Danno non patrimoniale da illecito trattamento dei dati personali e inapplicabilità del filtro sull'accertamento della gravità della lesione

Nell'affrontare la questione del risarcimento del danno derivante dall'illecito trattamento dei dati personali, si tratta di partire dalla constatazione che attualmente è in vigore – nel nostro, così come negli altri paesi dell'Unione europea – un peculiare sistema di responsabilità, istituito dall'art. 82 del GDPR, che viene a sostituire quello applicato in precedenza.
Nel caso di specie, a essere superata (ed oggetto di esplicita abrogazione) risulta la disciplina prevista dall'art. 15 del Codice della privacy, in virtù della quale in questo campo si rinviava all'applicazione del regime previsto dall'art. 2050 c.c. relativamente all'esercizio di attività pericolose e si stabiliva, altresì, la risarcibilità del danno non patrimoniale laddove il trattamento non risultasse rispettoso delle indicazioni formulato dall'art. 11 del medesimo codice.

Una recente pronuncia della Cassazione (Cass. civ. 12 maggio 2023, n. 13073) è pervenuta ad applicare la disciplina delineata dall'art. 82 del GDPR con riguardo all'illecito trattamento dei dati di una propria dipendente da parte di un Comune: quest'ultimo aveva erroneamente pubblicato sull'albo pretorio la notizia del pignoramento, ai fini del versamento alla società creditrice, di una quota dello stipendio dell'interessata, procedendo poi alla rimozione di tale dato nel giro di poco più di 24 ore.
I giudici di legittimità riconoscono che “in base alla disciplina generale del Regolamento (Ue) 2016.679, cd. GDPR, il titolare del trattamento dei dati personali è sempre tenuto a risarcire il danno cagionato a una persona da un trattamento non conforme al regolamento stesso, e può essere esonerato dalla responsabilità non semplicemente se si è attivato (come suo dovere) per rimuovere il dato illecitamente esposto, ma solo se dimostra che l'evento dannoso non gli è in alcun modo imputabile”.

Ciò posto, la S.C. perviene a formulare alcune considerazioni in materia di risarcimento del danno, sottolineando come “l'adeguamento del sistema nazionale alle norme del GDPR impone di puntualizzare il senso di alcune anteriori posizioni espresse da questa Corte a proposito dell'art. 15 del codice privacy”. Si tratta di indicazioni che vanno vagliate alla luce delle affermazioni che – di recente – sono state espresse sul punto dalla Corte di Giustizia europea (CGUE 4 maggio 2023, C.300/21): la quale ha sottolineato che nel GDPR “non opera alcun rinvio al diritto degli Stati membri per quanto riguarda il significato e la portata dei termini di cui all'art. 82 di tale regolamento, in particolare per quanto riguarda le nozioni di ‘danno materiale o immateriale' e di ‘risarcimento del danno' ”, per cui tali termini andranno considerati come nozioni autonome del diritto dell'Unione e interpretate in modo uniforme.

La CGUE sottolinea, in primo luogo, come l'art. 82 del GDPR debba essere interpretato nel senso che “la mera violazione delle disposizioni di tale regolamento non è sufficiente a conferire un diritto al risarcimento”.

I giudici europei evidenziano che rappresenta condizione per il diritto al risarcimento l'esistenza di un danno, il quale sia causalmente ricollegabile all'avvenuta violazione delle norme sul trattamento dei dati. In buona sostanza, una volta riconosciuto che il mancato rispetto delle regole in questo ambito rappresenta una potenziale fonte di pregiudizio, occorre – ai fini risarcitori – che un danno sia concretamente venuto in essere.

La CGUE sottolinea infatti che, mentre l'attivazione di altri mezzi di ricorso previsi dal regolamento è praticabile a fronte della mera violazione delle regole sul trattamento, l'esercizio dell'azione risarcitoria implica le necessità che da tale violazione sia scaturito un danno in capo all'interessato.

In pieno accordo con tali indicazioni appare l'affermazione - formulata dalla Cassazione nella pronuncia n. 13073/2023 - secondo cui “si è detto in vigenza dell'art. 15 che il danno non può dirsi in re ipsa (…) e questo è certamente da mantenere”. Si tratta di conclusioni che appaiono del tutto in linea con quanto risulta, più in generale, affermato dalla giurisprudenza di legittimità in materia di ristoro del danno non patrimoniale: campo in cui si riconosce che la ricorrenza dell'illecito non comporta, di per sé, la possibilità di addivenire alla tutela risarcitoria in assenza della dimostrazione che dallo stesso siano scaturite delle conseguenze dannose.

La questione – abitualmente affrontata dalla giurisprudenza attraverso la distinzione tra danno-evento e danno-conseguenza – ha attinto, in tempi assai recenti, nuova linfa dalle argomentazioni che le Sezioni Unite hanno ritenuto necessario esprimere, con riguardo al sistema della responsabilità civile nel suo complesso, affrontando il nodo del risarcimento del danno da occupazione illegittima: terreno sul quale le conclusioni raggiunte, addivengono in ogni caso a confermare che la tutela risarcitoria non può scattare a fronte della mera violazione del diritto (Cass. civ. Sez. Un. 15 novembre 2022, n. 33645). Violazione del diritto e danno vanno intesi, dunque, come concetti che non possono mai sovrapporsi.

