Trattamento illecito dei dati del lavoratore: il datore di lavoro deve risarcire i danni
Modifica paginaCommento all´ordinanza della Corte di Cassazione del 04 giugno 2018, n. 14242 in tema di risarcimento danni ai sensi dell’art. 15, secondo comma, del Codice della Privacy: il danno non patrimoniale non è sottratto all´accertamento della gravità della lesione e della serietà del danno.
Sommario: 1. Il caso - 2. Il diritto alla privacy - 2.1 Il fondamento costituzionale del diritto alla privacy - 3. Il Codice della Privacy - 3.1 Il trattamento dei dati personali- 4. Art. 15, secondo comma, Codice della Privacy: la risarcibilità del danno non patrimoniale - 4.1. La liceità e la correttezza del trattamento: Il richiamo all’art 11 cod. priv. - 4.2 Problemi di coordinamento tra l’art 15 cod. priv. e l’art. 2050 c.c. - 4.3 Danno non patrimoniale in re ipsa: effettiva lesione della privacy – 5. Considerazioni Conclusive.
1. Il caso
L’Ordinanza n. 14242 del 04.06.2018, resa dalla Corte di Cassazione, Sez. I, prende le mosse da una vicenda in tema di violazione del diritto alla privacy per trattamento illegittimo dei dati personali. Invero, un lavoratore, all’epoca dipendente dell’Agenzia delle Dogane e dei Monopoli, veniva trasferito in un altro ufficio a seguito dell’avvio di un’indagine a suo carico da parte della Procura della Repubblica. Tuttavia, il lavoratore lamentava che la P.A. mediante il provvedimento di trasferimento, emanato utilizzando un protocollo ordinario, rendeva di pubblico dominio le informazioni relative al suo coinvolgimento in delle indagini. Dapprima, l’interessato proponeva ricorso al Garante della Privacy che lo rigettava, ritenendo che il trattamento dei dati personali non fosse avvenuto in violazione di legge, poiché finalizzato a garantire una corretta esecuzione del rapporto di lavoro. Pertanto, il lavoratore adiva gli organi giurisdizionali ordinari, proponendo azione di risarcimento danni nei confronti sia dell’Agenzia delle Dogane che del Garante per la protezione dei dai personali. Il Tribunale di Roma, in quell’occasione, accoglieva la domanda, condannando l’Agenzia delle Dogane, ritenendo sussistente la violazione del diritto alla privacy.
Avverso tale decisione, l’Agenzia delle Dogane e dei Monopoli proponeva ricorso in Cassazione censurando la decisione del Tribunale di prime cure che da un lato, secondo il ricorrente, aveva omesso di considerare fatti decisivi emersi nel corso del giudizio da cui desumere che la diffusione della notizia dell’apertura del procedimento penale fosse avvenuta prima dell’invio della nota da parte dell’Agenzia delle Dogane e dall’altro riteneva che il giudice di merito avesse deciso senza che fosse stata fornita la prova del danno e del nesso causale tra il trattamento dei dati ed il danno lamentato.
La Suprema Corte con l’ordinanza in commento rigettava il ricorso della P.A. e coglieva l’occasione per delineare la portata dell’art. 15, secondo comma, cod. priv., affermando che il danno non patrimoniale risarcibile non scaturisce automaticamente dalla presenza di un trattamento illecito o scorretto dei dati personali, pur in presenza di una violazione di un diritto fondamentale ai sensi degli artt. 2 e 21 Cost e art. 8 CEDU, dovendo essere allegata, anche in via presuntiva, l'effettiva lesione della privacy. Una volta verificata la lesione della privacy, il danno non patrimoniale esisterà in re ipsa.
2. Il diritto alla privacy
L’ordinanza oggetto di commento verte in materia di privacy e di protezione dei dati personali del lavoratore. Sicché, preliminarmente, bisogna individuare la reale portata di tale diritto, nonostante ad oggi non esista una definizione normativa né nel contesto europeo, né in quello interno, in grado di ricomprenderne tutte le sfaccettature. Il concetto di privacy, prima di appartenere all’ambito tecnico giuridico, è proprio della filosofia politica, indicando quella sfera della nostra vita che appartiene a noi stessi e alla nostra socialità spontanea. Prendendo le mosse da questa definizione, il diritto alla privacy è stato inteso come una clausola generale, tale da ricondurre sotto il suo mantello protettivo le libertà, i diritti fondamentali e personalissimi per mezzo dei quali trova svolgimento l’identità del soggetto e la sua vita privata. Tali diritti possono essere individuati, in via esemplificativa, nella riservatezza, nell’onore, nella reputazione, nella dignità. Se dapprima il termine privacy è stato riferito essenzialmente alla sfera privata (right to be alone), a quella dimensione statica secondo la quale ogni individuo ha il diritto di impedire a terzi l’interferenza nella propria vita privata, successivamente ha subito un’apertura verso una dimensione dinamica, quale diritto a costruire la propria individualità e la propria vita privata, mantenendo il controllo sui propri dati personali. Il rispetto alla privacy è necessario per permettere a ciascun individuo il diritto all’autodeterminazione esistenziale, nei limiti dei diritti altrui e dei valori per i quali si richiede un contemperamento[1].
Il lungo cammino che conduce alla protezione dei dati personali nasce come risposta all’avvento di quella tecnologia legata al trattamento automatizzato dei dati in diversi settori della nostra esistenza. Difatti, nella società contemporanea i servizi e la rete consentono una circolazione potenzialmente illimitata nel tempo delle informazioni che riguardano la persona umana, comportando dei pericoli elevati per la libertà e la dignità delle persone. Tra i diversi ambiti, l’evoluzione tecnologica ha avuto delle ricadute positive anche nel campo lavorativo, in termini di efficienza e produttività, pur portando con sé innumerevoli rischi per i lavoratori relativi a controlli particolarmente invasivi nella loro sfera personale. Invero, la tecnicizzazione del lavoro ha permesso agli operatori di raccogliere ed elaborare innumerevoli informazioni sui lavoratori, di creare forme di sorveglianza, raccolta e selezione dei dati. Se il potere di controllo e di vigilanza del datore di lavoro è del tutto lecito, espressione del suo potere direttivo ex art. 2401 c.c., non potrà mai essere assoluto, perché il suo esercizio non deve in alcun modo ledere spazi di riservatezza, dignità e libertà di ciascun lavoratore[2].
2.1 Il fondamento costituzionale del diritto alla privacy
Il diritto alla privacy è una prerogativa degli Stati Moderni, sorto al fine di contemperare il rapporto fra l’interesse del singolo alla riservatezza e l’interesse pubblico all’informazione[3]. Dal diritto alla privacy è successivamente nato, specularmente, il diritto alla protezione dei dati personali che trova espressione, essenzialmente, in tre specifici diritti: nel diritto di ognuno all’accesso ai dati e alle informazioni a lui riferiti o riferibili, nel diritto ad essere informati sulle finalità e modalità dei trattamenti relativi ai propri dati ed il diritto di ognuno a dare o negare il consenso alla raccolta o all’uso delle informazioni che lo riguardano. Ciononostante, nessuna delle Costituzioni europee dei primi anni successivi alla seconda guerra mondiale ha sentito la necessità di inserire tra i diritti fondamentali quello alla protezione dei dati personali, considerato come un diritto a sé stante. Neanche la Convenzione europea dei diritti dell’uomo, pur tutelando la privacy mediante il richiamo all’art. 8 della CEDU, ha consacrato un autonomo diritto alla riservatezza ed un esplicito e formalizzato diritto alla protezione dei dati personali.
