Danno da privacy: la CGUE ammette la risarcibilità del danno emotivo per il futuro senza il filtro della gravità dell’offesa e della serietà del danno

Massima

Risarcibilità del danno-privacy ex art. 82 GDPR: non esiste il filtro della “gravità della lesione e della serietà del danno”. La CGUE conferma il proprio orientamento e ammette addirittura la risarcibilità del danno emotivo reale e attuale (che dev'essere sempre provato) causato dal timore di un potenziale e futuro utilizzo abusivo dei propri dati personali a seguito di data breach.

Il caso

L'Agenzia delle Entrate bulgara subisce un attacco hacker al proprio database con pubblicazione on line dei dati personali dei contribuenti: restano coinvolte più di 6 milioni di persone. Alcune centinaia di esse attivano un'azione di risarcimento per il danno morale subito a causa della mancata adeguatezza delle misure di sicurezza adottate dalla ridetta Agenzia delle Entrate (NAP).

Il danno morale lamentato consisterebbe nel turbamento emotivo reale e attuale causato dal timore di subire un potenziale e futuro utilizzo abusivo dei propri dati personali fino al punto di temere un ricatto, un'aggressione o un rapimento.

La ricorrente in parola chiede ex art. 82 GDPR un risarcimento di questo danno immateriale per circa 510,00 euro.

Il TAR di Sofia respinge la richiesta.

Così la donna propone ricorso per cassazione alla Corte Suprema Amministrativa della Bulgaria che decide di sospendere il giudizio e rivolgere alla CGUE le seguenti 5 questioni:

1. Se restare sottoposti a un attacco hacker sia condizione sufficiente per stabilire in automatico che il titolare del trattamento non abbia adottato le misure di sicurezza adeguate;
2.  Se si ritiene che non sia condivisibile l'automatismo logico “vulnerabilità=inadeguatezza delle misure di sicurezza”, quale debba essere l'oggetto e la portata del controllo giurisdizionale di legittimità nell'esame dell'adeguatezza ex art. 32 GDPR delle misure tecniche e organizzative adottate;
3. Se l'onere della prova sia in carico al titolare del trattamento e se sia necessaria una perizia per valutare in concreto l'adeguatezza o meno delle misure adottate;
4. Se un attacco hacker da parte di persone che non sono dipendenti dell'amministrazione del titolare del trattamento e che non sono soggette al suo controllo configuri un evento che non è in alcun modo imputabile a quest'ultimo e che gli consente di essere esonerato dalla responsabilità;
5.  Se le sole inquietudini e ansie e i soli timori provati dalla persona interessata in merito ad un eventuale futuro uso improprio dei propri dati personali rientrino nella nozione di danno immateriale.

La questione

La questione in esame, delle cinque sottese alla sentenza, è la numero 5 ovvero il riconoscimento del “danno immateriale” concretizzatosi - in questo caso - nel danno emotivo reale e attuale causato dal timore per il potenziale e futuro utilizzo improprio dei dati personali.

Le soluzioni giuridiche

In estrema sintesi, in merito alle questioni sottoposte, la CGUE si pronuncia così:

1. Prima questione. Una divulgazione non autorizzata di dati personali da parte di terzi (es. attacco hacker) non è sufficiente, di per sé, per ritenere che le misure tecniche e organizzative attuate dal titolare del trattamento non fossero adeguate secondo gli articoli 24 e 32 GDPR;
2. Seconda questione. Di conseguenza, l'adeguatezza delle misure deve essere valutata dai giudici nazionali in concreto, tenendo conto dei rischi connessi al trattamento di cui trattasi e valutando se la natura, il contenuto e l'attuazione di tali misure siano adeguati a tali rischi;
3. Terza questione. Il principio di responsabilità del titolare del trattamento ex art. 5, par. 2 e art. 24 GDPR, deve essere interpretato nel senso che al titolare incombe l'onere di dimostrare l'adeguatezza delle misure di sicurezza da esso attuate ai sensi dell'articolo 32 GDPR. Il mezzo istruttorio della perizia non è sistematicamente obbligatorio. Resta soggetto alla valutazione di opportunità del giudice;
4. Quarta questione. In caso di violazione di dati personali commessa da un terzo, il titolare del trattamento può esimersi dalla propria responsabilità, sulla base dell'articolo 82, par. 3, GDPR dimostrando che non sussiste alcun nesso di causalità tra la sua eventuale violazione dell'obbligo di protezione dei dati e il danno subito dalla persona fisica;
5. Quinta questione. Il timore di un potenziale utilizzo abusivo dei propri dati personali da parte di terzi che un interessato nutre a seguito di una violazione può, di per sé, costituire un «danno immateriale» ai sensi dell'art. 82, par.1 GDPR.

