Trattamento illecito dei dati personali

1. Premessa

La ricerca del significato attuale da riconoscere alle norme giuridiche, spesso, si scontra con le aspettative di giustizia sociale presenti nella storia dell’uomo. Secondo una formula sempre più impiegata dagli organi giudiziari per spiegare lo sforzo di adeguare, per giustizia, il contenuto precettivo del comando legislativo alle esigenze della vita, si discorre di interpretazione evolutiva, la quale si è progressivamente consolidata nella realtà di una tradizione giurisprudenziale e, tiene conto di quella che è meta costante dell’ideale giuridico per far convivere, per quanto possibile, il diritto con la giustizia.

In tale prospettiva, la Suprema Corte di Cassazione ha accolto una concezione monista dell’art.2 Cost., in forza del quale “…l’interprete nella ricerca degli spazi di tutela della persona, è legittimato a costruire tutte le posizioni soggettive idonee a dare garanzia, sul terreno dell’ordinamento positivo, ad ogni proiezione della persona nella realtà sociale, entro i limiti in cui codesto risultato si ponga come conseguenza della tutela dei diritti inviolabili dell’uomo, sia come singolo sia nelle formazioni sociali nelle quali si esplica la sua personalità”^[1].

Sulla scorta di tali considerazioni è universalmente ritenuta meritevole di tutela qualunque significativa manifestazione della personalità umana, così accordando una funzione precettiva e non solo programmatica al disposto dell’art 2.Cost.

Il codice civile del 1942, ispirato ad una logica squisitamente commerciale, si connota per lo scarso rilievo dei mezzi di protezione attribuiti alla sfera personale, per cui è stata opera della giurisprudenza e della legislazione successiva colmare tale vulnus di tutela.

In tale logica si inserisce la cospicua giurisprudenza impegnata ad affrontare i nuovi diritti della personalità, come il diritto al corretto trattamento dei dati personali o diritto alla riservatezza.

Trattasi di una figura soggettiva non presente nel dettato costituzionale, ma ormai considerata un profilo fondamentale della tutela della persona e, si concreta del diritto a “tenere segreti aspetti, comportamenti, atti relativi alla propria sfera privata”.

La sua origine si riviene negli Stati Uniti alla fine del XIX quale diritto dell’individuo “a non essere lasciato solo”, mentre nel nostro ordinamento fa la sua comparsa con alcune sentenze della Cassazione, avallate da una celebre pronuncia della Consulta^[2].

Posto che, per unanime visione degli interpreti, la previsione di cui all’art. 2 Cost. si configura come una clausola aperta, la quale si limita a prendere atto della tutela della dimensione “umana”, essa risulta suscettibile di ricomprendere anche il diritto al trattamento lecito dei dati personali.

2. Privacy e GDPR N.679/2016

Nel nostro ordinamento, il legislatore è intervenuto solo nel dicembre del 1996 con il testo n. 675, poi sostituito dal d.lgs. 30 giugno 2003, n.196 meglio noto come codice per la protezione dei dati personali, rimaneggiato dal nuovo regolamento GDPR n.679 del 2016, entrato in vigore, nel nostro ordinamento, nel 2018.

Dall’esame della disciplina speciale emerge come il concetto di riservatezza abbia subito una progressiva metamorfosi e, non più limitato al divieto di divulgare notizie riguardanti la sfera privata, ma volto ad assicurare specifiche cautele e tecniche rimediali volte a minimizzare i danni.

Nell’attività di trattamento dei dati personali, il responsabile del trattamento è tenuto ad osservare talune regole, al fine di non incorrere in illeciti amministrativi o penali.

In primo luogo, il trattamento dei dati personali deve avvenire con il preventivo consenso dell’interessato, il quale si esprime in modo libero e consapevole e adeguatamente informato delle finalità della raccolta. Grava in capo al titolare, invece, l’obbligo di rispettare tutte le disposizioni di legge su raccolta e gestione dei dati.

La violazione della seguente disciplina comporta, tra l’altro, la risarcibilità del danno anche non patrimoniale ex art. 15 del d.lgs. 196/2003, disponendo che “Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’art.2050 del codice civile”.

Accanto ai danni materiali, risarcibili purché conseguenze immediate e dirette ex art. 1223 c.c. del fatto illecito, il legislatore ha predisposto una specifica disciplina in ordine ai danni immateriali quali: la lesione dell’identità personale, la manomissione di dati, informazioni aventi carattere strettamente personale da cui discende un trattamento illecito dei “personal data”.  

