In quali casi e al verificarsi di quali presupposti è risarcibile un danno da violazione della privacy? Lo chiarisce la Cassazione nell’ordinanza in data 16 aprile 2024 n. 10155, richiamando gli esiti della consolidata elaborazione giurisprudenziale in tema di danno non patrimoniale.
Il caso sottoposto alla suprema Corte riguarda una signora che, dopo aver richiesto il rimborso delle spese sostenute per prestazione sanitarie volte al concepimento medicalmente assistito alla Direzione del D.S. di Cosenza, vede pubblicata sull’Albo Pretorio online dell’ASP di Cosenza la delibera di accoglimento di tale istanza, con la sorpresa di trovare pubblicati, insieme a tale delibera, anche dati sensibili riguardanti la sua persona, le sue patologie e i trattamenti eseguiti, nonché le coordinate bancarie per l’accredito del rimborso.
La signora cita l’ASP di Cosenza dinanzi al Tribunale di Cosenza per ottenere la condanna di quest’ultima al risarcimento dei danni, patrimoniali e non, quantificati in 150mila euro, allegando la violazione dell’art. 2 Cost. dell’art. 8 CEDU e dell’art. 4 del Codice Privacy.
Il Tribunale di Cosenza accoglie solo in minima parte le richieste dell’Attrice, rilevando che: i) le generalità di Tizia e le coordinate bancarie di Caio erano state oscurate entro le 24 ore dalla pubblicazione sull’Albo pretorio; ii) nella delibera non erano menzionate né la patologia di Tizia né la prestazione sanitaria da lei eseguita, ma erano indicati soltanto l’acronimo e il provvedimento di legge che dava diritto al rimborso per la prestazione sanitaria; iii) la lesione della riservatezza aveva natura di “danno conseguenza” e doveva essere quindi specificamente provata in giudizio ex art. 2043 c.c., non potendosi ritenere in re ipsa.
Avverso la decisione del Tribunale l’Attrice proponeva ricorso per cassazione, invocando la nullità della sentenza per falsa applicazione dell’art. 2059 cod. civ. e dell’art. 2697 cod. civ.
La Suprema Corte, pronunciando ordinanza ai sensi dell’art. 375 cod. proc. civ., conferma la decisione impugnata, sulla base dei seguenti rilievi:
- secondo il costante orientamento di legittimità, in materia di responsabilità civile, è configurabile il risarcimento del danno non patrimoniale, da identificare con qualsiasi conseguenza pregiudizievole della lesione. In particolare all’esito alla pronuncia della Corte Costituzionale n. 235 del 16 ottobre 2014, il giudice di merito è tenuto «a valutare tanto le conseguenze subite dal danneggiato nella sua sfera morale […] quanto quelle incidenti sul piano dinamico-relazionale della sua vita […]» (v., ad esempio, Cass. 31 gennaio 2019, n. 2788 e Cass. 21 settembre 2017, n. 21939);
- il preteso danno non patrimoniale, dovendo necessariamente consistere in un profilo consequenziale rispetto al fatto dannoso denunciato, deve essere oggetto di specifica allegazione e prova, anche tramite il ricorso al valore rappresentativo delle presunzioni semplici (v., ad esempio, Cass., ord., 10 luglio 2023, n. 19551);
- la liquidazione del danno non patrimoniale sfugge a una precisa valutazione analitica e resta affidata al criterio equitativo che non è sindacabile in sede di legittimità, allorquando lo stesso giudice dia conto del criterio medesimo, la valutazione risulti congruente al caso e la concreta determinazione dell’ammontare del danno non sia, per eccesso o per difetto, palesemente sproporzionata (Cass. Sez. 3 14/07/2004, n. 13066);
La Suprema Corte ritiene che i suddetti principi siano stati correttamente applicati dal Tribunale di Cosenza, in quanto la Corte di merito, sulla base del complesso degli elementi istruttori acquisiti, ha liquidato il danno in via equitativa in modo unitario, omnicomprensivo e proporzionato al danno non patrimoniale subito dall’Attrice.
