Risarcimento del danno da trattamento di dati personali: la disciplina eurounitaria secondo il canone della Corte di Giustizia

La disciplina europea del danno risarcibile da trattamento di dati personali tra armonizzazione (passata) e uniformazione (presente)

Com'è noto, la disciplina positiva del risarcimento del danno derivante dal trattamento di dati personali è contenuta, oggi, in un regolamento europeo (art. 82 Regolamento n. 679/2016, c.d. GDPR). Esso abroga la Direttiva 95/46/CE, rispetto alla quale innova bensì, in certa misura, quanto a contenuto sostanziale; ma rispetto alla quale netto è, anzitutto, il mutamento di paradigma sotto il profilo della tecnica normativa.

La direttiva, in quanto strumento di armonizzazione, implica che gli obiettivi (appena) di risultato in essa fissati trovino riscontro in tante normative interne di attuazione, quanti sono gli Stati membri dell'Unione (c.d. diritto nazionale armonizzato).

Il regolamento, invece, si atteggia come strumento uniformante, dacché le sue norme risultano già direttamente (efficaci in tutti i singoli sistemi nazionali e) applicabili dai giudici di tutti i singoli Stati membri.

Ne discende che l'interprete, nel primo caso, può attingere alla fonte eurounitaria giusto per l'esatto intendimento del diritto nazionale armonizzato da applicare (c.d. ermeneutica della conformità); peraltro, fermo il necessitato rispetto del c.d. principio del primato (del diritto eurounitario), allo stesso fine, non dovrebbe opinarsi precluso fare riferimento pure al diritto domestico.

Di contro, nel secondo caso, in ossequio ai canoni dell'autonomia e dell'uniformità il ricorso al diritto interno non potrebbe essere ammesso, se non in ipotesi del tutto residuali: in particolare, laddove dovesse risolversi un problema pratico ignorato dal testo normativo di diritto eurounitario, e non fosse nemmeno rinvenibile a supporto alcun utile indice di diritto europeo in senso formale.

Ebbene, nel regime previgente la responsabilità per danno da trattamento conosceva, (anche) in Italia, uno statuto di diritto interno (art. 15 c. privacy; dapprima, artt. 18 e 29, comma 9, l. n. 675/1996). Il legislatore dell'attuazione aveva recepito la previsione dell'art. 23 Direttiva 95/46/CE con una soluzione, per vero, un po' macchinosa, e non priva di ambiguità. All'uopo, infatti, non veniva confezionata una mera trasposizione dell'asettico testo europeo, ma si configurava un obbligo del danneggiante al risarcimento «ai sensi dell'art. 2050 del codice civile»: affacciando un collegamento, tutt'altro che imposto dalla direttiva, tra responsabilità (di matrice sovranazionale) per danno da trattamento e responsabilità (tutta interna) per danno da attività pericolosa.

La giustificazione materiale di tale rinvio doveva rinvenirsi, verosimilmente, nell'idea di un onere della prova (liberatoria), tratteggiato dall'art. 23 Direttiva 95/46/CE, coerente con quello di cui all'art. 2050, ultima parte c.c., piuttosto che in una prospettata riconduzione del trattamento di dati personali al novero delle attività pericolose. Il rinvio medesimo si appuntava, del resto, sulla regolamentazione della conseguenza giuridica (il danneggiante «è tenuto al risarcimento») ex art. 2050 c.c., senza involgerne la fattispecie normativa.

Ad ogni modo, il rimedio del recepimento riusciva a offrire una blanda sponda a letture particolaristiche, (per dir così) nazionalmente orientate della disciplina del risarcimento del danno da trattamento. Ciò con riguardo sia agli elementi costitutivi della fattispecie, nei quali parte degli interpreti italiani riteneva compreso quello, non puntualmente menzionato, della ingiustizia del danno (art. 2043 c.c.); sia all'operatività, ancora nient'affatto espressa ma diffusamente asserita dagli interpreti, dei c.d. filtri selettivi del danno non patrimoniale risarcibile, consolidatisi nel diritto vivente italiano sulla base di una questionabile interpretazione dell'art. 2059 c.c. alla luce dell'art. 2 Cost.

In altre parole, quantunque in assenza di specifiche indicazioni positive conformi nella direttiva e nella normativa speciale di attuazione, il carattere domestico di quest'ultima, in uno con l'aggancio operato nel recepimento all'art. 2050 c.c., aveva consentito di accreditare la proiezione di categorie e costrutti, peculiari al diritto comune della responsabilità civile italiano (danno ingiusto, filtri selettivi del risarcimento del danno non patrimoniale), sulla disciplina di matrice eurounitaria.

Così, secondo la prospettiva in parola, una responsabilità per danno da trattamento avrebbe potuto configurarsi esclusivamente qualora il danno fosse stato mediato dalla lesione di un interesse giuridicamente protetto del danneggiato (in particolare, la lesione di un diritto della personalità dell'interessato); e, nell'ambito del risarcimento del danno non patrimoniale, solo una lesione grave del predetto interesse, produttiva di un pregiudizio serio del danneggiato, avrebbe ammesso costui alla riparazione.

Se un simile approccio suscitava perplessità già prima dell'avvento del Regolamento n. 679/2016, la nuova fonte di diritto derivato, in ciò che veicola una disciplina applicabile identica per tutti gli Stati membri, finisce per escluderne senz'altro, oggi, la legittimità. D'altra parte, proprio la finalità di affrancarsi dal frammentario quadro regolatorio conseguente alle plurime, variegate attuazioni nazionali della Direttiva 95/46/CE è esplicitata dal legislatore eurounitario quale fondamento dell'adozione, in sostituzione della direttiva, del GDPR (considerando n. 9-13); e, per la intelligenza dei concetti spesi nell'art. 82, il medesimo GDPR (considerando n. 146) rinvia, in luogo delle prassi domestiche, all'opera uniformatrice della Corte di Giustizia.

