Danno da privacy: la CGUE ammette la risarcibilità del danno emotivo per il futuro senza il filtro della gravità dell’offesa e della serietà del danno
31 Gennaio 2024
Massima Risarcibilità del danno-privacy ex art. 82 GDPR: non esiste il filtro della “gravità della lesione e della serietà del danno”. La CGUE conferma il proprio orientamento e ammette addirittura la risarcibilità del danno emotivo reale e attuale (che dev'essere sempre provato) causato dal timore di un potenziale e futuro utilizzo abusivo dei propri dati personali a seguito di data breach. Il caso L'Agenzia delle Entrate bulgara subisce un attacco hacker al proprio database con pubblicazione on line dei dati personali dei contribuenti: restano coinvolte più di 6 milioni di persone. Alcune centinaia di esse attivano un'azione di risarcimento per il danno morale subito a causa della mancata adeguatezza delle misure di sicurezza adottate dalla ridetta Agenzia delle Entrate (NAP). Il danno morale lamentato consisterebbe nel turbamento emotivo reale e attuale causato dal timore di subire un potenziale e futuro utilizzo abusivo dei propri dati personali fino al punto di temere un ricatto, un'aggressione o un rapimento. La ricorrente in parola chiede ex art. 82 GDPR un risarcimento di questo danno immateriale per circa 510,00 euro. Il TAR di Sofia respinge la richiesta. Così la donna propone ricorso per cassazione alla Corte Suprema Amministrativa della Bulgaria che decide di sospendere il giudizio e rivolgere alla CGUE le seguenti 5 questioni:
La questione La questione in esame, delle cinque sottese alla sentenza, è la numero 5 ovvero il riconoscimento del “danno immateriale” concretizzatosi - in questo caso - nel danno emotivo reale e attuale causato dal timore per il potenziale e futuro utilizzo improprio dei dati personali. Le soluzioni giuridiche In estrema sintesi, in merito alle questioni sottoposte, la CGUE si pronuncia così:
Si vuole qui approfondire, in particolare, la questione n. 5. Il danno emotivo individuato dalla CGUE si inquadra nel nuovo contesto giuridico generato dalla creatura del legislatore eurounitario denominata “danno immateriale” dell'art. 82 GDPR. Questa nuova figura si sgancia dalle costruzioni normative e giuridiche degli Stati interni sul danno non patrimoniale da illecito trattamento dei dati personali. Riguardo al nostro ordinamento giuridico, l'art.82 GDPR taglia i ponti con il filtro della “gravità della lesione e della serietà del danno” inaugurato dalle Sentenze di San Martino del 2008. In materia di danni da illecito trattamento dei dati personali la nostra Corte di cassazione ha sempre rispettato questo filtro. In particolare, si ricorda la Cass. 15 luglio 2014, n. 16133 secondo cui “il danno non patrimoniale risarcibile, ai sensi del d.lgs. 30 giugno 2003, n. 196, art 15 (cosiddetto codice della privacy), pur determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli artt. 2 e 21 Cost, e dall'art. 8Cedu, non si sottrae alla verifica della gravità della lesione e della serietà del danno (quale perdita di natura personale effettivamente patita dall'interessato), in quanto anche per tale diritto opera il bilanciamento con il principio di solidarietà ex art. 2 Cost., di cui il principio di tolleranza della lesione minima è intrinseco precipitato”. Questo arresto viene considerato fondante nella giurisprudenza sul danno-privacy e sposato anche da Cass. Civ. sez. VI, 11 gennaio 2016, n. 222 (per approfondire si legga Patrizia Ziviz “Smarrimento di documenti contenenti dati sensibili e i filtri della gravità dell'offesa e della serietà del pregiudizio per la risarcibilità del danno non patrimoniale” Cass. Civ. sez. VI, 11 gennaio 2016, n. 222) Il filtro sulla soglia di tollerabilità del danno è una costante nella nostra giurisprudenza di legittimità in materia di danno-privacy: Cass. civ. 20 agosto 2020, n. 17383; Cass. civ. 31 dicembre 2020, n. 29982; Cass. civ. 26 aprile 2021, n. 11020 fino alla Cass. Civ. sez. I, 12 maggio 2023, n. 13073: “quest'ultima - chiamata ad applicare l'art. 82 del GDPR - sostiene: << riconoscere che il danno non è in re ipsa "non può essere tradotto altrimenti che in ciò: che il diritto al risarcimento non si sottrae alla verifica della gravità della lesione e della serietà del danno. Questo perché anche per tale diritto opera il bilanciamento con il principio di solidarietà ex Cost. art 2, di cui quello di tolleranza della lesione minima è un precipitato>>” (in questi termini, Patrizia Ziviz “Danno non patrimoniale da illecito trattamento dei dati personali e inapplicabilità del filtro sull'accertamento della gravità della lesione”). È la giurisprudenza della Corte di Giustizia UE ad abbattere la soglia di tollerabilità del danno, pilastro delle Corti