Il danno non patrimoniale da trattamento illecito dei dati personali richiede la gravità e serietà della lesione

Cass. civ. Sez. I, 31 dicembre 2020, n. 29982 – Pres. Campanile – Rel. Scotti

[1] Danno non patrimoniale – Diritti della personalità – Protezione dei dati personali – Privacy – Bilanciamento – Principio di solidarietà – Risarcimento del danno – Gravità e serietà della lesione

(art. 11 e 15 D.lgs. n. 196/2003)

[1] “Il danno non patrimoniale risarcibile ai sensi del D.Lgs. n. 196 del 2003, art. 15, pur determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli artt. 2 e 21 Cost. e dall’art. 8 della CEDU, non si sottrae alla verifica della “gravità della lesione” e della “serietà del danno” in quanto anche per tale diritto opera il bilanciamento con il principio di solidarietà ex art. 2 Cost., di cui quello di tolleranza della lesione minima è intrinseco precipitato, sicchè determina una lesione ingiustificabile del diritto non la mera violazione delle prescrizioni poste dall’art. 11 del codice della privacy, ma solo quella che ne offenda in modo sensibile la sua portata effettiva, restando comunque il relativo accertamento di fatto rimesso al giudice di merito”.

CASO

[1] Un collaboratore scolastico proponeva ricorso innanzi al Tribunale di Torino chiedendo il ristoro per danno non patrimoniale per aver patito “umiliazione, imbarazzo e disagio” a seguito della condotta del direttore amministrativo della scuola il quale, nell’ambito di un’indagine di polizia giudiziaria, aveva rivelato alcune contestazioni disciplinari sollevate in passato nei confronti del ricorrente.

Il Tribunale di Torino respingeva la domanda attorea per le seguenti ragioni: la necessità della comunicazione dei dati personali a fini istituzionali; l’estraneità della condotta del dirigente alla circolazione delle notizie nel personale dell’istituto scolastico; la mancata prova dei danni-conseguenza patiti; e, infine, il difetto di un coefficiente minimo di gravità e serietà per dar luogo a un pregiudizio non patrimoniale risarcibile. Avverso la suddetta sentenza il collaboratore scolastico proponeva ricorso in Cassazione affidando le sue doglianze a tre motivi.

SOLUZIONE

[1] La Corte di Cassazione, con la sentenza in epigrafe, ha rigettato il ricorso ritenendolo inammissibile. In merito al terzo motivo di ricorso, con cui il ricorrente denunciava la violazione di legge in relazione agli artt. 2050 e 2059 c.c., nonché al D.Lgs. n. 196 del 2003, artt. 11 e 15 per aver patito un danno non patrimoniale ritenuto erroneamente non risarcibile dal giudice di prime cure, la Suprema Corte, nell’affermare il principio di diritto in epigrafe, ha evidenziato che il danno non patrimoniale risarcibile ai sensi dell’art. 15 del D.Lgs. n. 196 del 2003, sebbene sia determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli artt. 2 e 21 Cost. e dall’art. 8 della CEDU, non si sottrae alla verifica della “gravità della lesione” e della “serietà del danno” e al bilanciamento con il dovere di solidarietà di cui all’art. 2 Cost. Ne consegue che determina una lesione ingiustificabile del diritto alla riservatezza non la mera violazione delle prescrizioni poste dall’art. 11 del codice della privacy, ma solo quella che, a seguito di un accertamento rigoroso del giudice di merito, ne offenda in modo sensibile la sua portata effettiva.

QUESTIONI

[1] La sentenza in esame tratta dell’esatta individuazione dei presupposti di risarcibilità del danno non patrimoniale derivante dalla violazione della disciplina in materia di protezione dei dati personali (sul tema in dottrina ESPOSITO M. S., Il risarcimento del danno non patrimoniale da illecito trattamento dei dati personali, in Corriere Giuridico 5/2019, p. 625 ss; THOBANI S., Protezione dei dati personali – Il danno non patrimoniale da trattamento dei dati tra danno presunto e danno evento, in Giur. It. n. 1/2019; RAMACCIONI G., La protezione dei dati personali: il tema/problema del risarcimento del danno non patrimoniale, in Danno e Responsabilità n. 6/2018; DI CIOMMO F., La risarcibilità del danno non patrimoniale da illecito trattamento dei dati personali, in Danno e resp., 2005, 7, 803; FINESSI A., Il danno non patrimoniale da illecito trattamento dei dati personali, in Responsabilità civile. Danno non patrimoniale, S. Patti (diretto da), S. Delle Monache (a cura di), Torino, 2010, 501 ss.; MASTROPIETRO B., Il danno da illecito trattamento dei dati personali nel quadro dei recenti orientamenti in materia di danno non patrimoniale, in Nuova giur. civ. comm., 2004, 679).

Prima dell’entrata in vigore del Reg. 2016/679/UE, la responsabilità civile derivante dall’illecito trattamento dei dati trovava la propria disciplina negli artt. 11 e 15 del D.Lgs. 30 giugno 2003, n. 196 ossia il Codice in materia di protezione dei dati personali. Tale ultima disposizione, in particolare, stabiliva che “chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’art. 2050 del codice civile. Il danno non patrimoniale è risarcibile anche in caso di violazione dell’articolo 11”. L’art. 11, invece, predisponeva che “i dati personali oggetto di trattamento sono: a)  trattati in modo lecito e secondo correttezza; b)  raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi; c)  esatti e, se necessario, aggiornati; d)  pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati; e)  conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati. I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati”.