Tutt’ora nella nostra Costituzione manca un espresso riconoscimento del diritto alla privacy, pur potendosi individuare in via interpretativa il suo fondamento costituzionale agli artt. 2, 3, 13, 14, 15, 21 Cost.[4] Le disposizioni menzionate non sono accomunate da caratteri strutturali o formali, quanto dalla comune ratio legis di vietare ogni intrusione non consentita nella sfera personale e sociale dell’individuo. Tra queste disposizioni, il cuore della materia è rappresentato dall’art. 2 Cost., dal quale è possibile desumere che il riserbo della vita privata e familiare è un elemento essenziale nello svolgimento e sviluppo dell’uomo. L’art. 2 Cost., secondo la ricostruzione maggioritaria, è una norma aperta, astrattamente idonea a garantire costituzionalmente tutti quegli aspetti che in un determinato momento storico risultano espressione di diritti inviolabili[5]. Sennonché, la giurisprudenza ha più volte ribadito che nella tutela di determinati diritti debba esservi sempre un bilanciamento dei valori in gioco in modo da salvaguardare i principi o diritti di rango costituzionale che altrimenti risulterebbero irreparabilmente sacrificati, al fine di evitare l’illimitata espansione di uno dei diritti, che diverrebbe tiranno nei confronti delle altre situazioni giuridicamente riconosciute e protette[6]. Ed ancora la Corte di Cassazione con sentenza del 20 maggio 2015, n. 10280 ha affermato che il diritto ad esigere una corretta gestione dei propri dati personali, pur se rientrante nei diritti fondamentali di cui all’art. 2 Cost., non è un totem al quale possono sacrificarsi altri diritti altrettanto rilevanti sul piano costituzionale. Lo stesso principio, nell’ambito lavorativo, impone all’imprenditore o al datore di lavoro di non esercitare la sua posizione economicamente e contrattualmente dominante in modo da ledere la sicurezza, la libertà, la dignità del lavoratore. Se la Costituzione all’art. 41, comma 2 Cost. tutela la libera iniziativa economica e la libertà di impesa, all’art 2 Cost. ne individua un confine di legittimità. Proprio su questo fondamento costituzionale si è innestata la legislazione speciale della legge 20 maggio 1970, n. 300, lo Statuto dei Lavoratori[7], che ha lo scopo principale, indicato al Titolo I intitolato “Delle libertà e dignità del lavoratore”, di impedire che l’inserimento di un individuo all’interno dell’apparato produttivo si traduca nella compromissione dei suoi diritti fondamentali. Emblematici a tal fine sono gli artt. 4 e 8 Stat. Lav., la cui violazione si ripercuote nella disciplina della privacy[8].
A livello internazionale ed europeo, il diritto alla privacy del lavoratore trova il suo riconoscimento, in primo luogo, nell’art. 8 della CEDU[9] che tutela la sfera privata, riferendosi anche all’attività professionale e lavorativa in cui si esplica l’identità dell’individuo, nonché nella Carta di Nizza e nella Raccomandazione n. R (89) 2 in cui viene a valorizzarsi il ruolo delle rappresentanze sindacali, dell’auto controllo e dell’autodeterminazione dei lavoratori in materia.
3. Il Codice della Privacy
Agli inizi degli anni Ottanta venne compiuto un passo in avanti nella tutela della privacy mediante l’emanazione della Convenzione n. 108, adottata a Strasburgo il 28 giugno 1981 dal Consiglio d’Europa, avente ad oggetto la protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale[10]. La Convenzione di Strasburgo ha avuto un valore elevato, chiudendo quella fase in cui le innovazioni tecnologiche erano utilizzate per aumentare i controlli sui cittadini da parte degli Stati Autoritari e delineando una serie di tutele e garanzie che devono essere riconosciute alle persone i cui dati sono trattati. Nonostante la Convenzione di Strasburgo sia stata approvata in ambito CEDU, la Comunità europea fino al 1995 non ha provveduto a dotarsi di alcuna forma di regolazione comune su questa materia, né nella modalità della Direttiva, né in quella del Regolamento. Solamente nel 1995 viene adottata la prima direttiva, a seguito del Trattato di Maastricht del 1992, con la costituzione dell’Unione Europea e l’impegno di costituire un Mercato Unico. La direttiva di armonizzazione 95/46/CE, e le successive direttiva comunitarie (97/66/CE – 00/31/CE – 02/58/CE – 24/06/CE)[11], perseguirono in progetto della Convenzione di Strasburgo, richiedendo agli Stati Membri di tutelare i diritti e le libertà fondamentali delle persone rispetto al trattamento automatizzato dei dati personali, introducendo, quale principale criterio di legittimità formale della circolazione dei dati personali, il consenso o in alternativa i principi di carattere oggettivo predefiniti e connessi con particolari situazioni in cui alle esigenze dell’individuo si contrappongono esigenze diverse, quale strumento di riappropriazione e controllo dei dati personali. Oltre agli Accordi di Schengen, il concetto è stato riportato nella Carta dei diritti fondamentali dell’Unione. L’art 8 della Carta di Nizza del 2000[12] è dedicato alla protezione dei dati personali, considerato come un diritto fondamentale, a sé stante ed autonomo, anche rispetto al diritto alla riservatezza e alla tutela della vita familiare indicato all’art 7.
La normativa europea, nonché i pareri e le pronunce del Garante della privacy, sono state recepite in Italia con la L. 675/1996, poi sostituita dal d.lgs. 30 giugno 2003 n. 196, il Codice di protezione dei dati personali e comunemente conosciuto come codice della privacy, il primo testo unico in materia di tutela dei soggetti rispetto al trattamento dei dati personali e delle disposizioni connesse, che sancisce che i dati personali devono essere trattati nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto della protezione dei dati personali. Il Codice della Privacy è diviso in tre parti: nella prima sono contenute le disposizioni generali, nella seconda quelle relative a specifici settori, mentre nella terza trovano posto le norme relative alle forme di tutela, alle sanzioni ed all’ufficio del Garante per la protezione dei dati personali. Oggetto di protezione sono i dati personali, intesi come proiezione dell’identità di ogni individuo, per i quali la legge rimette il controllo e la protezione al legittimo interessato. La ragione della tutela deriva dalla preoccupazione che il dato venga scisso, isolato, combinato ed utilizzato in maniera strumentale, tale da essere decontestualizzato dall’individuo a cui appartiene. L’art. 4 cod. priv. definisce la nozione di dato personale, come qualunque informazione relativa a una persona fisica, identificata o identificabile, anche indirettamente, mediante il riferimento a qualsiasi altra informazione, compreso un numero di identificazione personale. Tra questi, I dati giudiziari, oggetto di violazione nella controversia in esame, sono un sottoinsieme della categoria del dato personale il cui trattamento può essere ammesso solo a determinate condizioni. Sono da definire tali quei dati personali idonei a rivelare i provvedimenti in materia di casellario giudiziario, di anagrafe delle sanzioni amministrative dipendenti da reato e dai relativi carichi pendenti o la qualità di imputato o indagato ai sensi dell’art. 60 e 61 c.p.p.
3.1 Il trattamento dei dati personali
Il Codice della Privacy, all’art. 1, introduce il diritto alla protezione dei dati personali, quale parametro di controllo e di protezione dei dati che lo riguardano, autonomo rispetto a quello alla privacy. La protezione dei dati personali è necessitata dall’esigenza di tutelare i dati personali da possibili trattamenti ad opera di terzi che non rispondono alle finalità e alle modalità previste dal legislatore. Preliminarmente, bisogna chiarire che per trattamento dei dati personali si intende qualunque operazione o insieme di operazioni, volti a raccogliere, registrare, organizzare, consultare, elaborare, modificare selezione raffrontare informazioni personali, anche senza l’ausilio di strumenti elettronici. Invero, il trattamento è un fenomeno particolarmente diffuso nella nostra realtà socioeconomica che di per sé si caratterizza per la neutralità, potendone, invece, essere lecite o illecite solamente le sue modalità di realizzazione. A tal fine, il legislatore si è preoccupato di stabilire le condizioni generali di liceità e correttezza all’art 11 cod. priv.
