Il timore che i propri dati personali siano stati divulgati a terzi, a seguito di una violazione del GDPR, senza dimostrare che ciò sia avvenuto in concreto, è sufficiente per fondare un diritto al risarcimento dei danni, purché tale timore e le sue conseguenze negative siano provati.
Risarcimento del danno da violazione del GDPR: la sentenza della Corte Ue
Questo è uno dei principi sanciti dalla Corte di Giustizia dell’Unione Europea con sentenza del 20 giugno 2024, nella causa C-590/22.
La Corte, dunque, torna a trattare la materia del risarcimento del danno da violazione del GDPR e, sciogliendo i vari nodi connessi alla lettura dell’articolo 82 del UE 2016/679 (di seguito “Regolamento” o “GDPR”), fissa i principi per la sua corretta interpretazione.
Gdpr e risarcimento del danno da illecito trattamento di dati personali
Il diritto al risarcimento del danno, in ipotesi di illecito trattamento di dati personali, è riconosciuto dall’art. 82, paragrafo 1 del GDPR. Cosa prevede la norma?
“1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”.
Violazione del Gdpr e risarcimento di un danno immateriale
Preliminarmente, occorre evidenziare che per espressa previsione normativa, confermata dal consolidato orientamento della giurisprudenza e dalla citata sentenza, la norma in esame deve essere interpretata nel senso che una violazione del Regolamento non è sufficiente, di per sé, a fondare un diritto al risarcimento del danno.
La persona che chiede il risarcimento di un danno immateriale, invocando l’articolo 82, dovrà pertanto provare la sussistenza della violazione di una norma del GDPR, nonché il danno subito a causa dall’anzidetta violazione.
Le tre condizioni cumulative che devono essere soddisfatte per il risarcimento del danno
Dall’articolo, precisa la Corte, emergono in modo evidente le tre condizioni cumulative che devono essere soddisfatte affinché possa riconoscersi il diritto al risarcimento del danno: la violazione di una disposizione del GDPR, un danno materiale o immateriale, il nesso di causalità tra il danno e la predetta violazione.
Difatti, in assenza della prova del danno subito, la mera violazione del Regolamento, ove ne sussistano i presupposti, potrà essere idonea soltanto a provocare l’irrogazione di una sanzione amministrativa da parte dell’Autorità di Controllo[1].
Il caso esaminato dalla Corte Ue
I nuovi residenti si sono accorti di aver aperto la posta di chi abitava in precedenza in quell’indirizzo e hanno restituito la busta ai veri destinatari. In tale busta sono presenti documenti riservati, tra cui una dichiarazione dei redditi, erroneamente inviati da una società di consulenza fiscale tedesca al vecchio indirizzo di posta dei propri clienti.
I nuovi abitanti, una volta constatato che la posta non era a loro indirizzata, hanno riposto i documenti all’interno della busta al fine di consegnarla a parenti residenti in prossimità del vecchio indirizzo, affinché i destinatari originari potessero recuperarla.
I clienti di detta società, scoperto l’errore e rilevando che nella busta figurava solamente la copia della dichiarazione dei redditi e una lettera di accompagnamento, hanno presunto che all’interno della medesima vi fosse anche il documento originale della dichiarazione dei redditi, che conteneva informazioni costituenti dati personali, quali nomi e date di nascita loro e dei figli, codici di identificazione fiscale, coordinate bancarie, l’appartenenza a una comunità religiosa, lo stato di persona disabile di un membro della famiglia, le professioni e i luoghi di lavoro, le spese effettuate.
In questo contesto, i clienti hanno adito il Tribunale di Wesel (Germania) con ricorso diretto ad ottenere, ai sensi dell’articolo 82 del GDPR, il risarcimento del danno immateriale che affermano di aver subito in conseguenza della divulgazione dei loro dati personali a terzi, domandando una somma pari ad euro 15.000.
