Il fornitore non è sempre responsabile del trattamento

Privacy e danno non patrimoniale. Anzi no, danno immateriale!

Il danno non patrimoniale per trattamento illecito dei dati personali va liquidato solo se sono accertate la gravità della lesione e serietà del danno (Cass. Sez. I, n. 29982/20 del 31 dicembre 2020).

Con la sentenza in commento si tirano le somme sulla rilevanza della lesione subita a seguito di un illecito trattamento dei dati personali.

È l’occasione giusta per distinguere tra lesione e danno, nonché tra l’uso spesso promiscuo che si fa delle locuzioni “danno morale”, danno non patrimoniale” e ora pure “danno immateriale”!

Il caso

Nel 2014 un collaboratore scolastico proponeva ricorso innanzi al Tribunale di Torino chiedendo – tra le altre cose – il ristoro per danno non patrimoniale per aver patito “umiliazione, imbarazzo e disagio” a seguito della condotta del direttore amministrativo della scuola il quale, nell’ambito di un’indagine di polizia giudiziaria, aveva rivelato a quest’ultima di alcune contestazioni disciplinari sollevate in passato nei confronti del ricorrente.

Il Tribunale rigettava il ricorso e il collaboratore proponeva nel 2015 impugnazione in Cassazione.

Il tema sollevato, per i profili qui di interesse, riguardava in particolare il mancato riconoscimento del danno non patrimoniale per trattamento illecito dei dati.

Il quadro normativo

Dopo l’entrata in vigore del GDPR, e le modifiche introdotte alla normativa nazionale dal D.Lgs. 101/2018, è stato abrogato l’art. 15 del Codice Privacy (D.Lgs. 196/2003) il quale prevedeva al secondo comma che «Il danno non patrimoniale è risarcibile anche in caso di violazione dell’articolo 11» e cioè, in via generale, in ogni caso di trattamento illecito o non corretto di dati personali[1].

Quella disposizione è oggi sostituita dall’art. 82 GDPR il quale, con una formulazione originale, prevede che: «Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento». Pare così essere stata introdotta la nozione extragiuridica (almeno nel nostro ordinamento) del “danno immateriale” in luogo del ben noto “danno non patrimoniale”.

Va innanzi tutto chiarito che «materiale o immateriale» (nella versione in inglese: «material and non-material») non va inteso come danno “grave e non grave”, laddove, appunto, i material damages sono intesi letteralmente come danni gravi. Ciò poiché in common law (se è lì che deve cercarsi l’appiglio interpretativo) non esiste una categoria di non-material damages.

Peraltro, «materiale o immateriale» non deve nemmeno intendersi come danno per lesione di bene materiale contro danno per lesione di bene immateriale. Innanzi tutto perché tale distinzione non rileva in alcun modo in termini di diritto sostanziale, e poi perché non sono certamente possibili danni a “cose” che siano mera conseguenza di trattamenti illeciti di dati personali.

Pertanto, «materiale o immateriale» deve necessariamente intendersi come danno patrimoniale e non patrimoniale.

Questa interpretazione è sorretta dal considerando 146: «Il titolare del trattamento o il responsabile del trattamento dovrebbe risarcire i danni cagionati a una persona da un trattamento non conforme al presente regolamento […]. Il concetto di danno dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di giustizia in modo tale da rispecchiare pienamente gli obiettivi del presente regolamento. […] Gli interessati dovrebbero ottenere pieno ed effettivo risarcimento per il danno subito».

Va sottolineato che il danno immateriale non è neanche assimilabile al c.d. danno morale. Con quest’ultima espressione (spesso ahimè confusa con il danno non patrimoniale) s’intende null’altro che il danno da lesione di diritto morale (diritto d’autore) o danno per lesione del diritto alla reputazione, all’onore, alla vita di relazione e, se vogliamo, alla felicità in generale. Tutte ipotesi da cui possono derivare danni patrimoniali e non patrimoniali[2].

La decisione

In ordine alla domanda risarcitoria per danno non patrimoniale non accolta dal Tribunale e portata al suo cospetto, la Cassazione, facendo riferimento ratione temporis all’art. 15 del Codice Privacy, ha ricordato che il danno non patrimoniale per essere liquidato necessita che il fatto giuridico sia connotato da requisiti di gravità della lesione e serietà del danno per il superamento della soglia di tolleranza imposta dal dovere costituzionale di solidarietà[3].

Gravità e serietà non riscontrate nella fattispecie al suo esame in quanto le informazioni circolate, presuntivamente lesive, attenevano a «semplici contestazioni mosse al ricorrente (e non a veri e propri provvedimenti disciplinari), prive di riferimenti specifici».

Gli ermellini escludono quindi che dal solo trattamento illecito possa derivare un danno risarcibile come mero “danno evento”, dovendo questo essere non solo allegato, ma provato nella sua entità (gravità e serietà).

Concludendo

  1. Il riferimento a danni materiale e immateriali di cui all’art. 82 GDPR, va inteso come danni patrimoniali e non patrimoniali.
  2. È bene distinguere la lesione dal danno. La prima è l’evento, il secondo la conseguenza. Vi sono lesioni senza danno e danni senza lesione[4].
  3. I danni non patrimoniali non sono danni morali!

Cass. Sez. I, 31 dicembre 2020, n. 29982

Francesco Rampone – f.rampone@lascalaw.com

© RIPRODUZIONE RISERVATA

_

[1] L’art. 11 disponeva, più in dettaglio, che i dati devono essere raccolti e registrati per scopi determinati, espliciti e legittimi. Essi devono poi essere sempre (i) esatti e, se necessario, aggiornati; (ii) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati; (iii) conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati. Oggi, l’articolo in questione, è sostituito dall’art. 5 GDPR.

[2] Sui rilievi penali di cui all’art. 167 del Codice Privacy, si rinvia al mio precedente contributo su questa rivista, Delitto da trattamento illecito di dati personali. La Cassazione fornisce utili chiarimenti (qui).

[3] Fondamentale è il richiamo alle sentenze gemelle di Cass. SS.UU. dell’11 novembre 2008 nn. 26972 e 26975. Più recentemente si vedano Cass. 17383/20, Cass. 207/2019, Cass. 14242/18.

[4] Una ricostruzione esegetica dell’art. 15 del Codice Privacy, pur prospettata da autorevole dottrina, riteneva possibile il risarcimento del danno non patrimoniale a seguito del mero riscontro di un trattamento illecito ex art. 11 qualificandolo quindi come «danno evento», quantificabile sulla base di valutazioni equitative, pur in assenza di un «danno conseguenza» (Di Ciommo, La risarcibilità del danno non patrimoniale da illecito trattamento dei dati personali, in Danno e resp., 7, 2005, p. 801).

Print Friendly, PDF & Email

Condividi su

Potrebbe interessarti anche
Il TAR detta regole restrittive per i DPO persone giuridiche

Con proprio provvedimento del 29 aprile scorso, il Garante privacy ha definitivamente approvato il ...

Privacy

Il fornitore non è sempre responsabile del trattamento

Fastweb sanzionata per oltre 4.5 milioni di euro. È assai utile analizzare il lungo e articolato...

Privacy

Il fornitore non è sempre responsabile del trattamento

Anche questa volta si tratta di Facebook, azienda non nota per il rispetto della privacy dei suoi ut...

Privacy

X