L’ambito oggettivo della materia è individuato all’art. 2 cod. priv. che va letto in coordinazione con l’art. 14 cod. priv. Il primo comma dell’art. 2 cod. priv. riconosce il diritto alla protezione dei dati personali che, a sua volta, richiama la tutela dell’identità personale, del diritto alla riservatezza, delle libertà fondamentali e di ogni diritto fondamentale. L’art. 2, al secondo comma, cod. priv. stabilisce quei principi essenziali che reggono il trattamento dei dati personali[13], mentre il secondo comma dell’art. 3 cod. priv. afferma che il trattamento dovrà avvenire in conformità al principio di necessità e liceità, informando gli interessati e chiedendo preventivamente il consenso solo quando non sia corretto avvalersi di strumenti equipollenti, nel rispetto della peculiarità di dati giudiziari o dati sensibili.
L’art. 4 cod. priv., invece, si occupa del profilo soggettivo, stabilendo che chiunque può commettere detto tipo di illecito. Ciononostante, gran parte della dottrina ritiene questa affermazione non corretta, trattandosi invece di una forma di responsabilità propria poiché i soli soggetti che possono trattare i dati sono quelli abilitati a tal fine. Viene, a tal fine, individuata la figura del titolare (colui che decide il fine per il quale i dati vengono trattati), del responsabile (soggetto che gestisce i dati) e dell’incaricato (soggetto che materialmente effettua l’inserimento ed il trattamento dati). Il danneggiato, diversamente, sarà l’interessato, ovvero quella persona fisica, giuridica, ente o associazione a cui si riferiscono i dati personali. Il trattamento dei dati, come nel caso oggetto di controversia, potrà avvenire anche ad opera della Pubblica Amministrazione che, in ragione delle particolari responsabilità e funzioni di cui sono investite, giurisdizionali o amministrative in senso stretto, possono procedere al trattamento anche in difetto di consenso o autorizzazione, purché sussista una specifica previsione normativa. La norma di autorizzazione dovrà indicare sia le modalità di trattamento, che esplicitare le finalità di interesse pubblico dell’ente. In presenza di dati giudiziari o dati sensibili, il trattamento da parte della P.A. dovrà avvenire nel rispetto della norma generale di cui all’art. 22 cod. priv.
In ogni caso, l’art. 14 cod. priv. prescrive che nessun atto o provvedimento giudiziario o amministrativo, quindi atto della pubblica autorità amministrativa o giurisdizionale, che implichi una valutazione del comportamento umano può essere fondato unicamente su un trattamento automatizzato di dati personali volto a definire il profilo o la personalità dell’interessato. La previsione sta ad indicare che la P.A. non potrà servirsi di un dato ricavato da un trattamento automatizzato al fine di utilizzarlo come presupposto di un atto o di una decisione, o servirsene per apprezzare comportamenti umani.
4. Art. 15, secondo comma, Codice della Privacy: la risarcibilità del danno non patrimoniale
Dagli anni ‘60 in poi la giurisprudenza italiana ha iniziato a tutelare in via diretta il diritto alla riservatezza come autonomo diritto soggettivo, riconoscendone l’intangibilità della sfera personale. Emblematica, in tal senso, è la sentenza del 27 maggio 1975 n. 2129 della Corte di Cassazione, nel Caso Soraya[14]. La tutela giurisdizionale offerta all’interessato implica quattro livelli di protezione: una tutela penale, una tutela inibitoria, una tutela risarcitoria e una tutela amministrava che si esplica attraverso il ricorso al Garante.
La tutela risarcitoria è richiamata all’art. 15 cod. priv., articolo che afferma il diritto al risarcimento dei danni derivanti dall’illegittimo trattamento dei dati personali. La previsione ha sintetizzato i previgenti art. 18 e 29 legge n. 675/1996 che, rispettivamente, disciplinavano il risarcimento dei danni patrimoniali e non patrimoniali, eliminando così i vecchi e numerosi problemi interpretativi derivanti dalla scissione. L’art. 15 cod. priv. statuisce che chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’art. 2050 c.c.. Il comma 2 aggiunge poi che il danno non patrimoniale è risarcibile anche in caso di violazione dell’art. 11. In via di prima approssimazione, dal dato normativo emerge che un trattamento di dati personali è potenzialmente idoneo a causare danni patrimoniali, derivanti dalla differenza subita dal complesso dei beni del soggetto a causa dell’evento lesivo, e danni non patrimoniali, trattandosi di lesioni a valori eminentemente personalistici.
In passato, con riferimento alla voce di danno non patrimoniale di cui all’art. 15, comma 2, cod. priv., vi sono stati dei dibattiti circa il suo inquadramento sistematico, soprattutto in riferimento al rapporto con la previsione generale dell’art. 2059 c.c. Difatti, il significato della dizione di danno non patrimoniale derivante da trattamento illecito o scorretto dei dati personali è stato al centro di una dibattuta querelle dottrinaria e giurisprudenziale. Se, dapprima, la Corte Costituzionale con sentenza 184/1986 abbracciava una interpretazione restrittiva dell’art. 2059 c.c., individuandone la riferibilità al solo danno morale subiettivo, successivamente con il revirement giurisprudenziale nel 2003 si è chiarito che nell’ambito della nozione di danno non patrimoniale rientrano tutti i danni lesivi di diritti fondamentali che creano un pregiudizio alla sfera non economica dell’individuo, anche nel caso in cui il danno derivi da un illecito non qualificabile come illecito penale. Pertanto, la sfera di applicazione dell’art. 15 cod. priv. è divenuta parzialmente coincidente con quella dell’art. 2059 c.c., poiché tra i diritti della persona costituzionalmente garantiti non possono non essere annoverati quelli relativi alla dignità, riservatezza ed identità personale, sintetizzati nel più ampio diritto alla protezione dei dati personali di cui all’art. 2 Cod. Privacy.
4.1. La liceità e la correttezza del trattamento: Il richiamo all’art. 11 cod. priv.
L’art. 15, secondo comma, cod. priv., nel delineare i presupposti in presenza dei quali il danneggiato è legittimato a richiedere il risarcimento per danni non patrimoniali, richiama “anche” l’art. 11 cod. priv. che delinea i criteri relativi alle modalità di trattamento dei dati personali, rispondenti ai principi di finalità, esattezza, pertinenza, non eccedenza, nel rispetto dell’obbligo di aggiornamento dei dati e il diritto all’oblio[15]. Sennonché, parte della dottrina ha ritenuto linguisticamente superfluo l’utilizzo della congiunzione anche nel richiamare l’art. 11 cod. priv. Ciononostante, la disposizione assume una rilevanza centrale nell’ambito del risarcimento dei danni non patrimoniali, soprattutto con riferimento alla clausola di lawfulness and correctness di cui all’art. 11, lett. a), cod. priv..
Invero, il richiamo alle clausole generali di liceità e correttezza ha la funzione di delimitare i casi in cui il trattamento dei dati personali possa definirsi lecito e corretto. Dalla norma, in primo luogo, si desume che il trattamento è illecito ogni qual volta sia contrario a norme imperative, ordine pubblico e buon costume. L’illiceità si avrà non solo nei casi di inottemperanza ai precetti del Codice della Privacy, avendo la giurisprudenza in via esemplificativa individuato nelle violazioni dello Statuto dei lavoratori, degli artt. 2105, 2407, 2622 c.c., nonché dei codici deontologici, ipotesi di trattamento illecito dei dati personali tali da legittimare il diritto risarcimento di danni non patrimoniali. Nondimeno, Il trattamento sarà scorretto, a prescindere dalla violazione di una previsione normativa, ogni qualvolta non sia eseguito con correttezza, lealtà e trasparenza. Alle lettere successive dell’art. 11 Cod. Priv., il legislatore stabilisce le modalità in cui dati personali dovranno essere trattati, dovendo essere raccolti e registrati per scopi determinati, espliciti e legittimi, o per essere utilizzati in altre operazioni, purché compatibili con tali scopi. I dati raccolti e registrati dovranno, altresì, essere esatti ed aggiornati, oltre che pertinenti, completi e non eccedenti rispetto alle finalità per i quali siano stati raccolti o successivamente trattati, al fine di non fornire una falsa rappresentazione della situazione reale di un soggetto. Infine, le informazioni personali dovranno essere conservate, per un periodo di tempo non superiore a quello necessario per gli scopi per i quali sono stati raccolti o successivamente trattati, in una forma che ne consenta l’identificazione dell’interessato[16].
