L’articolo 15 del “Codice Privacy”.

Esaminate le questioni relative alla prima disciplina positiva in materia220 _{, passiamo adesso al Decreto Legislativo 196/2003,} conosciuto anche come “Codice Privacy”, il quale tratta l’argomento che stiamo analizzando, all’articolo 15221_.

218 _{Questo, ricordiamo, anche prima dell’interpretazione giurisprudenziale}

che apre a nuove ipotesi di risarcibilità non tipizzate dalla legge

219 _{P. Ziviz, Il trattamento dei dati personali e responsabilità civile: il regime}

previsto dalla L. 675/96, op. cit., p. 1307.

220 _{Per un approfondimento generale della L. 675/1996, si rinvia al successivo}

capitolo.

221 _{L’articolo 15 L. 196/2003 si compone di due commi: il comma 1 sancisce}

che “chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 c.c.; il comma 2 dispone che “il danno non patrimoniale è risarcibile anche in caso di

Il primo aspetto che possiamo notare è che tale norma ricomprende in sé gli articoli 18 e 29 comma 9 della precedente legge sul trattamento dei dati, riunendo in sé sia le ipotesi di risarcibilità di danno patrimoniale che quelle di danno non patrimoniale.

Possiamo, inoltre, prendere atto di un’estensione dell’ambito di applicabilità della disciplina del Codice Privacy poiché essa si applica, secondo l’articolo 5 comma 3, anche nel caso di quei trattamenti di dati personali, causa di danni non patrimoniali, effettuati da persone fisiche per fini esclusivamente personali; a tal proposito, il precedente sistema escludeva l’applicabilità della disciplina di cui all’articolo 29 comma 9 al caso di trattamento di dati effettuato da soggetti privati per fini personali non destinati a comunicazione sistematica o alla diffusione, limitando il risarcimento alle sole ipotesi in cui le condotte che li avevano causati integrassero un reato222.

La questione da porsi all’epoca sembrava essere la seguente: nel sistema così delineato dal legislatore, la risarcibilità del danno scattava in ogni ipotesi di mera illiceità del trattamento dati oppure era comunque necessario provare che, in conseguenza di quel trattamento illecito, il soggetto titolare dei dati coinvolti avesse subito un danno in concreto? 223

violazione dell’articolo 11”; il richiamo all’articolo 11 del presente articolo, sostituisce il precedente richiamo all’articolo 9 fatto dall’articolo 29 co. 9 della L. 675/1996, poiché ne riproduce il contenuto.

222 _{In applicazione della disciplina di cui all’articolo 2059 c.c. ante intervento}

della Giurisprudenza.

223 _{La questione è correlata con il dibattito della risarcibilità del mero danno-}

evento/necessità del danno-conseguenza; a tal proposito : “all’interno del concetto di danno si deve distinguere il danno-evento dai danni-conseguenze: il danno-evento consiste nella lesione dell’interesse protetto, in sé considerata; i danni-conseguenze sono quei pregiudizi ulteriori, di ordine

Secondo una dottrina, la soluzione preferibile sarebbe stata quella di “reputare pregiudiziale a una condanna al risarcimento, l’accertamento della concreta materializzazione del danno, inteso come lesione di un bene oggetto di un interesse tutelato”224 e questo sembra preferibile anche in considerazione del fatto che il legislatore, da quando ha iniziato ad occuparsi della tutela del trattamento dei dati personali, ha fornito al soggetto titolare degli stessi, una serie di strumenti volti a permettergli di agire per evitare un danno225_.

L’analisi fin qui operata sembrerebbe giungere ad una conclusione, ovvero quella secondo la quale “nella legislazione speciale in materia di privacy l’area del trattamento illecito e l’area del danno risarcito, seppur parzialmente sovrapponibili, non coincidono”226.

Tale considerazione del danno da trattamento di dati personali non in re ipsa, è stata successivamente accolta dalla Cassazione, la quale nella sentenza 16133/2014 ha stabilito che la mera illiceità del trattamento dei dati personali non è idonea di per sé a giustificare la richiesta di risarcimento del danno non patrimoniale227, e che, inoltre, ai fini del risarcimento, appaia necessario verificare la gravità della lesione e la                                                                                                                                                                                                                                                                      

patrimoniale o morale, che derivano dalla lesione” P. Zatti – V. Colussi,

Lineamenti di diritto privato, op. cit., p. 673.

224 _{F. Di Ciommo, La risarcibilità del danno non patrimoniale da illecito}

trattamento di dati personali, op. cit., p. 803.

225 _{F. Di Ciommo, La risarcibilità del danno non patrimoniale da illecito}

trattamento di dati personali, op. loc. cit., p. 803; a questo proposito, vedi

anche S. Thobani “il vasto apparato di rimedi attivabili in caso di violazione sulle norme del trattamento, pone il problema di individuare quale sia lo spazio che residua per il risarcimento”, Il danno non patrimoniale da

trattamento illecito dei dati personali, op. cit., p. 428.

