Con una recente ordinanza (la n. 16402 del 10 giugno 2021) la Corte di Cassazione, ponendosi nel solco di una serie di decisioni analoghe precedenti, si è pronunciata sulla risarcibilità del danno derivante dalla violazione delle norme in materia di protezione dei dati personali, rigettando la richiesta di risarcimento economico del danno non patrimoniale da parte di un ricorrente.
Il tema appare di particolare interesse perché a fronte di una sempre maggior rilevanza ed attenzione per la tutela dei dati personali, le posizioni della Corte di Cassazione potrebbero essere strumentalizzate per confermare quelle tesi, emerse in tempi recenti, che vorrebbero relegare tale diritto ad un rango “minore”, quasi un ostacolo allo svolgimento di alcune attività, tanto da non essere considerato risarcibile il danno provocato dal mancato rispetto dello stesso.
In verità così non è, ma anzi tali sentenze confermano la congruenza delle decisioni della Suprema Corte con l’impianto europeo e nazionale in materia di risarcimento del danno non patrimoniale ed avallano, a parere di chi scrive, le scelte del legislatore europeo.
Risarcimento danni per violazione del GDPR, ecco chi paga e quanto
Violazione della privacy e danno non patrimoniale
Per comprendere la vicenda occorre prendere le mosse da un dato di fatto: la gran parte delle condotte che si pongono in contrasto con la disciplina in materia di protezione dei dati personali difficilmente causano un danno materiale (ossia un danno che si ripercuote direttamente sulla sfera materiale del soggetto danneggiato), ma il più delle volte si riflettono sulla sfera immateriale della persona che subisce la violazione. Si pensi allo spamming, all’installazione di cookie senza previa acquisizione del consenso, ad un trasferimento illecito di dati extra-UE, alla comunicazione errata di dati personali a soggetti che non dovevano venirne a conoscenza.
In tutte queste ipotesi il soggetto che subisce la violazione non ha ripercussioni materiali dirette, ma potrà, a seconda dei dati violati e delle condotte poste in essere, subire una compromissione della propria “tranquillità”, provare sofferenza emotiva o veder lesa la propria reputazione. Si tratta, quindi, di danni psicologici o sociali che non hanno un diretto impatto sulla sfera patrimoniale del danneggiato.
Tutte queste ipotesi rientrano nell’ambito del danno non patrimoniale – nel senso unitario conseguente alle famose sentenze gemelle cd. di San Martino del 2008 che hanno negato l’ingresso nel nostro ordinamento del cosiddetto danno esistenziale – che, anche dopo le ulteriori sentenze del 2019 (il cd. decalogo del 11/11/2019), rimane una figura unitaria nel nostro ordinamento quale strumento di riparazione del danno alla persona, senza possibilità di duplicazioni risarcitorie.
Le caratteristiche del danno per ottenere la risarcibilità
Le caratteristiche che deve assumere il danno non patrimoniale per poterne statuire la risarcibilità sono state già da tempo chiarite dai giudici di palazzo Cavour, che proprio in materia di violazione delle norme in materia di protezione dei dati personali, sotto il previgente Codice privacy, avevano sottolineato la necessità del requisito della gravità della lesione, nel senso che il giudice deve effettuare una ponderazione circa la serietà del danno, il quale non può ravvisarsi nella mera violazione delle disposizioni, ma deve essere valutato quale conseguenza a sé stante di dette violazioni (si veda la Cass. n. 222/2016).
Ed è proprio sulla scia di tale impostazione che anche la recente ordinanza ha rigettato la richiesta di risarcimento. Richiamando quanto già deciso precedentemente nella pronuncia n. 17383 del 20/8/2020, la Corte di Cassazione ha ribadito il principio secondo cui il danno non patrimoniale risarcibile derivante dalla violazione della normativa in materia di protezione dei dati personali, pur determinando la lesione di un diritto fondamentale tutelato dagli artt. 2 e 21 Cost. e dall’art. 8 della CEDU, non può sottrarsi alla verifica della “gravità della lesione” e della “serietà del danno”, in quanto anche per tale diritto opera il bilanciamento con il principio di solidarietà ex art. 2 Cost., che si concretizza nella necessità di tollerare la lesione minima di tale diritto.
Ciò significa che la semplice violazione delle prescrizioni in materia di protezione dei dati personali non può, di per sé sola, determinare la lesione ingiustificabile del diritto, ma è necessario che la condotta offenda in maniera sensibile la portata del diritto stesso.
Il danno immateriale nel GDPR e nell’ordinamento europeo
Il lettore, a questo punto, potrebbe obiettare che queste pronunce sono tutte basate sul “vecchio” art. 15 del d.l.vo n. 196/2003, che richiamava l’art. 2050 del codice civile e che faceva riferimento al danno non patrimoniale solo per dichiararne la risarcibilità “anche” per la violazione delle previsioni del previgente art. 11.
Inoltre, l’art. 23 della Direttiva 95/46/CE non poneva alcuna distinzione tra danno patrimoniale e non patrimoniale (o meglio, materiale o immateriale) avendo dato l’opportunità ad alcuni giudici degli Stati membri di escludere la risarcibilità del danno non patrimoniale (vd. il caso Collins v FBD Insurance plc deciso dall’Alta Corte Irlandese) o comunque di limitarne la risarcibilità dal punto di vista economico (si veda il Report “Access to data protection remedies in EU Member States” dell’Agenzia Europea per i Diritti Fondamentali pubblicato nel 2014).