Il legislatore ha, inoltre, conferito all’interessato un potere di controllo sui propri dati, esercitabile attraverso il diritto di accesso alle informazioni detenute dal titolare del trattamento al fine di evitare errori sulle proprie informazioni all’art. 7 Cod. Priv. Il diritto riconosciuto all’interessato è speculare rispetto a quello di cui all’art. 11, creando una simmetria tra i doveri del soggetto che procede al trattamento e i diritti del soggetto interessato.
4.2 Problemi di coordinamento tra l’art. 15 cod. priv. e l’art. 2050 c.c.
La Corte di Cassazione con l’ordinanza in commento, in primo luogo, ha analizzato il richiamo all’art 2050 c.c., intitolata Responsabilità per l’esercizio di attività pericolosa, da parte dall’art 15 cod. priv., stabilendo che dalla combinazione delle due norme scaturisce la regola secondo la quale in materia di trattamento illecito o scorretto dei dati personali la responsabilità per i danni non patrimoniali cagionati è da attribuire in via presuntiva al titolare dei dati personali o a chi se ne è avvalso, salvo che il danneggiante dimostri di aver adottato tutte le misure idonee ad evitare il danno.
L’art. 2050 c.c. configura, secondo la ricostruzione più accreditata, una forma di responsabilità oggettiva caratterizzata, da un lato, dalla pericolosità dell’attività, per sua natura intrinseca o per il dinamismo degli strumenti utilizzati e dall’altro, dalla presunzione di responsabilità dell’esercente, da cui consegue l’inversione dell’onere della prova a suo carico, in ordine alla sussistenza della relativa responsabilità[17].
L’indicazione nell’art. 15 cod. priv. di questa forma speciale di responsabilità risponde ad una ragione specifica. Infatti, bisogna ricordare che la legge 675/1996 e, conseguentemente, il Codice della Privacy sono il frutto del recepimento della Direttiva 94/96/CE che prescriveva l’obbligo per gli Stati membri, nel formulare la disciplina del risarcimento per danni non patrimoniali derivanti dal trattamento illegittimo di dati personali, di stabilire l’inversione dell’onere della prova a carico del danneggiante, al fine di non far gravare la prova dell’illecito in capo al danneggiante, parte debole della vicenda risarcitoria. Il legislatore, pertanto, nel recepire le prescrizioni comunitarie ha scelto di richiamare l’art. 2050 c.c., generando collateralmente, una frattura tra dottrina e giurisprudenza circa le ricadute applicative sull’art. 15 cod. priv., che è riconducibile, a grandi linee, a due posizioni.
Una prima ipotesi interpretativa ha ricostruito la responsabilità di cui all’art. 15 Cod. Priv. alla stregua di una responsabilità presunta, ritenendo che il richiamo all’art. 2050 c.c. sarebbe unicamente espressivo di quell’inversione dell’onere della prova richiesto dalle prescrizioni comunitarie. L’art. 2050 c.c. non sarebbe frutto di un richiamo tecnico, non potendosi definire in astratto un’attività pericolosa senza aver accertato in concreto la sua effettiva offensività, salvo non voler attribuire in capo al danneggiante una sproporzionata ed eccessiva responsabilità. Il trattamento dei dati personali, potenzialmente lesivo, potrebbe nei fatti, ad esempio, non avere oggetto dati che in concreto ledono i diritti fondamentali dell’individuo o avere ad oggetto un trattamento minimale non gravemente pericoloso. Secondo questa tesi, la pericolosità non sarebbe riferita al trattamento in sé, quanto ad un comportamento del titolare che per errore o colpa nell’uso dei mezzi produce un danno nell’altrui sfera giuridica. A tal fine, non potrebbe parlarsi di vera e propria responsabilità oggettiva, essendo il regime assimilabile a quello di cui all’art. 2050 c.c. solo dal punto di vista del regime probatorio. Se si concordasse con la tesi della colpa presunta, l’elemento che farebbe sorgere la responsabilità risiederebbe nella violazione di regole di prudenza e perizia e la presunzione potrebbe essere vinta dimostrando di aver posto in essere una condotta conforme alla diligenza professionale richiesta in relazione alla pericolosità o alla natura dell’attività.
Una seconda opzione ermeneutica, ad oggi prevalente, ha attribuito valore oggettivo alla responsabilità derivante dal trattamento illegittimo dei dati personali, equiparandola tout court a quella di cui all’art. 2050 c.c., in ragione della pericolosità insita nell’attività de quo. Sicché, secondo questa tesi l’art. 15 cod. priv. rappresenterebbe un caso peculiare in cui la pericolosità è stabilita in astratto, una volta e per sempre, da legislatore, non essendo rimesso il suo accertamento concreto al sensibile apprezzamento del giudice. La pericolosità sussisterebbe a prescindere dai mezzi utilizzati, riferendosi sia al trattamento informatizzo e telematico dei dati, che a quello manuale. La ricostruzione della pericolosità in re ipsa dell’attività sarebbe giustificata da un lato, dalla presenza dell’art. 31 cod. priv. che individua gli obblighi di sicurezza da adottare nel trattamento dei dati personali e dall’altro, dall’oggetto di tutela della disciplina in tema di privacy. Difatti, La pericolosità del trattamento dei dati personali deriverebbe dall’elevato rischio di ledere i diritti personali o personalissimi dell’individuo. Ricondurre l’art. 15 del Cod. priv. alla responsabilità di tipo oggettivo implica che il disvalore del fatto si concentri sul danno ingiusto, trascurando l’elemento soggettivo che non verrebbe preso in considerano né come oggetto di prova in capo al danneggiato, né come facoltà di esonero della responsabilità da parte del danneggiante. Pertanto, se l’interessato sarà a tenuto dimostrare la sussistenza del nesso di causalità tra il trattamento dei dati personali e il danno, il titolare avrà l’onere di provare di aver adottato tutte le misure idonee ad evitare il danno. Pertanto, il disvalore sanzionato dall’art. 2050 c.c. attiene all’attività pericolosa da lui svolta, e non al comportamento del danneggiante, responsabile indipendentemente da ogni giudizio di colpa ed anche se, al momento del fatto, aveva improntato il proprio comportamento alla massima diligenza, prudenza e perizia. L’adozione delle misure idonee non potrà essere soddisfatta dalla dimostrazione di aver adottato misure minime di sicurezza di cui all’art. 31 Cod. Priv., trattandosi di norma che non richiama norme particolari, ma solo criteri generali. Invero, L’ambito delle misure idonee non è circoscritto all’adeguamento di standard di sicurezza minimi, ma si estende a tutte le prescrizioni normative, senza contraddistinguere la disciplina sulla privacy e sulla sicurezza delle informazioni[18]. Egli, invero, verrà chiamato a rispondere ogni qualvolta sussistano tecnologie di sicurezza superiori che avrebbero potuto prevenire il danno e che il titolare non ha adottato perché eccessivamente complesse e costose. Dunque, la prova liberatoria per il danneggiante sarà raggiunta solo quando dimostri di aver adottato tutte le misure di sicurezza che, anche in relazione alle caratteristiche dell’attività esercitata, rientrano nella sua sfera di controllo e si presentano adeguate ad impedire il realizzarsi del danno. Inoltre, i danni per cause ignote rimangono in capo a chi esercita l’attività se non ha predisposto i necessari accorgimenti preventivi, mentre se ha predisposto le misure necessarie potrà essere ritenuto esente da responsabilità anche se le cause produttive del danno rimangono ignote[19].
