L'attività di trattamento dei dati personali va considerata attività "pericolosa". Per questo motivo l'
art.15 del t.u. 196/2003 (abrogato dall’art. 27, comma 1, lett. a), n. 2), D.Lgs. 10 agosto 2018, n. 101 in esito all'entrata in vigore del GDPR), espressamente dedicato al tema, disponeva che chiunque cagionasse danno ad altri per effetto del trattamento di dati personali fosse tenuto al risarcimento ai sensi dell'art.
2050 cod. civ. . Giova rilevare, in particolare, come dovesse considerarsi vigente la presunzione di colpevolezza di cui alla riferita norma, vincibile soltanto dalla prova positiva, da darsi a cura del danneggiante, di aver adottato tutte le misure idonee ad evitare il danno.
Va tuttavia rilevato come non ogni violazione, pur accertata, conducesse necessariamente al risarcimento del danno. E' stato deciso infatti che, pur nell'ipotesi di comprovata inosservanza delle regole relative al trattamento di dati sensibili (nella specie oggetto di diffusione per il tramite di un sito web), occorresse parallelamente dar conto della "gravità della lesione" e della concorrente "serietà del danno", valutazioni in ogni caso rimesse al Giudice di merito (Cass. Civ., Sez. III,
16133/2014).