Violazione privacy e risarcimento del danno
Autore: Redazione | 13/10/2021
Il danneggiato leso nella propria sfera di riservatezza deve comunque dimostrare un danno concreto, attuale e grave, anche attraverso presunzioni.
A volte, la violazione della privacy è un reato. Ma quand’anche ciò non fosse,
essa costituisce un illecito civile a fronte del quale è dovuto il risarcimento del danno. Sul punto, però, è bene fare un chiarimento: il semplice fatto di aver subìto una intrusione nella propria sfera intima non dà automaticamente diritto ad un indennizzo. La vittima deve infatti essere in grado di dimostrare una lesione effettiva ed attuale, non solo ideologica o potenziale.
Non sempre, dunque, a una violazione della privacy corrisponde un risarcimento del danno. E questo è stato affermato, più volte, dalla Cassazione [1]. Per comprendere la posizione della giurisprudenza dobbiamo partire da alcune precisazioni preliminari.
Quando il risarcimento del danno?
Il presupposto di ogni risarcimento è il danno. Senza danno non c’è risarcimento.
Il semplice fatto di aver subìto un illecito non dà diritto ad ottenere il risarcimento se non c’è stato un pregiudizio concreto. In tribunale, non si va per “questioni di principio”.
Al rigore di questa regola sono previsti due temperamenti affinché ciò non possa ritorcersi contro la vittima. Il primo: il danno può essere dimostrato anche tramite presunzioni, ossia indizi; non è quindi necessaria una prova piena e conclamata.
Il secondo: se non si riesce a fornire la prova dell’entità del danno (cosa che succede sempre quando si tratta di danni morali), il giudice può quantificare il risarcimento secondo equità, ossia in base a quanto gli appare giusto tenendo conto di tutte le circostanze concrete.
Quando non spetta il risarcimento del danno?
La Cassazione [2] ha detto che, per poter ricorrere al giudice e ottenere una condanna al risarcimento del danno, il pregiudizio subito dalla vittima deve essere grave, deve cioè aver superato il limite della «tollerabilità». Questo perché non si può “scomodare” il tribunale per quei piccoli fastidi della vita quotidiana che possono essere facilmente risolti da soli o comunque che non creano rilevanti pregiudizi.
Così la Suprema Corte ha escluso la possibilità di ottenere un risarcimento per qualche e-mail di spam: in fin dei conti – sostengono i giudici – una pressione del tasto CANC sulla tastiera non implica un particolare incomodo a nessuno.
Violazione privacy: quando il risarcimento?
Le regole che abbiamo appena detto valgono anche per quanto riguarda la lesione della privacy.
Quindi, da un lato, il danneggiante deve dimostrare, anche tramite presunzioni, di aver subito un pregiudizio effettivo, concreto e attuale. Questo pregiudizio deve essere grave e superare il limite della tollerabilità della lesione minima.
Inoltre, ci deve essere la prova che la lesione lamentata sia conseguenza immediata e diretta della violazione della privacy e non di altri fattori esterni (è ciò che tecnicamente si chiama «rapporto di causalità» o “di causa/effetto”).
Nella sentenza in commento, la Cassazione ha riaffermato questi principi: il danno da lesione della privacy, come ogni danno non patrimoniale, non scaturisce in automatico dal semplice comportamento illecito. Esso infatti non si identifica con la semplice lesione dell’interesse tutelato dall’ordinamento, ma con le conseguenze di tale lesione.
Ed ancora la stessa Corte ha detto che il risarcimento è subordinato alla:
serietà del danno;
gravità della lesione.
Il danno quindi non si identifica con la lesione della privacy, ma con le conseguenze di tale lesione.
Alla luce di ciò, diventa impossibile stabilire, in via generale, a quanto ammonta il risarcimento per lesione della privacy. E difatti, oltre alle condizioni appena elencate, esso va rapportato al tipo di lesione subita e, ancor di più, alle conseguenze che tale lesione ha determinato. Le conseguenze infatti sono il danno in sé, e vanno dimostrate compiutamente.