4.3 Danno non patrimoniale in re ipsa: effettiva lesione della privacy
Con l’ordinanza n. 14242 del 04.06.2018 la Corte di Cassazione ribadisce le condizioni in presenza delle quali il danneggiato è legittimato a richiedere ed ottenere il risarcimento dei danni non patrimoniali ai sensi dell'art. 15, secondo comma, cod. priv. La Suprema Corte sostiene che non è sufficiente la sussistenza di un trattamento illecito o scorretto dei dati personali dell'interessato a far scattare automaticamente il risarcimento del danno non patrimoniale, dovendo sussistere una lesione effettiva alla privacy, la cui violazione non possa essere tollerata dal danneggiato. Sennonché, al danneggiato basterà provare questo elemento, anche mediante presunzioni, per far scaturire automaticamente il diritto al risarcimento: accertata tale lesione, il danno non patrimoniale sussiste in re ipsa. La soluzione interpretativa si presenta, dunque, ossequiosa dei principi individuati dalla giurisprudenza di legittimità in materia di danno non patrimoniale ex all’art. 2059 c.c., seppur con gli adattamenti necessitati dalla delicatezza della materia e con l'inversione dell’onere della prova dettata dal richiamo dell’art. 2050 c.c.[20] La Corte di Cassazione, in primo luogo, parte dalla premessa che pur in presenza di una lesione di un diritto fondamentale, come quello alla riservatezza, riconosciuto all’art. 2, 21 Cost. e art. 8 CEDU, non viene meno la necessità di verificare la gravità della lesione e serietà del danno, operando sempre e comunque il bilanciamento con il principio di solidarietà di cui all’art. 2 Cost, quale principio di tolleranza della lesione minima è intrinseco[21]. Questa soluzione è conforme al principio espresso dalla Corte di Cassazione con le storiche sentenze 8827/8828 del 2003[22], 16004 del 2003 e a Sezioni Unite 26972 del 2008, secondo il quale il danno non patrimoniale risarcibile è sempre il danno conseguenza, che deve essere allegato e provato, anche attraverso meccanismi presuntivi, dovendo consistere in una effettiva perdita della sfera giuridica del soggetto leso[23]. La precisazione è stata dettata dalla necessità di porre fine a quegli orientamenti definibili “eventisti”, che riconoscevano il risarcimento in presenza del solo illecito, ovvero del danno evento[24]. Secondo le Sezioni Unite con le sentenze di San Martino del 2008 anche il pregiudizio conseguente alla lesione di diritti costituzionalmente protetti deve essere tanto serio da essere meritevole di tutela in un sistema che impone un grado minimo di tolleranza. A tal fine il giudice dovrà accertare la gravità dell’offesa e della serietà del pregiudizio secondo il parametro costituito dalla coscienza sociale in un determinato momento storico. La Corte di Cassazione, con sentenza del 15 luglio 2014 n. 16133, in tema di art. 15, secondo comma, c.c., aveva già sancito tale soluzione interpretativa, paventando il rischio, diversamente, di trasformare il risarcimento del danno in uno strumento sanzionatorio da comminare a prescindere dallo specifico interesse del danneggiato. Inoltre, a sostegno di questa ricostruzione, l’art 15 cod. priv., pur prevedendo l’espressa risarcibilità del danno non patrimoniale, non indica criteri volti ad escludere l’accertamento della sussistenza o meno di una lesione alla privacy effettivamente subita dal danneggiato.
Nondimeno, il danneggiante ha la possibilità di liberarsi dal giudizio di responsabilità dimostrando che il danno è inesistente o bagatellare, o che il danneggiato abbia avuto vantaggio dalla pubblicazione dei dati.
Da un lato, la Corte ritiene che il danneggiante potrà liberarsi da responsabilità provando l’insussistenza della gravità dell’offesa e della serietà del danno, o che la lesione sia di entità tale da poter essere tollerata dall’uomo medio secondo il comune sentire, traducendosi, ad esempio, in un semplice fastidio della vita. D’altro canto, la Suprema Corte sostiene che il titolare del trattamento sarà esente da qualunque responsabilità ogni qual volta dimostri che dal fatto illecito, consistente nello scorretto o illecito trattamento dei dati, derivi un vantaggio in capo al danneggiato. Questa regola di delimitazione della responsabilità in capo al danneggiante, risponde a quel principio in tema di risarcimento di cui all’art. 1223 c.c., secondo il quale la funzione del risarcimento è quella di riportare il danneggiato nella stessa curva di indifferenza in cui si sarebbe trovato se non avesse subito l’illecito. Il risarcimento ha la principale funzione di compensare il danno, senza andare oltre, non potendosi mai trasformarsi in una fonte di arricchimento per il danneggiato. La Suprema Corte, dunque, senza farne menzione, richiama il principio che sta alla base dell’istituto della compensatio lucri damno, seppur con gli opportuni adattamenti: se il fatto illecito produca conseguenze vantaggiose in capo al danneggiato, queste dovranno essere valutate dal giudice ai fini dell’accertamento dell’entità e dell’esistenza del danno risarcibile. Per la Corte l’esistenza dell’istituto della compensatio, trova il proprio fondamento nell’idea del danno risarcibile quale risultato di una valutazione globale degli effetti prodotti dall’atto dannoso, dovendo vagliare sia le poste negative che quelle positive. Dunque, nella determinazione del risarcimento dovrà essere valutata l’esistenza di un beneficio collaterale che elimini il danno da risarcire. (Cass. Civ. Sez. Unite 12564/2018, n. 584/2008 – ed in materia amministrativa Consiglio di Stato n.1/2018).
In ogni caso, il danno non patrimoniale non sarà a lui imputabile ogni qual volta, come anzi detto, dimostri che non gli sia addebitabile, per aver apprestato tutte le misure idonee ad evitare il danno, dovendosi ricondurre così al fortuito, all’imprevedibile, al fatto del terzo o del danneggiato. Se, invece, la prova liberatoria non è raggiunta, il giudice dovrà disporre il risarcimento del danno nella misura da stabilire in via equitativa o secondo le allegazioni prodotte dal danneggiato. Le prove che il danneggiato potrà allegare a sostegno della propria pretesa, trattandosi di valori eminentemente immateriali, potranno essere anche presunzioni semplice.
Nel caso di specie, il giudice dove aver accertato la lesione del diritto alla riservatezza del ricorrente mediante la diffusione di dati giudiziari inerenti alla persona, ha stabilito che la condotta ha provocato un forte senso di turbamento e di vergogna, tale da dover essere risarcito. Sulla base di tali presupposti, ed in assenza di prove da parte del ricorrente volte a renderlo esente da responsabilità, il ricorso è stato rigettato.
5. Considerazioni conclusive
Alla luce della disamina compiuta è chiaro che la Corte di Cassazione continua ad essere fedele ai principi e alle soluzioni ermeneutiche in materia di danno non patrimoniale conquistate a seguito di quel lungo iter interpretativo intorno all'art. 2059 c.c. iniziato più di vent’anni fa e conclusosi con le Sentenze gemelle di San Martino del 2008. Ciononostante, la giurisprudenza di legittimità si presenta sempre elastica ed aperta nel conciliare i capisaldi che reggono il nostro sistema alle materie più delicate, come quella del trattamento dei dati personali, in continuo confronto con le sfide della modernità, preoccupandosi di trovare il giusto bilanciamento tra i diversi valori in gioco.
