Il trattamento illecito di dati personali espone il titolare, oltre che alle sanzioni del Garante, anche a richieste di risarcimento da parte degli interessati.

La crescente consapevolezza delle persone rispetto ai propri diritti relativi alla privacy sta portando ad un aumento delle cause di responsabilità davanti ai tribunali. Non sempre, però, queste azioni giudiziarie sono fondate. Anzi, capita di frequente che persone coinvolte in una violazione di dati personali cerchino di approfittare della situazione chiedendo un risarcimento anche senza aver subito un danno.

Tuttavia, se la semplice violazione delle regole del GDPR è sufficiente per l’irrogazione di una sanzione amministrativa da parte Garante della Privacy lo stesso non vale per le richieste di risarcimento.

L’obbligo di pagare un risarcimento all’interessato a causa di un trattamento illecito di dati è infatti sottoposto ad alcune condizioni puntuali. Non è sufficiente che l’interessato dimostri di essere stato vittima di un trattamento illecito, ma deve anche provare di avere subito un danno concreto.

Per potersi difendere da richieste infondate (o per avanzare pretese fondate) occorre dunque aver ben chiare quali sono le condizioni alle quali la legge subordina il risarcimento del danno tra trattamento illecito di dati.

I presupposti per il risarcimento del danno da trattamento illecito di dati personali

Il Regolamento europeo sulla protezione dei dati personali (Reg. UE 2016/679, o “GDPR”) stabilisce le condizioni alle quali una persona può chiedere il risarcimento del danno per il trattamento illecito dei propri dati.

Queste, in base all’art. 82 GDPR, sono essenzialmente tre:

  • deve esserci stato un trattamento illecito di dati personali. Più precisamente, i dati personali dell’interessato devono essere stati trattati violando le regole del GDPR o di altra legge applicabile;
  • l’interessato deve aver subito un danno materiale o immateriale. Il trattamento illecito deve cioè aver cioè causato un effettivo pregiudizio per la persona;
  • il danno deve essere imputabile al titolare o al responsabile. Il danno deve dunque essere una conseguenza diretta del trattamento illecito; non devono esserci circostanze eccezionali che abbiano determinato la violazione delle regole sulla protezione dei dati personali.

Qualche esempio di trattamenti illeciti di dati personali che può dare diritto a un risarcimento

Ogni trattamento di dati che non rispetti le regole applicabili costituisce un trattamento illecito. Si tratta di una categoria che comprende migliaia di ipotesi diverse. Non è quindi possibile fare un elenco completo dei trattamenti illeciti; si possono tuttavia tratteggiare alcuni esempi significativi che consentono di comprendere la vastità del fenomeno.

Data breach e furti di banche dati

Molto spesso, le richieste di risarcimento danni per trattamento illecito dei dati personali sono avanzate nel contesto di grandi data breach. Specialmente nel caso di  furti di dati, infatti, gli interessati potrebbero reclamare un risarcimento a causa della perdita della riservatezza dei loro dati.

Si tratta di casi tutt’altro che rari. La stampa ed i siti specializzati danno notizia quasi quotidianamente di furti di dati subiti da grandi aziende od enti pubblici. Questi data breach costituiscono trattamenti illeciti dei quali sono responsabili anche a coloro che li subiscono. Ad essi, infatti, si può addebitare il fatto di non aver adottato adeguate misure di sicurezza per impedire questi attacchi.

Violazione della riservatezza e comunicazione o diffusione illecita

Un caso simile a quello del furto di dati è rappresentato dalla diffusione o comunicazione illecita da parte dell’azienda. Si pensi al caso in cui, all’interno di un’impresa, siano diffusi dati relativi alla situazione patrimoniale, allo stato di salute o all’orientamento sessuale di un dipendente. Ancor più banalmente, può rientrare in questo caso anche la diffusione accidentale di questi dati, tramite l’invio di una e-mail a destinatari errati.

Trattamenti effettuati senza consenso o altra base giuridica

Un’altra ipotesi di trattamento illecito per cui possono essere avanzate richieste di risarcimento danni è rappresentata dall’esecuzione di trattamenti senza adeguata base giuridica.

L’esempio più tipico è quello dell’impresa che effettua campagne di marketing telefonico nei confronti di persone che non hanno prestato il loro consenso. Allo stesso modo, anche inviare offerte commerciali via e-mail agli indirizzi dei propri clienti che si siano espressamente opposti a questo invio può costituire un trattamento di dati personali in violazione dell’art. 130 del Codice della Privacy italiano (d.lgs. N. 196/2003).

Mancata erogazione di servizi per indisponibilità dei dati

Anche l’impossibilità di accedere ai propri dati personali affidati ad un titolare o responsabile esterno costituisce una violazione del GDPR. Questa violazione è rilevante non soltanto nel caso in cui l’interessato non possa accedere ai propri dati. Può infatti essere causa di danni anche se il titolare non può accedere ai dati dell’interessato per effettuare i trattamenti, ad esempio per erogare un servizio all’interessato.

