Le tappe dell’evoluzione normativa in tema di responsabilità civile per il trattamento illecito de

Salvatore Sica

2. Le tappe dell’evoluzione normativa in tema di responsabilità civile per il trattamento illecito de

dati personali

Le considerazioni finora svolte consentono di affermare che le nuo- ve regole sul trattamento dei dati personali costituiscono la mani- festazione di due fenomeni: da un lato vi è l’ineluttabilità della loro circolazione e, dall’altro, la progressiva perdita di capacità del diritto di governare i processi a dispetto della moltiplicazione delle regole di dettaglio. Rispetto a tutto ciò, occorre chiedersi se le regole di re- sponsabilità siano idonee a far fronte ad un simile quadro. Al fine di comprendere questo, è necessario ripercorrere – seppure brevemen- te – la regolamentazione in materia, fino ad arrivare all’art. 82 del Regolamento 2016/679/UE.

La prima norma a venire in rilievo è l’art. 23 della direttiva 95/46/ CE, che imponeva agli Stati membri di prevedere nelle loro legisla- zioni che chiunque subisse un danno cagionato da un trattamento illecito o da qualsiasi altro atto incompatibile con le disposizioni na- zionali di attuazione della direttiva avesse il diritto di ottenere il risarcimento del pregiudizio subito dal responsabile del trattamento.

Tale disposizione presenta un esordio neutrale, quasi di principio, contenente un’affermazione di responsabilità, seguito dall’ecce- zione per cui il responsabile del trattamento può essere esonerato in

16_{N. Bobbio, Il futuro della democrazia, Torino, Einaudi, 1984.}

Questo E-book appartiene a silvia.lupi@unife.it

La responsabilità civile per il trattamento illecito dei dati personali tutto o in parte dalla stessa se prova che l’evento dannoso non gli è imputabile17_{. È quindi evidente la consapevolezza del legislatore eu-} ropeo di muoversi sempre più dalla privacy alla protection18_.

La riferita affermazione di principio dell’art. 23 è stata declinata dal legislatore italiano nell’art. 18 della legge n. 675/199619_{, la quale,} a parere di chi scrive, riprendendo le categorie già impiegate, può essere valutata come una legge di sistema ed emanazione di diritto, nonostante l’apparenza di “regola”.

Ai sensi dell’art. 18, chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell´articolo 2050 cod. civ. La norma diede luogo a una riflessione dottrinaria intensa. Per la verità, più che la questione se, per effetto di questa norma, il trattamento dei dati personali diventasse un’at- tività pericolosa in re ipsa20_{, è interessante analizzare le implicazioni}

17_{Nel relativo considerando la prova della non imputabilità si faceva coincidere} segnatamente nella dimostrazione di un errore della persona interessata o di un caso di forza maggiore, secondo un filone già presente nella produzione comunitaria. 18_{Nonostante nel linguaggio comune si assista ad una convergenza terminolo-}

gica per i concetti di privacy e data protection, trattasi di due categorie distinte, che possono però intersecarsi. La prima tendenzialmente comprende la seconda, senza però esaurirsi in essa. La seconda, dal suo canto, opera anche quando non si sia realizzata una violazione della privacy. Non è allora un caso che la Carta dei diritti fondamentali dell’Unione europea tuteli la vita privata e familiare all’art. 7, mentre assicuri la protezione dei dati personali con l’art. 8. Sulla distinzione, v.: J. Kokott-C. Sobotta, The Distinctionbetween Privacy and Data Protection in the Ju-

risprudence of the CJEU and the ECHR, in 3 International Data Privacy Law, 2013, 4,

222; F. Pizzetti, Privacy e il diritto europeo alla protezione dei dati personali. Dalla

Direttiva 95/46 al nuovo Regolamento europeo, Torino, Giappichelli, 2016; G. Finoc-

chiaro, La giurisprudenza della Corte di Giustizia in materia di dati personali da

Google Spain a Schrems, in Dir.inf., 2015, 779 ss.

19_{S. Sica, Sub. art. 18, in E. Giannantonio-M.G. Losano-V. Zeno-Zencovich (a cura}

di), La tutela di dati personali. Commentario alla L. 675/96, Padova, Cedam, 1999, 174 ss. Il tema del risarcimento dei danni da trattamento illecito dei dati è stato molto battuto dalla dottrina. In particolare e tra gli altri, si segnalano i seguenti contributi: D. Carusi, La responsabilità, in V. Cuffaro-V. Ricciuto (a cura di), La

disciplina del trattamento dei dati personali, Torino, Giappichelli, 1997, 351; G. Co-

mandè, “Privacy” informatica: prospettive e problemi, in Danno e resp., 1997, 143.

20_{Sull’evoluzione della nozione di attività pericolosa, v.: P. Trimarchi, Rischio,}

cit., 43 ss.; S. Rodotà, Il problema della responsabilità civile, Milano, Giuffrè, 1964, 175 ss.; P.G. Monateri, La responsabilità civile, in Tratt. dir. civ. Sacco, Torino, 1998,

Regolare la tecnologia: il Reg. UE 2016/679

168

connesse alla circostanza che il legislatore avesse ritenuto preferibi- le il meccanismo dell’inversione dell’onere della prova e dell’esonero dalla responsabilità soltanto con la dimostrazione di aver adottato le misure idonee. Ciò pare ancora più interessante se si prende in considerazione un consolidato orientamento giurisprudenziale, di legittimità e di merito e che non ha subito arretramenti, secondo cui, se le misure fossero state idonee, il danno non si sarebbe affatto prodotto21_.