Definizione del concetto di “danno”
Stabilito che la mera violazione delle disposizioni del GDPR non è sufficiente per riconoscere un diritto al risarcimento e che, pertanto, è imprescindibile la prova del danno causato dalla violazione, la Corte definisce un aspetto fondamentale: non è richiesto, ai fini della risarcibilità, che il danno debba raggiungere un certo grado di gravità.
Ciò è quanto emerge nelle recenti pronunce della CGUE e che viene confermato anche in tale occasione: «l’articolo 82, paragrafo 1, del RGPD osta a una norma o a una prassi nazionale che subordina il risarcimento di un danno immateriale, ai sensi di tale disposizione, alla condizione che il danno subito dall’interessato abbia raggiunto un certo grado di gravità».
La sentenza della CGUE del 4 maggio 2023
Tale principio è meglio precisato nella sentenza della CGUE del 4 maggio 2023, nella causa C-300/21, richiamata da quella in esame. In tale pronuncia si dà atto del fatto che il GDPR non opera alcun rinvio al diritto degli Stati membri per quanto riguarda il significato e la portata dei termini di cui all’articolo 82 del Regolamento, in particolare, per quanto riguarda le nozioni di «danno materiale o immateriale» e di «risarcimento del danno».
Di conseguenza, tali termini devono essere considerati come nozioni autonome del diritto dell’Unione, che devono essere interpretate in modo uniforme in tutti gli Stati membri.
Inoltre, l’articolo 82, paragrafo 1, stabilisce esclusivamente che può riconoscersi il diritto al risarcimento non solo di un «danno materiale», ma anche di un «danno immateriale», senza alcun riferimento a qualsivoglia soglia di gravità.
Sul punto, il considerando 146 del GDPR enuncia che «il concetto di danno dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di giustizia in modo tale da rispecchiare pienamente gli obiettivi del (…) regolamento».
Dunque, precisa la Corte, tale concezione ampia di «danno», privilegiata dal legislatore dell’Unione, verrebbe contradetta allorché la sua nozione fosse circoscritta ai danni di una certa gravità.
Ma non solo. Si andrebbe altresì verso una direzione opposta agli obiettivi che si pone il GDPR. Le disposizioni del Regolamento sono dirette a garantire un livello coerente ed elevato di protezione delle persone fisiche rispetto al trattamento dei dati personali, assicurando l’applicazione coerente ed omogenea delle norme a protezione delle libertà e dei diritti fondamentali di tali persone in tutta l’Unione (considerando 10 del GDPR).
Pertanto, la previsione di una determinata soglia di gravità del danno, dalla quale dipenderebbe la possibilità di conseguire il risarcimento, rischia di vanificare gli sforzi della normativa europea di garantire la protezione in modo uniforme dei dati personali. Ciò in quanto, tale soglia potrebbe variare a seconda delle valutazioni operate dai giudici aditi.
Il timore della divulgazione dei dati può costituire “danno immateriale“
La terza questione pregiudiziale affrontata dalla sentenza in esame è volta a chiarire se l’articolo 82, paragrafo 1, del GDPR possa essere interpretato nel senso che il timore che i propri dati personali, a causa di una violazione del Regolamento, siano stati divulgati a terzi, senza che si possa provare che ciò sia avvenuto in concreto, è sufficiente a riconoscere il diritto al risarcimento del danno immateriale.
Sul punto si precisa che, nel corso del procedimento principale innanzi al giudice del rinvio, non è stato possibile stabilire quali documenti fossero presenti inizialmente nella busta inviata né determinare in quale misura i nuovi abitanti presso il vecchio indirizzo dei ricorrenti fossero venuti o meno a conoscenza del contenuto della predetta busta.
Una violazione di dati personali, se non affrontata in modo adeguato e tempestivo, può comportare danni fisici, materiali o immateriali alle persone quali, a titolo esemplificativo, la perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie… (considerando 85 del GDPR).