Risarcimento per violazione privacy:
Cassazione
La Cassazione ha quindi ribadito che il danno non patrimoniale risarcibile ai sensi dell’art. 15 Dlg.196/2003 (Codice Privacy) pur determinato da una lesione del diritto fondamentale alla protezione dei dati tutelato dagli art. 2 e 21 Cost. e dall’art. 8 Cedu, non si sottrae alla verifica della gravità della lesione e della serietà del danno; ciò in quanto anche per tale diritto opera il bilanciamento con il principio di solidarietà ex art. 2 Cost. di cui quella di tolleranza della lesione minima è l’intrinseco precipitato, sicché determina una lesione ingiustificabile del diritto non la mera violazione delle prescrizioni poste dall’art. 11 del Codice Privacy, ma solo quella che ne offende in modo sensibile la sua portata effettiva, restando comunque il relativo accertamento di fatto rimesso al giudice di merito.
Precisa la Corte che la mera allegazione da parte del ricorrente che l’illecito uso dei dati personali riguardanti la sua vita lavorativa gli avrebbe provocato una sofferenza (seppure che di tali dati erano venuti a conoscenza i soggetti che gli aveva teso un agguato) costituisce un’asserzione generica ed apodittica inidonea anche solo a far comprendere i motivi del turbamento che, come osservato dal giudice del merito, non potevano presumersi.
La mera violazione delle norme di per sé non è idonea a fondare un risarcimento del danno, in assenza di dimostrazione di una lesione concreta.
Pertanto, anche nella vigenza della attuale normativa privacy, come riformata dopo il necessario adeguamento al GDPR, continua ad essere onere del danneggiato provare, anche mediante presunzioni, il danno subito per l’illegittimo trattamento ed il nesso di causalità tra violazione e danno, non identificandosi quest’ultimo con il trattamento dei dati effettuato in violazione del regolamento, dovendosi, invece, lo stesso concretizzare in un pregiudizio nella sfera degli interessi del danneggiato, che quando “non patrimoniale”, dovrà, comunque, essere effettivamente grave ed aver superato il limite della tollerabilità della lesione minima, nel solco già tracciato dalle Sezioni Unite della Cassazione.
Note
[1] Cass. sent. n.16402/21 del 10.06.2021. [2] Cass. S.U. sent. n. 26972/2008.
Sentenza
Corte di Cassazione Sezione 1 Civile Ordinanza 10 giugno 2021 n. 16402 Data udienza 26 febbraio 2021 IN NOME DEL POPOLO ITALIANO LA CORTE SUPREMA DI CASSAZIONE SEZIONE PRIMA CIVILE Composta dagli Ill.mi Sigg.ri Magistrati: Dott. GENOVESE Francesco A. - Presidente Dott. VALITUTTI Antonio - Consigliere Dott. DI MARZIO Mauro - Consigliere Dott. LAMORGESE Antonio Pietro -
Consigliere Dott. FIDANZIA Andrea - rel. Consigliere ha pronunciato la seguente:
ORDINANZA sul ricorso 2856/2017 proposto da: (OMISSIS), domiciliato in Roma, Piazza Cavour, presso la Cancelleria Civile della Corte di Cassazione, rappresentato
e difeso dall'avvocato (OMISSIS), giusta procura in calce al ricorso; - ricorrente - contro Istituto Nazionale della Previdenza Sociale - I.N.P.S., in persona del legale
rappresentante pro tempore, elettivamente domiciliato in Roma, Via Cesare Beccaria n. 29, presso l'Avvocatura Centrale dell'Istituto, rappresentato e difeso dagli avvocati (OMISSIS), (OMISSIS), (OMISSIS), (OMISSIS), (OMISSIS), (OMISSIS), giusta procura in calce al controricorso; - controricorrente - contro (OMISSIS); - intimato - avverso la sentenza n. 1693/2016 del TRIBUNALE di MESSINA, pubblicata
il 08/06/2016; udita la relazione della causa svolta nella Camera di consiglio del 26/02/2021 dal Cons. Dott. FIDANZIA ANDREA. FATTI DI CAUSA Il Tribunale di Messina ha rigettato la domanda proposta da (OMISSIS), finalizzata a far accertare
l'illecito trattamento dei suoi dati personali (e ad ottenere il risarcimento del danno) da parte dell' (OMISSIS), il quale, con la cooperazione dell'INPS, aveva ottenuto la documentazione attestante la sua situazione retributiva dal 1 agosto
1999 al 30 settembre 2013, al fine di acquisire elementi di prova da far valere nell'ambito di un procedimento penale in cui lo stesso (OMISSIS) era coinvolto. Il
Tribunale di Messina ha, preliminarmente, escluso che la divulgazione dei dati personali del ricorrente fosse ascrivibile all'INPS, essendo stata - la richiesta di accesso agli stessi dati - indirizzata dall'agenzia investigativa al Patronato I.N.A.P.I..
