Considerazioni sul modello di responsabilità vigente

Salvatore Sica

3. Considerazioni sul modello di responsabilità vigente

Si è tentato di tratteggiare il modello di responsabilità anteriore al GDPR, il quale, a parere di chi scrive, è ben riuscito nel suo intento di realizzare una forte tutela per chi subisca una violazione nel trattamento dei propri dati personali. Si arriva così al regime delineato all’art. 82 del GDPR25_{, nonché alle sue disposizioni attuative contenu-} te nel d.lgs. n. 101/2018.

Incidentalmente sia detto che la disciplina risultante dal combi- nato disposto del Regolamento, del decreto legislativo e dal residuo testo del Codice del 2003 (si è infatti smarrita l’occasione di arrivare a due sole “fonti” della materia) non ha avuto il coraggio di supera- re la logica della sanzione penale come strumento di repressione del trattamento illecito dei dati. In realtà, è dal 2001 che è stato av- viato un processo di depenalizzazione della materia. Allo stato, la depenalizzazione era ancor più inevitabile, oggi ancor più attuale e sensata visto il potenziamento della sanzione amministrativa26_. In ogni caso, ove si fosse voluto procedere a un ripristino della re- sponsabilità penale, sarebbe stato necessario procedere a un’attenta operazione di scrittura delle fattispecie incriminatrici, per evitare un’elasticità di nozioni, foriera potenzialmente perfino di problemi di legittimità costituzionale.

fisiche, con particolare riferimento alla riservatezza e all´identità personale; ga- rantisce altresì i diritti delle persone giuridiche e di ogni altro ente o associazione».

25_{Sul quale v. G. Giannone Codiglione, Risk-basedapproach e trattamento dei} dati personali, in S. Sica-V. D’Antonio-G.M. Riccio (a cura di), La nuova disciplina,

cit., 55 ss.

26_{Art. 83 GDPR, rubricato “Condizioni generali per infliggere sanzioni ammini-}

strative pecuniarie”. V. G. Giannone Codiglione, op. ult. cit., 73.

La responsabilità civile per il trattamento illecito dei dati personali Comunque anche nel nuovo quadro normativo la responsabilità civile rimane l’asse portante.

La soluzione per il recepimento delle nuove norme europee è stata quella di abolire tout court l’art. 15, ormai ampiamente ricompreso nell’art. 82 del GDPR. Ivi si prevede che chiunque subisca un danno, materiale o immateriale, causato da una violazione del Regolamen- to, ha diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento27_.

Il secondo e il terzo comma dell’art. 82, invece, costituiscono una trasposizione del regime di cui all’art. 2050 cod. civ.28_{. Aderendo a} questa ricostruzione, non può che derivarne che si andrà esenti da responsabilità nel momento in cui si sia in grado di dimostrare di aver adottato le misure idonee.

Tuttavia, si è convinti che la disciplina possa ricevere una doppia implementazione giurisprudenziale, sia in punto di an, che in pun- to di quantum. Quanto all’an, come più volte ribadito dalla Corte di Cassazione, se le misure fossero idonee, il danno non si produrrebbe affatto, ergo deve ritenersi necessaria l’allegazione di un fatto terzo interruttivo del nesso causale, con carattere di inevitabilità e impre- vedibilità29_.

27_{L’art. 82, per come formulato, prevede anche un meccanismo di obbligazione}

solidale (quarto comma), salvo regresso (comma quinto), che è l’ennesima ripro- va di un favor verso il danneggiato.

28_{Tali commi recitano: «2. Un titolare del trattamento coinvolto nel trattamen-}

to risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo dif- forme o contrario rispetto alle legittime istruzioni del titolare del trattamento. 3. Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile».

