Con l’ordinanza 20 agosto 2020, n. 17383, la Corte di Cassazione ha ribadito che la risarcibilità del danno non patrimoniale derivante da violazione in materia di protezione dei dati personali è ammessa solo in caso sia realizzata una lesione significativa. Un “danno in re ipsa”, per mera violazione della disciplina normativa, non è (e continua a non essere) pertanto configurabile. Coerentemente con la disciplina civilistica del risarcimento del danno non patrimoniale occorre verificare tanto la serietà della lesione quanto la gravità dell’offesa, e dunque è necessario che sia realizzato un pregiudizio significativo e meritevole di tutela e che il danno arrecato si ponga oltre una soglia minima. Insomma: è escluso qualora realizzi una lesione minima e bagatellare.
Sebbene i fatti posti alla base della decisione siano precedenti all’applicazione del GDPR, e gli artt. 11 e 15 Cod. Privacy presi in considerazione dalla S.C. siano stati abrogati dall’intervento del d.lgs. 101/2018, i criteri di rilevanza ricordati non possono certo dirsi in contrasto con l’attuale quadro normativo applicabile.
L’art. 82 GDPR, infatti, regolamenta il diritto al risarcimento del danno stabilendo che “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento” (art. 82.1 GDPR), non andando a rideterminare le regole generali poste alla base della responsabilità civile ma anzi rimettendo (art. 82.6 GDPR) l’azione legale risarcitoria alle autorità giurisdizionali competenti a norma del diritto dello Stato membro.
Certamente, per meglio inquadrare la determinazione dell’an risarcitorio devono essere in primo luogo considerate le disposizioni dell’art. 82 GDPR, in forza delle quali viene estesa la responsabilità anche al responsabile del trattamento qualora abbia agito in violazione del GDPR o delle istruzioni del titolare (art. 82.2 GDPR), è esonerato dalla responsabilità il titolare in caso dimostri la non imputabilità del danno (art. 82.3 GDPR) e viene estesa la solidarietà passiva a tutti i titolari e responsabili coinvolti nel trattamento di dati personali e nella violazione che ha prodotto un danno nei confronti dell’interessato (art. 82.4 GDPR). Ciò non significa in alcun modo che siano, in linea di principio, esclusi altri criteri applicabili in sede di cognizione e che conducano la valutazione e l’accertamento di fatto da parte del giudice di merito.
Ovviamente, molto dei criteri che saranno applicati verrà rimesso all’evoluzione della giurisprudenza (di legittimità e di merito) relativa al danno privacy, materia che assume indubbiamente una crescente importanza con l’avanzare del progresso tecnologico e la prospettazione dei nuovi orizzonti dello “stato dell’arte” delle attività di trattamento dei dati personali e delle tutele effettive da garantire agli interessati.