Si vuole qui approfondire, in particolare, la questione n. 5.

Il danno emotivo individuato dalla CGUE si inquadra nel nuovo contesto giuridico generato dalla creatura del legislatore eurounitario denominata “danno immateriale” dell'art. 82 GDPR. Questa nuova figura si sgancia dalle costruzioni normative e giuridiche degli Stati interni sul danno non patrimoniale da illecito trattamento dei dati personali. Riguardo al nostro ordinamento giuridico, l'art.82 GDPR taglia i ponti con il filtro della “gravità della lesione e della serietà del danno” inaugurato dalle Sentenze di San Martino del 2008.

In materia di danni da illecito trattamento dei dati personali la nostra Corte di cassazione ha sempre rispettato questo filtro. In particolare, si ricorda la Cass. 15 luglio 2014, n. 16133 secondo cui “il danno non patrimoniale risarcibile, ai sensi del d.lgs. 30 giugno 2003, n. 196, art 15 (cosiddetto codice della privacy), pur determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli artt. 2 e 21 Cost, e dall'art. 8Cedu, non si sottrae alla verifica della gravità della lesione e della serietà del danno (quale perdita di natura personale effettivamente patita dall'interessato), in quanto anche per tale diritto opera il bilanciamento con il principio di solidarietà ex art. 2 Cost., di cui il principio di tolleranza della lesione minima è intrinseco precipitato”.

Questo arresto viene considerato fondante nella giurisprudenza sul danno-privacy e sposato anche da Cass. Civ. sez. VI, 11 gennaio 2016, n. 222 (per approfondire si legga Patrizia Ziviz “Smarrimento di documenti contenenti dati sensibili e i filtri della gravità dell'offesa e della serietà del pregiudizio per la risarcibilità del danno non patrimoniale” Cass. Civ. sez. VI, 11 gennaio 2016, n. 222)

Il filtro sulla soglia di tollerabilità del danno è una costante nella nostra giurisprudenza di legittimità in materia di danno-privacy: Cass. civ. 20 agosto 2020, n. 17383; Cass. civ. 31 dicembre 2020, n. 29982; Cass. civ. 26 aprile 2021, n. 11020 fino alla Cass. Civ. sez. I, 12 maggio 2023, n. 13073: “quest'ultima - chiamata ad applicare l'art. 82 del GDPR - sostiene: << riconoscere che il danno non è in re ipsa "non può essere tradotto altrimenti che in ciò: che il diritto al risarcimento non si sottrae alla verifica della gravità della lesione e della serietà del danno. Questo perché anche per tale diritto opera il bilanciamento con il principio di solidarietà ex Cost. art 2, di cui quello di tolleranza della lesione minima è un precipitato>>” (in questi termini, Patrizia Ziviz “Danno non patrimoniale da illecito trattamento dei dati personali e inapplicabilità del filtro sull'accertamento della gravità della lesione”).

È la giurisprudenza della Corte di Giustizia UE ad abbattere la soglia di tollerabilità del danno, pilastro delle Corti interne, ammettendo nell'ambito del danno-privacy anche la risarcibilità di quelli che nel nostro ordinamento interno possono definirsi “danni bagatellari”.

L'art. 82 GDPR non opera alcun rinvio al diritto dei vari Paesi UE e fonda determinazioni originarie di “risarcimento del danno” e di “danni materiali e immateriali” quali “nozioni autonome del diritto dell'Unione che devono essere interpretate i n modo uniforme in tutti gli Stati membri”.

