Qualche settimana un tribunale tedesco, facendo diretta applicazione dell’articolo 82 GDPR ha condannato il titolare del trattamento al risarcimento del danno per l’attività di spamming.
Una sentenza innovativa e che, come vedremo, si pone in rotta di collisione con tutte le pronunce di legittimità italiane: si è finalmente affermato, infatti, che quel semplice “fastidio” provato dall’interessato dall’aver ricevuto soltanto due email e costituito in buona sostanza dal tempo impiegato per l’apertura delle stesse, risalire al titolare del trattamento e per opporsi all’invio di tali informazioni commerciali non possa dirsi “connesso ad un uso ordinario del computer” ma costituisca un vero e proprio danno e come tale, quindi, merita di essere risarcito.
Privacy, gli abusi del marketing nell’era della disinformazione: come difendersi
I fatti
Per spam, come noto, si intende, comunemente, la prassi dell’invio di comunicazioni non richieste e quindi in assenza di idoneo preventivo consenso e adeguata informativa; pratica che può risultare molto fastidiosa per gli interessati che vedono le proprie caselle email tempestate da tali invii certamente molesti.
A seguito della ricezione di due email non richieste e inviate in assenza di previo esplicito consenso, che sponsorizzavano dei corsi di formazione, un interessato aveva adito il tribunale per vedersi riconosciuto il diritto al risarcimento del danno.
La richiesta, inizialmente respinta dal tribunale di primo grado, veniva invece accolta in appello con condanna al risarcimento che veniva stabilito dal giudice in € 25.
A livello normativo europeo, tale possibilità viene offerta dall’articolo 79 del GDPR il quale stabilisce che ogni interessato ha il diritto di proporre un ricorso giurisdizionale effettivo qualora ritenga che i propri diritti siano stati violati da un trattamento; ciò, si aggiunge, non esclude che l’interessato possa comunque utilizzare altri strumenti come ad esempio il reclamo ex art. 77 GDPR all’autorità di controllo (che per l’Italia è il Garante per la protezione dei dati personali) e comunque viene fatto salvo il diritto ad esperire ogni altro ricorso amministrativo o extra giudiziale.
Gdpr e diritto al risarcimento
A tale previsione normativa si aggiunge l’articolo 82 GDPR, su citato, in tema di diritto al risarcimento e responsabilità.
La norma merita grande attenzione perché attribuisce questo diritto non solo agli interessati ma a chiunque, ampliando così la platea di soggetti legittimati ad esperire l’azione; ricordiamo infatti che interessato è la persona cui si riferiscono i dati personali che in questo caso, quindi, può non coincidere con il soggetto danneggiato e ciò diversamente da quanto dispone l’articolo 79 che si riferisce esclusivamente agli interessati.
Pertanto, mentre soltanto gli interessati possono proporre reclamo o agire in giudizio per lamentare la violazione dei dati personali, il diritto al risarcimento ha una portata più ampia poiché anche soggetti diversi dagli interessati possono essere danneggiati; il considerando 146, infatti, parla genericamente di “danni cagionati ad una persona” da un trattamento non conforme al regolamento.
In tema di ripartizione dell’onere della prova, sempre il considerando 146 afferma che il titolare o il responsabile del trattamento dovrebbe essere esonerato da tale responsabilità se dimostra che l’evento dannoso non gli è in alcun modo imputabile.
Risarcimento del danno da trattamento dati, la giurisprudenza italiana
In Italia non ci sono pronunce successive all’entrata in vigore del GDPR che ne facciano applicazione e tuttavia, anche prima dell’entrata in vigore del regolamento europeo sulla protezione dei dati personali, il concetto di risarcimento del danno per effetto del trattamento dei dati personali era riconosciuto dal diritto nazionale.
In particolare, l’articolo 15 del codice della privacy (oggi abrogato) stabiliva che chiunque avesse cagionato un danno per effetto del trattamento dei dati personali sarebbe stato tenuto al risarcimento del danno ai sensi dell’articolo 2050 c.c.
