L’attuale regime della responsabilità per violazione del diritto d

2. Profili di responsabilità del D.lgs 196/2003

2.2. L’attuale regime della responsabilità per violazione del diritto d

VIOLAZIONE DEL DIRITTO DI RISERVATEZZA

Come sopra accennato, l'evoluzione sociale e giuridica ha portato ad annoverare il diritto alla riservatezza come uno dei diritti fondamentali della personalità e, in quanto tale, gode della garanzia costituzionale di cui all’art. 2 Cost. il quale dispone che la Repubblica

riconosce e garantisce i diritti inviolabili dell'uomo, sia come singolo sia nelle formazioni sociali ove si svolge la sua personalità43_{; dunque,}

gode della tutela riservata ai diritti inviolabili dell'uomo.

A complicare il quadro delle tutele ha, naturalmente, contribuito il frenetico sviluppo tecnologico che ha offerto nuove modalità di trattamento dei dati e, di conseguenza, nuove criticità legate, sempre più spesso, alla inconsapevolezza degli utenti circa l’effettivo trattamento posto in essere. In altri termini, la facilità e la velocità con cui le informazioni oggi circolano impongono una maggiore attenzione alla raccolta e organizzazione dei dati, accompagnata da un innalzamento delle misure di sicurezza adottate, atteso l'allargamento del fronte di possibili attacchi informatici.

L'assunto da cui partire per comprendere le criticità sottese al tema in esame appare semplice: il trattamento dei dati personali

43 _{Cfr. Corte Cost. 12 aprile 1973 n. 38, in Foro italiano, 1973, I, 1078: “Fra i}

diritti inviolabili dell’uomo, affermati, oltre che nell’art. 2, art. 3, comma 2, e art. 13, comma 1, rientrano quelli del proprio onore, rispettabilità, riservatezza, intimità e reputazione, sanciti espressamente negli artt. 8 e 10 della Convenzione europea sui diritti dell’uomo”

costituisce attività in grado di ledere diritti della personalità, e ciò sia che tale trattamento avvenga nella dimensione reale di una società urbana, sia - e forse a maggior ragione - in una società virtuale dell’informazione globale. Tale considerazione è tanto più vera se si riferisce agli strumenti informatici capaci di archiviare, incrociare, scambiare, selezionare, modificare, aggiornare, diffondere e condividere un numero potenzialmente infinito di dati personali44_.

L'osservazione di tali circostanze ha spinto già nei primi anni Settanta del secolo scorso la dottrina italiana più attenta ad intuire le potenzialità (e i pericoli) del nuovo potere informatico45_{, visto come}

un potere in grado di esprimere un dominio sociale su ogni individuo. Tale potere viene alimentato dalla possibilità di accumulare dati, in quantità praticamente illimitata, relativi a ciascun individuo circa condizioni psico-fisiche, economiche, sulle abitudini di consumo o di utilizzo di un certo servizio, sui luoghi e sulle persone frequentate, nonché sulle opinioni politiche e religiose46_.

La trasposizione giuridica dei pericoli legati a quanto appena rappresentato è avvenuta, in relazione alla esperienza italiana, ad

44 _{Emblematico il caso Facebook/WhatsApp che, a seguito della modifica}

della privacy policy effettuata da WhatsApp nell’agosto 2016, prevedeva la messa a disposizione di Facebook di alcune informazioni riguardanti gli account dei singoli utenti della prima, anche per finalità di marketing. A seguito di tale modifica e delle possibili criticità legate a tale scambio di informazioni, il Garante per la protezione dei dati personali ha avviato un'istruttoria, invitando WhatsApp e Facebook a fornire tutti gli elementi utili alla valutazione del caso.

45 Cfr. S. RODOTÀ, Elaboratori elettronici e controllo sociale, Bologna, 1973.

46 _F._D_I_C_IOMMO_{, Il danno non patrimoniale da trattamento dei dati personali,}

in Il nuovo danno non patrimoniale, G. PONZANELLI (a cura di), Cedam, 2004, 255 e ss.

opera dell’art.15 del D.lgs. 196/2003 (di seguito “Codice Privacy”) che punisce “chiunque cagiona danno ad altri per effetto del

trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile” (comma 1). Come avremo modo

di argomentare meglio infra, una portata più innovativa sotto il profilo della nostra analisi è il comma 2 dell'articolo appena citato, comma 2 che prescrive la risarcibilità del danno non patrimoniale47_{anche per i}

casi di violazione delle modalità di raccolta e di trattamento e ai requisiti dei dati personali di cui all'art. 11 del Codice Privacy48_.