29_{Si veda, ad esempio, Cass. 10 gennaio 2016, n. 222, in Dir. giust., 2016, 3, rela-}

tiva a un caso di smarrimento di documenti contenenti dati supersensibili, in cui si è escluso il diritto al risarcimento del danno se manca la prova che i dati siano entrati in possesso di persone estranee alla funzione amministrativa deputata al loro esame: «pur dando per provato il fatto storico dell’ascrivibi- lità dello smarrimento della documentazione contenente i dati supersensibili alla struttura pubblica sanitaria, appare del tutto arbitrario (sul piano logico e

Regolare la tecnologia: il Reg. UE 2016/679

172

L’obiezione mossa alla ricostruzione proposta è quella che paven- ta il rischio di un abuso della norma, come accaduto con quel filone giurisprudenziale, soprattutto dei giudici di pace, che riconoscevano somme simboliche per ogni spamming ricevuto30_{; quel fenomeno –} anche se non da solo – ha fatto da premessa alla necessità di siste- mazione della teorica del danno non patrimoniale operato dalle ben note sentenze di San Martino31_.

Sicché si ritiene che il modello verso cui propendere è quello di una fattispecie orientata sulla vittima, che è esposta a un’attività so- cialmente pericolosa. Al contempo pare necessario porre un limite, al fine di prevenire un abuso della regola. Esso si sostanzia nel rifiuto del riconoscimento di un danno in re ipsa, perché occorre anche per la voce di danno non patrimoniale la dimostrazione dell’elemento aggiuntivo della lesione di un diritto costituzionalmente rilevante.

storico) pretendere di inferire dal fatto in sé e per sé considerato, con un salto logico evidente, l’avvenuta conoscenza di tali dati da parte di persone estranee alla funzione amministrativa deputata al loro esame, potendo essere varie e molteplici le evenienze risolventesi in una dispersione dei documenti (contenenti i dati supersensibili) priva del danno lamentato (o, ancor meglio, solo ipotizzato)».

30_{Giudice di pace Bari, 22 dicembre 2003, in Danno e resp., 2004, 880 ss., con}

nota di L. Caputi, Cassette per la corrispondenza piene e danno esistenziale; Giu- dice di pace Napoli, 7-10 giugno 2004, in Danno e resp., 2005, 659 ss., con nota di E.O. Policella, Il danno da spamming. Di recente, v. Cass. 8 febbraio 2017, n. 3311, che ha ribadito la necessità della verifica della “gravità della lesione” e della “serietà del danno” per il risarcimento del danno non patrimoniale ex art. 15 d.lgs. n. 196/2003.

31_{Cass. 11 novembre 2008, nn. 26972, 26973, 26974, 26975, in Giust. civ., 2009, 913}

ss., con nota di M. Rossetti; in Danno e resp., 2009, 19 ss., con nota di A. Procida Mirabelli di Lauro. Tra i molteplici contributi sul tema, si rinvia, in particolare, a: G. Ponzanelli, La prevista esclusione del danno esistenziale e il principio di in-

tegrale riparazione del danno: verso un nuovo sistema di riparazione del danno alla persona, in Nuova giur. civ. comm., 2009, 90 ss.; P.G. Monateri, Il pregiudizio esistenziale come voce del danno non patrimoniale, in Resp. civ. prev., 2009, 56

ss.; E. Navarretta, Il valore della persona nei diritti inviolabili e la complessità dei

danni non patrimoniali, in Resp. civ. prev., 2009, 63 ss.; M. Franzoni, Il danno non patrimoniale del diritto vivente, in Corr. Giur., 2009, 1 ss.; F.D. Busnelli, Le Sezioni Unite e il danno non patrimoniale, in Riv. dir. civ., 2009, 97 ss.; S. Patti, Le Sezioni Unite e la parabola del danno esistenziale, in Corr. Giur., 2009, 415 ss.; C. Castrono-

vo, Danno esistenziale: il lungo addio, in Danno e resp., 2009, 5 ss.

La responsabilità civile per il trattamento illecito dei dati personali Del resto, anche la giurisprudenza di merito e di legittimità si erano orientate in tal senso32_.