In ogni caso, il giudice di primo grado, pur dando atto che le informazioni inerenti l'attivita' prestata dal (OMISSIS), in epoca precedente ai fatti oggetto del giudizio
penale, fossero effettivamente eccedenti le finalita' per cui quei dati erano stati raccolti e trattati, ha ritenuto non responsabile l' (OMISSIS), essendo
eventualmente compito del difensore, mandante dell'Istituto, oscurare le parti del documento contenente i dati non rilevanti ai fini di difesa, prima di effettuare la
produzione in giudizio. Infine, il giudice di merito ha comunque ritenuto non dimostrata da parte dell'odierno ricorrente l'esistenza di un pregiudizio di natura
non patrimoniale, essendo stata esclusivamente dedotta la violazione della normativa sul trattamento dei dati personali, senza specificare le conseguenze
negative subite a seguito del trattamento ritenuto illecito. Avverso la predetta sentenza ha proposto ricorso per cassazione (OMISSIS), affidandolo a sei motivi.
L'INPS ha con controricorso, mentre l' (OMISSIS) non ha svolto difese. Il ricorrente ha depositato la memoria ex articolo 380 bis 1 c.p.c.. RAGIONI DELLA DECISIONE 1.
In via preliminare, e' stata sollevata la questione di legittimita' costituzionale del Decreto Legislativo n. 196 del 2003, articolo 152 e del Decreto Legislativo n. 150 del 2011, articolo 10, in relazione all'articolo 3 Cost., nella parte in cui stabiliscono
che, in materia di trattamento di dati personali, "la sentenza che definisce il giudizio non e' appellabile". Lamenta il ricorrente che e' stata integrata la lesione
dell'articolo 3 Cost., atteso che in materia di trattamento di dati personali, senza una valida giustificazione, non si puo' ottenere una rivalutazione nel merito della sentenza di primo grado, e cio' a differenza di altre analoghe situazioni in cui cio' e'
possibile nonostante un soggetto chieda parimenti il risarcimento dei danni (es. in materia di circolazione stradale). 2. La questione e' manifestamente infondata. Va osservato che il doppio grado di giurisdizione di merito e' un principio che non e'
assistito da copertura costituzionale (vedi Corte Cost. n. 53/2008) e rientra, pertanto, nella liberta' di apprezzamento del legislatore, al fine di soddisfare un'esigenza di celerita' del processo, prevedere per alcune categorie di materie un
unico grado di merito (analogo discorso vale, sempre in materia di tutela di diritti della persona, anche nelle controversie in materia di protezione internazionale, come evidenziato da questa Corte nelle ordinanze n. 27700 del 30/10/2018 e n.