La disciplina, che ha sostituito la L. 31 dicembre 1996, n. 675, è stata oggetto di interpretazioni contrastanti da parte della dottrina e della giurisprudenza in merito al profilo risarcitorio. In particolare, per quanto concerne l’ingiustizia del danno, il legislatore ha espressamente previsto il risarcimento del danno non patrimoniale nell’ipotesi di violazione delle disposizioni in essa contenute. Tuttavia, dal momento che la disciplina in esame ricollega il risarcimento del danno non patrimoniale alla violazione di regole di condotta, senza un immediato riferimento all’interesse protetto, si è posto l’interrogativo in merito alla possibilità di configurare un danno non patrimoniale in re ipsa, per il solo fatto che si realizzi la violazione del precetto contenuto nella norma, a prescindere dal concreto accertamento dell’interesse leso. In altre parole la dottrina e la giurisprudenza si sono chieste se sia sufficiente la violazione di una norma sul trattamento dei dati per qualificare il danno come ingiusto e, di conseguenza, affermarne la risarcibilità, ovvero se sia necessario verificare la concreta lesione di un interesse protetto.

L’orientamento prevalente (Cass. 15 luglio 2014, n. 16133; Cass. 8 febbraio 2017, n. 3311) ritiene che anche nella materia del trattamento dei dati personali è necessario individuare una specifica situazione soggettiva tutelata dalla norma violata che sia stata lesa dalla condotta antigiuridica.

Sulla base della predetta affermazione la giurisprudenza di legittimità e, da ultimo la sentenza in commento, ha affermato che ai fini della concreta risarcibilità del danno da illecito trattamento dei dati personali, il criterio selettivo dell’ingiustizia del danno è la gravità della lesione. La “gravità della lesione”, infatti, attiene al momento determinativo dell’elemento dannoso, quale incidenza pregiudizievole sul diritto/interesse selezionato come meritevole di tutela aquiliana, e la sua portata è destinata a riflettersi sull’ingiustizia del danno, che non potrà più predicarsi tale in presenza di una minima offensività della lesione stessa. Per potersi qualificare come ingiusta ai fini dell’accesso alla tutela risarcitoria, la lesione derivante dalla violazione delle norme relative al trattamento dei dati personali postula un previo giudizio in merito alla gravità della stessa, da compiersi alla luce degli altri interessi rilevanti nel caso concreto.

Come ribadito in più occasioni dalla giurisprudenza di legittimità (Cass. 20 agosto 2020, n. 17383; Cass. 15 luglio 2014, n. 16133) e, da ultimo, con la sentenza in commento, anche in materia di tutela dei dati personali devono trovare applicazione i principi affermati nelle note sentenze emesse dalle Sezioni Unite dell’11 novembre 2008 nn. 26972 e 26975 (sul tema BUSNELLI F., Le Sezioni Unite e il danno non patrimoniale, in Riv. Dir. Civ., 2009, 1, 20097), le quali hanno evidenziato come ai fini del risarcimento del danno non patrimoniale sia necessario che ricorrano i requisiti della gravità della lesione e della serietà del danno. Si tratta della c.d. soglia di risarcibilità individuata dalla giurisprudenza al fine di porre un freno al ristoro dei danni bagatellari. Ne consegue che il diritto al risarcimento del danno può essere riconosciuto solo ove – alla luce di un necessario bilanciamento tra il principio di solidarietà verso il danneggiato e quello di tolleranza imposto dal contesto sociale – la lesione superi il livello di tolleranza e, dunque, una certa soglia di offensività, e il pregiudizio che ne consegue non sia futile (ossia non consista in meri disagi o fastidi).

Alla luce delle predette osservazioni la Suprema Corte nella sentenza in epigrafe ha ribadito i medesimi principi e, in particolare, ha affermato che il danno non patrimoniale risarcibile ai sensi dell’art. 15 D.Lgs. n. 196 del 2003, pur determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli artt. 2 e 21 Cost. e dall’art. 8 della CEDU, non si sottrae alla verifica della “gravità della lesione” e della “serietà del danno“, secondo i principi scanditi dalle fondamentali sentenze dell’11 novembre 2008 nn. 26972 e 26975 delle Sezioni Unite (sul tema BUSNELLI F., Le Sezioni Unite e il danno non patrimoniale, in Riv. Dir. Civ., 2009, 1, 20097).

I giudici di legittimità hanno ritenuto che anche per il diritto alla riservatezza opera il bilanciamento con il principio di solidarietà ex art. 2 Cost., di cui quello di tolleranza della lesione minima è intrinseco precipitato, sicchè determina una lesione ingiustificabile del diritto non la mera violazione delle prescrizioni poste dall’art. 11 del codice della privacy, ma solo quella che ne offenda in modo sensibile la sua portata effettiva, restando comunque il relativo accertamento di fatto rimesso al giudice di merito.

In ultima istanza occorre precisare che gli artt. 11 e 15 citati del Codice della Privacy, applicabili ratione temporis al caso oggetto della pronuncia in esame, sono stati abrogati dal decreto D.Lgs. 101/2018 di armonizzazione al GDPR. Attualmente le previsioni in tema di danno da trattamento illecito dei dati sono contenute nell’art. 82 il quale prevede che: “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento” (sul tema v. TOSI E., Trattamento illecito dei dati personali, responsabilità oggettiva e danno non patrimoniale alla luce dell’art. 82 del GDPR UE, in Danno e Responsabilità n. 4/2020, p. 443 ss).