La disposizione in commento è in linea di continuità con il dettato dell’art.18 della precedente legge 675/199649_{e, pertanto, il}

regime giuridico della responsabilità scelto dal legislatore italiano è

47 _{Cfr. Tribunale Rutigliano, Sez. 5 civile, 3 novembre 2016, sentenza n. 5638}

statuisce che “in caso di trattamento illecito di dati personali il risarcimento del danno non patrimoniale, di cui all'art. 15 del D.lgs. n. 30 giugno del 2003, n. 196, è rimesso all'apprezzamento del giudice da compiersi in ragione della concretezza della vicenda sottoposta al suo vaglio, non sindacabile in sede di illegittimità se congruamente motivato. L'accertamento che il giudice deve compiere è volto a verificare la gravità della lesione inferta e la serietà del danno conseguente. La risarcibilità del danno dunque, è da escludere nel caso in cui il giudice accerti che l'offesa non superi la soglia di tollerabilità minima ovvero la futilità del danno”.

48 _{D.lgs. 196/2003 (Codice Privacy), art. 11 rubricato “Modalità del}

trattamento e requisiti dei dati”: 1. I dati personali oggetto di trattamento sono: a) trattati in modo lecito e secondo correttezza;

b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;

c) esatti e, se necessario, aggiornati;

d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati;

e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.

2. I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati.

49 _{L. 675/1996 Art. 18 rubricato “Danni cagionati per effetto del trattamento}

di dati personali”: Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile.

quello dell'art. 2050 c.c., ossia il regime giuridico delle attività pericolose.

Tale norma va naturalmente letta in combinato disposto con l’art. 2 del Codice Privacy che individua la ratio del legislatore nel fine di garantire che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali50_{. Ne consegue che il}

trattamento dei dati personali deve assicurare un elevato livello di tutela dei diritti e delle libertà in oggetto, tutela che si concretizza, per il titolare del trattamento, nell'adozione di misure idonee alla protezione dei dati, nonché alla conformità del trattamento a determinate regole, la cui violazione determina responsabilità sotto diversi profili.

Per delineare con precisione la dimensione in cui opera l'art. 2050 c.c. sul piano del trattamento dei dati personali, è necessario circoscrivere (per necessità di lavoro) le ipotesi di danno - e di violazione - essenzialmente a quella di trattamento dei dati per finalità diverse da quelle oggetto di consenso, ovvero, ad un trattamento senza il necessario consenso.

Ciò rappresentato, è necessario definire i confini dell'onus

probandi tra interessato e titolare per verificare come, nella pratica, si

articola e si definisce la responsabilità di chi tratta tali dati. La scelta

50 _{Secondo la Corte Cost. 12 aprile 1973 sentenza n. 38, in Foro italiano,}

1973, I, 1078 “Fra i diritti inviolabili dell’uomo, affermati, oltre che nell’art. 2, negli artt. 3, comma 2, e 13, comma 1, rientrano quelli del proprio onore, rispettabilità, riservatezza, intimità e reputazione, sanciti espressamente negli artt. 8 e 10 della Convenzione europea sui diritti dell’uomo”.

dell'art. 2050 c.c. associata al trattamento dei dati ha aperto una discussione in dottrina e giurisprudenza circa la natura di attività pericolosa o meno dello stesso trattamento.

Il punto se il legislatore con tale scelta abbia inteso qualificare l’attività di trattamento dei dati come “attività pericolosa” o se abbia inteso semplicemente stabilire un regime probatorio particolare è questione tuttora aperta che, con il presente lavoro, si rappresenterà, senza la presunzione di voler risolvere. In dottrina, secondo una prima interpretazione, il rinvio all’art. 2050 c.c. rivelerebbe la volontà del legislatore di qualificare il trattamento dei dati personali ipso iure quale attività pericolosa51_{. Per tale dottrina è possibile considerare}

pericolosa l’attività di trattamento dei dati personali per sua natura, “in relazione al rischio che essa presenta di ledere i diritti

fondamentali dell’interessato”52_{; pertanto, il rischio tipico dell’attività}

di trattamento di dati personali appare essere quello di ledere posizioni individuali, particolarmente qualificate, dell’interessato.