28119 del 05/11/2018). 3. Con il primo motivo e' stata dedotta la nullita' del procedimento ex articolo 360 c.p.c., comma 1, n. 4, per violazione dell'articolo 416
c.p.c., u.c.. Lamenta il ricorrente che, nonostante la sua rituale opposizione, formulata a verbale all'udienza del 9.3.2016, il Tribunale ha ammesso ed utilizzato
un documento prodotto dall' (OMISSIS) solo nelle note conclusionali autorizzate, e cio' in violazione dell'articolo 416 c.p.c., u.c. e del diritto di difesa e del principio
del contraddittorio. 4. Il motivo e' inammissibile per difetto di autosufficienza.
Posto che nel provvedimento impugnato non vi e' alcuna traccia della questione relativa all'ammissibilita' e utilizzabilita' del documento prodotto dall' (OMISSIS), e' principio consolidato di questa Corte che i motivi del ricorso per cassazione devono
investire, a pena di inammissibilita', questioni che siano gia' comprese nel thema decidendum del precedente grado del giudizio, non essendo prospettabili per la prima volta in sede di legittimita' questioni nuove o nuovi temi di contestazione
non trattati nella fase di merito, tranne che non si tratti di questioni rilevabili d'ufficio (Cass., 17/01/2018, n. 907; Cass., 09/07/2013, n. 17041). Ne consegue che, ove nel ricorso per cassazione siano prospettate questioni non esaminate dal giudice di merito, e' onere della parte ricorrente, al fine di evitarne una statuizione
di inammissibilita' per novita' della censura, non solo di allegare l'avvenuta loro deduzione innanzi al giudice di merito, ma anche, in ossequio al principio di specificita' del motivo, di indicare in quale atto del giudizio precedente lo abbia fatto, nonche' il luogo e modo di deduzione, onde consentire alla S.C. di controllare
"ex actis" la veridicita' di tale asserzione prima di esaminare il merito della suddetta questione (Cass., 13/06/2018, n. 15430). Nel caso di specie, il ricorrente non ha adempiuto a tale onere di allegazione, non avendo nemmeno riportato per
estratto (ne' neppure sintetizzato) il verbale d'udienza nel quale si sarebbe dato atto sia del deposito del documento "contestato" nelle note conclusive autorizzate che dell'opposizione dell'odierno ricorrente alla sua produzione in giudizio. 5. Con il
secondo motivo e' stata dedotta la nullita' del procedimento e della sentenza impugnata ex articolo 360 c.p.c., comma 1, n. 4, per omessa pronuncia ex articolo
112 c.p.c., con riguardo specifico alla posizione dell'INPS. Assume il ricorrente che il Tribunale di Messina non si sarebbe pronunciato sulla propria precisa
contestazione di illecita divulgazione dei dati personali, avendo, altresi', osservato che "appare quantomeno "inquietante" che qualsiasi patronato possa, a suo piacimento, estrarre, diffondere e trattare dati personali di chiunque senza che l'INPS possa (o voglia) in alcun modo verificare la liceita' di tali operazioni". 6. Il motivo e' infondato. Il Tribunale di Messina non ha affatto omesso di pronunciarsi sulla domanda concernente la posizione dell'INPS, avendo statuito che la diffusione
dei dati personali non era ascrivibile all'Ente Previdenziale, bensi' al Patronato, soggetto abilitato ad avere accesso ai dati presenti negli archivi INPS, che conseguentemente rispondeva autonomamente della propria condotta. Ne' il giudice di merito era tenuto necessariamente a rispondere su ogni riflessione dell'odierno ricorrente. 7. Con il terzo motivo e' stata dedotta la violazione del
Decreto Legislativo n. 196 del 2003, articoli 4, 11 e 15, con riferimento alla posizione dell' (OMISSIS). Lamenta il ricorrente che il Tribunale di Messina ha erroneamente ritenuto responsabile della violazione dell'articolo 11 del codice della privacy il difensore dell'imputato nel procedimento in cui sono stati utilizzati i suoi dati (che avrebbe dovuto provvedere all'occultamento dei dati non rilevanti ai