Dalla decisione di rinvio pronunciata dal Tribunale tedesco emerge che i ricorrenti nel procedimento principale intendessero ottenere, sulla base del GDPR, il risarcimento di un danno immateriale per una perdita di controllo sui loro dati personali, senza poter dimostrare, però, l’effettiva divulgazione di tali dati, non essendo stato provato in quale misura soggetti terzi ne fossero venuti a conoscenza.
Occorre ricordare che il concetto di «danno», tenuto conto del considerando 146 del GDPR, andrebbe interpretato in senso lato alla luce della giurisprudenza della Corte di giustizia e coerentemente con gli obiettivi perseguiti dal Regolamento, volti a garantire un livello elevato di protezione delle persone fisiche rispetto al trattamento dei propri dati.
Tali elementi, secondo la Corte, consentono di affermare che il timore di un potenziale uso illecito dei propri dati personali da parte di terzi, nutrito dal soggetto interessato in conseguenza di una violazione del Regolamento, può costituire ex se un «danno immateriale».
È necessario, però, che tale danno, seppur minimo, venga provato e competerà al giudice del rinvio verificarlo.
In un caso analogo, avvenuto in Germania, nel contesto della vendita di un elettrodomestico, si era verificata la consegna del contratto di acquisto ad un soggetto diverso dall’effettivo cliente a causa di un errore commesso dai dipendenti della società.
Il documento in cui figuravano i dati personali del cliente, ha precisato il giudice del procedimento principale, è stato restituito al cliente medesimo nell’arco di mezz’ora dalla sua consegna al terzo non autorizzato. Inoltre, il terzo in questione non era venuto a conoscenza di tali dati prima di restituire il predetto documento.
Alla luce di tali evidenze, la Corte ha escluso che il semplice timore dell’interessato che in futuro potesse verificarsi una diffusione o un utilizzo abusivo dei suoi dati personali, a causa della consegna del documento a un terzo non autorizzato, di cui però sia accertato che non è venuto a conoscenza di tali dati, possa costituire un «danno immateriale» (sentenza della CGUE del 25 gennaio 2024, n. 687, nella causa C-687/21).
Entrambe le sentenze, quella in esame e quella poc’anzi richiamata, cristallizzano dunque un principio importante: il timore di un’illecita divulgazione di dati personali è sufficiente a fondare il diritto al risarcimento dei danni, anche se non si è dimostrato che una divulgazione si è verificata in concreto; tuttavia, il timore e le sue conseguenze negative dovranno essere debitamente provate.
Il risarcimento del danno da violazione dei dati personali nella normativa nazionale e l’impatto della Sentenza della CGUE
Riassumendo, la Corte di Giustizia Europea ha chiaramente rafforzato la propria interpretazione di danno risarcibile, censurando norme o prassi nazionali che neghino la compensazione per i danni ritenuti di lieve entità e, dunque, arretrando la soglia di risarcibilità al semplice timore della divulgazione dei dati.
Resta da chiedersi, a questo punto, in che misura una tale estensione del diritto al risarcimento influenzerà l’interpretazione della normativa privacy da parte dei giudici nazionali.
Nel nostro ordinamento, in linea con quanto previsto dal GDPR, la tutela risarcitoria è subordinata alla dimostrazione di specifiche circostanze: l’avvenuto compimento di un fatto illecito, l’esistenza di un danno nonché il nesso di causalità tra l’azione o la negligenza altrui e il danno subito.
Esiste, tuttavia, una soglia minima di danno risarcibile, specialmente per i danni non patrimoniali.
