Il risarcimento per il data breach e il principio della tolleranza

La Corte di Cassazione torna a pronunciarsi in materia di risarcimento per data breach: il danno per la diffusione dei dati va provato analiticamente.

“Il danno da lesione della privacy per la diffusione dei dati personali va provato analiticamente e non è in re ipsa”. Questo il punto focale della recente ordinanza n. 16402/21 con cui la Corte di Cassazione si è nuovamente pronunciata in materia di risarcimento per il data breach personali ai sensi degli ormai abrogati articoli 11 e 15 del Codice Privacy, i quali prevedevano la risarcibilità del danno, anche di natura non patrimoniale, cagionato per effetto del trattamento dei dati personali in maniera illegittima.

La vicenda prende origine dalla decisione del Tribunale di Messina di rigettare la domanda proposta da un soggetto volta a far accertare l’illecito trattamento dei propri dati personali da parte di un istituto di investigazioni in cooperazione con l’INPS. Tale trattamento, inerente documenti attestanti la situazione retributiva dell’attore, sarebbe stato finalizzato all’acquisizione di elementi di prova da far valere nell’ambito di un procedimento penale in cui lo stesso soggetto era coinvolto. Il giudice di prime cure, pur dando che le informazioni inerenti lo stato retributivo del ricorrente, in epoca antecedente ai fatti oggetto del procedimento penale, fossero effettivamente eccedenti le finalità per cui quei dati erano stati raccolti e trattati, ha ritenuto non responsabile l’istituto di investigazioni. In tal senso, il Tribunale sottolinea il compito del difensore, mandante dell’Istituto, di oscurare le parti dei documenti appresi ritenute non rilevanti ai fini della difesa. Inoltre, il giudice di merito ha ritenuto non dimostrata da parte del ricorrente l’esistenza di un pregiudizio non patrimoniale, essendo stata dedotta esclusivamente la violazione della normativa in materia di privacy, senza addurre ulteriori argomentazioni in merito alle conseguenze derivanti dal trattamento illecito. Avverso la predetta sentenza, il soggetto ha proposto ricorso per Cassazione.

Nella decisione di rigetto, la Corte di Cassazione sottolinea che il soggetto passivo è chiamato ad individuare sempre in maniera analitica il danno conseguente al trattamento illegittimo, senza limitarsi ad allegare che l’illecito uso dei suoi dati gli avrebbe procurato un generico turbamento. Tale schema, in tale ottica, è completamente inadeguato al riconoscimento del danno non patrimoniale in quanto basato su asserzioni generiche ed apodittiche.

In tema di violazione dei dati personali, la Corte di Cassazione ha enunciato il principio di diritto secondo cui il danno non patrimoniale risarcibile ai sensi dell’art. 15 del Codice della Privacy, pur determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli artt. 2 e 21 Cast. e dall’art. 8 della CEDU, non si sottrae alla verifica della “gravità della lesione” e della “serietà del danno”, in quanto anche per tale diritto opera il bilanciamento con il principio di solidarietà ai sensi dell’articolo 2 della Costituzione, di cui quello di tolleranza della lesione minima è intrinseco precipitato, sicché determina una lesione ingiustificabile del diritto non la mera violazione delle prescrizioni poste dall’art. 11 del codice della privacy, ma solo quella che ne offenda in modo sensibile la sua portata effettiva, restando comunque il relativo accertamento di fatto rimesso al giudice di merito. La Corte Suprema sottolinea, pertanto, che il danno alla privacy, come ogni danno non patrimoniale, non sussiste “in re ipsa”, non identificandosi il danno risarcibile con la mera lesione del bene giuridico tutelato, ma in ragione delle conseguenze pregiudizievoli del danno.

Su un simile argomento potrebbe essere interessante l’articolo “La Corte di Cassazione si pronuncia sulla rilevanza del danno da violazione della normativa privacy”.