Privacy e GDPR – Titolare del trattamento è sempre tenuto a risarcire il danno se il danno esiste quale conseguenza del trattamento dei dati. Danno in re ipsa - Studio Legale Massafra

Privacy e GDPR – Titolare del trattamento è sempre tenuto a risarcire il danno se il danno esiste quale conseguenza del trattamento dei dati. Danno in re ipsa

28 Maggio 2023 Diritto civile, Privacy - GDPR

Una recente ed importante sentenza della Cassazione ha chiarito come “In materia di illecito trattamento dei dati, in base alla disciplina generale del Regolamento (UE) 2016/679, cd. GDPR, il titolare del trattamento dei dati personali è sempre tenuto a risarcire il danno cagionato a una persona da un trattamento non conforme al regolamento stesso, e può essere esonerato dalla responsabilità non semplicemente se si è attivato (come suo dovere) per rimuovere il dato illecitamente esposto, ma solo se dimostra che l’evento dannoso non gli è in alcun modo imputabile. L’esclusione del principio del danno in re ipsa presuppone, in questi casi, la prova della serietà della lesione conseguente al trattamento. Ciò vuol dire che può non determinare il danno la mera violazione delle prescrizioni formali in tema di trattamento del dato, mentre induce sempre al risarcimento quella violazione che concretamente offenda la portata effettiva del diritto alla riservatezza” (Cass. civ., Sez. I, Ordinanza, 12/05/2023, n. 13073).

Il caso sotteso alla pronuncia riguardava la pubblicazione da parte di un comune di una determina relativa al pignoramento in danno di un dipendente in cui, nella sola nota contabile, appariva il nome del dipendente. Spiegano gli Ermellini che “… il diritto al risarcimento non si sottrae alla verifica della gravità della lesione e della serietà del danno. Questo perché anche per tale diritto opera il bilanciamento con il principio di solidarietà ex Cost., art. 2, di cui quello di tolleranza della lesione minima è un precipitato. …” e che “ … non è tale da determinare una lesione effettiva del diritto la mera violazione delle prescrizioni poste in tema di trattamento, ma lo è invece quella violazione che concretamente offenda la portata effettiva del diritto alla riservatezza del dato. …”.

Continua la Corte spiegando che “ …il titolare del trattamento deve comunque risarcire il danno cagionato a una persona “da un trattamento non conforme al presente regolamento”, e può essere esonerato da una tale responsabilità non semplicemente se si è attivato (come suo dovere) per rimuovere il dato illecitamente esposto, ma solo “se dimostra che l’evento dannoso non gli è in alcun modo imputabile””.