Il valore dei Dati ed il Risarcimento del danno – Corte di Cassazione n. 14916/2018

di Giulia Tenaglia

In una recente pronuncia del 8 giugno 2018 la Suprema Corte con la sentenza n. 14916 si è espressa sul danno derivante dal mancato o inesatto aggiornamento dei dati personali.

La riflessione intorno al risarcimento del danno derivante dal non corretto trattamento dei dati personali è generalmente condotta con riguardo alla responsabilità aquiliana ed in particolare con riferimento alle complesse vicende dell’ardua prova liberatoria richiesta dall’art. 2050 c.c.

Tale articolo disciplina la responsabilità derivante dallo svolgimento di attività pericolose imputabile all’esercente l’attività a titolo di responsabilità presunta o oggettiva secondo gli ultimi sviluppi giurisprudenziali (cfr. ex multis C. Cass. n. 17851/2003 e C. Cass. n. 19872/2014). Secondo lo schema di imputabilità dell’art. 2050 c.c., grava sul danneggiato l’onere di provare il rischio insito nell’attività svolta ed il nesso causale tra questo ed il danno; l’esercente l’attività sarà chiamato al risarcimento del danno a meno che non dimostri di aver adottate tutte le misure idonee ad evitarlo. La prova liberatoria ricade dunque sulle modalità dell’organizzazione della produzione e non sulle modalità del fatto. Il titolare in ogni caso non risponderà, secondo la sopra richiamata giurisprudenza di legittimità (maggioritaria a partire dai primi anni 2000) qualora il danno sia eziologicamente connesso alla condotta di un terzo o dello stesso danneggiato.

Il trattamento dei dati personali veniva qualificato quale attività intrinsecamente pericolosa dall’art. 15 del D.lgs. 196/2003. Tale articolo dovrebbe essere “espunto” dall’ordinamento a fronte di disapplicazione da parte dei giudici o a seguito di esplicita abrogazione da parte dell’emanando decreto legislativo che adeguerà la normativa interna al GDPR (si evidenzia che in ragione della proroga della delega al Governo il termine di pubblicazione è slittato ad agosto). L’art. 15 del codice privacy dovrebbe infatti cedere il passo all’art. 82 del GDPR il quale disciplina direttamente la responsabilità dei titolari e dei responsabili del trattamento. L’intervento del legislatore europeo, sicuramente apprezzabile in un’ottica di armonizzazione, sta portando qualche incertezza in questa fase transitoria, ma l’art. 82 GDPR sembra sostanzialmente riprodurre lo schema di imputazione derivante dal combinato dell’art. 2050 c.c. e art. 15 D.lgs 196/2003 con la differenza, di non poco conto, di cristallizzare la natura oggettiva della responsabilità riconducendo la prova liberatoria nell’alveo del caso fortuito e della forza maggiore (art. 82 commi 2 e 3).

Dalla normativa europea emerge inoltre una definizione chiara e precisa del ruolo del responsabile del trattamento, chiamato a rispondere dei danni cagionati nello svolgimento della propria attività nel caso in cui abbia violato gli obblighi previsti nei suoi confronti dal Regolamento o qualora si sia discostato dalle istruzioni del titolare.

Altro tema discusso è quello della responsabilità solidale dei titolari e dei responsabili del trattamento. In questo caso non emergono profili di sostanziale discontinuità rispetto a quanto normalmente derivante dall’applicazione del principio generale di cui all’art. 1294 c.c. il quale sancisce l’applicazione residuale, e quindi generale, della solidarietà passiva. I rapporti tra titolare e responsabile dovranno in ogni caso essere di volta in volta verificati a fronte delle specifiche clausole contrattuali che ne governano le rispettive responsabilità.

Da ultimo occorre ricordare che l’art. 82 GDPR espressamente prevede la risarcibilità del danno patrimoniale e non patrimoniale (sebbene nella traduzione italiana vengano impropriamente utilizzate le espressioni “danno materiale e non materiale”). Tale specificazione si riconnette direttamente alla previsione dell’art. 2059 c.c. escludendo così ogni dubbio sulla risarcibilità del danno non patrimoniale. Giova comunque sottolineare che la risarcibilità del danno non patrimoniale in caso di vulnus ad un diritto che trova diretta tutela costituzionale non era in discussione a fronte della nota sentenza della Corte Costituzionale n. 233/2003 nonché delle pronunce gemelle della Corte di Cassazione n. 8827-8828/2003 e delle c.d. sentenze di San Martino (C. Cass. 26972-26873-26974-26974/2008).

La responsabilità extracontrattuale non è però l’unica ipotesi in cui gli interessati possono trovare una tutela risarcitoria ed in questo senso la recente sentenza della Suprema Corte n. 14916/2018 offre un ottimo spunto di riflessione per comprendere quale possa essere nella vita quotidiana il valore da attribuire alla corretta gestione dei propri dati personali.

