La Corte di Cassazione torna a pronunciarsi sulla risarcibilità del danno derivante dalla violazione delle norme in materia di trattamento dei dati. Ribadito l’orientamento maggioritario secondo cui non vi è automatismo ma occorre una valutazione del giudice sia sul bilanciamento dei principi in gioco, che sulla gravità della lesione e la serietà del danno.

Con l’ordinanza del 30 gennaio 2023 numero 2685 la Corte di Cassazione torna a pronunciarsi sulla complessa tematica della risarcibilità del danno derivante dalla violazione delle norme in materia di trattamento dei dati.
Nel caso di specie, a seguito dell’accertamento da parte dell’Authority della violazione del diritto alla riservatezza dell’interessato ed il trattamento illecito dei suoi dati personali per la diffusione della propria immagine avvenuta in violazione degli articoli 10 c.c. e 96 e 97 legge 633/41 (Legge sul diritto d’autore), l’interessato aveva incardinato una causa al fine dell’ottenimento del risarcimento per il danno subito di “perdita di affari”.
I giudici di legittimità, analizzato il ricorso, hanno in primo luogo ritenuto che la diffusione della notizia all’epoca dei fatti avvenuta (2003) è stata perfettamente lecita in virtù dell’esercizio da parte dell’emittente televisiva del diritto di cronaca. Hanno poi, effettuando un bilanciamento degli interessi coinvolti, considerato che l’abbinamento della notizia di cronaca (tentativo di truffa) all’immagine dell’interessato ha effettivamente rappresentato la diffusione di un dato personale eccedente rispetto alla finalità di divulgazione della notizia.

Tale illecito, però, secondo quanto ritenuto dalla Suprema Corte non comporta in automatico un risarcimento del danno in quanto, la contrazione degli affari lamentata dal ricorrente si sarebbe verificata in ogni caso, vale a dire anche senza l’effettuazione del trattamento illecito (diffusione del volto). La Cassazione, dunque, ha respinto il ricorso dell’interessato ribadendo il principio per cui non vi è necessariamente una diretta ed automatica correlazione tra illecito trattamento dei dati personali ed il risarcimento danno.

Tale principio, già espresso in giurisprudenza, è stato cristallizzato da alcune importanti pronunce tra cui l’ordinanza della Corte di Cassazione n. 16402 del 10 giugno 2021.  Per meglio comprendere ed inquadrare la questione bisogna preliminarmente chiarire alcuni profili.
Il primo, strettamente normativo, riguarda Il diritto in sé al risarcimento del danno da violazione del GDPR previsto dallo stesso regolamento agli articoli 79 e 82. Dal combinato disposto dei citati articoli emerge che chiunque subisca “un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento” e che ogni interessato, ha il diritto di proporre un ricorso giurisdizionale effettivo “qualora ritenga che i diritti di cui gode a norma del presente regolamento siano stati violati a seguito di un trattamento”.
Importante evidenziare che l’azione va esercitata nei confronti del titolare del trattamento o del responsabile del trattamento, e che Il ricorso può essere promosso dinanzi alle autorità giurisdizionali dello Stato membro in cui il titolare o il responsabile del trattamento ha uno stabilimento.

Il secondo, più dottrinale, riguarda la tipologia del danno subito dall’interessato a seguito della violazione del disposto del GDPR. Tali condotte, invero, difficilmente causano un danno materiale riflettendosi prevalentemente sulla sfera immateriale della persona e comportando, quindi, un danno non patrimoniale (figura richiamata dalla giurisprudenza di legittimità quale strumento unitario di riparazione del danno alla persona). Secondo quanto argomentato a più riprese dalla Suprema Corte, la risarcibilità del danno non patrimoniale conseguente alla violazione del disposto in materia di tutela dei dati personali non è automatica ma, anzi, subordinata ad una specifica valutazione del giudice relativamente a due importanti parametri: la gravità della lesione e la serietà del danno. La gravità della lesione, non può ravvisarsi nella mera violazione delle disposizioni, ma deve essere valutata quale conseguenza a sé stante di dette violazioni (si veda la Sent. Corte Cass. n. 222/2016), e la serietà del danno. Sul punto la Corte di Cassazione ha ribadito il principio secondo cui il danno non patrimoniale risarcibile derivante dalla violazione della normativa in materia di protezione dei dati personali, pur determinando la lesione di un diritto fondamentale tutelato dagli artt. 2 e 21 Cost. e dall’art. 8 della CEDU, non può sottrarsi alla verifica della “gravità della lesione” e della “serietà del danno”, in quanto anche per tale diritto opera il bilanciamento con il principio di solidarietà ex art. 2 Cost., che si concretizza nella necessità di tollerare la lesione minima di tale diritto. (Cass. Sent. n. 17383 del 2020)

Appare, dunque, chiaro l’orientamento della giurisprudenza di legittimità secondo il quale la semplice violazione delle prescrizioni in materia di protezione dei dati personali non può, di per sé sola, determinare la lesione ingiustificabile del diritto, ma è necessario che la condotta offenda in maniera sensibile la portata del diritto stesso.