226 _{F. Di Ciommo, La risarcibilità del danno non patrimoniale da illecito}

trattamento di dati personali, op. loc. cit., p. 803.

227 _{S. Thobani, Protezione dei dati personali. Il danno non patrimoniale tra}

danno presunto e danno evento, in Giurisprudenza Italiana, UTET, Padova,

serietà del danno, escludendo quindi i danni bagatellari, fonte di semplici disagi o fastidi228_.

L’orientamento sposato dalla Cassazione nella sentenza 16133/2014 circa la fissazione degli ulteriori requisiti della gravità della lesione e della serietà del danno, ha sollevato critiche da parte di una certa dottrina, la quale, sostenendo preliminarmente che tali requisiti ulteriori non fossero previsti né dall’articolo 15 D. Lgs. 196/2003 né dall’articolo 2059 c.c., e che al limite dovessero essere utilizzati solo per la determinazione del quantum e non dell’an del risarcimento. 229 Tale dottrina contraria, arrivava a concludere che la richiamata pronuncia della Cassazione, non fosse in linea neppure con le Sentenze sul danno non patrimoniale delle Sezioni Unite della stessa, che nel 2008 avevano sì posto un filtro ulteriore, rappresentato dalla tollerabilità dalla lesione, ma solo per quelle ipotesi di lesioni riconducibili a diritti fondamentali non espressamente tipizzati dalla legge: l’art. 15 comma 2, rappresentando proprio una delle ipotesi nella quale il legislatore era intervenuto per fissare positivamente l’applicazione dell’articolo 2059 c.c. sui danni non patrimoniali, dovrebbe essere quindi escluso dall’operatività di questi filtri ulteriori.230

228 _{S. Thobani, Protezione dei dati personali. Il danno non patrimoniale tra}

danno presunto e danno evento, op. loc. cit., p. 43.

229 _{D. Alessandri, Pubblicazione di dichiarazioni non veritiere}

dell’interessato: tra trattamento illecito dei dati personali e diffamazione a mezzo stampa, in Responsabilità civile e previdenza, Giuffrè, Milano,

5/2017, p. 1680.

230 _{D. Alessandri, Pubblicazione di dichiarazioni non veritiere}

dell’interessato: tra trattamento illecito dei dati personali e diffamazione a mezzo stampa, op. cit., p. 1680.

A prescindere dalle censure sollevate da una certa parte di dottrina cui abbiamo poc’anzi accennato, l’orientamento espresso dalla Cassazione nella sentenza 16133/2014, è andato via via consolidandosi ed arricchendosi di nuovi tasselli: a questo proposito, sempre la Cassazione Civile, rifacendosi alla massima della sentenza sopra richiamata, fa discendere dalla stessa la possibilità di provare il danno derivante dal trattamento di dati personali attraverso presunzioni semplici, nello specifico: “da un lato, quella per cui “il danno è da addebitare a chi ha trattato i dati personali o a chi si è avvalso di un altrui trattamento a meno che non dimostri di aver adottato le misure idonee per evitarlo ai sensi dell’articolo 2050 c.c.”; dall’altro, quella secondo cui “le conseguenze non patrimoniali di tale danno […] sono da considerare in re ipsa a meno che il danneggiante non dimostri che esse non vi siano state ovvero che si tratta di una danno irrilevante o bagatellare ovvero ancora che il danneggiato abbia tratto vantaggio dalla pubblicazione dei dati”231.

Soffermando la nostra attenzione sulla seconda presunzione232, la Cassazione arriva a sostenere che il danno non patrimoniale possa ritenersi provato attraverso presunzioni semplici233.

Tale interpretazione, nonostante alcune opinioni dissenzienti234, non si porrebbe in contrasto con la massima di cui alla sentenza 16133/2014

231 _{S. Thobani, Protezione dei dati personali. Il danno non patrimoniale tra}

danno presunto e danno evento, op. cit., p. 43.

232 _{Poiché la prima non pone nulla di nuovo rispetto alla previsione}

normativa, S. Thobani, Protezione dei dati personali. Il danno non

patrimoniale tra danno presunto e danno evento, op. loc. cit., p. 44.

233 _{Le presunzioni rappresentano le conseguenze che il Giudice può trarre da}

un fatto noto per risalire ad un fatto ignoto.

234 _{“Rimane tuttavia il dubbio che porre il problema della sussistenza del}

danno non patrimoniale in termini di presunzione costituisca in realtà un’impalcatura fittizia, volta a mascherare il pressoché automatico riconoscimento del risarcimento da parte della giurisprudenza”, S. Thobani,

poiché “il danno evento non è preso in considerazione come oggetto di risarcimento, bensì come fatto noto da cui è possibile far sorgere il danno conseguenza”235.

3.6. Il Regolamento Europeo 678/2016: quali prospettive in