La norma in esame, in realtà, a ben riflettere, non pare condurre ad una responsabilità a base soggettiva, né a dimensione oggetti- va tout court, perché, ancorché in via residuale, c’è la possibilità di andare esenti da responsabilità attraverso la dimostrazione di un fatto terzo con carattere di inevitabilità e di imprevedibilità, idoneo a interrompere il nesso causale. Si tratta, per la verità, della forma più avanzata di responsabilità civile, in grado di guardare alla fattispecie dalla prospettiva della vittima, che è esposta a un’attività socialmente pericolosa.

L’art. 18 presentava anche un altro grande merito. Esso, attraverso il richiamo al meccanismo dell’art. 2050 cod. civ., consentiva di prevenire tutti i dibattiti dottrinali e giurisprudenziali sulla qualifi- cazione dell’attività come pericolosa o meno.

La prospettiva che si è tentato di mettere in evidenza risultava richiamata anche nell’art. 15 del d.lgs. 196/2003, abrogato dal d.lgs. 101/2018. Non soltanto il primo comma prevedeva che chiunque ca- gionasse danno ad altri per effetto del trattamento di dati personali fosse tenuto al risarcimento ai sensi dell’articolo 2050 cod. civ., ma il secondo comma arrivava ad ammettere esplicitamente la risarci- bilità del danno non patrimoniale.

1011 ss.; M. Franzoni, L’illecito, Milano, Giuffrè, 2010, 400 ss.; G. Alpa, La responsa-

bilità civile. Parte generale, Torino, Utet, 2010, 293 ss.

21_{Cass. 18 luglio 2011, n. 15733, in Foro it., 2012, I, c. 1560: «In materia di respon-}

sabilità extracontrattuale, in ordine alla presunzione di responsabilità per chi esercita attività pericolose, il fatto del terzo o dello stesso danneggiato può avere effetto liberatorio solo quando abbia reso, per la sua sufficienza, giuridicamente irrilevante il fatto di chi esercita detta attività, ma non quando abbia semplice- mente concorso nella produzione del danno per essersi inserito in una situazione già di per sé pericolosa, senza la quale l’evento non si sarebbe verificato, a causa dell’inidoneità delle misure preventive adottate».

La responsabilità civile per il trattamento illecito dei dati personali Si trattava di una norma, al pari della precedente, adeguatamen- te esplicativa, rivelatrice del fatto che il legislatore può ancora essere efficacemente didascalico, se lo vuole22_{. Si imponeva al giudice di} prendere come regime di riferimento quello contenuto all’art. 2050 cod. civ., dovendo questi poi applicarlo tenendo conto non soltanto del formante legislativo, ma che la norma è anche il risultato del formante giurisprudenziale. Vi è di più: per sgomberare il campo da qualsiasi dubbio, si esplicitava la risarcibilità del danno non patrimoniale. Non si trattava soltanto di indicazioni di contenuto, ma di una precisa policy, mirante ad assicurare una tutela rafforzata della vittima, muovendo dal presupposto che un’asimmetria di posizioni tra i soggetti coinvolti nel trattamento dei dati è inevitabile, ma non per questo la vittima può rimanere sprovvista di tutela.

Si consideri poi che la precisazione in ordine alla risarcibilità del danno non patrimoniale non era tanto necessaria rispetto all’evoluzione – in quegli anni era già in essere – circa il superamento di ogni barriera applicativa dell’art. 2059 cod. civ.23_{, quanto piuttosto perché} il legislatore era consapevole che il danno non patrimoniale è spesso l’unica voce di danno possibile, atteggiandosi, quindi, quasi a danno-sanzione rispetto alla violazione dei profili non patrimoniali del soggetto che vede non protetti i suoi dati personali.

A conferma di questa maggiore attenzione nei confronti di chi su- bisce la violazione, non sfugga, tra le altre cose, che l’art. 1 della legge n. 675/199624_{risultava profondamente superato dal d.lgs. n. 196/2003.} 22_{Un’operazione analoga è stata compiuta dal legislatore all’art. 7 della c.d. leg-}

ge Gelli-Bianco, ove la norma prevede che al medico dipendente ospedaliero si applichi l’art. 2043 cod. civ., indicando quindi esattamente al giudice la fattispecie di riferimento. Sarà interessante conoscere la posizione dei giudici di legittimità su questa norma. Di certo, un recupero indiretto della teoria del contatto sociale vanificherebbe del tutto le finalità di una disciplina che aveva lo scopo di frenare la medicina difensiva. Sul tema, si rinvia a B. Meoli-S. Sica, Sub. art. 7. Respon-

sabilità civile della struttura e dell’esercente la professione sanitaria, in B. Meoli-S.

Sica-P. Stanzione (a cura di), Commentario alla legge 8 marzo 2017, n. 24, Napoli, Edizioni Scientifiche Italiane, 2018, 109 ss.

23_{Trib. Milano, 13 aprile 2000, in Dir. inf., 2000, 371, con nota di S. Sica, Danno} morale per lesione della privacy; v. pure S. Sica, Danno morale e legge sulla privacy informatica, in Danno e resp., 282 ss.

24_{«La presente legge garantisce che il trattamento dei dati personali si svolga nel}

rispetto dei diritti, delle libertà fondamentali, nonché della dignità delle persone

Regolare la tecnologia: il Reg. UE 2016/679

170

Ai sensi dell’art. 1 di quest’ultimo testo di legge, chiunque ha diritto alla protezione dei dati personali che lo riguardano. Si compie così il passaggio dalla strumentalità del diritto alla protezione dei dati personali alla sua autonomia: da un diritto tutelato se ed in quanto presupposto della violazione di un altro diritto fondamentale della persona, ad un diritto tutelabile ex se.

3. Considerazioni sul modello di responsabilità

Nel documento La circolazione dei dati personali nella proposta di Direttiva UE sulla fornitura di contenuti digitali (pagine 167-171)