fini della difesa) anziche' lo stesso (OMISSIS). 8. Con il quarto motivo e' stata dedotta la nullita' del procedimento e della sentenza impugnata ex articolo 360
c.p.c., n. 4, per omessa pronuncia ex articolo 112 c.p.c., in relazione al Decreto Legislativo n. 196 del 2003, articolo 15. Lamenta il ricorrente che il Tribunale ha omesso di pronunciarsi sulla sua richiesta di risarcimento del danno. In particolare,
il Tribunale aveva ritenuto che lo stesso non avesse specificato quali fossero state le conseguenze negative subite per effetto dell'illecito trattamento dei dati personali, nonostante il ricorrente medesimo avesse precisato di aver subito un
danno morale dovuto alla diffusione dei dati personali in favore di soggetti condannati per un agguato a danno suo e del fratello. Inoltre, il ricorrente aveva allegato che l'illecita diffusione di dati riguardanti l'intera vita lavorativa nonche'
l'uso di tali dati per sostenere di aver portato illegalmente l'arma con cui si e' difeso nell'agguato ai suoi danni avevano cagionato una seria lesione della sua riservatezza ed una sofferenza morale. 9. Con il quinto motivo e' stata dedotta la violazione dell'articolo 360 c.p.c., n. 5, per omesso esame di un fatto decisivo per il
giudizio oggetto di discussione tra le parti. Espone il ricorrente che ove questa Corte ritenesse che in ordine alle doglianze esposte con il quarto motivo non fosse ritenuta l'omessa pronuncia, mancherebbe comunque una motivazione su un fatto
decisivo dato dalle sue allegazioni in punto di danno. 10. Il terzo, il quarto ed il quinto motivo, da esaminare unitariamente, avendo ad oggetto, questioni
correlate, presentano profili di inammissibilita' ed infondatezza. Va preliminarmente osservato che non e' priva di fondamento la censura del ricorrente secondo cui anche l' (OMISSIS), essendone entrato in possesso ed avendo concorso alla loro comunicazione, doveva ritenersi responsabile della pertinenza e della non eccedenza dei dati personali riguardanti il ricorrente (che lo
stesso Istituto si era procurato dal Patronato) rispetto alle finalita' per cui tali informazioni erano state raccolte e trattate. L'istituto era ben consapevole (essendogli state commissionate ben mirate indagini difensive) delle finalita' che la
raccolta dei dati personali del ricorrente doveva perseguire, ovvero verificare se al momento dell'agguato il ricorrente fosse munito di regolare porto d'armi. Ne consegue che, a monte, lo stesso Istituto non avrebbe dovuto consegnare al difensore dati sovrabbondanti e inutili (riguardanti la vita lavorativa del ricorrente)
eccedenti le predette finalita' difensive. Va, tuttavia, osservato che la ritenuta fondatezza delle sopra illustrate censure non e' comunque idonea a mutare l'esito del giudizio - con la conseguenza che deve soltanto procedersi alla correzione della
motivazione nei termini sopra illustrati, a norma dell'articolo 384 c.p.c., u.c. - avendo il giudice di merito argomentato, con una motivazione adeguata e immune
da vizi logici, che il ricorrente non aveva comunque fornito la prova del danno. In primo luogo, infondata e' la censura secondo cui il Tribunale di Messina sarebbe incorso nel vizio di omessa pronuncia sulla richiesta di risarcimento, per violazione
della privacy, formulata dal ricorrente. Sul punto, il giudice di primo grado ha evidenziato che il ricorrente ha dedotto esclusivamente la violazione delle normativa sul trattamento dei dati personali senza specificare le conseguenze
negative dallo stesso subite a seguito del trattamento ritenuto illecito. Tale affermazione non e' affatto elusiva della richiesta di risarcimento del danno svolta
