Privacy: Responsabilità civile da illecito trattamento dei dati personali

Il Regolamento Europeo 2016/679 c.d. “GDPR” prevede nel nostro ordinamento giuridico dei profili di responsabilità, tra cui la responsabilità civile da illecito trattamento dei dati personali.

Il principale presupposto di questo tipo di responsabilità è rappresentato dal principio di accountability, o di “responsabilizzazione” del Titolare, in virtù del quale il Titolare del trattamento è competente per il rispetto degli obblighi prescritti dal GDPR e deve essere in grado di comprovarlo. In caso contrario è il soggetto imputabile di responsabilità per violazione delle prescrizioni normative applicabili e per il trattamento illecito di dati personali posto in essere.

L’art. 82 del GDPR, specifica inoltre che un Titolare del trattamento risponde per il danno cagionato dal suo trattamento ove posto in violazione delle prescrizioni del GDPR, salvo dimostri che l’evento dannoso non gli è in alcun modo imputabile. Il Responsabile del trattamento, che è la persona fisica o giuridica oppure l’autorità pubblica o altro organismo che tratta dati personali per conto del Titolare del trattamento, risponde per il danno cagionato ma solo ove non abbia adempiuto agli obblighi che il GDPR specificatamente prevede per i Responsabili del trattamento oppure abbia agito in modo difforme o contrario rispetto alle istruzioni del Titolare del trattamento.

Tra le categorie di danni che possono essere cagionati da un trattamento di dati personali illecito rientrano il danno fisico, materiale o immateriale. Lo stesso quindi va inteso “in senso lato” alla luce della giurisprudenza della Corte di giustizia, vale a dire che l’interpretazione del concetto di danno deve rispecchiare pienamente gli obiettivi del GDPR, senza pregiudicare le azioni di risarcimento di danni derivanti dalla violazione di altre norme del diritto dell’Unione Europea oppure della normativa italiana vigente.

Le azioni legali per l’esercizio del diritto di ottenere il risarcimento del danno subito devono essere promosse dinanzi alle autorità giurisdizionali competenti, ossia proposizione di un ricorso giurisdizionale effettivo e di un reclamo all’Autorità Garante Privacy.

Dibattuta è la questione relativa all’interesse pubblico sotteso al diritto all’informazione (art. 21 Cost.) ove esso costituisca un limite al diritto fondamentale alla riservatezza (artt. 21 e 2 Cost.).

La giurisprudenza più recente ha ulteriormente consolidato l’orientamento, già espressa in precedenza, che ha ribadito che “la pubblicazione su un quotidiano della foto di una persona in coincidenza cronologica col momento dell’arresto deve rispettare non solo le condizioni, ormai ben note, per il legittimo esercizio del diritto di cronaca, ma anche le particolari cautele imposte dalla tutela della dignità della persona, che viene colta in un frangente di particolare debolezza”. Con una interessante Cass. civ. ordinanza del 20 marzo 2018, n. 6919, la Corte, in relazione ad una vicenda molto particolare, ha ribadito alla luce del GDPR, un principio cardine: il trascorrere del tempo viene a mutare il rapporto tra i contrapposti diritti (cronaca-privacy): “fatta eccezione per il caso di una persona che rivesta un ruolo pubblico particolare o per quello in cui la notizia mantenga nel tempo un interesse pubblico, la pubblicazione di una informazione concernente una persona determinata, a distanza di tempo da fatti ed avvenimenti che la riguardano, non può che integrare la violazione del fondamentale diritto all’oblio”.

Ancora, le Sezioni Unite (Cass. civ sez. Unite n 27988/2019) hanno ritenuto che debba essere ribadita la rilevanza costituzionale sia del diritto di cronaca che del diritto all’oblio.

Ci si sofferma anche sulla questione relativa alla linea di demarcazione fra la responsabilità civile e quella penale derivante da una condotta che integri la fattispecie di cui all’art. 167 in relazione all’art. 130 e 167 del D. Lgs. n. 196 del 2003 così come di recente riformato dal D.Lgs. n. 101 del 10 agosto 2018 (art. 15 comma 1 lett. b). Tale riforma tuttavia non ha inciso in termini sostanziali sul contenuto della norma incriminatrice, essendo rimasto in particolare invariato l’elemento soggettivo del reato, costituito dal fine dell’agente di trarre per sé o per altri un profitto o di recare ad altri un danno mediante l’illecito trattamento.

Infine, la Cassazione più recente (cfr. Cass. pen. n. 41604/2019), afferma che nell’attuale contesto socio-economico, sia molto diffusa la pratica del cd. spamming, ovvero dell’invio in varie forme di una pluralità di messaggi pubblicitari a una vasta platea di utenti senza il consenso di costoro; tuttavia “ affinché tale condotta assuma rilievo penale, occorre che si verifichi per ciascun destinatario un effettivo “nocumento”, che non può certo esaurirsi nel semplice fastidio di dover cancellare di volta in volta le mail indesiderate, ma deve tradursi in un pregiudizio concreto, anche non patrimoniale, ma comunque suscettibile di essere giuridicamente apprezzato […]”. Si richiede, dunque, in tal senso un’adeguata verifica fattuale volta ad accertare, ad esempio, se l’utente abbia segnalato al mittente di non voler ricevere un certo tipo di messaggi e se, nonostante tale iniziativa, il soggetto agente (Titolare o Responsabile del trattamento) abbia perseverato in maniera non occasionale a inviare messaggi indesiderati, creando così un reale disagio al destinatario.