Dott.sa Eleonora Donadio
Infermiere Legale Forense
Consiglio direttivo APSILEF
Coord. Ufficio stampa e Comunicazione APSILEF
Resp. Gruppo regionale Emilia Romagna APSILEF
- il REGOLAMENTO UE 2016/679 (GDPR)
- la sentenza n. 340/2021 della corte di giustizia europea (terza sezione) 14 dicembre 2023
https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:62021CC0340
https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:62021CJ0340 - la sentenza n. 300/2021 della corte di giustizia europea (terza sezione) 4 maggio 2023
https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:62021CC0300
conclusioni dell’avvocato generale M. Campos Sánchez-Bordona del 6 ottobre 2022
https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:62021CJ0300 - la sentenza n. 13073 della Cassazione Civile sez. I, del 12/05/2023 (già pubblicata su questo sito in giugno 2023)
Quale è il “fil rouge” che lega le summenzionate decisioni?: l’articolo 82 del GDPR.
Tale articolo infatti rappresenta la principale norma alla quale fare riferimento quando si parla di risarcimento danni per violazione degli obblighi di protezione dei dati personali.
L’articolo rubricato Diritto al risarcimento e responsabilità testualmente recita:
- Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.
- Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.
- Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile.
- Qualora più titolari del trattamento o responsabili del trattamento oppure entrambi il titolare del trattamento e il responsabile del trattamento siano coinvolti nello stesso trattamento e siano, ai sensi dei paragrafi 2 e 3, responsabili dell’eventuale danno causato dal trattamento, ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato.
- Qualora un titolare del trattamento o un responsabile del trattamento abbia pagato, conformemente al paragrafo 4, l’intero risarcimento del danno, tale titolare del trattamento o responsabile del trattamento ha il diritto di reclamare dagli altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno conformemente alle condizioni di cui al paragrafo 2.
- Le azioni legali per l’esercizio del diritto di ottenere il risarcimento del danno sono promosse dinanzi alle autorità giurisdizionali competenti a norma del diritto dello Stato membro di cui all’articolo 79, paragrafo 2.
L’interpretazione di tale disposizione risulta al momento tratteggiata dalla giurisprudenza della Corte di Giustizia dell’Unione Europea (CGUE) e della Suprema Corte di Cassazione italiana con le sopra menzionate pronunce.
Più precisamente:
La SENTENZA n. 340/2021 DELLA CORTE DI GIUSTIZIA EUROPEA (Terza Sezione) 14 dicembre 2023 ha ad oggetto i seguenti fatti
Una interessata cittadina bulgara aveva rivendicato il diritto al risarcimento del “danno immateriale” sofferto a causa della pubblicazione dei suoi dati personali su internet a seguito di un attacco hacker che aveva colpito il sistema informatico di un ente nazionale deputato al recupero dei crediti pubblici.
Ritenendo che il Titolare del trattamento avesse violato i suoi obblighi legali, l’interessata cittadina chiedeva a titolo di danno morale circa 510 euro, per il “timore che i suoi dati personali pubblicati senza il suo consenso siano oggetto di un utilizzo abusivo, in futuro, o che subisca un ricatto, un’aggressione, o addirittura un rapimento“.
Respinta la domanda risarcitoria dal Tribunale amministrativo di Sofia, la interessata cittadina ha impugnato la decisione davanti alla Corte Suprema Amministrativa della Bulgaria, che ha sollevato questione pregiudiziale interpretativa su molteplici disposizioni del GDPR.
Nel caso di specie la Corte di Giustizia dell’Unione Europea ha dato sostanziale continuità all’ orientamento precedentemente espresso nella causa C-300/21 del 04/05/2023.
In sintesi, ecco i sei principi formulati dalla CGUE:
- Una divulgazione non autorizzata di dati personali o un accesso non autorizzato a tali dati da parte di terzi (come nel caso di un attacco hacker) non sono sufficienti – di per sé – per ritenere che le misure tecniche e organizzative fossero inadeguate, senza neppure consentire al titolare del trattamento di fornire la prova contraria.
- L’adeguatezza delle misure tecniche e organizzative deve essere valutata dai giudici nazionali in concreto, tenendo conto dei rischi connessi al trattamento di cui trattasi e valutando se la natura, il contenuto e l’attuazione di tali misure fossero adeguati a tali rischi.
- Nell’ ambito di un’azione di risarcimento danni per violazione dei dati, l’onere della prova dell’adeguatezza delle misure di sicurezza incombe sul titolare del trattamento.
