Il Codice della Privacy, prima, e il GDPR, poi, hanno previsto il diritto al risarcimento del danno in capo all’interessato che abbia visto violato il proprio diritto alla riservatezza.
L’abrogato art. 15 del Codice della Privacy riconosceva il diritto al risarcimento del danno non patrimoniale, l’art. 82 del GDPR qualifica tale danno come “immateriale”.
Il risarcimento del danno da lesione del diritto alla riservatezza è disciplinato dall’art. 2050 cod. civ., norma espressamente richiamata dall’art. 15 del Codice della Privacy ritenuta ancora idonea, nonostante l’abrogazione del citato art. 15, a individuare i presupposti risarcitori del danno di cui si argomenterà.
Nello specifico il trattamento dei dati personali viene ad essere considerato come “attività pericolosa” e, di conseguenza, una volta provato il danno e il nesso causale tra la condotta, commissiva o omissiva del titolare del trattamento, vi sarà una presunzione di colpevolezza e l’attore non dovrà dimostrare la sussistenza del dolo o della colpa del titolare del trattamento.
Al contrario sarà quest’ultimo a poter dimostrare di aver adottato tutte le misure idonee a evitare il danno sì da escludere la propria responsabilità.
Operate queste doverose premesse, la domanda alla quale rispondere è quindi in che termini l’attore debba dimostrare il danno da lesione del proprio diritto alla riservatezza.
Sul punto giova richiamare delle recenti sentenze della Suprema Corte di Cassazione (n.19328 del 17.09.2020, n.16402 del 10.06.2021) a mente delle quali il pregiudizio non patrimoniale non è in re ipsa “ma deve essere allegato e provato da parte dell’attore, a pena di uno snaturamento delle funzioni della responsabilità aquiliana”. L’attore è tenuto, infatti, a dar prova della “perdita di natura personale effettivamente patita”, dovendo, peraltro, sussistere “una lesione ingiustificabile del diritto non la mera violazione delle prescrizioni” poste a tutela del diritto alla riservatezza”.
Ne consegue che non è sufficiente dedurre la sola violazione di una norma disciplinante i diritti dell’interessato (es. art. 14 GDPR da parte di chi tratti i dati personali avendoli acquisiti da terzi e non avendo fornito informativa all’interessato) affinché possa essere riconosciuto il diritto al risarcimento del danno, ma dovrà essere data prova del danno effettivamente subito da parte dell’interessato – attore.
Si può citare, a titolo esemplificativo, il caso trattato dal Tribunale di Arezzo (sent. n. 272/2020). L’attrice lamentava l’illegittima condotta della propria banca che, non avendo adottato misure cautelari idonee ad evitare l’accesso abusivo da parte di terzi al proprio internet banking, doveva essere responsabile tanto della sottrazione di € 5.000,00, quanto del danno ex art. 15 Codice della Privacy, oggi sostituito dall’art. 82 GDPR, quantificato in via equitativa in misura pari al danno patrimoniale.
Il Giudice arezzino nel rigettare la domanda ha affermato che l’attore non aveva neppure dedotto in cosa consistesse il danno non patrimoniale e che “solo nel contesto della comparsa conclusionale (e, dunque, in modo inesorabilmente tardivo) parte attrice ha allegato che “…la sottrazione, ad opera di terzi, delle credenziali di accesso all’home banking, avvenuto a causa di un sistema di sicurezza e controllo predisposto dalla U. B. “NON CONFORME agli standard di sicurezza più avanzati del momento”, concretizzandosi in una vera e propria violazione della riservatezza dei dati personali dell’attrice, ai sensi dell’art. 4 del c.d. GDPR, ha avuto per la stessa conseguenze negative non solo da un punto di vista economico e patrimoniale, ma anche dal punto di vista emotivo e psicologico facendole percepire a tutt’oggi, in maniera esponenziale, la paura e la preoccupazione di ulteriori future violazioni, facendole perdere fiducia nei sistemi informatici tanto da indurla a modificare le proprie abitudini quotidiane (rinunciando talvolta ad eseguire finanche pagamenti con carte di credito, bancomat) sistemi peraltro il cui uso appare sempre più indispensabile nel presente periodo storico”.A conclusione dei rilievi argomentati nella spiegata narrativa vale ribadire, dunque, che, nel promuovere domande risarcitorie, l’attore dovrà avere cura di dedurre e provare il danno non patrimoniale subito poiché esso non discende automaticamente dalla sola violazione di una norma del GDPR.
Contributo scientifico dell’Avv. Manuela Natale