interne, ammettendo nell'ambito del danno-privacy anche la risarcibilità di quelli che nel nostro ordinamento interno possono definirsi “danni bagatellari”. L'art. 82 GDPR non opera alcun rinvio al diritto dei vari Paesi UE e fonda determinazioni originarie di “risarcimento del danno” e di “danni materiali e immateriali” quali “nozioni autonome del diritto dell'Unione che devono essere interpretate i n modo uniforme in tutti gli Stati membri”. Il concetto di danno emotivo causato dal timore per il potenziale e futuro utilizzo scorretto dei propri dati personali scolpito dalla sentenza in esame si inquadra nell'orientamento ermeneutico inaugurato dalla CGUE 4 maggio 2023, (C-300/202, Österreichische Post) secondo cui l'art. 82 GDPR fonda la risarcibilità di qualsiasi pregiudizio derivante dalla violazione del regolamento data protection e dismette l'orientamento granitico della soglia di tollerabilità del danno fiorito sull' art. 15 del Codice Privacy ormai abrogato. La CGUE 4.05.23 osserva che l'art. 82 GDPR non richiede una certa soglia di gravità per il risarcimento del danno. Osserva anche, tuttavia, che una violazione del GDPR di per sé non implica automaticamente un risarcimento. Occorre, come noto, che vi sia la violazione, la dimostrazione del danno e il nesso di causalità tra i due. In difetto di queste tre condizioni – nessuna esclusa – risulta impossibile attivare una richiesta risarcitoria. La CGUE 4.05.23 sostiene che l'ampia concezione di danno insita nel diritto eurounitario non ammette l'ipotesi di un criterio di restrizione come la soglia di tollerabilità del danno. Inoltre, quest'ultima, ove ammessa, potrebbe determinare un'applicazione non omogenea a causa delle differenti graduazioni di tollerabilità adottate dalle varie Corti interne. Allo stesso tempo si rinvia a queste ultime per i criteri di quantificazione del danno da determinarsi in base al diritto di ciascuno Stato Membro tenendo presente i principi eurounitari di effettività della tutela e della funzione compensativa del risarcimento del danno secondo cui il danneggiato ha diritto di ottenere un pieno ed effettivo risarcimento (Considerando 146 GDPR). Esposto il quadro ermeneutico della Corte di Giustizia sulla determinazione del danno-privacy risulta comprensibile che questo sia terreno fertile per dare vita al danno emotivo nelle sue molteplici tipologie. La sentenza in esame (CGUE 14.12.23, C-340/2021) genera appunto una nuova tipologia di danno emotivo causato dal “timore che i [propri] dati personali che sono stati pubblicati senza il [proprio]consenso siano oggetto di un utilizzo abusivo, in futuro, o che [si] subisca un ricatto, un'aggressione, o addirittura un rapimento.” Tale elaborazione – così la Corte UE (punto 82) - trova fondamento nel Considerando 85 del GDPR secondo cui “[u]na violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d'identità, perdite finanziarie, (...) o qualsiasi altro danno economico o sociale significativo» Da tale elenco esemplificativo dei «danni» che possono essere subiti dagli interessati risulta che il legislatore dell'Unione ha inteso includere in tali nozioni, in particolare, la semplice «perdita di controllo» sui loro dati , a seguito di una violazione di tale regolamento, quand'anche un utilizzo abusivo dei dati di cui trattasi non si sia verificato concretamente a danno di dette persone.” Questo significa che si risarcisce l'attuale e reale danno emotivo per qualcosa che potrà o non potrà verificarsi. Posto ciò, resta in piedi il principio della prova e quindi occorre provare il danno emotivo causato da questo timore. Così la CGUE 14.12.23: “Tuttavia, occorre sottolineare che una persona interessata da una violazione del RGPD, che abbia subito conseguenze negative, è tenuta a dimostrare che tali conseguenze costituiscono un danno immateriale, ai sensi dell'articolo 82 di tale regolamento [v., in tal senso, sentenza del 4 maggio 2023, Österreichische Post (Danno inerente al trattamento di dati personali), C-300/21, EU:C:2023:370, punto 50]. In particolare, qualora una persona che chiede un risarcimento su tale base invochi il timore che in futuro si verifichi un utilizzo abusivo dei suoi dati personali a causa dell'esistenza di una siffatta violazione, il giudice nazionale adito deve verificare che tale timore possa essere considerato fondato, nelle circostanze specifiche di cui trattasi e nei confronti dell'interessato”. Osservazioni L’orientamento interpretativo della Corte di Giustizia UE sulla risarcibilità del danno emotivo ci lascia ipotizzare la nascita di nuovi e ulteriori tipi di questo danno da illecito trattamento dei dati personali. Il sistema sarà in grado di reggere tutte le possibili class action e la fioritura di contenziosi sprigionati da questa tesi? |