dal ricorrente, non avendo il ricorrente fatto altro che far buon uso dei principi di diritto elaborati da questa Corte. In particolare, in tema di violazione dei dati personali, la Corte di Cassazione ha enunciato il principio di diritto secondo cui il danno non patrimoniale risarcibile ai sensi del Decreto Legislativo n. 196 del 2003,
articolo 15 (codice della privacy), pur determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli articoli 2 e 21 Cost. e dall'articolo 8 della CEDU, non si sottrae alla verifica della "gravita' della lesione" e
della "serieta' del danno", in quanto anche per tale diritto opera il bilanciamento con il principio di solidarieta' ex articolo 2 Cost., di cui quello di tolleranza della
lesione minima e' intrinseco precipitato, sicche' determina una lesione ingiustificabile del diritto non la mera violazione delle prescrizioni poste dall'articolo 11 del codice della privacy, ma solo quella che ne offenda in modo sensibile la sua portata effettiva, restando comunque il relativo accertamento di fatto rimesso al giudice di merito (vedi Cass. n. 17383 del 20/08/2020). E' stato,
altresi', affermato che il danno alla privacy, come ogni danno non patrimoniale, non sussiste in "re ipsa", non identificandosi il danno risarcibile con la mera lesione
dell'interesse tutelato dall'ordinamento, ma con le conseguenze di tale lesione, seppur puo' essere provato anche attraverso presunzioni (vedi Cass. n.
19434/2019; Cass. n. 29206/2019). Nel caso di specie, condivisibilmente il giudice di merito ha osservato che il ricorrente si era limitato a dedurre la violazione della normativa sul trattamento dei dati personali. D'altra parte, la mera allegazione da
parte del ricorrente che l'illecito uso dei dati personali riguardanti la sua vita lavorativa gli avrebbe procurato una sofferenza (seppur che di tali dati erano
venuti a conoscenza soggetti che gli avevano testo un agguato) costituisce un'asserzione generica ed apodittica inidonea anche solo a far comprendere i motivi di tale turbamento. E' in questa prospettiva che il Tribunale di Messina ha coerentemente osservato che il ricorrente non aveva specificato quali fossero le conseguenze negative dallo stesso subite per effetto dell'illecito trattamento dei
dati personali, non potendosi queste presumersi "in re ipsa". Peraltro, la circostanza che il ricorrente, vittima di un agguato, possa essere stato turbato dalla linea difensiva dell'imputato nel procedimento penale in cui erano sono stati
utilizzati i suoi dati, ovvero che lo stesso ricorrente si sarebbe difeso con un'arma portata illegalmente, e' circostanza del tutto estranea alla dedotta illecita
diffusione dei dati personali, essendosi il ricorrente lamentato dell'illecito trattamento dei suoi dati proprio in quanto non pertinenti alla vicenda penale in cui
e' rimasto coinvolto. Infine, del tutto infondata e' la censura dell'omessa esame di fatto decisivo, avendo il Tribunale ben tenuto presente le allegazioni del ricorrente,
avendole, tuttavia, ritenute generiche, come emerge dalla chiara espressione utilizzata, ovvero che il (OMISSIS) non aveva "specificato" le conseguenze negative
derivanti dall'illecito trattamento dei suoi dati. 11. Con il sesto motivo e' stata dedotta la violazione dell'articolo 92 c.p.c., comma 2. 12. Il motivo e' assorbito per effetto della infondatezza e/o inammissibilita' dei precedenti motivi. Le spese di lite
seguono la soccombenza e si liquidano come in dispositivo. P.Q.M. Rigetta il ricorso. Condanna il ricorrente al pagamento delle spese processuali che liquida in
Euro 2.100,00, di cui Euro 100,00 per spese, oltre spese prenotate a debito. Ai sensi del Decreto del Presidente della Repubblica n. 115 del 2002, articolo 13, comma 1 quater, da' atto della sussistenza dei presupposti per il versamento da
parte del ricorrente dell'ulteriore importo a titolo di contributo unificato pari a quello dovuto per il ricorso principale, a norma dello stesso articolo 13, comma 1
bis.
