La lacuna viene colmata: gli articoli 18 e 29 comma 9 della legge 31 maggio 1996 n 675.

Un dato interessante da prendere in considerazione è che una delle soluzioni proposte206 per poter adattare le nuove esigenze, dettate dai rischi connessi all’utilizzo delle nuove tecnologie, alla disciplina vigente, evitando così la creazione di nuove norme, è stata quella di ancorare la disciplina della responsabilità civile in materia, all’articolo 2050 c.c. il quale, come abbiamo visto, riguarda la responsabilità per l’esercizio di attività pericolose; ed è proprio questa la soluzione che ha individuato la prima normativa italiana in materia di tutela dei dati personali, la legge 31 dicembre 1996, n. 675, la quale, attuando i

205 _{F. D. Busnelli, introduzione a “Computer e responsabilità civile” (a cura}

di G. Alpa), op. loc. cit., p. 2.

206 _{F. D. Busnelli, introduzione a “Computer e responsabilità civile” (a cura}

principi della direttiva comunitaria 95/46/CE207_{, è intervenuta a} colmare una lacuna del nostro sistema.208

La L. 675/1996 accoglie la concezione di privacy intesa quale controllo sui propri dati personali e interviene nel settore della tutela “attraverso la previsione di un complesso sistema di protezione, che si articola attraverso strumenti di carattere amministrativo, penale e civile”209_{, in una realtà nella quale i computers si stavano diffondendo} con sempre maggiore velocità e i rischi derivanti dall’utilizzo delle nuove tecnologie sembravano concentrarsi esclusivamente sui dati raccolti dalle grandi banche dati pubbliche e private.

Soffermandoci in questa sede solo sulle norme della L. 675/1996 riguardanti la tutela civile, dobbiamo prendere in considerazione l’articolo 18 e l’articolo 29 comma 9: il primo prevede che “chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 c.c.”210, mentre la seconda disposizione sancisce che “il danno non patrimoniale è risarcibile anche nei casi dell’articolo 9”211il quale si occupa delle modalità di raccolta e dei requisiti dei dati, le cui indicazioni devono essere rispettate ai fini del profilo della liceità del trattamento stesso. Quest’ultimo passaggio relativo all’articolo 29, comma 9, consente di dare ulteriore senso alla premessa che abbiamo fatto all’inizio del                                                                                                                

207 _{Della direttiva 95/46/CE abbiamo fatto cenno nel presente capitolo, e la}

analizzeremo meglio nel prosieguo.

208 _{P. Ziviz, Il trattamento dei dati personali e responsabilità civile: il regime}

previsto dalla L. 675/96, in Responsabilità civile e previdenza, Giuffrè,

Milano, vol. LXII, 5-6/1997, p. 1296.

209 _{P. Ziviz, Il trattamento dei dati personali e responsabilità civile: il regime}

previsto dalla L. 675/96, op. loc. cit., p. 1296

210 _{Articolo 18, L. 675/1996.} 211 _{Articolo 29, co. 9, L. 675/1996.}

seguente paragrafo, poiché la scelta del legislatore di non costruire un’apposita normativa applicabile alle ipotesi di responsabilità derivanti da trattamento di dati personali causa di danno, ma, al contrario, di adattare il contenuto di una norma già presente all’interno del nostro ordinamento, porta il sistema della responsabilità civile in materia, così delineato, a doversi misurare necessariamente con l’evoluzione subìta della norma generale previgente.

Per esigenze di chiarezza espositiva, una trattazione inizialmente separata delle due norme pare essere preferibile a parere di chi scrive: iniziamo dunque dall’art. 18.