- Per valutare l’adeguatezza delle misure di sicurezza attuate dal titolare del trattamento ai sensi di tale articolo, una perizia giudiziaria non può costituire un mezzo di prova sistematicamente necessario e sufficiente.
- Il titolare del trattamento, per essere esonerato dall’ obbligo di risarcire il danno, non può addurre il solo fatto che esso deriva da una divulgazione non autorizzata di dati personali o da un accesso non autorizzato da parte di terzi (come nel caso di un attacco hacker), ma deve dimostrare che il fatto che ha provocato il danno in questione non gli è in alcun modo imputabile: deve cioè provare che non sussiste alcun nesso di causalità tra la sua eventuale violazione dell’obbligo di protezione dei dati e il danno subito dall’ interessato.
- Il timore di un potenziale utilizzo abusivo dei suoi dati personali da parte di terzi a seguito di una violazione del GDPR può, di per sé, costituire un “danno immateriale”, fermo restando che il giudice nazionale deve verificare che tale timore possa essere considerato fondato, nelle circostanze specifiche di cui trattasi e nei confronti dell’interessato.
LA SENTENZA N. 300/2021 DELLA CORTE DI GIUSTIZIA EUROPEA (TERZA SEZIONE) 4 maggio 2023 ha ad oggetto i seguenti fatti
Dal 2017, l’Österreichische Post AG, impresa editrice di indirizzi, raccoglieva informazioni sulle affinità della popolazione austriaca in relazione ai partiti politici. Tramite un algoritmo, essa individuava gli «indirizzi di gruppi destinatari» sulla base di fattori socio demografici.
Il sig. UI è una persona fisica in relazione alla quale la Österreichische Post ha effettuato un’estrapolazione, sulla base di un calcolo statistico, per stabilirne la classificazione nei possibili gruppi destinatari di pubblicità elettorale di vari partiti politici. Da tale estrapolazione risultava che UI presentava un’alta affinità con uno di essi. Tali dati non venivano trasferiti a terzi.
Il sig. UI, che non aveva prestato il consenso al trattamento dei propri dati personali, era contrariato per la registrazione dei dati relativi all’orientamento politico nonché irritato e offeso per l’affinità attribuitagli in concreto dall’Österreichische Post.
Il sig. UI ha chiesto un risarcimento di EUR 1.000 per danni immateriali (disagio interiore). Egli afferma che l’affinità politica che gli viene attribuita è offensiva e infamante, nonché lesiva della sua immagine. Inoltre, il comportamento della Österreichische Post gli avrebbe provocato una forte irritazione e una perdita di fiducia, nonché un sentimento di umiliazione.
Il giudice di primo grado ha respinto la domanda di risarcimento dell’ interessato UI.
La sentenza del giudice di appello è stata impugnata dinanzi all’Oberster Gerichtshof (Corte suprema), il quale sottopone alla Corte di Giustizia le seguenti questioni pregiudiziali:
1)Se ai fini del riconoscimento di un risarcimento ai sensi dell’articolo 82 dell’RGPD (…) occorra, oltre a una violazione delle disposizioni dell’RGPD, che il ricorrente abbia patito un danno, o se sia già di per sé sufficiente la violazione di disposizioni dell’RGPD per ottenere un risarcimento.
2)Se esistano, per quanto riguarda il calcolo del risarcimento, altre prescrizioni di diritto dell’Unione, oltre ai principi di effettività e di equivalenza.
3)Se sia compatibile con il diritto dell’Unione la tesi secondo cui il presupposto per il riconoscimento di un danno immateriale è la presenza di una conseguenza o di un effetto della violazione di un diritto avente almeno un certo peso e che vada oltre l’irritazione provocata dalla violazione stessa».
In sintesi si chiede alla CGUE l’interpretazione dell’art. 82 GDPR, con specifico riferimento alla nozione di “danno”prevista nel suo paragrafo 1.
Nel pronunciarsi sulla questione, la CGUE ha formulato tre principi di grande interesse
1° PRINCIPIO
• La mera violazione delle disposizioni del GDPR non è sufficiente per conferire all’interessato un diritto al risarcimento, nel senso che, a tal fine, devono sussistere tutti i canonici presupposti dell’illecito:
• La condotta colposa (vale a dire la violazione del GDPR),
• Il danno
• Il nesso causale tra la prima ed il secondo.