La serietà del danno ai fini della sua risarcibilità
In particolare, la risarcibilità del danno non patrimoniale derivante dalla lesione di diritti inviolabili della persona, come tali costituzionalmente garantiti, sulla base di una interpretazione costituzionalmente orientata dell’art. 2059 c.c., è ammessa al ricorrere di tre condizioni:
(a) che l’interesse leso abbia appunto rilevanza costituzionale;
(b) che la lesione dell’interesse sia grave, nel senso che l’offesa superi una soglia minima di tollerabilità;
(c) che il danno non sia futile, vale a dire che non consista in meri disagi o fastidi (si veda, sul punto Cass. civ. n. 26932/2008). Il tutto per evitare il moltiplicarsi di contenziosi per danni di lieve entità, spesso definiti come «liti bagatellari».
Tali limiti discendono direttamente dal dovere di solidarietà di cui all’art. 2 della Costituzione, il quale impone a ciascuno di tollerare minime intrusioni nella propria sfera personale, inevitabilmente scaturenti dalla comune convivenza.
La serietà del danno ai fini della sua risarcibilità, quantomeno prima dell’entrata in vigore del GDPR, era requisito richiesto anche in ambito privacy.
La giurisprudenza della Cassazione in tema di risarcibilità del danno
Basti soffermarsi, a tal proposito, sulla massima comune alla maggior parte delle sentenze rese in materia dalla Suprema Corte di Cassazione: «il danno non patrimoniale risarcibile ai sensi dell’art. 15 del d.lgs. 30 giugno 2003, n. 196 (c.d. codice della privacy) non si sottrae alla verifica di “gravità della lesione” (…) e di “serietà del danno” (…), che, in linea generale, si richiede in applicazione dell’art. 2059 cod. civ. nelle ipotesi di pregiudizio inferto ai diritti inviolabili previsti in Costituzione. Ciò in quanto, anche nella fattispecie di danno non patrimoniale di cui al citato art. 15, opera il bilanciamento (…) del diritto tutelato da detta disposizione con il principio di solidarietà – di cui il principio di tolleranza è intrinseco precipitato -, il quale, nella sua immanente configurazione, costituisce il punto di mediazione che permette all’ordinamento di salvaguardare il diritto del singolo nell’ambito di una concreta comunità di persone che deve affrontare i costi di una esistenza collettiva. L’accertamento di fatto rimesso, a tal fine, al giudice del merito (…) dovrà essere ancorato alla concretezza della vicenda materiale portata alla cognizione giudiziale ed al suo essere maturata in un dato contesto temporale e sociale, dovendo l’indagine, illuminata dal bilanciamento anzidetto, proiettarsi sugli aspetti contingenti dell’offesa e sulla singolarità delle perdite personali verificatesi. Un siffatto accertamento – che, ove l’offesa non superi la soglia di minima tollerabilità o il danno sia futile, può condurre anche ad escludere la possibilità di somministrare il risarcimento del danno – è come tale sottratto al sindacato di legittimità se congruamente motivato» (Cass. civ. n. 16133/2014, poi confermata da Cass. Civ. n. 222/2016, Cass. civ. 20615/2016 e Cass. Civ. n. 207/2019; sul punto, anche Cass. civ. n. 17383/2020, peraltro proprio in tema di possibile divulgazione di dati per effetto di una raccomandata inviata, non già all’indirizzo errato, ma in piego non chiuso e sigillato; successivamente, anche Cass. civ. n. 16402/2021).
Anche se le pronunce citate si riferiscono a trattamenti avvenuti prima dell’entrata in vigore del Regolamento europeo e con riferimento a disposizioni del Codice Privacy ormai abrogate, il principio ribadito dalla Corte assume fondamentale importanza: anche il danno scaturente dalla violazione della normativa in materia di protezione dei dati personali va assoggettato alla verifica della gravità della lesione e della serietà del danno.
I giudici territoriali, chiamati a decidere in concreto sulle istanze risarcitorie, non si sono mai discostati da queste argomentazioni.