Principali Fonti normative
- Codice della Privacy, d.lgs. 30 giugno 2003 n. 196;
- Statuto dei Lavoratori, Legge 20 maggio 1970, n. 300;
- Convenzione di Strasburgo del 28 giugno 1981 n. 108;
- Costituzione (artt. 2, 3, 13, 14, 15, 21, 41 Cost);
- Art 8 CEDU
- Art 8 Carta di Nizza del 2000
- Direttiva 95/46/CE - 97/66/CE – 00/31/CE – 02/58/CE – 24/06/CE
Giurisprudenza
- Corte Costituzionale, sentenza del 12 aprile 1973, n. 38
- Corte Costituzionale, sentenza del 14 luglio 1986 n. 184
- Cass. Civile, sentenza del 7 giugno 2000 n. 7713
- Cass. Civile, Sez. Lav., sentenza del 12 giugno 2002 n. 8388
- Corte di Cassazione, sentenza n. 8828/2003
- CGUE del 13 maggio 2014 C−131/12 Google Spain-
- Cass. civ., Ordinanza n. 22100/13
- Cassazione civile sez. VI 30 ottobre 2013 n. 24549
- Cass. Civile, sentenza del 15 Luglio 2014 n. 16133
- Cass. Civile, Sez. VI, sentenza del 5 settembre 2014 n. 18812
- Corte di Cassazione con sentenza del 20 maggio 2015, n. 10280
- Cass. Civ. Sez. I. ordinanza 17 luglio 2015 n.15096.
- Corte di Cassazione, sez. I, sentenza del 20 maggio 2016 n. 10510, 10511,10512,10513
Bibliografia
- A. I. NATALI, Il danno non patrimoniale nel processo civile, Maggioli Editore, 2009;
- E. BARRACO, A. SILTZIE, La tutela della privacy nei rapporti di lavoro, Wolters Kluwer Italia, 2012;
- F. PIZZETTI, Privacy e il diritto europeo alla protezione dei dati personali, Dalla direttiva 95/46 al nuovo Regolamento Europeo, Giappichelli Editore, 2016;
- L. VIOLA, La responsabilità civile e il danno, Tractatus dei danni, Halley Editrice, 2007;
- M. BAILO LEUCARI, A. BELOTTI, AA. VV., Valutazione del danno e strumenti risarcitori, Giappichelli Editore, 2016;
- M. CUNBERTI, Nuove tecnologie e libertà della comunicazione: profili costituzionali e pubblicistici, giuffrè editore, 2008;
- M. GOBBATO, Danni da trattamento illegittimo di dati personali, Halley Editrice, 2007;
- M. SELLA, I danni non patrimoniali, I trattati a cura di Paolo Cendon, Giuffrè editore, 2010;
- P. RAUSEI, Illeciti e sanzioni, Il diritto sanzionatorio del lavoro, IPSOA MANUALI, Wolters Kluwer, 2016;
[1] E. BARRACO, A. SILTZIE, La tutela della privacy nei rapporti di lavoro, IPSOA Wolters Kluwer Italia, 2012 “La riservatezza, o più correttamente privatezza, come evidenziato già negli anni 50 da Carnelutti, veniva definita in termini di diritto ad essere lasciato da solo e dunque come interesse a contenuto negativo volto all’isolamento morale. Superata la prima fase, l’attenzione si è spostata dal piano della difesa statica delle prerogative dell’interessato, all’altro della protezione in action dei dati personali o, se si preferisce, com’è stato detto dalla privacy statica si è passati a quella procedimentale. L’evoluzione si è progressivamente assestata nel senso dell’introduzione, all’interno del concetto di privacy, del diritto della persona a mantenere il controllo sulle proprie informazioni”.
[2] Cass. Civile, Sez. Lav., sentenza del 12 giugno 2002 n. 8388 “ le norme poste dagli artt. 2 e 3 della legge 300 del 1970 a tutela della libertà della dignità del lavoratore non escludono il potere dell’imprenditore ex art 2086 e 2104 c.c. di controllare direttamente o mediante la propria organizzazione gerarchica l’adempimento delle prestazioni lavorative e quindi eventuali mancanze dei dipendenti e questo indipendentemente dalle modalità di controllo.” Nello stesso senso: Cass. sez. lav., 5.5.2000 n. 5629; Cass. sez. lav., 17.10.1998 n. 10313.
[3]Si parla di diritto alla privacy per la prima volta in Inghilterra nel XIX secolo, poi esteso negli Usa e negli altri ordinamenti democratici, quando Warren e Brandeis, nel loro famoso articolo Right to Privacy pubblicato nella Harward Law Review del 1890, coniarono il right to privacy inteso come diritto ad essere lasciati soli nel proprio domicilio. Con il Right to Privacy nacque il concetto moderno di diritto alla privacy come diritto individuale alla riservatezza ed il suo rapporto con il diritto di stampa ed informare. Il problema della privacy è sorto proprio nel momento in cui sono sorte le prime fonti di diffusione delle informazioni, come la stampa, la fotografia ed il giornalismo di impresa, che diffondevano dati senza consenso.
[4] Gli artt. 3, 13, 14, 15, 21 Cost, integrano il quadro costituzionale con riferimento ad aspetti specifici della manifestazione di pensiero, tutelando la libertà personale, il domicilio, la libertà e la segretezza delle comunicazioni e la libertà di manifestazione del pensiero. L’art 3 Cost. va oltre la dimensione individualistica del diritto alla riservatezza, includendone anche quell’aspetto sociale volto a controllare la circolazione e l’uso di informazioni attinenti alla propria persona, al fine di evitare discriminazioni relativamente ad abitudini, preferenze, credenze, opinioni politiche e condizioni di salute. L’art 13, nell’affermare l’inviolabilità della libertà personale, tutela il singolo da indebite ingerenze alla sua sfera fisica e psichica, mentre l’art. 14 Cost tutela il domicilio preservandola da eventuali interferenze, quale luogo privilegiato di esercizio della sua riservatezza. Il domicilio non è una dimensione legata alla fisicità dello spazio, ma rappresenta una proiezione spaziale della persona. L’art 15 Cost., invece, garantisce la persona da intromissioni nelle sue comunicazioni private, ogni qualvolta un messaggio è indirizzato ad un destinatario determinato e non al pubblico. Infine, l’art. 21 garantisce la libertà di espressione del pensiero, ponendosi anche a presidio della pretesa di non rendere noto a terzi quanto intimamente connesso al proprio modo di essere. La libertà di manifestazione del pensiero ha il significato positivo che consente nella libertà di comunicare il proprio pensiero, ma anche un significato negativo, come libertà di manifestare il proprio pensiero tacendo o manifestando a taluni e non ad altri.
[5] Corte Costituzionale, sentenza del 12 aprile 1973, n. 38 “I fini dell’art 2 affermati anche negli artt.3, secondo comma, e 13, primo comma, riconoscono e garantiscono i diritti inviolabili dell’uomo, fra i quali rientra quello del proprio decoro, del proprio onore, della propria rispettabilità, riservatezza, intimità e reputazione, sanciti espressamente negli artt. 8 e 10 della Convenzione europea sui diritti dell’uomo”. S. RODOTA’, Relazione del Garante per la protezione dei dati personali al Parlamento “Non siamo di fronte ad una specifica normativa di settore, anche se particolarmente significativa. Diritti, libertà fondamentali, dignità non costituiscono soltanto riferimenti assai impegnativi, ma definiscono un quadro generale nel quale la sfera privata appare come un punto di incidenza d’una molteplicità di diritti, dai quali discende uno statuto complessivo delle informazioni personali. Vengono così definite le condizioni essenziali per quella costruzione della personalità di cui parla l’art. 2 Cost.”.