L’attività di trattamento dei dati personali veniva infatti considerata “attività pericolosa” e come tale assistita – come oggi – da una presunzione di responsabilità a carico del danneggiante il quale avrebbe avuto sempre l’onere di provare di aver adottato tutte le misure idonee ad evitare il danno; al contrario, il danneggiato aveva l’onere di provare il danno ed il nesso causale con l’attività attuata da controparte.
Copiosa è la giurisprudenza di Cassazione che, facendo applicazione degli ordinari criteri in tema di prova, ha sempre affermato che al danneggiato spettasse la prova del danno e del nesso di causalità (in tal senso da ultimo cfr. Cass. Civ. sez. I sent. N. 14618/21) e che, la sola circostanza dell’illecito trattamento dei dati personali non fosse di per sé sufficiente a legittimare una richiesta di risarcimento del danno che doveva comunque essere provato.
Ebbene, nonostante queste premesse, la suprema corte di Cassazione è sempre stata granitica (ex multis: Cassazione Civile, sez. VI n. 17383/2020 e, in tema di spam, Cassazione civile sez. I n. 3311/17) nell’affermare che sebbene il diritto fondamentale alla tutela dei dati personali sia riconosciuto tanto dalla Costituzione quanto dalla Convenzione Europea dei diritti dell’uomo, il danno non patrimoniale risarcibile ai sensi dell’articolo 15 del d.lgs. n. 196/03 non si sottrae alla verifica della “gravità della lesione” e della “serietà del danno” ricordando che “anche per tale diritto opera il bilanciamento con il principio di solidarietà di cui all’art. 2 Cost. di cui il principio di tolleranza della lesione minima è intrinseco precipitato” rifiutando costantemente tale risarcimento qualora il danno lamentato derivasse da spam.
Ma vi è di più, in almeno una circostanza (Cassazione civile sez. I n. 3311/17) la Suprema Corte, oltre a non ritenere l’istante meritevole di risarcimento, ha stabilito che percorrere tutti i gradi di giudizio (due, esattamente come nel caso del tribunale tedesco poiché le sentenze di primo grado in materia di dati personali non sono appellabili ma ricorribili in cassazione) “per un danno, indicato in Euro 360,00, ipotetico e futile, consistente al più in un modesto disagio o fastidio, senz’altro tollerabile, collegato al fatto, connesso ad un uso ordinario del computer, di avere ricevuto dieci email indesiderate, di contenuto pubblicitario, nell’arco di tre anni” costituisse abuso dello strumento processuale e ha quindi condannato il ricorrente al pagamento di €1.500 ai sensi dell’art. 96 c.p.c. per “lite temeraria”.
Come dire, oltre al danno la beffa.
La Cassazione, quindi, pur non disconoscendo completamente che lo spam sia in astratto risarcibile chiede che da questo trattamento derivi un danno che non sia tollerabile e quindi che non si traduca in quello che può essere considerato un “fastidio minimo” imponendo degli standard piuttosto alti ed anzi, arrivando a condannare l’istante.
Perché la sentenza tedesca è innovativa
Ed è qui come abbiamo accennato in apertura, che la sentenza tedesca è innovativa: la ricezione di sole due mail costituisce un vero e proprio danno e come tale merita di essere risarcito.
Anche il quantum del risarcimento è considerevole se si tiene conto che per ogni email ricevuta il risarcimento accordato è pari ad € 12,50.
La sentenza, inoltre, fa corretta applicazione del considerando 146 del GDPR a mente del quale il concetto di danno dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di giustizia e in modo tale da rispecchiare pienamente gli obiettivi del regolamento.
Quali prospettive per l’Italia? Certamente, l’abrogazione dell’articolo 15 del codice della privacy in uno all’entrata in vigore del regolamento europeo aprono le porte ad un revirement della Cassazione; una nuova interpretazione del concetto di danno che tenga conto dei principi ispiratori del GDPR e non solo della gravità della lesione e serietà del danno è possibile. Occorrerà aspettare.
