La responsabilità per violazione delle norme sul trattamento dei dati personali



Il previgente (in quanto abrogato dall’art. 27, comma 1, lett. a), n. 2), D.Lgs. 10 agosto 2018, n. 101 in esito all'entrata in vigore del GDPR) art. 15 del Codice in materia di protezione dei dati personali (D. Lgs. 30 giugno 2003, n. 196), riproducendo quanto già disposto dal precedente art. 18 della legge 31 dicembre 1996, n. 675, stabiliva che chiunque cagioni danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'art. 2050 cod. civ. . Il richiamo a tale disposizione, che disciplina la responsabilità per l'esercizio di attività pericolose, con riferimento al trattamento dei dati personali, si spiega con l'intento del legislatore speciale di agevolare, sul piano probatorio, la posizione del danneggiato. Invero, chi avesse subito il danno avrebbe potuto limitarsi a dimostrare quest'ultimo, mentre sul presunto responsabile sarebbe gravata la prova di aver adottato tutte le misure idonee ad evitarlo, così come richiesto dall'art.2050 cod.civ. (Cass. Civ., Sez.III, 2468/09).

La risarcibilità era estesa al danno non patrimoniale dal medesimo art. 15 , II comma, nell'ipotesi in cui vi fosse stata violazione dell'art. 11 , D. Lgs. cit. (norma a propria volta abrogata), vale a dire della disposizione che, nel delineare le modalità di raccolta dei dati personali, imponeva che questi fossero trattati in modo lecito e secondo correttezza. Il risarcimento del danno non patrimoniale era, altresì, da riconoscersi nell'ipotesi in cui, ai sensi dell'art. 167 D. Lgs. 196/2003 (norma la cui vigenza permane), il trattamento dei dati personali costituisse reato.

Quanto alle applicazioni giurisprudenziali delle norme in esame (sia pure con speciale riferimento alla legge del 1996), ad esempio, è stata rigettata la domanda con cui un'associazione sindacale aveva chiesto il risarcimento del danno, lamentando l'illiceità del trattamento di dati sensibili effettuato da un datore di lavoro, cui si addebitava di aver inserito nei cedolini dello stipendio, consegnati in busta chiusa ai dipendenti iscritti a tale sodalizio, l'indicazione nominativa del sindacato al quale erano destinate le trattenute, dal momento che:
a) il dato relativo all'iscrizione ad un'associazione sindacale riguarda la sfera personale del lavoratore e non quella del sindacato;
b) la mera circolazione del dato fra le persone che sono già a conoscenza dello stesso non comporta alcuna lesione giuridicamente apprezzabile.

Viceversa, la giurisprudenza ha affermato il diritto al risarcimento del danno nel caso in cui la pubblicazione da parte di un quotidiano del nome e dell'indirizzo della vittima del reato di furto nonché delle caratteristiche dell'abitazione e degli oggetti sottratti, costituisca trattamento non autorizzato di dati non essenziali per l'esercizio del diritto di cronaca. Ancora è stata affermata la risarcibilità del danno morale ed esistenziale per la pubblicazione di dati sensibili della persona offesa che, ancorchè non individuata in maniera specifica, potesse essere riconosciuta in via indiretta (Cass. Civ., Sez. III, 1608/2014). Analogamente si è provveduto in relazione alla diffusione giornalistica della notizia dell'adozione di una delibera comunale riguardante l'assistenza da prestarsi ad una persona disabile minore d'età, essendo stato respinto il ricorso avverso la pronunzia risarcitoria (Cass. Civ., Sez. III, 24986/2014).

Dall'analisi delle pronunce di merito in materia, emerge che la giurisprudenza è propensa ad affermare che il trattamento abusivo dei dati configuri un'ipotesi di danno in re ipsa. Conseguentemente, le Corti sanciscono la risarcibilità del danno sul mero presupposto della violazione delle disposizioni che regolano il trattamento. Così è stata riconosciuta la risarcibilità del danno non patrimoniale conseguente all'illecita diffusione su un quotidiano dell'indirizzo di casa dell'interessato nonchè di quello derivante dalla pubblicazione post mortem di un epistolario avente carattere confidenziale, senza il consenso del congiunto legittimato ex lege.