La naturale conseguenza di tale approccio consiste nel considerare la disciplina di cui all’art. 2050 cod. civ. applicabile solo in caso di lesione di diritti fondamentali dell’interessato; per ogni

51 _{Tra i tanti, in tal senso S.} _S_ICA_{, Commento all’art. 29, comma 9, in}

AA.VV., La tutela dei dati personali. Commentario alla L. n. 675 del 1996, Padova, 1997, 284 ss.; M.BIN, Privacy e trattamento dei dati personali: entriamo in Europa,

in Contr. impr./Europa, 1997, 2, 475; G.BUTTARELLI, Banche dati e tutela della

riservatezza. La privacy nella Società dell’Informazione, Milano, 1997, 350; G.DE

NOVA, Trattamento dei dati personali: responsabilità degli intermediari bancari e finanziari, in Danno resp., 1997, 4, 401;P.ZIVIZ, Trattamento dei dati personali e responsabilità civile: il regime previsto dalla l. 675/96, in Resp. civ., 1997, 1300.

52 _P._Z

ulteriore pregiudizio afferente a perdite economiche e distruzione della banca dati la norma invocabile sarà l’art. 2043 cod. civ.53_.

Per altra parte della dottrina, di contro, il rinvio in questione serve semplicemente ad equiparare il regime probatorio previsto per le attività pericolose al trattamento dei dati personali; tale posizione pone dubbi, invece, che si possa andare oltre, sino al punto di intendere la volontà del legislatore nel senso di definire il trattamento dei dati come attività pericolosa al pari della produzione di polveri da sparo, di bombole di gas, ovvero di una impresa chimica54_.

Qualora si accetti tale teoria, invece, il regime della prova liberatoria ex art. 2050 cod. civ. sarà sempre applicabile, anche quindi se il danno non sia collegato alla lesione di un diritto fondamentale55_.

53 _P. _Z_IVIZ_{, op. cit., 1301: “ciò in base alla regola secondo la quale si}

risponde in base alla disciplina speciale di responsabilità oggettiva per i danni cagionati a causa - e non in occasione - dell’attività pericolosa”.

54 _{Tra i tanti, in tal senso M.} _F_RANZONI_{, Dati personali e responsabilità}

civile, in RCP, 1998, 902; F.D.BUSNELLI, Il “trattamento dei dati personali” nella vicenda dei diritti alla persona: la tutela risarcitoria, in V.CUFFARO – V.RICCIUTO

– V. ZENO-ZENCOVICH (a cura di), Trattamento dei dati e tutela della persona,

Milano, 1998, 185; G.COMANDÈ, Art. 18, in C.M.BIANCA – F.D.BUSNELLI (a cura

di), Tutela della privacy, in Nuove Leggi Civ. Comm., 488; V.FRANCESCHELLI, La tutela della privacy informatica. Problemi e prospettive, Milano, 1998, 54; M. GRANIERI, Una proposta di lettura sulla tutela risarcitoria nella vicenda del

trattamento di dati personali, in Danno resp., 1998, 3, 222; G.VISINTINI, Trattato

breve della responsabilità civile, Padova, 1999, 404. In questo senso, in giurisprudenza, Trib. Orvieto 23 novembre 2002, in Dir. inf., 2003, 2, 337.

A ben vedere, le posizioni che si sono impegnate ad argomentare in un senso o nell'altro la scelta operata dal legislatore, hanno dovuto cimentarsi sulla definizione del concetto stesso di attività pericolosa. Sul punto la giurisprudenza della Cassazione si è orientata nel senso di far discendere la pericolosità non dall’evento dannoso effettivamente occorso, bensì secondo una prognosi successiva che il giudice deve compiere sia sulla base di nozioni desunte dalla comune esperienza, tenuto conto delle circostanze fattuali presenti al momento dell’esercizio della stessa attività.

55 _P._Z

Senza voler entrare nel merito della discussione, l'inclusione (o meno) del trattamento dei dati nel novero delle attività pericolose non sembra dirimente al fine di discutere sulla portata e sui limiti della responsabilità per danni. D’altra parte esistono numerosi trattamenti dei dati anche di natura molto diversa tra loro e ciò potrebbe implicare una verifica caso per caso del tipo di “attività” (pericolosa o meno) o di “trattamenti” che si sta conducendo.

Infatti, qualunque sia la soluzione che si voglia accogliere, rimane fermo il regime giuridico probatorio e, dunque, della responsabilità legata al trattamento dei dati. A ben vedere, la seconda posizione riportata si lascia preferire in quanto implica, su di un piano pratico, che all'autorità giudiziaria coinvolta sia sottratto il non sempre agevole compito di determinare se, uno specifico trattamento dei dati, rientri o meno nel novero di un’attività pericolosa. Il pregio di tale approccio consiste nel mantenere un regime giuridico unitario del trattamento dei dati allargandone, inoltre, l’ambito di applicazione ed evitando di lasciare spazi all’eventuale regime ex art. 2043 c.c..

