Vorrei partire da una domanda, all’apparenza semplice. Può una violazione dei diritti privacy dell’interessato (ad esempio, l’aver ricevuto una pubblicità non richiesta) generare di per sé un diritto al risarcimento anche in assenza di prova di un effettivo danno (patrimoniale) subito? 

La cronaca di questi giorni riferisce che la Corte Costituzionale Federale tedesca avrebbe stabilito che non spetta al giudice tedesco, ma alla Corte di Giustizia dell’Unione Europea dare una risposta a questa domanda. Questo sulla base del fatto (presumo) che trattandosi della violazione di una norma di diritto unitario, è responsabilità degli organi giudiziari dell’Unione definire l’aspetto specifico. Con tutte le riserve del caso, trovo questa decisione della Corte Costituzionale Federale poco fondata, o (se vogliamo) eccessivamente scrupolosa Infatti, l’art. 82 del Regolamento UE 2016/679 (GDPR), oltre a stabilire in modo estremamente generico che chiunque subisca un danno materiale o immateriale per effetto della violazione del regolamento ha diritto di ottenere un risarcimento dal titolare o dal responsabile, dice poco altro. Ne conseguirebbe, in modo piuttosto logico, che, una volta individuata la violazione del Regolamento (per la quale, ovviamente, si prende a riferimento la normativa unitaria), le restanti operazioni necessarie alla definizione del danno e del relativo ristoro dovrebbero essere eseguite alla luce della norma nazionale. Parliamo quindi della sussistenza del danno (reale o presunta), del nesso causale tra la violazione ed il danno e delle operazioni di quantificazione monetaria del risarcimento (oltre che, se vogliamo, dei tempi di prescrizione del diritto al risarcimento). 

Come ovvia conseguenza, la stessa violazione potrebbe, in ordinamenti differenti, determinare conseguenze difformi sia nella sussistenza del diritto al risarcimento che nella relativa quantificazione. Una situazione di disparità forse iniqua, ma coerente con le caratteristiche proprie di quell’istituzione sui generis che è l’Unione Europea. 

Che cosa succede, dunque, quando l’azione risarcitoria conseguente alla violazione delle norme sulla protezione dei dati personali viene promossa davanti ad un giudice italiano? Innanzitutto, ricordo che questo può succedere in due casi 1) se il titolare o responsabile del trattamento chiamato in giudizio ha sede in Italia 2) se l’interessato è stabilito in Italia, anche quando il titolare o il responsabile hanno sede in altro paese dell’Unione. Il giudice italiano applicherà le norme del codice civile che vado a sintetizzare. 

La sussistenza del danno. Per l’ordinamento italiano, non è sufficiente la presenza di una “violazione” (che potrebbe configurarsi, a seconda dei casi, come un inadempimento contrattuale ex art. 1218 o come un fatto illecito ex art. 2043) perché si possa ritenere il danno sussistere. In altri termini, una violazione di legge o di contratto che non genera un danno non determina alcun diritto risarcitorio. In tal senso da un lato l’art. 1223 recita “il risarcimento del danno per inadempimento … deve comprendere così la perdita subita dal creditore come il mancato guadagno …”; dall’altro l’art. 2043 recita “qualunque fatto doloso o colposo che cagiona ad altri un danno ingiusto obbliga … a risarcire il danno”. E ancora, l’art. 2697 recita “chi vuol far valere un diritto in giudizio deve provare i fatti che ne costituiscono il fondamento”. In entrambi i casi (inadempimento e fatto illecito) senza la prova (che spetta al presunto danneggiato) dell’esistenza del danno, la prova della violazione non è sufficiente a generare un ristoro. 

Attenzione, però, a non dimenticare che il GDPR include espressamente tra i danni risarcibili anche il danno immateriale, forse contribuendo a dare al concetto di danno un’estensione maggiore rispetto a quella a cui siamo abituati nell’ordinamento italiano. In altri termini, potremmo forse includere nell’accezione di danno situazioni non patrimonialmente rilevanti né costituzionalmente tutelate quali, ad esempio, situazioni di disagio non patologico conseguenti al ricevimento di eccessiva pubblicità non desiderata. Nel caso di danno non patrimoniale di lieve entità, è estremamente elevato il rischio di cadere in un limbo indeterminato nel quale il danno è di fatto previsto come conseguenza logica della violazione. Eppure, in adempimento delle norme del Codice si dovrà sempre ribadire che senza prova del danno non potrà aversi risarcimento.        

