Quante volte ci si è posti questa domanda? Posso chiedere il risarcimento del danno per violazione della privacy? La risposta è si, ma devono essere presenti alcune condizioni.
Indice dei contenuti
1. Cosa stabilisce il Regolamento UE 2016/679 (GDPR) sul risarcimento del danno per violazione della privacy?
L’art. 82 del GDPR stabilisce che chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal Titolare del trattamento o dal Responsabile del trattamento.
Il Titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il GDPR. Il Responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del GDPR specificatamente diretti ai Responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del Titolare del trattamento.
2. Il Titolare e il Responsabile del trattamento possono essere esonerati dalle loro responsabilità?
Si, il Titolare del trattamento o il Responsabile del trattamento è esonerato dalle proprie responsabilità se dimostra che l’evento dannoso non gli è in alcun modo imputabile. Ad esempio, potrebbero dimostrare di aver adottato adeguate misure tecniche e organizzative per la protezione dei dati personali.
3. Se ci sono più Titolari o Responsabili del trattamento cosa accade?
Qualora più Titolari del trattamento o Responsabili del trattamento oppure entrambi siano coinvolti nello stesso trattamento e siano responsabili dell’eventuale danno causato dal trattamento, ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato.
4. Il Garante Privacy può decidere sul risarcimento del danno?
No. Le azioni legali per l’esercizio del diritto al risarcimento del danno sono promosse dinanzi alle autorità giurisdizionali competenti (es. Tribunale).
5. Cos’è il danno non patrimoniale?
Il danno non patrimoniale è quel danno che lede i diritti inviolabili della persona, garantiti dalla Carta costituzionale. Si tratta di un danno che colpisce la sfera intima e personale del soggetto e come tale va stimato secondo criteri di uniformità ed equità.
È, inoltre, risaputo che il danno non patrimoniale, al di fuori dei casi determinati dalla legge, è ammesso quando venga accertata la lesione di un diritto inviolabile della persona riconosciuto dalla Costituzione.
La violazione della privacy può causare danni significativi alla sfera personale e alla reputazione degli interessati e ciò anche in assenza di danni materiali diretti.
6. Il Giudice di cosa tiene conto per valutare il danno non patrimoniale causato dalla violazione della privacy?
Per orientamento ormai consolidato in giurisprudenza, è risarcibile il danno non patrimoniale che si identifica con qualsiasi conseguenza pregiudizievole subita dall’interessata/o.
In particolare, il Giudice è chiamato a valutare sia le conseguenze subite (quindi il danno subito) dal danneggiato nella sua sfera morale a causa della violazione della privacy (che si collocano nella dimensione del rapporto del soggetto con sé stesso), sia quelle incidenti sul piano dinamico-relazionale della sua vita (che si dipanano nell’ambito della relazione del soggetto con la realtà esterna) (Cass. civ., Sez. III, Ord., (data ud. 10/10/2023) 16/04/2024, n. 10155). Ad esempio, pensiamo al danno che può derivare dalla diffusione di dati sanitari, danni alla serenità della coppia o a danni che possono essere causati alla reputazione, all’immagine o all’onore della persona.
Il danno non è costituito dalla violazione stessa della privacy (in re ipsa). In altre parole, non è sufficiente provare che il Titolare o il Responsabile del trattamento abbia violato la normativa privacy, ma è necessario provare:
- 1) la violazione della norma;
- 2) il danno subito un danno a causa di tale violazione;
- 3) che il danno è una conseguenza di tale violazione (nesso causale). La prova del danno può essere fornita anche tramite presunzioni semplici (v. Cass. Sez. 3, Ordinanza n. 19551 del 10/07/2023 , Rv. 668139 – 01; Cass. Sez. 3, Sentenza n. 20643 del 13/10/2016 , Rv. 642923 – 02), ossia anche attraverso l’indicazione degli elementi costitutivi e delle specifiche circostanze di fatto da cui desumerne, sebbene in via presuntiva, l’esistenza (Cass. Sez. 3, Ordinanza n. 34026 del 18/11/2022, Rv. 666153 – 01).
7. Chi calcola il danno non patrimoniale causato dalla violazione della privacy?
La liquidazione del danno è compiuta dal giudice di merito e resta affidata al criterio equitativo, non sindacabile in sede di legittimità allorquando lo stesso giudice dia conto del criterio medesimo e la valutazione risulti congruente al caso e la concreta determinazione dell’ammontare del danno non sia, per eccesso o per difetto, palesemente sproporzionata (Cass. Sez. 3 14/07/2004, n. 13066) o non congrua (Cass. Sez. 3, 7/03/2003 n. 3414) o, addirittura, simbolica o irrisoria (Cass. Sez. 3, 16/05/2003 n. 7632). Il Giudice liquida il danno in base alle prove fornite dall’interessato che deve, quindi, produrre, nel corso del giudizio di merito, le prove del danno subito.
8. Il comportamento del Titolare o del Responsabile incide sulla liquidazione del danno?
Si, se il Titolare o il Responsabile si attivano tempestivamente per porre rimedio alle conseguenze derivanti dalla violazione del GDPR, il Giudice ne terrà conto nella liquidazione del danno. Ad esempio, se si attivano entro poche ore per oscurare dati sensibili pubblicati per errore su un sito web.
9. Esiste una soglia minima di risarcibilità del danno?
No, non è consentito subordinare la risarcibilità del danno al superamento di una determinata soglia di gravità, perché la graduazione di una siffatta soglia, da cui dipenderebbe la possibilità o meno di ottenere detto risarcimento, potrebbe variare in funzione della valutazione dei giudici aditi (Corte UE, sentenza 4 maggio 2023, causa C-300/21).
avv. Gianfranco Leggio
(29.05.2024)