Il concetto di danno emotivo causato dal timore per il potenziale e futuro utilizzo scorretto dei propri dati personali scolpito dalla sentenza in esame si inquadra nell'orientamento ermeneutico inaugurato dalla CGUE 4 maggio 2023, (C-300/202, Österreichische Post) secondo cui l'art. 82 GDPR fonda la risarcibilità di qualsiasi pregiudizio derivante dalla violazione del regolamento data protection e dismette l'orientamento granitico della soglia di tollerabilità del danno fiorito sull' art. 15 del Codice Privacy ormai abrogato.

La CGUE 4.05.23 osserva che l'art. 82 GDPR non richiede una certa soglia di gravità per il risarcimento del danno. Osserva anche, tuttavia, che una violazione del GDPR di per sé non implica automaticamente un risarcimento. Occorre, come noto, che vi sia la violazione, la dimostrazione del danno e il nesso di causalità tra i due. In difetto di queste tre condizioni – nessuna esclusa – risulta impossibile attivare una richiesta risarcitoria.

La CGUE 4.05.23 sostiene che l'ampia concezione di danno insita nel diritto eurounitario non ammette l'ipotesi di un criterio di restrizione come la soglia di tollerabilità del danno. Inoltre, quest'ultima, ove ammessa, potrebbe determinare un'applicazione non omogenea a causa delle differenti graduazioni di tollerabilità adottate dalle varie Corti interne. Allo stesso tempo si rinvia a queste ultime per i criteri di quantificazione del danno da determinarsi in base al diritto di ciascuno Stato Membro tenendo presente i principi eurounitari di effettività della tutela e della funzione compensativa del risarcimento del danno secondo cui il danneggiato ha diritto di ottenere un pieno ed effettivo risarcimento (Considerando 146 GDPR).

Esposto il quadro ermeneutico della Corte di Giustizia sulla determinazione del danno-privacy risulta comprensibile che questo sia terreno fertile per dare vita al danno emotivo nelle sue molteplici tipologie.

La sentenza in esame (CGUE 14.12.23, C-340/2021) genera appunto una nuova tipologia di danno emotivo causato dal “timore che i [propri] dati personali che sono stati pubblicati senza il [proprio]consenso siano oggetto di un utilizzo abusivo, in futuro, o che [si] subisca un ricatto, un'aggressione, o addirittura un rapimento.”

Tale elaborazione – così la Corte UE (punto 82) - trova fondamento nel Considerando 85 del GDPR secondo cui “[u]na violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d'identità, perdite finanziarie, (...) o qualsiasi altro danno economico o sociale significativo» Da tale elenco esemplificativo dei «danni» che possono essere subiti dagli interessati risulta che il legislatore dell'Unione ha inteso includere in tali nozioni, in particolare, la semplice «perdita di controllo» sui loro dati , a seguito di una violazione di tale regolamento, quand'anche un utilizzo abusivo dei dati di cui trattasi non si sia verificato concretamente a danno di dette persone.”

Questo significa che si risarcisce l'attuale e reale danno emotivo per qualcosa che potrà o non potrà verificarsi.

Posto ciò, resta in piedi il principio della prova e quindi occorre provare il danno emotivo causato da questo timore. Così la CGUE 14.12.23: “Tuttavia, occorre sottolineare che una persona interessata da una violazione del RGPD, che abbia subito conseguenze negative, è tenuta a dimostrare che tali conseguenze costituiscono un danno immateriale, ai sensi dell'articolo 82 di tale regolamento [v., in tal senso, sentenza del 4 maggio 2023, Österreichische Post (Danno inerente al trattamento di dati personali), C-300/21, EU:C:2023:370, punto 50].

In particolare, qualora una persona che chiede un risarcimento su tale base invochi il timore che in futuro si verifichi un utilizzo abusivo dei suoi dati personali a causa dell'esistenza di una siffatta violazione, il giudice nazionale adito deve verificare che tale timore possa essere considerato fondato, nelle circostanze specifiche di cui trattasi e nei confronti dell'interessato”.

Osservazioni

L’orientamento interpretativo della Corte di Giustizia UE sulla risarcibilità del danno emotivo ci lascia ipotizzare la nascita di nuovi e ulteriori tipi di questo danno da illecito trattamento dei dati personali. Il sistema sarà in grado di reggere tutte le possibili class action e la fioritura di contenziosi sprigionati da questa tesi?