[6] Corte Cost., sentenza 9 maggio 2013, n. 85. Nello stesso senso Corte Cost. sentenza 11 febbraio 2015 n. 10, Corte Cost. sentenza 6 maggio 1985, n. 132.
[7] Relazione del Ministro del Lavoro sullo Statuto dei Lavoratori che accompagnò la presentazione al Senato del disegno di legge n. 738, Norme sulla tutela della libertà e dignità dei lavoratori, della libertà sindacale e dell’attività sindacale nei luoghi di lavoro “il proposito del disegno di legge che il Governo si onora di presentare è di contribuire in primo luogo a creare un clima di rispetto della dignità e della libertà umana nei luoghi di lavoro, riconducendo l’esercizio dei poteri direttivo e disciplinare dell’imprenditore nel loro giusto alveo e cioè in una stretta finalizzazione allo svolgimento delle attività produttive”.
[8] Invero, se l’art 4 Stat. Lav. pone il divieto assoluto del controllo a distanza dell’attività dei lavoratori, salva la possibilità di utilizzare gli impianti e le apparecchiature di controllo richieste da esigenze organizzative e produttive che permettono anche il controllo dei lavoratori a determinati presupposti, l’art 8 vieta le indagini sulle opinioni politiche, religiose o sindacali del lavoratore nonché su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore.
[9] Art 8 CEDU “Non può esservi ingerenza di un’autorità pubblica nell’esercizio di tale diritto a meno che tale ingerenza sia prevista dalla legge e costituisca una misura che, in una società democratica, è necessaria per la sicurezza nazionale, per la pubblica sicurezza, per il benessere economico del paese, per la difesa dell’ordine e per la prevenzione dei reati, per la protezione della salute o della morale, o per la protezione dei diritti e delle libertà altrui.
[10] L’art 1 della Convenzione afferma che lo scopo della presente Convenzione è quello di garantire, sul territorio di ogni Parte, ad ogni persona fisica, qualunque sia la sua cittadinanza o residenza, il rispetto dei diritti e delle libertà fondamentali, ed in particolare il diritto alla vita privata, nei confronti dell’elaborazione automatizzata dei dati di carattere personale che la riguardano (protezione dati). L’art 2 afferma che per dati personali si intende ogni informazione relativa a una persona fisica identificata o identificabile (lett. a) l’elaborazione automatizzata comprende le seguenti operazioni effettuate nel loro insieme o in parte grazie ai procedimenti automatizzati: registrazione di dati, applicazioni ad essi di operazioni logiche e aritmetiche, loro modifica, cancellazione, estrazione o diffusione (lett. b).
[11] E. BARRACO, A. SILTZIE, La tutela della privacy nei rapporti di lavoro, IPSOA Wolters Kluwer Italia, 2012 “Le risposte normative fornite dal Consiglio d’Europa si sono nel corso del tempo arricchite con l’adozione da parte del Parlamento Europeo e del Consiglio dell’Unione Europea, della Direttiva n. 95/46/CE 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché della libera circolazione di tali dati, cui si è in seguito aggiunta la Direttiva n. 97/66/CE sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle telecomunicazione, integrata dalla Direttiva n. 2002/58/CE relativa al trattamento dei dti personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche”.
[12]Art 8 Carta di Nizza Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano. Tali diritti devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica. Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente.
[13] Art 2, secondo comma, cod. priv. “ Il trattamento dei dati personali è disciplinato assicurando un elevato livello di tutela dei diritti e delle libertà di cui al comma 1 nel rispetto dei principi di semplificazione, armonizzazione ed efficacia delle modalità previste per il loro esercizio da parte degli interessati, nonché per l'adempimento degli obblighi da parte dei titolari del trattamento”.
[14]Cass. Civile, sentenza del 27 maggio 1975 n. 2129 “[il diritto alla riservatezza andrà tutelato in presenza] quelle situazioni e vicende strettamente personali e familiari le quali, anche se verificatesi fuori dal domicilio domestico, non hanno per i terzi un interesse socialmente apprezzabile e che il diritto in questione prevale contro le ingerenze che, sia pure compiute con mezzi leciti, per scopi non esclusivamente speculativi e senza offesa per l’onore, la reputazione o il decoro, non sono giustificati da interessi pubblici preminenti.”
[15] Cass. Civile, sentenza del 15 Luglio 2014 n. 16133 “[i principi relativi alle modalità di trattamento ed ai requisiti dei dati] hanno carattere generale, nel senso che trovano applicazione in riferimento a tutti i trattamenti, pubblici e privati, segnando i confini di liceità degli stessi, ove la stessa regolamentazione specifica di settore non ne limiti o conformi diversamente la portata”
[16]CGUE del 13 maggio 2014 C−131/12 Google Spain “L’attività di un motore di ricerca consistente nel trovare informazioni pubblicate o inserite da terzi su Internet, nell’indicizzarle in modo automatico, nel memorizzarle temporaneamente e, infine, nel metterle a disposizione degli utenti di internet secondo un determinato ordine di preferenza deve essere qualificato come trattamento dei dati personali. […] Il gestore di un motore di ricerca è obbligato a sopprimere, dall’elenco dei risultati che appare a seguito di una ricerca effettuata a partire dal nome di una persona, dei link verso pagine web pubblicate da terzi anche quando la loro pubblicazione su tali pagine web sia di per sé lecita”.
(Nello stesso senso, CEDU Leander c. Svezia/Wegrzynowski - Marper C Regno Unito). Nonché, Cass. Civ. Sez. I. ordinanza 17 luglio 2015 n.15096. “Il tema del diritto all’oblio concerne, per come sinora è andato sviluppandosi le ipotesi in cui il soggetto che in passato ha visto divenire noti i propri dati personali, abbia interesse a non vederli ulteriormente diffusi, in particolare sul web. Il campo di elezione del medesimo è quello dei mezzi di comunicazione di massa e delle notizie personali che l’interessato non vorrebbe vedere ancora assurgere agli onori delle cronache. […] è dunque il tema dei dati veritieri, me per i quali non vi sarebbe più interesse pubblico alla conoscenza: poiché l’identità è dinamica, si pone il problema di conciliare il conflitto tra verità storia e identità attuale. Più che un nuovo diritto, lo si reputa solo uno strumento per tutelare altri diritti, quali la riservatezza, l’identità personale e il diritto alla protezione dei dati personali. Al fondo, il bene giuridico tutelato è sempre quello all’identità, che va bilanciato con altri diritti costituzionali e diritti fondamentali dell’Unione Europea, quali quelli della libertà di informazione, espressione, accessibilità universale alle informazioni su internet e d’impresa.
[17] Cass. Civile, sentenza n. 3022/2001 “Si intendono per attività pericolose, in relazione al cui svolgimento opera la presunzione, oltre quelle prese in considerazione per la prevenzione degli infortuni o la tutela dell’incolumità pubblica, tutte quelle altre che, pur non essendo specificate o disciplinate, presentino una pericolosità intrinseca o dipendente dalle modalità di esercizio e dai mezzi adoperati”.
[18] G. BUTTARELLI, Segretario generale dell’Autorità Garante ritiene che “l’idoneità delle misure va valutata in rapporto al complesso delle disposizioni primarie e secondarie situate anche al di fuori della legge del 1996, ivi comprese le prescrizioni impartite al titolare dal Garante o comprese nei codici di deontologia e di buona condotta”.