Si pensi al caso di interruzione dei servizi informatici di una banca, da cui derivi l’impossibilità di operare sui conti dei propri clienti. O del professionista che non possa accedere ai dati del proprio cliente per eseguire il proprio incarico professionale.

Uso di dati inesatti

Per concludere questa carrellata di esempi, anche l’uso di dati inesatti o non aggiornati può costituire un trattamento illecito di dati che da diritto ad un risarcimento.

Commette questo illecito una società finanziaria che usa dati non più aggiornati per una valutazione di merito creditizio. O una azienda che non aggiorna i dati dei propri dipendenti per l’applicazione di istituti previdenziali o assistenziali.

Il danno derivante dal trattamento illecito di dati

Un elemento fondamentale del diritto al risarcimento per il trattamento illecito di dati è che l’interessato abbia subito un danno effettivo.

Come è stato più volte chiarito anche dalla giurisprudenza, infatti, il diritto al risarcimento del danno non nasce per il semplice fatto che ci sia stato un trattamento illecito dei dati personali. È necessario che, da questa violazione del GDPR sia derivato un danno “materiale o immateriale”.

Il danno materiale (“personale” o “patrimoniale”)

Per danno materiale si intende un danno che abbia colpito l’interessato sul piano personale o patrimoniale. Deve cioè verificarsi un danno fisico o una perdita economica.

Un danno fisico può verificarsi, ad esempio, se a causa del trattamento illecito di dati relativi alla salute (ad esempio, il fascicolo sanitario elettronico), deriva la somministrazione di terapie errate o una diagnosi errata, che causa un danno alla salute dell’interessato.

Un danno economico può verificarsi, per esempio, se a causa di un data breach l’interessato subisce un attacco sim swap che porta alla violazione del suo conto bancario e al furto delle somme depositate.

Ancora, un danno patrimoniale potrebbe verificarsi nel caso di trattamento di dati inesatti che porti un sistema di intelligenza artificiale per la selezione del personale ad escludere ingiustamente un candidato. Oppure di un sistema di valutazione del merito credito a negare ingiustamente un finanziamento.

È considerato danno patrimoniale anche la cosiddetta perdita di chance, ovvero la perdita della possibilità di ottenere un determinato risultato a causa del trattamento illecito dei dati.

Il danno immateriale (o “morale”)

Oltre ai danni materiali, dal trattamento illecito di dati possono derivare anche danni immateriali (comunemente detti “morali”). Con questa espressione si intendono tutte le conseguenze che non hanno un impatto fisico o economico immediato ma che riguardano la sfera personale del danneggiato.

Rientrano in questi casi, ad esempio, il danno alla propria immagine che una persona potrebbe subire per effetto della diffusione di dati riservati.

Analogamente, potrebbe essere considerata una voce di danno immateriale la sofferenza psicologica derivante dal trattamento illecito dei dati. Ad esempio, nel caso di campagne di marketing telefonico aggressive, potrebbe costituire un danno immateriale lo stress psicologico subito dalla ricezione di un numero anomalo di telefonate indesiderate, oggettivamente insostenibile.

La prova del danno nel caso di trattamento illecito di dati

Come si è detto, l’esistenza di un trattamento illecito di dati personali non dà di per sé diritto al risarcimento. L’esistenza ed il valore del danno devono essere provati, con documenti, relazioni tecniche, o con altri mezzi di prova dotati di efficacia giuridica.

Se l’interessato non prova adeguatamente il danno, non ha diritto ad alcun risarcimento da trattamento illecito. E ciò anche se dimostra che c’è stata effettivamente una violazione delle regole sulla protezione dei dati. In questo senso si sono pronunciate anche due recenti ordinanze della Corte di Cassazione (ordinanza 17383/2020 e ordinanza 16402/2021).

Chi è obbligato a pagare il risarcimento in caso di trattamento illecito di dati personali?

Come si è visto l’ultimo presupposto giuridico del diritto al risarcimento in caso di trattamento illecito di dati è che il danno subìto sia imputabile al titolare o al responsabile (anche distinguere tra le due figure non è sempre facile, come abbiamo spiegato in questo pezzo).

In altre parole, è necessario che il danno sia una conseguenza diretta del trattamento illecito. Non devono esserci stati lungo la “catena degli eventi” che hanno portato al danno, altri fatti che sono stati da soli in grado di causare il danno.

Il trattamento illecito deve poi essere avvenuto per una causa imputabile al titolare o al responsabile. Il danno non deve essere stato causato da circostanze totalmente imprevedibili o che non si sarebbero potute prevedere.

Del danno non risponde soltanto il titolare del trattamento (ovvero chi raccoglie i dati e sceglie come usarli) ma anche eventuali responsabili esterni (ossia soggetti che svolgono trattamenti di dati per conto del titolare). Titolare e responsabili sono obbligati a risarcire per intero il danno all’interessato, indipendentemente dalla quota di colpa. Il titolare o il responsabile che paghino per intero il risarcimento all’interessato possono chiedere ai corresponsabili il rimborso della parte corrispondente alla loro percentuale di colpa.