Una netta cesura tra i due elementi emerge nel campo del trattamento dei dati personali, dove – ancor prima della violazione di un diritto – a essere accertata è la violazione di taluna delle regole comportamentali dettate nell'esercizio di una simile attività dalle norme del GDPR. Laddove ciò accada, si tratta poi di stabilire quale sia il diritto concretamente colpito in capo all'interessato, per verificare in seconda battuta se da tale lesione possa inferirsi un qualche effetto dannoso, di carattere patrimoniale o non patrimoniale, a carico dello stesso.

Quanto all'accertamento circa la ricorrenza di conseguenze pregiudizievoli, si tratta di interrogarsi – richiamando ancora una volta le conclusioni raggiunte dalle Sezioni Unite in materia di occupazione illegittima – se ci si possa riferire, in questo campo, alla sussistenza di un “danno presunto” o “danno normale”, la cui esistenza sia da ritenersi scontata al di là di una specifica prova fornita dalla vittima.

Una seconda questione estremamente delicata è quella riguardante la necessità che, ai fini risarcitori, il pregiudizio riportato dall'interessato debba aver superato una certa soglia di tollerabilità, sotto la quale non meriterebbe tutela in virtù del suo carattere bagatellare: conclusione, questa, accolta dalla Cassazione – in vigenza dell'art. 15 del Codice della privacy - sulla scorta delle indicazioni formulate, con riguardo al ristoro del danno non patrimoniale generalmente inteso, dalle Sezioni Unite nelle celeberrime sentenze di San Martino del novembre 2008.

Nel perorare l'applicabilità di un simile filtro non solo al campo della lesione dei diritti inviolabili, ma anche a quello in cui il risarcimento del danno non patrimoniale si espressamente stabilito dalla legge, la S.C. aveva – a suo tempo - argomentato (Cass. civ., 15 luglio 2014, n. 16133) che “anche nella fattispecie di danno non patrimoniale di cui al citato art. 15, opera il bilanciamento (…) del diritto tutelato da detta disposizione con il principio di solidarietà – di cui il principio di tolleranza è intrinseco precipitato – il quale, nella sua immanente configurazione, costituisce il punto di mediazione che permette all'ordinamento di salvaguardare il diritto del singolo nell'ambito di una concreta comunità di persone che deve affrontare i costi di una esistenza collettiva. L'accertamento di fatto rimesso, a tal fine, al giudice di merito, in forza di previe allegazioni e di coerenti istanze istruttorie di parte, dovrà essere ancorato alla concretezza della vicenda materiale portata alla cognizione giudiziale e al suo essere maturata in un dato contesto temporale e sociale, dovendo l'indagine, illuminata dal bilanciamento anzidetto, proiettarsi sugli aspetti contingenti dell'offesa e sulla singolarità delle perdite personali verificatesi. Un siffatto accertamento – che, ove l'offesa non superi la soglia di minima tollerabilità o il danno sia futile, può condurre anche ad escludere la possibilità di somministrare il risarcimento del danno – è come tale sottratto al sindacato di legittimità se congruamente motivato”.

Le conclusioni favorevoli ad applicare una soglia di tollerabilità per quanto riguarda il danno da illecito trattamento dei dati personali (ribadite da varie pronunce di legittimità: v. Cass. civ. 20 agosto 2020, n. 17383; Cass. civ. 26 aprile 2021, n. 11020; Cass. civ. 31 dicembre 2020, n. 29982) sembra rappresentare un riferimento anche per l'ordinanza 13073/2023. Quest'ultima – chiamata ad applicare l'art. 82 del GDPR – sostiene: riconoscere che il danno non è in re ipsa “non può essere tradotto altrimenti che in ciò: che il diritto al risarcimento non si sottrae alla verifica della gravità della lesione e della serietà del danno. Questo perché anche per tale diritto opera il bilanciamento con il principio di solidarietà ex Cost. art 2, di cui quello di tolleranza della lesione minima è un precipitato.

Il senso dell'affermazione, dopo il GDPR, è offerto dalla constatazione che non è tale da determinare una lesione effettiva del diritto la mera violazione delle prescrizioni poste in tema di trattamento, ma lo è invece quella violazione che concretamente offenda la portata effettiva del diritto alla riservatezza del dato”.

Si tratta di affermazioni che non appaiono del tutto limpide, in quanto confondono due piani del discorso ben distinti. In effetti, un conto è affermare che la violazione delle prescrizioni del GDPR non comporta di per sé un pregiudizio, dovendo la ricorrenza dello stesso essere dimostrata; altro è affermare che tale danno, per accedere alla tutela risarcitoria, deve superare una certa soglia minima. Si tratta, infatti, di riconoscere che – pur in presenza della dimostrazione circa l'esistenza di taluna conseguenza dannosa – la stessa potrebbe rivestire secondo il giudice portata minimale, e come tale risultare sottratta alla tutela risarcitoria.