Per tali motivi il legislatore europeo ha modificato la previsione in tema di diritto al risarcimento del danno, chiarendo all’art. 82 del GDPR che chiunque subisca un danno materiale “o immateriale” causato da una violazione del regolamento ha diritto ad ottenere tale risarcimento.
La previsione sembrerebbe rafforzata dalla lettera del Considerando n. 146 del GDPR in cui è specificato che “il concetto di danno dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di giustizia in modo tale da rispecchiare pienamente gli obiettivi del presente regolamento” e che “Gli interessati dovrebbero ottenere pieno ed effettivo risarcimento per il danno subito”.
La domanda che sorge spontanea, quindi, è se la persona fisica che subisca un danno non patrimoniale dal trattamento illecito dei suoi dati personali possa superare la linea interpretativa della Corte di Cassazione richiamando direttamente l’applicabilità dell’art. 82 GDPR e, quindi, la risarcibilità del danno “immateriale” in senso lato.
A parere di chi scrive la risposta non può che essere negativa, nel senso che una tale soluzione sarebbe possibile solo ove i giudici negassero ogni e qualsiasi possibilità di risarcimento del danno non patrimoniale conseguente da violazioni del GDPR. Le pronunce che abbiamo sopra esaminato, però, non operano in tal senso, ma riferendosi all’impianto della responsabilità extra-contrattuale che si è nel tempo sviluppato nel nostro ordinamento, applicano detti principi chiarendo che vi è sempre la necessità che il danneggiato provi, anche attraverso presunzioni, la lesione dell’interesse tutelato dall’ordinamento, e che tale lesione sia “seria e grave”.
Ciò è tanto vero che in una precedente pronuncia dell’aprile di questo anno (la n. 11020/2021) i giudici della Corte di Cassazione hanno confermato la condanna al risarcimento del danno non patrimoniale (per un importo di Euro 8.500,00) derivante dall’illecito trattamento dei dati personali (nel caso di specie illecita divulgazione) proprio in considerazione del fatto che vi era stata un’accurata verifica da parte del Tribunale della gravità della lesione e della serietà del danno che ne era derivato.
In sintesi, quindi, non si può affermare che l’applicazione da parte dei giudici della Cassazione dei criteri di valutazione del danno non patrimoniale in termini di gravità e serietà dello stesso, con il contemperamento derivante dal principio di solidarietà sociale, si ponga in contrasto con le nuove disposizioni del GDPR.
È indubbio, infatti, che l’impianto risarcitorio italiano risponda pienamente alle previsioni dell’art. 79 e 82 GDPR nonché all’art. 47 della Carta dei diritti Fondamentali dell’Unione Europea, riconoscendo la possibilità a chi subisca un danno non patrimoniale dall’illecito trattamento di dati personali di ottenere una tutela risarcitoria provando, anche per presunzioni, la gravità della lesione del diritto e la serietà del danno subito.
Risarcimento del danno e sanzioni amministrative
In conclusione appare necessario affrontare un altro aspetto che balza subito all’occhio di coloro che si interessano delle vicende relative alla protezione dei dati personali.
E’ noto che il GDPR ha innalzato notevolmente gli importi che le Autorità di controllo possono infliggere ai titolari o responsabili del trattamento in conseguenza di una violazione delle norme in esso previste. Le condotte più gravi sono suscettibili di una sanzione pecuniaria fino a 20 milioni di euro (o 4% del fatturato globale complessivo se superiore) mentre per quelle meno gravi la sanzione pecuniaria arriva fino a 10 milioni di euro (o 2% del fatturato globale complessivo se superiore).
Il lettore potrebbe quindi chiedersi il motivo per cui la medesima condotta (ad esempio l’invio di comunicazioni promozionali senza previo consenso) potrebbe determinare una sproporzione così ampia; in tale ipotesi, infatti, l’Autorità di controllo avrebbe la possibilità di applicare la sanzione nell’importo massimo sopra evidenziato, mentre il singolo potrebbe vedersi rigettata una richiesta di risarcimento del danno non patrimoniale perchè priva dei requisiti di gravità e serietà della lesione.
Anche tale lettura, però, sarebbe fuorviante.
È vero, invece, che l’art. 83 GDPR nel definire le modalità di applicazione delle sanzioni pecuniarie impone all’Autorità di controllo di tenere in conto una serie di criteri al fine di applicare una gradazione delle sanzioni nel rispetto del principio di proporzionalità.
Ciò è rafforzato anche dal secondo periodo del considerando n. 148 secondo cui “In caso di violazione minore o se la sanzione pecuniaria che dovrebbe essere imposta costituisse un onere sproporzionato per una persona fisica, potrebbe essere rivolto un ammonimento anziché imposta una sanzione pecuniaria”.
Conclusioni
È proprio il concetto di “violazione minore” che dovrebbe essere letto nell’ottica di quanto statuito dai giudici della Corte di Cassazione. Il principio di solidarietà sociale ex art. 2 Cost. richiamato dai giudici si pone proprio come criterio di tolleranza della lesione minima al diritto alla protezione dei dati personali che consente di escludere la risarcibilità di un eventuale danno.
Tale principio dovrebbe essere fatto proprio anche dall’Autorità di Controllo, garantendo così un’uniformità di trattamento delle condotte minimamente lesive, portandola ad escludere l’applicazione delle sanzioni pecuniarie in tutti quei casi in cui, secondo la oramai uniforme giurisprudenza della Corte di Cassazione, non sia possibile rinvenire i caratteri di gravità e serietà della lesione al diritto della protezione dei dati personali, dovendosi invece operare il contemperamento con il principio di solidarietà sociale con la conseguente tolleranza dell’ordinamento per tali condotte.
