Trattamento dei dati personali

Pubblicazione legale:

Trattamento dei dati personali

Se ci chiediamo: è risarcibile non solo a favore delle persone fisiche, ma anche a vantaggio delle persone giuridiche o altri soggetti collettivi?

La risposta è positiva e trova riscontro nell’orientamento della Corte di Cassazione in tale materia (Corte di Cassazione, Sezione III Civile, con sentenza n. 12929 del 4 giugno 2007).

Ma se chiediamo il risarcimento del danno per illecito trattamento dei dati personali nei confronti della persone giuridiche, quale potrebbe essere la risposta?

Altra fattispecie configurabile astrattamente anche nei confronti di persone giuridiche, ma di limitato riscontro pratico è quella del danno per illecito trattamento dei dati personali.

In vero, a tale fattispecie non risulta ad oggi applicabile la nuova disciplina sulla privacy, introdotta dal GDPR 2016/679 e recepita integralmente nel nostro ordinamento giuridico dal D.Lgs. 10 agosto 2018, n. 101.

Più precisamente, in passato, il garante per la protezione dei dati personali con provvedimento n. 262/2012, aveva chiarito che le disposizioni del D.Lgs. 30 giugno 2003, n. 196, contenente il «Codice in materia di protezione dei dati personali», nonostante le modifiche apportate con D.L. n. 201/2011, trovavano applicazione anche con riferimento alle persone giuridiche.

La giurisprudenza sul punto si era, tuttavia, mostrata rigorosa e ha riconosciuto il diritto al risarcimento del danno non patrimoniale causato per violazione del diritto alla riservatezza solo qualora tale diritto venga inciso in maniera rilevante, cagionando un pregiudizio serio, che peraltro va debitamente allegato e, seppur per presunzioni, provato.

Come, tuttavia, sopra accennato, il d. lgs. n. 196/2003 è stato di recente sostituito a seguito dell'entrata in vigore del d. lgs. n. 101/2018, che ha recepito la nuova normativa in materia di privacy introdotta dal regolamento europeo n. 679 del 2016.

Il regolamento europeo, in particolare, nel dettare le norme relative alla protezione dei dati personali, fa espresso riferimento unicamente alle «…persone fisiche…» (art. 1); e ciò, sia nella nozione di "interessato al trattamento dei dati", indentificato per l'appunto, nella persona fisica cui si riferiscono i dati personali oggetto di trattamento, sia in quella di "dato personale", definito come «…qualsiasi informazione riguardante una persona fisica identificata o identificabile…».

Con la conseguenza, quindi, che, dalla tutela dei dati personali, sono escluse le persone giuridiche, nonché gli enti e le associazioni. Né è stato diversamente stabilito dal d. lgs. n. 101/2018, che si è limitato unicamente ad adeguare la normativa nazionale alle disposizioni del GDPR, senza prevedere null'altro.

In tal senso, peraltro, si è espressa anche la giurisprudenza amministrativa, secondo la quale «…Il G.D.P.R. - "General Data Protection Regulation" - il quale è entrato in vigore il 24 maggio 2016 ed è diventato direttamente applicabile e vincolante in tutti gli Stati membri a partire dal 25 maggio 2018 - non disciplina in alcun modo il trattamento dei dati che riguardano la persona giuridica (salvo con poche eccezioni), atteso che dalla definizione di "dato personale" e di "interessato" di cui agli artt. 1 e 4 rimane escluso qualsiasi riferimento a persone giuridiche, enti o associazioni…» (T.A.R. Sicilia, 1 ottobre 2018, n. 2020).

Di regola, pertanto, nel caso in cui una persona giuridica subisca danni a seguito di un illecito trattamento di dati, non possono applicarsi le disposizioni normative contenute nel GDPR. Tuttavia, sembrano potersi ravvisare talune ipotesi eccezionali, in presenza delle quali sembra potersi riconoscere alle persone giuridiche la possibilità di applicare le disposizioni del regolamento europeo. Si fa, in particolare, riferimento al caso in cui il nome della persona giuridica si identifichi con il nome di una persona fisica ovvero quest'ultimo è nel primo compreso. ovvero al caso in cui i dati – oggetto del trattamento illecito – riguardino una persona fisica.

Si comprende, quindi, perché la casistica sul punto sia estremamente ridotta, dovendosi ritenere, le persone giuridiche, oggi escluse dalla normativa sulla privacy.

Onere della prova e criteri di quantificazione

Com'è noto, la prova del danno non patrimoniale è in tutti i settori particolarmente difficile, stante l'immaterialità del bene oggetto di risarcimento. Ancor più arduo, quindi, appare tale onere rispetto alle persone giuridiche e agli enti in generale, e ciò a causa della loro natura di entità sovraindividuali.

La giurisprudenza ha ormai pressoché abbandonato il paradigma del danno in re ipsa, puntualizzando sempre più spesso la necessità di allegazione di circostanze specifiche idonee a supportare la richiesta risarcitoria, anche se, in questo ambito, è inevitabile ammettere il ricorso allo strumento delle presunzioni e alle massime di esperienza (Cassazione civile, sez. I, 10 maggio 2017, n. 11446).

Alla questione dell'onere probatorio si lega quella relativa all'individuazione dei criteri per la quantificazione del danno non patrimoniale subito dalle persone giuridiche.

Sul punto, dall'analisi dei precedenti giurisprudenziali emerge un solo dato certo, ovvero il ricorso alla liquidazione in via equitativa, ai sensi dell'art. 1226 c.c.

Concludendo, le persone giuridiche (società, enti collettivi, associazioni riconosciute, fondazioni, enti pubblici, etc..) possono subire danni a seguito di trattamenti illeciti dei propri dati personali e hanno diritto al risarcimento, se dimostrano il danno subito e il nesso causale con la violazione.

Tuttavia, a fronte di una molteplicità di fattispecie, non si possono individuare parametri univoci.

In tale contesto, limitando la trattazione a una delle fattispecie più diffuse, vale a dire la lesione dell'immagine a seguito di condotte diffamatorie, si possono segnalare i seguenti indici presi in considerazione dai giudici e, precisamente: la gravità del fatto lesivo, la diffusione del mezzo utilizzato, la notorietà della persona offesa ma anche il comportamento post actum dell'autore della condotta.