Secondo la Cassazione, il danno violazione della normativa privacy non è risarcibile se lo stesso non è provato dal relativo interessato.
Alla fine di agosto del 2020, la Suprema Corte di Cassazione è intervenuta sul tema del risarcimento per violazione dei dati personali ai sensi degli ormai abrogati articoli 11 e 15 del Decreto Legislativo 196/2003 (“Codice Privacy”), i quali prevedevano la risarcibilità del danno, anche di natura non patrimoniale, cagionato per effetto del trattamento dei dati personali in maniera illegittima.
La vicenda prende origine dalla domanda proposta da uno studio professionale nei confronti di un istituto bancario, con la quale si contestava la violazione del divieto di segretezza delle informazioni bancarie con riferimento ad una raccomandata inviata dalla banca, priva di busta e ripiegata su se stessa, contenente la revoca degli affidamenti concessi allo studio. Il Tribunale di Roma rigettava la richiesta per difetto di prova sia dell’evento lesivo, i.e., la lettura del testo della raccomandata da parte di terzi, che del relativo danno subito dal proponente. Lo studio professionale ricorreva quindi in Cassazione contro tale decisione.
La Suprema Corte, investita della questione, ha rigettato il ricorso, affermando che gli articoli 11 e 15 del Codice Privacy non riconoscono il risarcimento del danno per il solo fatto che vi sia stato un trattamento dei dati personali avvenuto in maniera illecita. Infatti, nelle parole della Corte “il danno non patrimoniale risarcibile ai sensi dell’articolo 15 […], pur determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli artt. 2 e 21 Cost. e dall’art. 8 della CEDU, non si sottrae alla verifica della gravità della lesione e della serietà del danno (quale perdita di natura personale effettivamente patita dall’interessato), in quanto anche per tale diritto opera il bilanciamento con il principio di solidarietà ex art. 2 Cost., di cui il principio di tolleranza della lesione minima è intrinseco precipitato, sicché determina una lesione ingiustificabile del diritto non la mera violazione delle prescrizioni poste dall’art. 11 del Codice Privacy, ma solo quella che ne offenda in modo sensibile la sua portata effettiva”.
Anche se la pronuncia si riferisce ad un trattamento avvenuto precedentemente all’entrata in vigore del Regolamento (EU) 2016/679 (il GDPR) e con riferimento a disposizioni del Codice Privacy ormai abrogate, la Corte ha ribadito un importante principio per il quale il danno scaturente dalla violazione della normativa in materia di protezione dei dati personali rimane soggetto alla verifica della gravità della lesione e della serietà del danno.
Questa sentenza costituisce un importante precedente in materia di risarcimento del danno degli interessati. E’ vero che il principio dell’accountability comporta un’inversione dell’onera della prova, ma è anche vero che l’effettivo danno subito deve essere provato. Allo stesso modo, in caso di controversie davanti al Garante, la mancanza di danno da parte degli interessati, sarà un elemento di rilievo nella quantificazione dell’eventuale sanzione per la violazione del GDPR.
Autore: DLA Piper