In questa prospettiva, l’art. 82 del GDPR potrebbe presentarsi anche come unica norma di riferimento per la responsabilità civile da illecito trattamento dei personali. D’altronde, un’interpretazione che tenga conto dei presupposti e che si orienti in una logica sostanziale di tutela dell’interessato non ha bisogno di esplicazioni ulteriori, ma ravvisa nell’art. 82 le sembianze dell’art. 2050 cod. civ.

Tuttavia non si può ignorare che si corre il rischio di affidare un ambito così delicato esclusivamente alla valutazione del giudice del caso concreto. Ecco perché in fase di dibattito anteriore all’adozio- ne del decreto legislativo si è auspicato, ormai si può dire, invano la previsione di una norma di collegamento tra l’art. 82 e la fattispecie dell’art. 2050 cod. civ.; è sì vero che l’art. 82 è direttamente applicabile, ma è anche necessario trasferire il suo contenuto in un contesto di cultura giudiziaria dove i giudici sono abituati da tempo immemore a qualificare le ipotesi di danno in una delle ipotesi di riferimento del codice civile.

In conclusione, c’è da augurarsi che la giurisprudenza trovi nell’art. 82 il fondamento diretto della condanna risarcitoria, ma la circostanza che questa previsione non si applichi alle materie non coperte dal GDPR crea il pericolo che per esse torni ad avere vigenza esclusivamente l’art. 2043 cod. civ. e, quindi, una tutela che a parere di chi scrive è insufficiente33_.

In termini più generali, se è consentita una riflessione di por- tata più estesa, a volte si ha la sensazione che la protezione dei dati personali non esista nella misura in cui essa venga affidata

32_{V. Cass. 13 maggio 2015, n. 9785, in Fam. dir., 2016, 469, che ha riconosciuto la}

responsabilità civile di una pubblica amministrazione per la lesione del diritto alla riservatezza quando non si adoperi con tutte le misure necessarie ad evitare il danno ovvero la diffusione dei dati personali, perché l’art. 18 della legge n. 675/1996 segue la disciplina dell’art. 2050 cod. civ. Nel caso di specie veniva riconosciuto il risarcimento del danno patito per la lesione del diritto alla riservatezza di un soggetto che aveva cambiato sesso, perché l’ufficio elettorale del Comune aveva trasmesso non soltanto il dato anagrafico, ma l’intero dossier comprensivo del procedimento di mutamento di sesso, non essenziale ai fini della nuova iscri- zione anagrafica nel Comune di trasferimento.

33_{Cfr. G. Giannone Codiglione, op. ult. cit., 77.}

Regolare la tecnologia: il Reg. UE 2016/679

174

esclusivamente alla valutazione di rischio ed alla predisposizione di rimedi preventivi su base predittiva. Al giorno d’oggi vi è la ten- denza ad abbandonare la nozione di pericolo, che è propria delle società prescientiste, per quella di rischio, che sottende la standar- dizzazione e la prevedibilità assoluta34_{. Ma nel caso del trattamento} dei dati personali c’è il pericolo, non il rischio. Da ciò deriva la con- vinzione della necessità di regole di responsabilità il più possibile orientate verso la tutela della vittima, esposta a un pericolo e non a un rischio prevedibile tout court: l’“imprevedibile” è sempre dietro l’angolo e non può che farsene carico chi trae vantaggio dall’attivi- tà pericolosa.

34_{Il tema, di grande fascino soprattutto in prospettiva storica ed antropologica,}

risulta affrontato in relazione al principio di “precauzione”, da ultimo, in M.G. Stanzione, Principio di precauzione, tutela della salute e responsabilità della P.A.

Profili di diritto comparato, in Comp.dir.civ, 2016, 1-34, al quale si rinvia con la

molteplice bibliografia ivi indicata.

Il nuovo Regolamento europeo sulla

Nel documento La circolazione dei dati personali nella proposta di Direttiva UE sulla fornitura di contenuti digitali (pagine 171-176)