Di recente sono state pubblicate altre interessanti sentenze in tema di risarcimento del danno non patrimoniale derivante dalla violazione della normativa dettata in materia di protezione dati personali, segnatamente del Regolamento UE 2016/679 e del codice privacy (aggiornato dal D.Lgs. n. 101/2018). Trattasi di un’altra ordinanza della Corte di cassazione (Sez. I civ., ordinanza n. 13073 del 12.05.2023) e di una sentenza della Corte di Giustizia dell’Unione Europea (EU:C:2023/370, C-300/21 del 4 maggio 2023). Tali sentenze sono intervenute nel delineare le caratteristiche del danno risarcibile e le condizioni per la sua risarcibilità, dettando principi potenzialmente atti ad avere ricadute pratiche di particolare rilievo.
La Cassazione, nell’ordinanza n. 13073 del 12.05.2023, puntualizza alcuni principi cardine della risarcibilità del danno non patrimoniale derivante dalla violazione della normativa privacy affermando, innanzitutto, che esso è “…determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato costituzionalmente (Cost., artt. 2 e 21 e art. 8 della CEDU)…”. Afferma, poi, che chi sia danneggiato dalla violazione delle norme del GDPR e di quelle nazionali di recepimento, può ottenere il risarcimento di qualunque danno occorsogli “…anche se la lesione sia marginale…”, precisando che il richiamato bilanciamento e la tolleranza della lesione minima, devono essere intesi nel senso che “…non è tale da determinare una lesione effettiva del diritto la mera violazione delle prescrizioni poste in tema di trattamento…” (così adeguandosi pienamente alla Giurisprudenza unionale citata), “…ma lo è invece quella violazione che concretamente offenda la portata effettiva del diritto alla riservatezza del dato…”.
Nella sopra richiamata ordinanza la Suprema Corte afferma altresì il principio secondo cui il titolare del trattamento, nelle vicende in esame, potrebbe essere esonerato da responsabilità risarcitoria solo fornendo la specifica prova della non imputabilità alla stessa della illegittima sottrazione e diffusione dei dati degli assistiti. Prova che dovrebbe essere necessariamente fornita dimostrando il rispetto pedissequo della normativa in materia di trattamento e adeguata protezione dei dati degli assistiti.
La Corte di Giustizia, nella pronuncia citata, ribadita la propria giurisprudenza secondo cui la mera violazione della normativa dettata in materia di protezione dei dati personali non potrebbe da sola integrare un danno immateriale risarcibile, evidenzia come il GDPR non operi alcun rinvio al diritto interno degli Stati membri per la determinazione del significato e della portata delle nozioni di “danno materiale o immateriale” e di “risarcimento del danno”, rinvenibili nell’art. 82 GDPR stesso, che devono quindi essere considerate come “nozioni autonome del diritto dell’Unione, che devono essere interpretate in modo uniforme in tutti gli Stati membri”. Individua, quindi, le condizioni il cui cumulativo verificarsi determina la risarcibilità del danno: (i) la violazione del GDPR, (ii) il danno subito, (iii) il nesso causale tra dette violazione e danno.
Aggiunge, poi, la decisione in commento che l’art. 82 GDPR, anche alla luce del considerando 146, non subordina la risarcibilità del danno al superamento di una determinata soglia di gravità e che una tale subordinazione “…rischierebbe di nuocere alla coerenza del regime istituito dal RGPD, poiché la graduazione di una siffatta soglia, da cui dipenderebbe la possibilità o meno di ottenere detto risarcimento, potrebbe variare in funzione della valutazione dei giudici aditi…”. La Corte Europea, quindi, stigmatizza quegli orientamenti nazionali, in parte sino ad oggi seguiti anche dalla Giurisprudenza Italiana, secondo cui il risarcimento del danno in discorso dovrebbe essere bilanciato col principio di solidarietà che implica di verificare, ai fini della risarcibilità, il superamento di un non meglio identificato limite di tollerabilità della lesione.
Photo credit: Guillaume Perigois (Unsplash)