La sentenza del Tribunale di Reggio Calabria
A conferma dell’attualità del principio in analisi, si cita ad esempio la sentenza resa dal Tribunale di Reggio Calabria in data 25/02/2020; il giudice calabrese, nell’ambito di una vertenza in tema di pubblicazione online dell’immagine di una persona senza il suo consenso, ha escluso la configurabilità di un danno in re ipsa ma, soprattutto, ha rimarcato la necessità che il danno da risarcire non sia futile, ovvero non consista in meri disagi o fastidi, ma superi la soglia della normale tollerabilità (nella specie: si trattava dell’immagine di una persona acquisita e pubblicata nell’ambito del servizio Street View di Google).
La sentenza 13073/2023 della Suprema Corte
Di recente, con la sentenza n. 13073/2023, la Suprema Corte ha mostrato invece una maggior apertura in tema di danno risarcibile, probabilmente in adeguamento ai principi sanciti dalla citata sentenza della CGUE del 4 maggio 2023.
Pur richiamando, nell’incipit della propria pronuncia, il principio della gravità della lesione e della serietà del danno, difatti, la Cassazione ha specificato ulteriormente che «il soggetto danneggiato a seguito di un trattamento dei suoi dati in violazione delle norme del GDPR e di quelle nazionali di recepimento (cfr. il D.Lgs. n. 101 del 2018 di aggiornamento del codice privacy) può ottenere il risarcimento di qualunque danno occorsogli, anche se la lesione sia marginale».
Riconoscendo la possibile parziale divergenza tra il proprio, consolidato, orientamento e le norme del GDPR, la Suprema Corte ha ritenuto altresì di «puntualizzare il senso di alcune anteriori posizioni» espresse a proposito dell’art. 15 del Codice Privacy.
Tuttavia, in questo contesto, la Corte si è limitata a chiarire che, escludendo la risarcibilità di un danno in re ipsa, intendesse semplicemente confermare la necessità di un bilanciamento tra diritto al risarcimento e principio di solidarietà ex art. 2 Costituzione, rimarcando la vigenza del principio della tolleranza della lesione minima.
Nello specifico, si legge che «il senso dell’affermazione, dopo il GDPR, è offerto dalla constatazione che non è tale da determinare una lesione effettiva del diritto la mera violazione delle prescrizioni poste in tema di trattamento, ma lo è invece quella violazione che concretamente offenda la portata effettiva del diritto alla riservatezza del dato».
Conclusioni
Senza dubbio, con tale ultima pronuncia, la Suprema Corte pare essersi distanziata dal concetto di gravità del danno, seppur richiamandolo, focalizzando la propria disamina sulla serietà della lesione, in modo da escludere dal novero della risarcibilità tutte quelle violazioni della normativa privacy che, in concreto, non abbiano avuto ripercussioni negative sull’interessato.
Ad avviso di chi scrive, tuttavia, l’orientamento nazionale è rimasto eccessivamente ancorato al vecchio impianto risarcitorio, col rischio che i concetti di gravità della lesione e serietà del danno, ancora attuali, conducano ad una reintroduzione, da parte dei tribunali locali, della c.d. «soglia minima» di risarcibilità, in contrasto con le previsioni di cui all’art. 82 GDPR e, pure, con le chiare determinazioni della recente sentenza della CGUE.
In definitiva, se fino a non molto tempo fa l’equilibrio tra tutela risarcitoria e principio di solidarietà sociale era considerato sostanzialmente in linea con le norme del Regolamento, alla luce della recente giurisprudenza unionale l’approccio dei giudizi nazionali pare necessitare di una revisione più chiara e concreta.
Occorre, difatti, che il nostro ordinamento si apra ad un nuovo paradigma risarcitorio, il quale in materia privacy prescinda completamente dall’interpretazione, seppur costituzionalmente orientata, delle norme del Codice Civile e prediliga, invece, quelle del Regolamento europeo.
[1] GDPR E NORMATIVA PRIVACY COMMENTARIO, a cura di Giovanni Maria Riccio, Guido Scorza, Ernesto Belisario, II edizione, p. 725.