Sennonchè la dottrina nota1, si è mostrata critica nei confronti di tale interpretazione rilevando come, al contrario, il danno non patrimoniale possa essere risarcito soltanto nella misura in cui sia provato nella sua entità. Secondo la tesi in esame, pertanto, anche nella materia de qua, l'onere della prova, incombente sul danneggiato, ha ad oggetto non solo l'esistenza della lesione, ma anche l'entità del pregiudizio che da questa sia derivato.

Il D. Lgs. 30 giugno 2003, n. 196 aveva altresì previsto una generale competenza dell'autorità giudiziaria ordinaria, in composizione monocratica, per tutte le controversie che riguardano, comunque, l'applicazione delle disposizioni del nuovo Codice, comprese quelle inerenti ai provvedimenti del Garante in materia di protezione dei dati personali o alla loro mancata adozione.

In particolare, l'art. 152 come modificato per effetto del D. Lgs. 150 del 2011, disponeva, in combinazione con l'art.10 del predetto provvedimento, che le controversie fossero regolate dal rito del lavoro, ove non diversamente disposto. In seguito alla novellazione del 2018 ed alla entrata in vigore del GDPR, attualmente, ai sensi del I comma del predetto articolo, "tutte le controversie che riguardano le materie oggetto dei ricorsi giurisdizionali di cui agli articoli 78 e 79 del Regolamento e quelli comunque riguardanti l'applicazione della normativa in materia di protezione dei dati personali, nonché il diritto al risarcimento del danno ai sensi dell'art. 82 del medesimo regolamento, sono attribuite all'autorità giudiziaria ordinaria."

Con il previgente Codice il legislatore aveva introdotto anche uno speciale strumento cautelare: invero, quando sussistesse pericolo imminente di un danno grave ed irreparabile il giudice avrebbe potuto emanare i provvedimenti necessari con decreto motivato, fissando, con il medesimo provvedimento, l'udienza di comparizione delle parti entro un termine non superiore a quindici giorni. In tale udienza, con ordinanza, il giudice avrebbe confermato, modificato o revocato i provvedimenti emanati con decreto.
Tra le sentenze relative ai provvedimenti cautelari in esame, vanno ricordate la pronuncia del Tribunale di Roma, 30/01/2002 che aveva ammesso la sospensione in via cautelare dell'efficacia del provvedimento con il quale il Garante per la tutela dei dati personali aveva inibito alla Rai di acquisire dai rivenditori di apparecchi radiotelevisivi le generalità degli acquirenti, al fine di contrastare l'evasione dall'obbligo di pagamento del canone, nonchè quella del Tribunale di Napoli, 10/06/2003 che aveva riconosciuto come unico rimedio realmente efficace per evitare il danno che potrebbe derivare dalla persistenza negli archivi dei dati illegittimamente trattati, quello attuato in via preventiva, attraverso uno strumento di tipo inibitorio.

Note

nota1

Acciai, Il diritto alla protezione dei dati personali: la disciplina sulla privacy alla luce del nuovo Codice, Rimini, 2004; Cassano-Fadda, Codice in materia di protezione dei dati personali, Milano, 2004.
top1

Bibliografia

  • ACCIAI, Il diritto alla protezione dei dati personali:la disciplina sulla ..., Rimini, 2004
  • CASSANO-FADDA, Codice in materia di protezione dei dati personali, Milano, 2004

News collegate

Percorsi argomentali

Aggiungi un commento


Se vuoi aggiornamenti su "La responsabilità per violazione delle norme sul trattamento dei dati personali"

Iscriviti alla Newsletter di WikiJus!

Iscriviti