Dati personali pubblicati per errore sull’albo pretorio del Comune: la dipendente ha diritto al risarcimento
16 Maggio 2023
Un Comune veniva condannato al risarcimento dei danni cagionati ad una propria dipendente a causa di un trattamento illecito di dati personali. Il Comune ha proposto ricorso in Cassazione dolendosi per la violazione del GDPR per avere il tribunale ignorato le circostanze che avevano condotto all'illecito trattamento del dato personale dell'interessata e per aver ritenuto il danno in re ipsa. La vicenda era ricondotta alla pubblicazione sull'albo pretorio del Comune di dati personali della dipendente (determina relativa al pignoramento per un importo dello stipendio), fatto che, secondo l'ente ricorrente, era riconducibile ad un incidente, distrazione o errore umano, non prevedibile né evitabile, dell'operatore autorizzato al trattamento dati e a tal fine adeguatamente istruito. L'operatore infatti aveva inavvertitamente “spuntato” il campo “pubblica” in corrispondenza del dato che invece doveva rimanere a solo uso interno. A tale incidente era stato posto rimedio in poco più di 24 ore e, sempre secondo l'ente, si sarebbe dovuto escludere un danno quale conseguenza della accidentale affissione all'albo pretorio. Il ricorso non trova accoglimento da parte della Suprema Corte. La pronuncia sottolinea l'irrilevanza del fatto che la pubblicazione sia avvenuta per errore umano, distrazione o altro, posto che il titolare del trattamento dei dati risponde anche per il fatto colposo dei propri dipendenti, come già sancisce in generale l'art. 2049 c.c. per tutta la materia della responsabilità civile. Ciò posto, viene ribadito che «il punto fondamentale è che il danno non patrimoniale risarcibile è in questi casi determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato costituzionalmente (artt. 2 e 21 Cost. e art. 8 Cedu). La rilevanza del rimedio risarcitorio è confermata dal GDPR, il cui art. 82 stabilisce che "chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento"». Il soggetto danneggiato a seguito di un trattamento dei suoi dati in violazione delle norme del GDPR e di quelle nazionali di recepimento (d.lgs. n. 101/2018 di aggiornamento del codice privacy) può dunque ottenere il risarcimento di qualunque danno subito, anche se la lesione sia marginale e il titolare risponde per il danno causato dal trattamento in violazione del regolamento indipendentemente dall'eventuale concorso del responsabile specifico. Passando alla questione della sussistenza del danno e fermo restando che il danno non può dirsi in re ipsa, la pronuncia afferma che «il diritto al risarcimento non si sottrae alla verifica della gravità della lesione e della serietà del danno. Questo perché anche per tale diritto opera il bilanciamento con il principio di solidarietà ex art. 2 cost., di cui quello di tolleranza della lesione minima è un precipitato. Il senso dell'affermazione, dopo il GDPR, è offerto dalla constatazione che non è tale da determinare una lesione effettiva del diritto la mera violazione delle prescrizioni poste in tema di trattamento, ma lo è invece quella violazione che concretamente offenda la portata effettiva del diritto alla riservatezza del dato». Si tratta di un accertamento di fatto rimesso al giudice di merito, che nel caso di specie è stato correttamente condotto. In conclusione, tutte le giustificazioni addotte dal Comune risultano irrilevanti nonché prive di decisività e inammissibilmente finalizzate a sovvertire il giudizio di fatto. (fonte: Diritto e Giustizia) |