Al fine di assicurare tutela potenziata al diritto alla riservatezza e al trattamento lecito dei dati personali, il legislatore ha fatto ricorso ad una peculiare tecnica rimediale, ossia il rinvio alla disciplina codicistica di cui all’art. 2050 c.c.

È noto che il legislatore in una logica di chiusura abbia previsto, accanto alla regola generale di cui all’art. 2043 c.c., talune ipotesi specifiche di responsabilità oggettiva, in cui il criterio di imputazione si fonda sulla sola esistenza del nesso di causalità, tra cui si rinviene, secondo la dottrina dominante, l’ipotesi delineata dall’art. 2050 c.c.

Taluni dubbi interpretativi, nel silenzio del legislatore, sono emersi in ordine alla natura del richiamo operato dall’art 15 cod. privacy alla previsione codicistica di cui all’art.2050 c.c. e, segnatamente, se l’attività di trattamento dei dati sia intrinsecamente pericolosa ovvero s’intende definire, esclusivamente, un regime di responsabilità aggravata.

Secondo un consolidato orientamento giurisprudenziale debbano reputarsi pericolose, non solo tutte quelle attività qualificate come tali dal Testo Unico di Pubblica Sicurezza, ma anche quelle che per natura e per caratteristiche possano rivelarsi lesive dell’incolumità dell’uomo. Pertanto, la giurisprudenza di legittimità ha ritenuto che il metro di giudizio volto a selezionare le attività riconducibili nel novero dell’art.2050 c.c. si fonda su un dato quantitativo e qualitativo, misurato con il criterio della prognosi postuma. Ciò ha indotto a ritenere pericolose non solo le attività caratterizzate da un’elevata quantità di eventi letali ma anche quelle che, sebbene cagionino un numero limitatissimo di pregiudizi, sono suscettibili di generare lesioni particolarmente gravi. L’art. 2050 c.c. fornisce due criteri alla luce dei quali un’attività debba essere considerata come pericolosa: la natura della stessa e la qualità dei mezzi adoperati.

Tanto premesso, parte della dottrina, muovendo dall’assunto secondo cui il trattamento dei dati personali non costituisce attività pericolosa, il richiamo operato dall’art 15 cod. privacy assolve la funzione di definire il criterio di imputazione del danno. In altri termini, il legislatore ha inteso costruire il regime di responsabilità del soggetto che opera con dati personali mediante la tecnica della normativa per relationem. Sicché sarà tenuto al risarcimento del danno chiunque cagioni un danno per effetto dell’illegittimo trattamento dei dati personali, a meno che il responsabile non provi di aver adottato tutte le misure idonee a neutralizzare l’illecito. Sul piano probatorio, seguendo la ricostruzione in esame, si assiste ad un’inversione dell’onere della prova, atteso che il danneggiante è tenuto a dimostrare la causa esterna che ha reso impossibile evitare il pregiudizio, esonerando il danneggiato dalla prova del danno e dell’atteggiamento subiettivo relativo dell’autore.

Di contrario avviso altra opzione dottrinale, avallata dalla giurisprudenza più recente. In accordo alla prospettazione in esame, il trattamento dei dati personali costituisce attività di per sé pericolosa. Ciò in quanto occorre valorizzare l’oggettività giuridica che la norma de qua intende salvaguardare. L’attività di trattamento dei dati personali è intrinsecamente collegato a taluni diritti fondamentali della persona, quali il diritto alla riservatezza, alla tutela dell’identità personale.

Inoltre, la pericolosità insita nel trattamento dei dati personali risulta percepibile alla luce dell’invasività che detta attività comporta nella dimensione personale dell’uomo

Tale impostazione ermeneutica appare tanto più condivisibile se si consideri l’evoluzione giurisprudenziale registratasi in ordine alla categoria dogmatica del danno non patrimoniale. A seguito della sistemazione della materia, avvenuta con le fondamentali sentenze di San Martino dell’undici novembre del 2008 è possibile affermare che il danno non patrimoniale è risarcibile nei casi previsti dalla legge e quando il fatto illecito abbia violato in modo grave e serio i diritti inviolabili della persona, come tali oggetto di previsione costituzionale. Ne consegue la possibilità di risarcire, a determinate condizioni, anche un danno che derivi da una condotta illecita diversa da uno specifico reato.

La disciplina dettata in tema di responsabilità da illecito trattamento dei dati personali si inserisce, dunque, nel filone di ampliamento delle maglie della responsabilità extracontrattuale.