2° PRINCIPIO
Il risarcimento del “danno immateriale”, fermo restando che deve essere dimostrato dall’interessato, non può essere subordinato al raggiungimento di una certa soglia di gravità. Questo in quanto:
• l’articolo 82 GDPR stabilisce che sia i danni materiali sia quelli immateriali possono dar diritto a risarcimento, senza indicare una soglia minima di gravità per questi ultimi;
• il considerando 146 del GDPR sottolinea che il concetto di “danno” deve avere un’interpretazione ampia, quindi non si può limitare il risarcimento ai soli danni di un certo peso;
• subordinare il risarcimento di un danno immateriale al superamento di una certa soglia di gravità potrebbe pregiudicare la coerenza stessa del Regolamento: difatti la definizione di suddetta soglia muterebbe a seconda della discrezionalità del Giudice, influenzando la possibilità di ottenere o meno un risarcimento 1 .
3° PRINCIPIO
Per la liquidazione del danno, i Giudici nazionali devono applicare le norme interne di ciascuno Stato membro relative alla determinazione dell’entità del risarcimento dovuto, nel rispetto dei seguenti principi:
• Equivalenza (le norme interne non possono essere meno favorevoli rispetto a quelle che disciplinano il risarcimento del danno in situazioni analoghe),
• Effettività (l’esercizio del diritto al risarcimento del danno non deve essere reso difficile o addirittura impossibile).
In conclusione, nella fattispecie de qua la CGUE evidenzia che il risarcimento pecuniario di cui all’articolo 82 del GDPR deve essere “pieno ed effettivo”, ovvero sufficiente a “compensare integralmente il danno concretamente subito a causa della violazione di tale regolamento“, pur non essendo necessario, a tal fine, imporre il versamento di un risarcimento punitivo (punto 58 della motivazione).
LA SENTENZA N. 13073 DELLA CASSAZIONE CIVILE SEZ. I, DEL 12/05/2023
In questa pronuncia che si pone in linea con l’interpretazione della CGUE, il caso in questione è quello di un dipendente comunale che aveva subito la pubblicazione non autorizzata dei propri dati personali sul sito web istituzionale del Comune suo datore di lavoro. Nella specie, si trattava di una determina relativa al pignoramento del quinto dello stipendio, che era rimasta in pubblicazione sull’albo pretorio on-line, per circa 24 ore priva del (dovuto) oscuramento dei dati. Il Comune, condannato al risarcimento aveva impugnato la sentenza del Tribunale proponendo ricorso per Cassazione.
La Suprema Corte, nel rigettare il ricorso, ha precisato che era assolutamente irrilevante la circostanza che – come sostenuto dal Comune – la violazione dei dati fosse avvenuta a causa di un errore umano o distrazione: infatti, il datore di lavoro Titolare del Trattamento è responsabile anche per gli atti compiuti dai propri dipendenti (A tal proposito vedasi anche gli artt. 1228 e 2049 del Codice Civile).
L’iter argomentativo della sentenza prosegue poi su queste direttrici:
• il danno non patrimoniale risarcibile deriva dalla lesione di un diritto fondamentale (quello alla protezione dei dati personali) che è tutelato dagli artt. 2 e 21 della Costituzione italiana, e dall’art. 8 della Convenzione Europea dei Diritti dell’Uomo (CEDU);
• l’art. 82 GDPR conferma la rilevanza del rimedio risarcitorio, stabilendo che il diritto al risarcimento spetta a “chiunque subisca un danno materiale o immateriale”;
• pertanto il danno causato da una violazione del GDPR va risarcito “anche se la lesione sia marginale”;
• il criterio (generale e consolidato) secondo cui il danno non può mai dirsi in re ipsa, nel sistema codificato dal GDPR, va inteso nel senso che la mera violazione delle sue norme non integra, di per sé sola, una lesione idonea a generare danno risarcibile, a tal fine occorrendo che la violazione abbia concretamente offeso la portata effettiva del diritto alla riservatezza del dato;
• la sussistenza di un danno risarcibile, il cui accertamento integra ovviamente questione di fatto ed è rimesso al giudice di merito, può essere ricavata (anche presuntivamente) dalla tipologia del dato e dal contesto in cui ne è avvenuta l’indebita ostensione.
La motivazione della suprema Corte si conclude con l’affermazione dei seguenti due principi di diritto:
- in base alla disciplina generale del […] GDPR,il Titolare del Trattamento dei dati personali è sempre tenuto a risarcire il danno cagionato a una persona da un trattamento non conforme al regolamento stesso, e può essere esonerato dalla responsabilità non semplicemente se si è attivato (come suo dovere) per rimuovere il dato illecitamente esposto, ma solo “se dimostra che l’evento dannoso non gli è in alcun modo imputabile”;
- l’esclusione del principio del danno in re ipsa presuppone, in questi casi, la prova della serietà della lesione conseguente al trattamento; ciò vuol dire che può non determinare il danno la mera violazione delle prescrizioni formali in tema di trattamento del dato, mentre induce sempre al risarcimento quella violazione che concretamente offenda la portata effettiva del diritto alla riservatezza.