Opinare diversamente, infatti, implicherebbe accedere ogni volta ad una lettura del Codice Privacy per cui, se un trattamento specifico non fosse qualificato come attività pericolosa, sarebbe necessario applicare il regime giuridico dell’art. 2043 c.c. in ipotesi di danno (come accennato anche in precedenza). Tale lettura non sembra conforme al dettato dell’art. 15 Codice Privacy.

Direttiva 95/46/CE che voleva riconoscere un favor probatorio all'interessato56_{; la trasposizione di tale intento nel nostro ordinamento}

ha reso obbligata la scelta verso l'istituto della responsabilità oggettiva di cui agli artt. 2047 e ss. c.c., scelta che il nostro legislatore ha ritenuto di far ricadere sull’art. 2050 c.c. Tale considerazione sembra confermare la lettura ivi proposta.

L’art. 15 comma 1 del Codice Privacy stabilisce che “chiunque

cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile”.

Letta dalla parte della disposizione del Codice Civile, la norma appena citata impone al danneggiato la prova del fatto storico, dell’evento dannoso e del nesso eziologico; dall’altro lato, al Titolare spetterà la prova liberatoria e, dunque, di aver adottato tutte le misure idonee ad evitare il danno57_.

Particolare attenzione merita la formulazione del secondo comma dell'art. 15 che prevede la risarcibilità del danno non patrimoniale anche nei casi di violazione dell'art. 11, con una formulazione che mira ad allargare la sfera di risarcibilità dei danni

56 _{Cfr. testo Direttiva 95/46 CE: Articolo 23 – Responsabilità:}

“1. Gli Stati membri dispongono che chiunque subisca un danno cagionato da un trattamento illecito o da qualsiasi altro atto incompatibile con le disposizioni nazionali di attuazione della presente direttiva abbia il diritto di ottenere il risarcimento del pregiudizio subito dal responsabile del trattamento.

2. Il responsabile del trattamento può essere esonerato in tutto o in parte da tale responsabilità se prova che l'evento dannoso non gli è imputabile”.

57 _{Dall’applicazione affermatasi nel tempo è emerso che tali misure dovranno}

necessariamente essere ulteriori rispetto a quelle minime indicate nell’Allegato B al Codice Privacy e ricomprendere quelle prescritte dal Garante e, comunque, da parametrare alle situazioni concrete di trattamento.

indicati.

Tale impostazione è tanto più comprensibile se si pensa alla tipologia di danno che, in ipotesi di violazione, può essere patito dall'interessato, danno che per la natura stessa dei diritti coinvolti è di difficile prova. L'effetto pratico è quello di conferire maggiore efficacia alle tutele previste per difendere gli interessati dalle conseguenze spesso irreparabili di un illecito trattamento dei propri dati.

A fronte di tale approccio estensivo, è necessario domandarsi se su di un piano fattuale la tutela così delineata sia realmente tanto generale da poter prescindere dalla causazione di una lesione dell'interesse protetto.

Sotto un primo profilo, la lettura dell'attuale58_previsione

dell’art. 5, comma 3 del Codice Privacy palesa la volontà del legislatore di concedere la tutela risarcitoria del danno non patrimoniale anche in presenza di un trattamento posto in essere a persone fisiche per fini esclusivamente personali.

Sotto un ulteriore profilo, il fatto che il danno risarcibile sia, di

58 _{La legge 675/96 imponeva una limitazione alla risarcibilità dei diritti non}

patrimoniali nella previsione dell'art. 3 che - per implicito - escludeva l’applicazione il risarcimento del danno non patrimoniale in caso di trattamento, effettuato da persone fisiche per fini personali, di dati non destinati ad una comunicazione sistematica o alla diffusione. La conseguenza sotto il profilo della responsabilità era imminente; in tal modo si limitava per legge la responsabilità ai soli danni patrimoniali, salva la possibilità di accedere anche al danno non patrimoniale in applicazione dell’art. 2059 c.c. e, dunque, solo in presenza di un fatto configurabile come reato. Tale ipotesi si contrapponeva al trattamento illecito realizzato, invece, per scopi professionali al quale si riconducevano effetti risarcitori comprensivi anche del danno non patrimoniale.

regola, non patrimoniale, non esclude ex se che possano generarsi danni aventi carattere della patrimonialità, quelli che la Corte Costituzionale indica come danni-conseguenza che, su di un piano pratico, possono concretizzarsi in difficoltà nello svolgimento della propria attività lavorativa ovvero nella propria aspettativa di lavoro, nella vita di relazione o nella perdita per mancato sfruttamento economico delle proprie vicende59_.