L’art. 18 della L. 675/1996 sancisce che, per quel che riguarda l’attività di trattamento dei dati, in caso di lesioni, debba essere applicato il regime di responsabilità civile di cui all’articolo 2050 c.c.212, il quale disciplina, come abbiamo visto, un’ipotesi di responsabilità oggettiva derivante dall’esercizio di attività pericolose. La questione principale da chiedersi, con riguardo alla scelta compiuta dal legislatore, sembra essere quella relativa alla ratio di questa decisione: la scelta è ricaduta sull’articolo 2050 c.c. in considerazione del suo particolare regime probatorio, il quale sposta l’onere sul danneggiante, che sarà chiamato a dover fornire una “prova liberatoria”, in una logica in un certo senso di favore verso il danneggiato, oppure perché l’attività di trattamento è considerata effettivamente attività pericolosa?

Per rispondere a tale quesito è necessario definire quando un’attività debba essere considerata pericolosa: a tal proposito “la giurisprudenza appare orientata a qualificare come tale l’attività che presenta una                                                                                                                

212 _{Il testo dell’articolo 2050 c.c. recita “chiunque cagiona danno ad altri}

nello svolgimento di un’attività pericolosa, per sua natura o per i mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee ad evitare il danno”

potenzialità lesiva superiore alla media; in presenza di un elevato rischio di danni, l’attività viene tollerata in considerazione dell’utilità sociale della stessa, e la relativa pericolosità viene controbilanciata da una più rigorosa regola di responsabilità”213.

Se questa rappresenta quindi la “regola da applicare” in astratto, per calarla nel settore del trattamento dati, dobbiamo chiarire “quali sia la specifica potenzialità dannosa correlata a tale attività”214: a questo proposito ci viene in aiuto l’articolo 1 comma 1215 _{della L. 675/96 il} quale, nel definire le “finalità della legge […] rende evidente quale sia il rischio tipico dell’attività di trattamento dati: vale a dire il pericolo di ledere posizioni personali, particolarmente qualificate, dell’interessato”216

Pertanto “l’attività di trattamento [potrà] essere considerata pericolosa ai fini dell’applicazione dell’articolo 2050 c.c. – per sua natura - in relazione al rischio che essa presenta di ledere i diritti fondamentali dell’interessato […] cui si riferiscono i dati personali”217.

213 _{P. Ziviz, Il trattamento dei dati personali e responsabilità civile: il regime}

previsto dalla L. 675/96, op. cit., p. 1300.

214 _{P. Ziviz, Il trattamento dei dati personali e responsabilità civile: il regime}

previsto dalla L. 675/96, op. loc. cit., p. 1300.

215 _{“La presente legge garantisce che il trattamento dei dati personali si}

svolga nel rispetto dei diritti, delle libertà fondamentali, nonché della dignità delle persone fisiche, con particolare riferimento alla riservatezza e all´identità personale; garantisce altresì i diritti delle persone giuridiche e di ogni altro ente o associazione.”, testo dell’articolo 1 comma 1, L. 675/96.

216 _{P. Ziviz, Il trattamento dei dati personali e responsabilità civile: il regime}

previsto dalla L. 675/96, op. loc. cit., p. 1300.

217 _{P. Ziviz, Il trattamento dei dati personali e responsabilità civile: il regime}

Con riguardo all’articolo 29 comma 9, esso configura un nuovo “caso determinato dalla legge” ai fini dell’applicazione dell’articolo 2059 c.c. conseguente risarcibilità anche dei danni non patrimoniali218. La scelta del legislatore dell’epoca rappresentata dall’articolo 29 comma 9, in considerazione della rigida interpretazione dell’articolo 2059 c.c. ancora vigente al tempo della promulgazione della L. 675/1996, secondo una dottrina, sembra voler dare “corpo ad una precisa consapevolezza […]: quella che il trattamento dei dati personali in quanto tale è suscettibile di originare – peculiarmente – danni non patrimoniali. Di qui l’esigenza di risarcirli in ogni caso”219: Ad opinione di chi scrive, questa parrebbe essere la teoria più condivisibile poiché, come abbiamo già avuto modo di affermare, l’attività di trattamento dei dati personali genera quasi esclusivamente danni aventi il carattere della non patrimonialità, nel senso che abbiamo spiegato poc’anzi.