RIFLESSIONI
Il considerando 75 premette che “I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, e prosegue poi con la seguente esemplificazione:
• se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo;
• se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l’esercizio del controllo sui dati personali che li riguardano;
• se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza;
• in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali;
• se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori;
• se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati.
Il considerando 85 menziona che “Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche“, e anch’esso esemplifica con riguardo a:
• perdita del controllo dei dati personali che li riguardano
• limitazione dei loro diritti,
• discriminazione,
• furto
• usurpazione d’identità,
• perdite finanziarie,
• decifratura non autorizzata della pseudonimizzazione,
• pregiudizio alla reputazione,
• perdita di riservatezza dei dati personali protetti da segreto professionale
• qualsiasi altro danno economico o sociale significativo alla persona fisica interessata.
Sembra chiaro che tutte queste ipotesi costituiscono, almeno potenzialmente, distinte ed autonome fattispecie di danno risarcibile, che l’interessato ha naturalmente l’onere di provare in giudizio.
Tanto più che, a tenore della stessa sentenza della CGUE 04/05/2023, ai fini dell’applicazione del GDPR, le nozioni di “danno materiale o immateriale” e di “risarcimento del danno” devono essere considerate autonome (cfr. punto 30 della sentenza), il che significa che “devono ricevere, tenuto conto della mancanza di qualsiasi riferimento al diritto interno degli Stati membri, una definizione autonoma e uniforme, propria del diritto dell’Unione” (punto 44), con la conseguenza che devono essere fatte oggetto della stessa interpretazione in tutti gli Stati membri.
Se si pensa ai dati particolari va da se che la sicurezza dei dati in sanità è essenziale. Infrazioni/haker come quelle occorse a tante strutture sanitarie pubbliche e private, potrebbero sfociare in gravi conseguenze.
Una violazione dei dati personali, in particolare quelli sanitari, potrebbe dare luogo a diverse tipologie di danni risarcibili, ognuna con specifiche connotazioni e sfumature:
Un danno non patrimoniale (tipicamente morale / esistenziale), comprendente
• lo stress e il patimento derivanti dalla violazione del proprio diritto alla riservatezza, attuata con la diffusione non autorizzata di dati sanitari a un pubblico indeterminato;
• l’ansia, il timore e la preoccupazione derivanti dalla consapevolezza di essere esposti a rischi come furti d’identità o usi impropri delle informazioni personali relative alla propria identità e alla propria salute, come anche di subire un ricatto, un’aggressione, o addirittura un rapimento,
• l’angoscia, la rabbia e la vergogna derivanti dalla divulgazione di eventuali patologie gravi o stigmatizzanti, fonte peraltro di un rischio concreto di emarginazione sociale e professionale per il soggetto interessato;
Un danno patrimoniale, qualora sia possibile documentare che la violazione dei dati abbia prodotto conseguenze pregiudizievoli in termini di danno emergente o lucro cessante.
Sic stanti bus rebus
Il Titolare del trattamento si libera da responsabilità soltanto dimostrando che l’evento dannoso non sia a lui in alcun modo imputabile come previsto dall’art. 82, paragrafo 3, GDPR.
[1] A tal proposito val la pena ricordare che il considerando n.10 del GDPR cosi recita (10) Al fine di assicurare un livello coerente ed elevato di protezione delle persone fisiche e rimuovere gli ostacoli alla circolazione dei dati personali all’interno dell’Unione, il livello di protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri. È opportuno assicurare un’applicazione coerente e omogenea delle norme a protezione dei diritti e delle libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali in tutta l’Unione. Per quanto riguarda il trattamento dei dati personali per l’adempimento di un obbligo legale, per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento, gli Stati membri dovrebbero rimanere liberi di mantenere o introdurre norme nazionali al fine di specificare ulteriormente l’applicazione delle norme del presente regolamento. In combinato disposto con la legislazione generale e orizzontale in materia di protezione dei dati che attua la direttiva 95/46/CE, gli Stati membri dispongono di varie leggi settoriali in settori che richiedono disposizioni più specifiche. Il presente regolamento prevede anche un margine di manovra degli Stati membri per precisarne le norme, anche con riguardo al trattamento di categorie particolari di dati personali («dati sensibili»). In tal senso, il presente regolamento non esclude che il diritto degli Stati membri stabilisca le condizioni per specifiche situazioni di trattamento, anche determinando con maggiore precisione le condizioni alle quali il trattamento di dati personali è lecito.