A questo punto è necessario domandarsi quali siano i presupposti che innescano la responsabilità del titolare e garantiscono le tutele sinora indicate; in altri termini, risulta risarcibile un semplice danno-evento, oppure è sempre necessario che vi siano un reale patimento da parte dell’interessato (danno-conseguenza)?

Il quesito appena formulato, in realtà, sembra pienamente superato sia sotto un profilo normativo, che sotto quello giurisprudenziale. In primo luogo, tale convinzione sembra emergere dall’analisi sistematica delle scelte di politica legislativa adottate dal nostro legislatore; l’art. 15 del Codice Privacy, se da un lato sottrae al giudice ogni valutazione in ordine all’ingiustizia del danno lamentato nel caso concreto, dall’altro riconduce il concetto di risarcimento a quello di “danno” e non di semplice accertamento di un illecito trattamento. D’altra parte, ammettere un risarcimento per una

59 _{Cfr. Cass. 6 febbraio 1993, in Giur.it., 1993, I, 2, 1427 che ammette la}

possibile sussistenza di un danno di natura patrimoniale ricollegabile all’impossibilità di offrire il proprio ritratto per la pubblicità, una volta che a tale fine sia stato da altri utilizzato, ovvero al ridursi del valore commerciale che è di norma proporzionale alla rarità dell’uso dell’immagine.

violazione del trattamento senza conseguenza per la sfera personale dell’interessato appare un allargamento eccessivo della tutela predisposta del Codice Privacy che non appare in linea con le scelte operate a livello legislativo e amministrativo. Pertanto, è possibile concludere che l’area del trattamento illecito e l’area del danno risarcibile, seppure parzialmente sovrapponibili, non coincidano. La soluzione prospettata appare in linea con i principi tradizionali in materia di responsabilità civile, atteso che l’ambito di applicazione del risarcimento codicistico presuppone sempre l’esistenza del danno.

Sotto il secondo profilo indicato, quello giurisprudenziale, al fine di comprendere la reale portata applicativa di quanto accennato è opportuno partire dalla sentenza della Corte di Cassazione n. 16133 del 15 luglio 2014 che ha sancito come “Il danno non patrimoniale

risarcibile ai sensi dell'art. 15 del d.lgs. 30 giugno 2003, n. 196 (cosiddetto codice della privacy), pur determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli artt. 2 e 21 Cost. e dall'art. 8 della CEDU, non si sottrae alla verifica della “gravità della lesione” e della “serietà del danno” (quale perdita di natura personale effettivamente patita dall'interessato), in quanto anche per tale diritto opera il bilanciamento con il principio di solidarietà ex art. 2 Cost., di cui il principio di tolleranza della lesione minima è intrinseco precipitato, sicché determina una lesione ingiustificabile del diritto non la mera violazione delle prescrizioni poste dall'art. 11 del codice della privacy ma solo quella che ne

offenda in modo sensibile la sua portata effettiva. Il relativo accertamento di fatto è rimesso al giudice di merito e resta ancorato alla concretezza della vicenda materiale portata alla cognizione giudiziale ed al suo essere maturata in un dato contesto temporale e sociale60_”.

Nella sentenza richiamata si qualifica come grave la lesione di superare la c.d. “soglia minima di tollerabilità” imposta dai doveri di solidarietà sociale. La lesione, su di un piano pratico, realizza una incidenza pregiudizievole nella sfera giuridica dell’interessato integrando l’ingiustizia del danno.

La serietà del danno, invece, attiene al piano delle conseguenze della lesione e, dunque, risarcitorio e si sostanzia nell’effettività della perdita subita; ne consegue che il danno serio non può consistere in meri disagi o fastidi.

Quelli appena richiamati sono i due cardini che utilizza la Corte di Cassazione per escludere la funzione punitiva della responsabilità civile e, dunque, negando l’esistenza di un danno in re

ipsa, sia con riferimento all’ipotesi delle lesioni di diritti inviolabili,

Nel documento Trattamento dei dati personali: profili evolutivi della responsabilità dal "Right to privacy" al nuovo Regolamento UE 2016/679 (pagine 39-55)