Nel caso di specie si trattava di un inesatto inserimento dei dati personali all’interno di elenchi telefonici. Il danno veniva lamentato da un libero professionista il quale asseriva di aver subito danni patrimoniali a causa dell’errato inserimento dei propri dati nelle guide cartacee e negli elenchi on-line delle società editrice convenuta in giudizio.

Il primo tema affrontato dalla Corte è prettamente processuale attenendo al labile confine tra mutatio ed emendatio libelli, ma ha importanti ricadute anche dal punto sostanziale. Nel caso di specie infatti i giudici della Corte d’Appello avevano rigettato la domanda attorea sostenendone l’inammissibilità in quanto solo con le memorie ex 183 c.p.c. era stato fatto riferimento alla inesatta indicazione dei dati, mentre nel primo atto difensivo si era fatto riferimento al mancato inserimento degli stessi. Sul punto la Suprema Corte disattende le conclusioni dei giudici del merito e sottolinea come l’ipotesi di omessa allegazione dei dati e quella della loro inesatta indicazione costituiscano specificazioni della medesima pretesa risarcitoria, “come il più comprende il meno” poiché “è del tutto evidente che, ai fini del dedotto pregiudizio, nessuna differenza intercorre tra la mancanza totale del dato e la sua difformità al reale, essendone il risultato in entrambi i casi che il dato esatto non è reperibile nell’elenco”.

Ciò che emerge già dalla risoluzione della questione processuale è il valore del dato personale che può essere preservato e mantenuto solo qualora corretto. Nel merito si trattava di un lamentato danno conseguente ad inadempimento contrattuale individuato dalla Corte nel c.d. danno da perdita di chance e rimesso per la quantificazione alla valutazione equitativa del giudice di merito ai sensi dell’art. 1226 c.c.

Con la su citata sentenza i giudici di legittimità hanno statuito che “in ipotesi di mancato od inesatto inserimento nell’elenco telefonico di dati afferenti ad un professionista si realizza il danno di non poter essere contattati da nuova clientela rispetto alla quale nessuna prova della perdita può essere pretesa se non in termini di possibilità e perdita di chance, suscettibile anch’essa di valutazione equitativa”.

La Corte con la pronuncia in commento conferma il proprio costante orientamento in materia di danno patrimoniale da perdita di chance che trova la sua “essenza nell’incertezza” e che “consiste non nella perdita di un vantaggio economico, ma nella perdita definitiva della possibilità di conseguirlo, secondo una valutazione ex ante da ricondursi, diacronicamente, al momento in cui il comportamento illecito ha inciso su tale possibilità in termini di conseguenza dannosa potenziale” (C. Cass. n. 10111/2008).

Proprio con riguardo alla mancata o inesatta menzione all’interno dell’elenco telefonico la Corte di Cassazione già in passato ha affermato che “quello che rileva […] non è tanto la possibilità di continuare ad essere contattati da clienti già acquisiti, quanto il fatto di non poter essere contattati da nuova clientela, rispetto alla quale nessuna prova della perdita può essere pretesa, se non in termini di possibilità e perdita di chance, suscettibile anch’essa di valutazione equitativa” (C. Cass. n. 19497/2017).

Per quanto attiene al profilo della quantificazione del danno la Corte, richiamando principi già espressi dalla stessa in passato, ha sottolineato come il diritto al risarcimento abbia, “in tutta evidenza, maggiore pregnanza allorquando l’utenza telefonica afferisca ad un’attività professionale o commerciale” (C. Cass. n. 19342/2017).

La pronuncia della Suprema Corte offre due importanti spunti di riflessione relativi al valore dei dati personali. Il primo, più immediato, riguarda l’attenzione che ciascuno deve porre nella gestione dei propri dati che sempre più costituiscono l’oggetto di contratti che vengono stipulati quotidianamente. L’altro riguarda un principio che deve guidare ogni attività di trattamento ed attiene all’attribuzione di valore ai dati trattati poiché solo il dato esatto, e ovviamente lecito, è idoneo a produrre valore.

Riferimenti bibliografici:

Il nuovo Regolamento Europeo sulla privacy e sulla protezione dei dati personali, a cura di Giusella Finocchiaro, Zanichelli 2017;
Il Regolamento privacy europeo. Commentario alla nuova disciplina sui dati personali; Luca Bolognini, Enrico Pelino, Camilla Bistolfi; Giuffrè 2016;
I fatti illecit, F. Galgano, Utet 2008.

Il ruolo della data governance nella sostenibilità delle smart cities

Il ruolo dei cookie paywall ed il valore dei dati personali

Riconoscimento facciale e sorveglianza: raising awareness

Diritto di accesso ad internet: un requisito per lo sviluppo di una cultura digitale

Deepfake: “when seeing isn’t believing anymore”

ABOUT US

LINKS

Community

About

Privacy e cookie policy

Login

SOCIAL