Sottrazione dati agli utenti: come si ottiene il risarcimento? 

  • Autore dell'articolo:

Alla fine dello scorso anno, un noto operatore virtuale è stato colpito da un attacco hacker. I dati di migliaia di utenti sono stati trafugati. Non si tratta solo delle generalità (come nome, cognome, codice fiscale, indirizzo e-mail) ma anche di dati tecnici di particolare rilievo, come il numero seriale della SIM. Il fatto è stato denunciato al Garante della Privacy e l’operatore ne ha dato notizia agli utenti interessati tramite un sms.

Ebbene, in ordine a tali circostanza fattuali, ci si è chiesti se il pregiudizio subito dall’utente sia risarcibile dall’operatore. Per rispondere a tale quesito appare utile menzionare il previgente Codice della Privacy  ed in particolare l’art. 15, D.Lgs. n. 193/2003, il quale prevedeva che chiunque cagionasse un danno ad altri, per effetto del trattamento di dati personali, fosse tenuto al risarcimento ai sensi codice civile. La norma codicistica richiamata riguardava la responsabilità per esercizio di attività pericolosa (ex art. 2050 c.c.) e obbligava al risarcimento automatico del danno l’esercente qualora  non dimostrasse di aver adottato tutte le misure idonee ad evitare il danno.

Tale disposizione del Codice della Privacy è stata abrogata dal D.Lgs. 10 agosto 2018, n. 101 e per  l’effetto al fine di esentarsi da responsabilità, l’operatore deve dimostrare che l’evento dannoso non gli è in alcun modo imputabile. La norma ha operato, quindi, un’inversione dell’onere probatorio, giacché spetta all’operatore ad es. provare di aver impiegato tutti gli strumenti e accorgimenti idonei ad evitare l’hackeraggio. Se riuscisse in tale dimostrazione, il danneggiato non potrà ottenere alcun ristoro.

Sulla base di tali premesse, quindi, non sussiste alcun un automatismo tra la sottrazione dei dati e il diritto al risarcimento. L’utente, infatti, deve provare la sussistenza del danno, la violazione della normativa a tutela dei dati personali e il nesso causale tra questi due elementi. Inoltre, il risarcimento è subordinato alla dimostrazione della gravità del pregiudizio patito. Infatti, in relazione al danno non patrimoniale, la Corte di Cassazione ha più volte chiarito che ogni persona gode del diritto fondamentale alla protezione dei dati personali, tutelato dalla Costituzione e dalla Convenzione Europea dei Diritti dell’Uomo, ma opera il bilanciamento con il principio di solidarietà, “di cui il principio di tolleranza della lesione minima è intrinseco precipitato”.