi dati personali (c.d. danno evento) in quanto espressamente previsto dall’art. 82, paragrafo 2 del GDPR

• d’altra parte sancì che per poter addivenire al concreto risarcimento pecuniario non sarebbe bastata la mera dimostrazione della violazione della normativa del GDPR, ma l’Interessato avrebbe dovuto provare:

  - che dalla violazione delle prescrizioni sulla privacy egli avrebbe anche subito in concreto un danno non patrimoniale (nesso di causalità)

  - il danno immateriale e la sua quantificazione

1. La prova del danno

2. Criteri per il calcolo del danno immateriale derivante da violazione del diritto privacy

Con la medesima pronuncia la Corte di Giustizia ribadì il principio di autonomia tra le fonti sovranazionali vincolanti e direttamente applicabili – in questo caso il GDPR – e il diritto nazionale

In particolare sancì che in mancanza di norme dell’Unione Europea che disciplinino nel dettaglio una certa materia, spetta all’ordinamento giuridico interno di ciascuno Stato membro utilizzare le proprie fonti normative al fine di disciplinare più compiutamente quella stessa materia

Per cui, non esistendo a livello Unionale dei canoni normativi specifici volti a specificare i criteri per il calcolo del danno immateriale subito, spetterà alle norme di diritto nazionale (in questo caso austriaco) e alla relativa giurisprudenza utilizzare i propri

Traducendo questo principio nel contesto italiano qualora un soggetto, nelle medesime circostanze, subisse un danno immateriale da illecito trattamento dei suoi dati personali, dovrebbero applicarsi le norme civilistiche generali relative al computo del danno non patrimoniale (art. 2059 c.c.), facendo riferimento in particolare al criterio della valutazione equitativa operata dal giudice

La valutazione equitativa del Giudice

La valutazione equitativa consiste nella possibilità che il Giudice, non potendo provare il danno nel suo preciso ammontare, lo quantifichi secondo il suo “prudente apprezzamento” in base a valutazioni di massima, se possibile con l’ausilio di un esperto della materia idoneo a fornire un contributo nella quantificazione

Per cui tale tipologia di valutazione si verificherà quando il soggetto danneggiato:

- Riesca a dimostrare che il danno immateriale si sia verificato in concreto (cd. danno evento)

- Non si riesca a determinare il suo valore economico, proprio per la tipologia del danno subito (cd. danno conseguenza)

3. Esistono “soglie” di non risarcibilità del danno immateriale da violazione del diritto privacy ?

Con riferimento all’esistenza o meno di un certo grado di gravità del danno al fine della sua risarcibilità, la Corte di Giustizia afferma come lo stesso GDPR identifichi come risarcibili i danni materiali e immateriali, senza che la stessa norma UE menzioni una qualsivoglia soglia di gravità

In questo caso, diversamente dalla linea interpretativa utilizzata per le conclusioni di cui al paragrafo precedente, la Corte non demanda al diritto nazionale la decisione sul fatto che un danno, per qualificarsi come risarcibile, debba raggiungere determinate soglie di gravità, ma avoca al diritto dell’Unione europea e alla giurisprudenza unionale tale determinazione

In particolare afferma che la nozione di “danno” e, più specificamente, quella di “danno immateriale” ai sensi dell’articolo 82 del GDPR, debbano ricevere una definizione autonoma e uniforme propria del diritto dell’Unione

Per cui, anche qualora al livello nazionale uno Stato identifichi come risarcibile il danno immateriale da lesione del diritto privacy solo se questi raggiunga una determinata soglia di gravità, tale parametro non dovrà essere preso in considerazione e il danno (anche se di modesta entità) dovrà venire comunque corrisposto al soggetto leso

Alle medesime conclusioni è giunta una successiva sentenza della Corte di Giustizia (Corte giustizia UE sez. III, 20/06/2024, n.590) la quale ha stabilito che l'interessato dovrà “dimostrare l'esistenza di un danno causato da tale violazione, senza tuttavia che detto danno debba raggiungere un certo grado di gravità”

4. Esonero del Titolare del trattamento da responsabilità risarcitoria

E quindi come farà il soggetto che ha gestito illecitamente il dato personale a liberarsi dalla connessa responsabilità risarcitoria?

Sul punto, e in maniera sufficientemente esaustiva, si è pronunciata una sentenza della nostra Corte di Cassazione (Cassazione civile sez. I, 12/05/2023, n.13073) la quale ha stabilito che:

- il Titolare del trattamento dei dati personali è tenuto a risarcire il danno cagionato a una persona da un trattamento non conforme al Regolamento stesso

- il fatto che il Titolare del trattamento di dati personali si sia attivato per rimuovere il dato illecitamente esposto non esclude la sua responsabilità

- il Titolare del trattamento illecito potrà essere esonerato da responsabilità risarcitoria solo se dimostra che l'evento dannoso non gli è in alcun modo imputabile, fornendone la relativa prova