[19] Cassazione civile sez. VI 05 settembre 2014 n. 18812 “Ai fini dell'applicabilità dell'art. 2050 cod. civ., relativo alle responsabilità per l'esercizio di attività pericolose e, quindi, ai fini della sussistenza della presunzione di colpa, posta dall'art. 2050 cod. civ. e della conseguente inversione dell'onere della prova, occorre che il danno sia cagionato dall'esercizio di un'attività che sia pericolosa in sé, ossia per la sua intrinseca natura, o per la natura dei mezzi adoperati […] La presunzione di colpa opera anche se all'attività pericolosa partecipi chi patisce danno dall'esercizio dell'attività, salva la graduazione dell'efficienza causale delle azioni rispettivamente compiute dai vari partecipi”. Cassazione civile sez. VI 30 ottobre 2013 n. 24549 “Con riguardo all'esercizio di attività pericolosa, anche nell'ipotesi in cui l'esercente non abbia adottato tutte le misure idonee ad evitare il danno, in tal modo realizzando una situazione astrattamente idonea a fondare una sua responsabilità, la causa efficiente sopravvenuta, che abbia i requisiti del caso fortuito e sia idonea - secondo l'apprezzamento del giudice di merito, incensurabile in sede di legittimità in presenza di congrua motivazione - a causare da sola l'evento, recide il nesso eziologico tra quest'ultimo e l'attività pericolosa, producendo effetti liberatori, e ciò anche quando sia attribuibile al fatto di un terzo o del danneggiato stesso”.
[20] Cass. Civile, Sez. VI, sentenza del 5 settembre 2014 n. 18812 “I danni cagionati per effetto del trattamento dei dati personali in base all’art. 15 del d.lgs. 30 giugno 2003, n. 196, sono assoggettati alla disciplina di cui all’ art. 2050 cod. civ., con la conseguenza che il danneggiato è tenuto solo a provare il danno e il nesso di causalità con l’attività di trattamento dei dati, mentre spetta al convenuto la prova di aver adottato tutte le misure idonee ad evitare il danno.”
[21] Cass. Civile, sentenza del 15 luglio 2014 n. 16133 “Il danno non patrimoniale risarcibile ai sensi dell’art. 15 del d.lgs. 30 giugno 2003, n. 196 (cosiddetto codice della privacy), pur determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli artt. 2 e 21 Cost. e dall’art. 8 della CEDU, non si sottrae alla verifica della “gravità della lesione” e della “serietà del danno” (quale perdita di natura personale effettivamente patita dall’interessato), in quanto anche per tale diritto opera il bilanciamento con il principio di solidarietà ex art. 2 Cost., di cui il principio di tolleranza della lesione minima è intrinseco precipitato, sicché determina una lesione ingiustificabile del diritto non la mera violazione delle prescrizioni poste dall’art. 11 del codice della privacy ma solo quella che ne offenda in modo sensibile la sua portata effettiva”.
[22] Corte di Cassazione, sentenza n. 8828/2003 “Volendo far riferimento alla nota distinzione tra danno evento e danno conseguenza, si tratta di danno conseguenza. Non vale pertanto l’assunto secondo cui il danno sarebbe in re ipsa, nel senso che sarebbe coincidente con la lesione dell’interesse. Deve affermarsi che dalla lesione dell’interesse scaturiscono, o meglio possono scaturire, le suindicate conseguenze che, in relazione alle varie fattispecie, potranno avere diversa ampiezza e consistenza, in termini di intensità e protrazione nel tempo. Il danno deve quindi essere allegato o provato”.
[23] Corte di Cassazione, sez. I, Sentenza 20/05/2016 n. 10510, 10511,10512,10513 “Cionondimeno, deve ritenersi – alla stregua di una valutazione basata su nozioni di comune esperienza e conoscenza – che alla consapevolezza dell’indebita ostensione non già di generici dati relativi alle proprie generalità ricavabili anche aliunde, bensì di delicate informazioni di carattere personalissimo concernenti le proprie condizioni (patologiche) di salute ad una platea numericamente indefinita e potenzialmente alquanto estesa di soggetti (derivante appunto dalla diffusione di tali informazioni mediante pubblicazione su una banca dati online liberamente accessibile tramite internet) ordinariamente si accompagni uno stato di comprensibile disagio e tensione interiore: stato pregiudizievole, questo, che appare munito di connotati di “serietà” e “non futilità” (nell’accezione delineata dalla citata sentenza della Corte di Cassazione, SS.UU n. 26972/08) tali da renderlo meritevole di ristoro per equivalente pecuniario […] vertendosi in tema di lesione di un bene giuridico immateriale, il ricorso ad una prova di tipo presuntivo appare inevitabilmente destinato ad assumere particolare rilievo.”
Nello stesso senso si veda Cass. civ., Ord. n. 22100/13.
[24] A tal fine si richiama, in riferimento alla teoria del danno evento la pronuncia della Corte Costituzionale con sentenza del 14 luglio 1986 n. 184. “la lesione di qualunque valore della persona integra gli estremi di un danno non patrimoniale riconoscibile alla normativa di cui all’art 2043 c.c., rimanendo nell’ambito della previsione dell’art 2059 solo il danno morale inteso quale pregiudizio meramente soggettivo […] la disposizione dell’art 2043 c.c. prevedendo il danno senza aggettivazioni doveva intendersi riferito sia al danno patrimoniale che a quello non patrimoniale”. Il modello teorico di riferimento era quello fondato su una lettura costituzionale dell’art 2043 c.c. il cui ambito applicativo veniva ampliato fino ad accogliere, oltre al danno patrimoniale in senso stretto una sorta di tertium genus di danno, qualificato come danno evento lesivo di un interesse inviolabile. Con riferimento alla teoria del danno in re ipsa, si richiama la pronuncia della Corte di Cassazione del 7 giugno 2000 n. 7713 secondo la quale la lesione di diritti siffatti, collocati al vertice della gerarchia dei valori costituzionalmente protetti, va incontro alla sanzione risarcitoria per il fatto in sé della lesione (danno – evento) indipendentemente delle eventuali ricadute patrimoniali che la stessa possa comportare (danno conseguenza). Secondo questa teoria nel caso di lesione di valori della persona il danno sarebbe in re ipsa, per cui il risarcimento sarebbe concesso non in conseguenza dell’effettivo accertamento del danno ma quale pena privata per un comportamento lesivo.
[25] Cass. Civile, sentenza del 15 luglio 2014 n. 16133 “Il danno non patrimoniale risarcibile ai sensi dell’art 15 Codice della Privacy non si sottrae alla verifica di gravità della lesione (concernente il diritto fondamentale alla protezione dei dati personali, quali intimamente legato ai diritti ed alle libertà indicate dall’art 2 Codice, convergenti tutti funzionalmente alla tutela piena della persona umana e della sua dignità) e di serietà del danno (quale perdita di natura personale effettivamente patita dall’interessato) che in linea generale si richiede in applicazione dell’art 2059 c.c. nelle ipotesi di pregiudizio inferto ai diritti inviolabili previsti dalla Costituzione. Ciò in quanto anche nella fattispecie di danno non patrimoniale di cui all’art 15 opera il bilanciamento del diritto tutelato da detta disposizione con il principio di solidarietà – il quale nella sua immanente configurazione costituisce il punto di mediazione che permette all’ordinamento di salvaguardare il diritto del singolo nell’ambito di una concreta comunità di persone che deve affrontare costi di una esistenza collettiva. L’accertamento di fatto rimesso, a tal fine, al giudice di merito, in forza delle previe allegazioni e di coerenti istanze istruttorie di parte, dovrà essere ancorato alla concretezza della vicenda materiale portata alla cognizione giudiziale ed al suo essere maturata in un dato contesto temporale e sociale, dovendo l’indagine, illuminata dal bilanciamento anzidetto, proiettarsi sugli aspetti contingenti dell’offesa e sulla singolarità delle perdite personali verificatesi. Un siffatto accertamento – che ove l’offesa non superi la soglia minima di tollerabilità o il danno sia futile, può condurre anche ad escludere la possibilità di somministrare il risarcimento del danno – è come tale sottratto al sindacato di legittimità se congruamente motivato.”