Ora, il riferimento a un filtro del genere – nel campo dell'illecito trattamento dei dati – deve essere definitivamente spazzato via alla luce delle conclusioni raggiunte sul punto dalla CGUE (v. citata sentenza CGUE, 4 maggio 2023, C.300/21). Quest'ultima ha, infatti, stabilito che l'art. 82 del GDPR “osta a una norma o una prassi nazionale che subordina il risarcimento del danno immateriale, ai sensi di tale disposizione, alla condizione che il danno subito dall'interessato abbia raggiunto un certo grado di gravità”. I giudici europei sottolineano che condizionare il risarcimento del danno non patrimoniale al superamento di una certa soglia nuocerebbe alla coerenza di tale regime di responsabilità “poiché la graduazione di una siffatta soglia, da cui dipenderebbe la possibilità o meno di ottenere detto risarcimento, potrebbe variare in funzione della valutazione dei giudici aditi”. Nel respingere l'applicazione di un simile filtro, la Corte europea precisa – d'altronde - come ciò non implichi che la persona interessata da una violazione del GDPR sia dispensata dal dimostrare di aver subito un danno immateriale quale effetto della stessa. Nel ragionamento dei giudici europei, quindi, emerge la netta distinzione esistente tra la questione relativa alla prova circa la ricorrenza di un pregiudizio, quale conseguenza della violazione delle regole sul trattamento dei dati personali, e la differente (e oggi non più praticabile) dimostrazione che tale danno supera una determinata soglia di tollerabilità.

Questione centrale, per quanto riguarda il ristoro del danno derivante da illecito trattamento dei dati personali, è quella riguardante la relativa quantificazione, soprattutto con riferimento alle conseguenze pregiudizievoli di carattere non economico.

Sul punto – nell'illustrare come debba procedersi all'applicazione del regime dettato dall'art. 82 del GDPR – la CGUE afferma che, tenuto conto della funzione compensativa del diritto al risarcimento previsto da tale norma, “un risarcimento pecuniario fondato su tale disposizione deve essere considerato ‘pieno ed effettivo' se consente di compensare integralmente il danno concretamente subito a causa della violazione di tale regolamento, senza che sia necessario, ai fini di una siffatta compensazione integrale, imporre il versamento di un risarcimento punitivo”.

Una volta sgomberato il campo da una visione incardinata sulla punizione del danneggiante, si sottolinea che “i giudici nazionali devono applicare le norme interne di ciascuno Stato membro relative all'entità del risarcimento pecuniario, purché siano rispettati i principi di equivalenza e di effettività del diritto dell'Unione”.

Tale rinvio all'applicazione del diritto interno spinge l'interprete su un terreno sostanzialmente inesplorato, posto che – sotto l'ombrello della regola che rinvia, per il danno non patrimoniale, alla valutazione equitativa di cui all'art. 1226 c.c. – non risultano ancora essere stati elaborati dalla giurisprudenza specifici strumenti di conversione in denaro per il pregiudizio derivante da illecito trattamento dei dati personali nel suo complesso. Si tratta, infatti, di considerare come quest'ultimo sia, di per sé, suscettibile di ledere non soltanto la privacy dell'interessato, ma altresì la sua identità personale, o – ancora – il suo onore e reputazione. Ora, solo per quest'ultimo tipo di lesione è possibile fare riferimento a una tabellazione, elaborata dall'Osservatorio della Giustizia civile di Milano con specifico riguardo al risarcimento dei danni da diffamazione a mezzo stampa e con altri mezzi di comunicazione di massa.

Posto che questo sistema appare basato su una serie di criteri che riguardano tale peculiare figura, le indicazioni che potranno essere tratte al riguardo, sul più generale terreno dell'illecito trattamento dei dati, concernono esclusivamente la possibilità di graduare l'impatto da quest'ultimo provocato attraverso una scala descrittiva di gravità, distinta tra lievissima/lieve/media/grave/ eccezionale. A tale scala si tratterà di agganciare gli intervalli monetari così come determinati con riguardo alla diffamazione, quale range cui fare riferimento per procedere alla liquidazione del danno anche negli altri casi di illecito trattamento dei dati. Si tratta, infatti, di importi che sono stati individuati dalla giurisprudenza sulla base di criteri tutti volti a determinare, in un'ottica eminentemente compensativa, l'impatto determinato dal torto nella dimensione personale della vittima.

In definitiva, è possibile affermare che l'applicazione del nuovo regime di responsabilità di matrice europea nel campo dell'illecito trattamento dei dati personali consente di sgombrare il campo da talune questioni controverse che erano emerse sotto la vigenza della precedente disciplina.

Del tutto superato appare, in particolare, il richiamo riguardante l'applicazione ai fini risarcitori di un filtro relativo all'accertamento della gravità della lesione e della serietà del danno: nessuna soglia minima risulta, oggi, richiesta affinché l'interessato possa ottenere il risarcimento, a condizione che lo stesso sia effettivamente riuscito a provare (sia pure in via presuntiva) che – in seguito all'illecito trattamento dei propri dati – si sia prodotto un qualche riflesso negativo, di ordine patrimoniale o non patrimoniale, nella propria sfera.