Con l’Ordinanza n. 4475/2021 la Corte di Cassazione torna nuovamente a pronunciarsi sulla violazione di dati personali.
Il presente contributo analizza i principi espressi dalla Corte e svolge alcune considerazioni sul tema del risarcimento del danno non patrimoniale legato alla violazione di dati personali.
Fatti della causa
Obblighi contrattuali e doveri del titolare del trattamento
Violazione di dati personali e risarcimento del danno
Fatti della causa
La Corte viene chiamata a decidere se la comunicazione delle coordinate bancarie di un terzo effettuata dalla compagnia assicuratrice ad un proprio assicurato costituisce o meno violazione di dati personali.
Nella specie, sostenendo di adempiere ad un proprio obbligo contrattuale, la compagnia aveva condiviso con il proprio assicurato una copia dell’atto con cui venivano liquidati i danni al terzo danneggiato. Nell’atto reso noto dalla compagnia erano presenti i dati personali (in questo caso l’IBAN) del terzo che, in seguito, venivano divulgate ad altre persone da parte dall’assicurato. Lamentando di aver subito un danno dalla divulgazione, l’interessato citava in giudizio la compagnia, ma si vedeva negare la propria richiesta dal giudice del primo grado il quale riteneva che la compagnia assicuratrice:
doverosamente ha trasmesso al suo assicurato l’atto di transazione e quietanza […] non violando alcun obbligo di custodia e riservatezza di dati sensibili.
Secondo tale giudice, inoltre, la diffusione delle informazioni riguardanti il terzo non costituiva violazione di dati personali perché “nulla ha a che fare con la legge sulla protezione dei dati personali”.
Obblighi contrattuali e doveri del titolare del trattamento
Sebbene il ricorso oggetto della decisione faccia riferimento al D.lgs. n. 196/2003 (Codice della privacy) nella sua versione originale, i principi espressi dalla Corte sono tuttora validi e conformi al Regolamento UE n. 679/2016 (noto anche come GDPR).
Dopo aver ricondotto l’oggetto della causa nell’ambito di applicazione del Codice della privacy essendo le coordinate qualificate come dati personali, la Corte si sofferma sugli obblighi del titolare del trattamento. La Cassazione sottolinea che l’attività di trattamento dei dati personali deve svolgersi nel rispetto dei principi imposti dalla normativa sulla privacy. Essa richiama a questo riguardo quanto disposto dall’art. 11 del Codice della privacy nell’originaria formulazione, ora contenuti nell’art. 5 del GDPR. La normativa impone al titolare del trattamento di trattare i dati personali in modo lecito e secondo correttezza consentendo all’interessato di conoscere chi dispone dei propri dati e come questi vengono trattati. L’interessato ha inoltre il diritto di opporsi al trattamento, oppure chiederne la cancellazione, la trasformazione, il blocco, ovvero la rettificazione, l’aggiornamento, l’integrazione (diritti questi confluiti nel GDPR agli artt. 15 e seguenti).
La Corte rigetta quindi la lettura offerta dal tribunale che aveva ritenuto conforme alla normativa sulla privacy la condivisione delle coordinate bancarie dell’interessato effettuata dalla compagnia. Priva di fondamento risulta anche la pretesa secondo cui la condivisione dei dati personali era necessaria per dare esecuzione ad un obbligo contrattuale, perché questo poteva essere adempiuto oscurando le informazioni personali dell’interessato. L’adempimento di un obbligo contrattuale non può, secondo la Cassazione, prevalere sul diritto alla riservatezza ed alla tutela dei dati personali.
Violazione di dati personali e risarcimento del danno
Nella decisione appena esaminata, la Corte di Cassazione rinvia al giudice di primo grado senza però soffermarsi sulla questione del risarcimento del danno da violazione di dati personali. Risulta comunque importante svolgere alcune brevi considerazioni su questo aspetto dato il rilievo che il tema riveste per l’interessato danneggiato dalla condotta illecita del titolare del trattamento.
Il GDPR stabilisce la disciplina, per così dire, sostanziale in tema di risarcimento del danno al primo comma del suo art. 82, (rubricato: “Diritto al risarcimento e responsabilità”) il quale dispone che:
Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.
A rispondere del danno sarà quindi:
il titolare del trattamento che abbia trattato dati personali in violazione degli obblighi imposti dal regolamento, oppure
il responsabile del trattamento, solamente se ha eseguito il trattamento dei dati personali in violazione alle disposizioni che ad esso si riferiscono, o non ha rispettato le istruzioni del titolare del trattamento (art. 82, comma 2).
Il successivo terzo comma dell’art. 82 specifica che non si è di fronte ad una responsabilità cosiddetta oggettiva, ma titolare o responsabile del trattamento possono essere esonerati dalla responsabilità offrendo la prova della non imputabilità del danno alla loro condotta.
La risarcibilità del danno non patrimoniale
La norma contempla la risarcibilità sia del danno materiale che di quello immateriale, e quindi del danno non patrimoniale (categoria che comprende ogni danno non suscettibile direttamente di valutazione economica). Nella vigenza del Codice della privacy, la Corte di Cassazione ha definito i criteri della risarcibilità del danno non patrimoniale derivante dalla violazione di dati personali.
La Corte ha stabilito infatti che: se da una parte, la violazione di dati personali lede diritti fondamentali della persona tutelati da norme di rango costituzionale; dall’altra, la sola violazione della norma in tema di protezione di dati personali non costituisce di per sé stessa condizione sufficiente per la risarcibilità del danno. L’interessato dovrà infatti fornire la prova del danno sofferto che però
non si sottrae alla verifica della “gravità della lesione” e della “serietà del danno” (quale perdita di natura personale effettivamente patita dall’interessato) (Cass. civ. Ord. n. 17383/2020).
Al riguardo, l’interessato può provare che la sofferenza subita dalla violazione dei propri dati personali supera la soglia di tollerabilità dovuta alla civile convivenza sottoponendosi, ad esempio, ad apposita visita medica che certifichi la serietà e gravità del danno patito.
Considerazioni conclusive
La decisione della Corte di Cassazione appena esaminata conferma l’importanza rivestita dalla formazione in tema di trattamento dei dati personali.
Questo risulta ancora più importante a seguito dell’entrata in vigore del Regolamento UE n. 679/2016, che impone al titolare del trattamento non solamente il rispetto dei principi da questa introdotti, ma anche un vero e proprio obbligo di dimostrare quali sono le misure adottate per conformarsi a tali principi (principio di responsabilizzazione).
La piena conoscenza di quelli che sono gli obblighi imposti è pertanto requisito indispensabile per evitare conseguenze negative, che possono diventare particolarmente onerose per le imprese che non si adeguano.