Diffusione dati personali: quando spetta il risarcimento del danno?

  • Post author:

La Corte di Cassazione con la sentenza n. 29982/2020 ha stabilito che il diritto al risarcimento del danno – in caso di diffusione dei dati personali – sussiste solo se si dimostra la gravità delle conseguenze legate all’illegittima circolazione dei propri dati personali.

Per procedere alla disamina del caso, occorre soffermarsi innanzitutto sulle norme applicabili alla fattispecie.

Ebbene, ai sensi dell’art. 15 del codice Privacy (ossia la legge n. 196/2003 di recente riformata dal Gdpr), chiunque cagiona danni ad altri per effetto del trattamento di dati personali è tenuto al risarcimento del danno. Il risarcimento che si basa sulla cd. responsabilità per attività pericolose: come stabilito, infatti, dall’art. 250 c.c., l’azienda che svolge un’attività pericolosa (nella fattispecie in esame, consistente nella raccolta e tenuta dei dati personali altrui) è tenuto al risarcimento che tale attività potrebbe procurare a terzi (anche se determinata dall’opera illecita altrui, come quella dei criminali informatici). L’azienda però può esonerarsi da ogni responsabilità se dimostra di “avere adottato tutte le misure idonee a evitare il danno”. Si tratta delle misure suggerite dalla comune esperienza e che sono materialmente possibili alla luce dell’attuale tecnica.

Dunque, la società è responsabile dei danni (e di conseguenza è tenuta al risarcimento dei danni) se, non avendo predisposto tutte le misure possibili, idonee a ridurre il rischio di accesso non autorizzato, ha causato il danno al cliente, titolare dei dati personali. Nel caso in cui tale prova viene fornita, non c’è alcuna possibilità, per gli utenti titolari dei dati, di ottenere il risarcimento del danno..

Accanto a tale condizione, vi è quella di provare la sussistenza di un un danno effettivo e concreto. Il nostro sistema sulla responsabilità prevede infatti la non risarcibilità dei cosiddetti danni bagatellari, quelli cioè di lieve entità, rientranti in una normale ed auspicabile dimensione di tollerabilità dovuta alla civile convivenza, come imposta dal contemperamento tra i principi costituzionali di solidarietà e tolleranza.

Niente risarcimento dei danni, quindi, se non si prova la gravità delle conseguenze provocate dalla diffusione di dati personali. È proprio questo il principio affermato dalla Cassazione sul finire dello scorso anno.

Più nel dettaglio, la Suprema Corte ha respinto la richiesta di ristoro avanzata in base alla tesi che l’illegittima diffusione di dati personali determini automaticamente un danno non patrimoniale senza necessità di dimostrare le gravi e serie conseguenze che il titolare abbia patito.

Questo significa che il semplice fatto di avere un contratto con una compagnia telefonica, che abbia subito il furto dei dati dei propri clienti, non legittima la richiesta di risarcimento del danno. Tale risarcimento può essere preteso solo se, a seguito della diffusione di tali informazioni riservate, il cittadino ha avuto dei seri pregiudizi personali e sempre che la società non dimostri di aver adottato tutte le tecniche necessarie a scongiurare l’accesso abusivo al proprio sistema informatico.