Il nesso eziologico tra violazione e danno. Una volta accertata la violazione, e una volta accertato il danno materiale o immateriale, sarà necessario valutare il collegamento causa-effetto tra i due. Che la violazione si configuri come inadempimento contrattuale o fatto illecito, l’evento di danno dovrà essere conseguenza “immediata e diretta” della violazione stessa. Su cosa stiano a significare gli aggettivi “immediata” e “diretta” in questo contesto la giurisprudenza e la dottrina hanno speso (giustamente) migliaia di pagine. Senza volermi addentrare in questa selva, il termine “immediata” sta a significare senza significativa interposizione temporale (ovvero, il danno si verifica entro un tempo limitato dalla violazione), mentre il termine “diretta” sta a significare senza significativa interposizione di eventi (ovvero, la violazione provoca il danno anziché la violazione provoca un evento che a sua volta provoca il danno). Se la violazione configura un inadempimento, inoltre, la risarcibilità è connessa alla prevedibilità dell’evento di danno (se non doloso) come conseguenza della violazione. Quanto al nesso di causalità vero e proprio, infine, vale la regola probabilistica: considerate le circostanze concrete, è più probabile che l’evento di danno non si sarebbe verificato in assenza della violazione. 

Ma cosa significa tutto questo nel contesto della protezione dei dati personali? Poiché le violazioni di dati avvengono di solito in un contesto digitale, la mia sensazione è che i vecchi canoni del Codice Civile siano poco adatti a tutelare gli individui, per lo meno sul piano risarcitorio. Mi riferisco in particolare al requisito della “conseguenza immediata e diretta” di cui ho parlato. Per esempio, se un dato personale è oggetto di un attacco cyber, circola liberamente nel web e dopo un rilevante arco temporale viene utilizzato da un soggetto terzo a danni dell’interessato (per esempio, a scopo ricattatorio), risulta difficile attribuire una responsabilità civile al titolare del trattamento, poiché sarebbe arduo sostenere che il ricatto è conseguenza immediata e diretta dell’omissione del titolare nel proteggere i dati dell’interessato. 

La quantificazione del danno. Una volta accertati violazione, danno e nesso eziologico tra i due, il giudice dovrà quantificare l’ammontare del risarcimento. Ma a quanto può ammontare il risarcimento per un danno immateriale, ad esempio un danno reputazionale dovuto ad una diffusione impropria di dati? E’ da supporre che i casi di perdita economica oggettivamente quantificabile siano una minoranza rispetto ai casi (anche di danno patrimoniale) non misurabili. Naturalmente, questo non impedisce al giudice di condannare il responsabile (attraverso una valutazione equitativa ai sensi dell’art. 1226) ma rappresenta, ancora una volta, un elemento di incertezza, a dimostrazione dell’inadeguatezza del Codice a regolare queste materie “nuove”.  

Conclusioni. Volendo dunque tirare le somme, il titolare del trattamento o responsabile del trattamento con sede in Italia che tratta dati di persone interessate stabilite in Italia risponde civilmente di un danno conseguente ad una violazione del GDPR solo se è provato un danno come conseguenza diretta immediata e (in alcuni casi) prevedibile della violazione. Le difficoltà nell’applicare al mondo dei dati personali i vecchi criteri del Codice Civile potranno portare, per assurdo, ad uno scenario nel quale gravi violazioni restano civilmente impunite e lievi violazioni, invece, generano obblighi risarcitori (il cui ammontare è difficilmente prevedibile). Questo esito di difficile applicazione non deve, naturalmente, indurre titolari e responsabili a sottovalutare gli adempimenti privacy; infatti, la stessa violazione potrà comunque determinare una responsabilità amministrativa e, in alcuni casi, penale. Tuttavia, un ripensamento del sistema della responsabilità civile applicata alla violazione di dati personali aiuterebbe maggiormente lo sforzo di compliance delle imprese e la tutela dei diritti e libertà degli individui.