Danno da “violazione della privacy”: la risarcibilità è uno dei temi di maggiore interesse per i nostri clienti persone fisiche.
Chiamiamolo per semplicità danno da violazione della “privacy”, anche se, a essere tecnici, “privacy” e “protezione dei dati personali” sono concetti solo parzialmente sovrapponibili.
In quali casi è risarcibile e cosa prevede la normativa?
La disposizione di riferimento è l’art. 82 GDPR, rubricata appunto “Diritto al risarcimento e responsabilità”.
Schematizziamo in tre punti essenziali la parte di interesse per il soggetto che lamenta un danno:
- tenuto al risarcimento non è solo il titolare ma anche il responsabile del trattamento, nella misura in cui non abbia osservato le istruzioni del primo o abbia contravvenuto alle norme del GDPR specificamente dirette ai responsabili;
- è risarcibile non solo il danno patrimoniale, ma anche quello non patrimoniale (il Regolamento parla di danno “materiale” e “immateriale”);
- il titolare o il responsabile sono tenuti al risarcimento, a meno che non dimostrino che l’evento dannoso non è loro in alcun modo imputabile. E’ una prova particolarmente difficile.
In definitiva, il GDPR appresta una tutela assai rigorosa all’interessato. Aggiungiamo ora ulteriori sette regole derivate dalla giurisprudenza recentissima, che permettono di comporre un vero e proprio decalogo del risarcimento.
L’intervento decisivo della Corte di giustizia
Nel 2023 la Corte di giustizia dell’Unione europea è infatti intervenuta più volte sul tema del danno da violazione della “privacy”, chiarendo alcuni aspetti essenziali nell’interpretazione dell’art. 82 GDPR. Si è trattato di interventi di particolare pregio giuridico.
Ne abbiamo già fatto cenno in un precedente articolo GDPR – Risarcibilità del danno “privacy” – tutte le novità, soffermandoci sulla pronuncia Krankenversicherung Nordrhein, C-667/21.
Ora, ampliamo l’analisi ai temi principali che possono essere tratti dalle altre decisioni, in particolare la fondamentale Österreichische Post C-300/21 del 4 maggio 2023, che contiene già le principali linee poi sviluppate e confermate nelle pronunce successive.
In estrema sintesi, questi sono gli ulteriori punti essenziali chiariti dal Giudice dell’Unione:
- il danno “privacy” è sui generis, nel senso che la sua definizione e le regole applicabili vanno cercate nel Regolamento, non nella normativa nazionale;
- inoltre, è un danno da intendersi in senso lato, anche quando è inteso come danno non patrimoniale;
- non è prevista una soglia minima di tollerabilità. Si tratta di un principio dirompente in ambito italiano, dato che la Cassazione ha sempre riconosciuto in materia risarcitoria la sussistenza di siffatta soglia;
- ai fini del risarcimento non rileva il grado della colpa, anche una colpa minima dà luogo alla pretesa risarcitoria;
- non è tuttavia possibile riconoscere il danno punitivo. Il danno “privacy” ha cioè valenza compensativa. In questo c’è pieno allineamento rispetto al formante consolidato della Suprema corte italiana;
- il danno va risarcito integralmente. Anche su questo l’allineamento con la prospettiva nazionale è completo;
- non è possibile il risarcimento del danno in re ipsa. In altre parole il danno deve essere una conseguenza della violazione. Anche qui nulla di nuovo per il giurista italiano. Ciò che occorre sono tre elementi: l’inosservanza di un precetto del GDPR, un danno che ne deriva, il nesso causale che collega la violazione al danno.