La CGUE sull'art. 82 GDPR: autonomia (dell'interpretazione) e uniformità (dell'applicazione) impongono il superamento dei particolarismi nazionali.

Inammissibilità di una soglia selettiva di gravità del danno non patrimoniale risarcibile

Sulla medesima linea di pensiero espressa nella chiusa del paragrafo precedente non poteva non collocarsi, dunque, la giurisprudenza della CGUE: custode, in conformità del meccanismo del rinvio pregiudiziale ex art. 267 TFUE, di una interpretazione non particolaristica del diritto derivato dell'Unione.

Pronunziandosi in ordine alla compatibilità con l'art. 82 GDPR di una disciplina (rectius, di un orientamento della giurisprudenza) nazionale austriaca, in materia di danno non patrimoniale da trattamento, la CGUE ha emanato un primo provvedimento in materia nel maggio 2023 (Corte Giust. UE, 4 maggio 2023, C-300/21). Il caso concreto sottostante alla domanda di pronuncia pregiudiziale concerneva una persona fisica i cui dati personali erano stati trattati illecitamente dalla Österreichisce Post AG; a seguito della elaborazione di tali dati, della persona in questione era stato ricostruito un profilo di affinità politico-partitica nel quale egli asseriva di non riconoscersi affatto, lamentando di aver patito, una volta venutone a conoscenza, un'afflizione morale integrante un pregiudizio non patrimoniale.

La conseguente domanda risarcitoria, tuttavia, veniva rigettata dal giudice di primo grado, con decisione confermata in appello, sulla base dell'assunto di un danno non patrimoniale risarcibile, secondo il sistema austriaco, soltanto a fronte del raggiungimento di una determinata soglia di gravità, opinata non attinta nel caso di specie.

Interrogata in merito dalla Corte Suprema austriaca, la CGUE ha statuito, infine, che l'art. 82 GDPR non tollera letture fondate su concezioni (o discipline concorrenti) nazionali che subordinino la risarcibilità del danno non patrimoniale da trattamento a requisiti ulteriori rispetto a quelli ricavabili dalla norma eurounitaria (violazione del regolamento da parte del danneggiante, pregiudizio non patrimoniale subito dal danneggiato, nesso di causalità fra violazione e pregiudizio). Segnatamente, non tollera la costruzione, domestica, di un danno non patrimoniale da trattamento risarcibile (appena) in quanto grave; ben potendo, invece, il pregiudizio rilevante assumere, nel silenzio dell'art. 82 GDPR, qualsivoglia entità, purché provato dal danneggiato.

Se ciò non fosse, del resto, l'interpretazione dell'art. 82 GDPR, lungi dall'essere autonoma, risulterebbe dipendente da peculiarità (e precomprensioni) interne, che finirebbero per annichilire la portata uniformante della fonte-regolamento.

Infatti, la previsione di barriere specifiche alla risarcibilità del danno non patrimoniale, quale un test di gravità del pregiudizio, non costituisce una regola di diritto eurounitario né tantomeno un principio generale comune agli Stati membri (art. 340 cpv. TFUE, art. 6, par. 3, TUE; artt. 41, par. 3, e 49, par. 2, Carta dei diritti fondamentali dell'Unione europea); rappresenta, piuttosto, una declinazione dell'istituto propria di alcuni sistemi nazionali, e per giunta, con l'eccezione del sistema portoghese (art. 496, comma 1, Còdigo Civil), neppure di diritto legislativo, bensì di diritto giurisprudenziale. Ragionando secondo coerenza logico-giuridica, invero, a un danno minimo dovrebbe corrispondere, semmai, un risarcimento minimo (conf., di recente, Corte Giust. UE, 20 giugno 2024, cause riunite C-182/22 e C-189/22), non certo l'assenza di risarcimento.

L'indirizzo espresso dalla CGUE nella sentenza del maggio 2023 è stato, quindi, confermato in numerose pronunce posteriori, le quali hanno consolidato la posizione ivi espressa arricchendola con nuovi elementi di dettaglio.

In Corte Giust. UE, 14 agosto 2023, C-340/21, oltre a ribadire l'esserci di tre presupposti necessari e sufficienti per aversi responsabilità per danno da trattamento ex art. 82 GDPR (si ripete: violazione del regolamento da parte del danneggiante, pregiudizio subito dal danneggiato, nesso causale fra violazione e pregiudizio), con esclusione dell'ammissibilità di riferimenti interni a qualsivoglia soglia di gravità del danno, i giudici europei si soffermano su due diversi profili della disciplina:

• l'estensione della nozione di danno non patrimoniale (rectius, “immateriale”, secondo la dicitura) accolta nel regolamento;
• e la portata della liberatoria del designato responsabile.

Quanto al primo, la Corte ammette che il danno non patrimoniale risarcibile, contemplato nel GDPR, possa essere integrato financo dal mero timore di un possibile futuro utilizzo, senza consenso dell'interessato, dei propri dati personali (fattispecie della c.d. perdita di controllo, di cui è menzione nel considerando n. 85 GDPR), già carpiti per opera di un hacker al titolare del trattamento.

Quanto al secondo, viene sancito che l'accesso di terzi a dati personali conservati dal titolare del trattamento, com'è nel caso di un attacco hacker, non esonera per ciò solo il titolare da responsabilità ex art. 82 GDPR. Piuttosto, allorquando il fatto avesse cagionato un danno ad altri, il titolare dovrebbe provare, per liberarsi, l'assoluta mancanza di imputabilità a se stesso di tale ultimo fatto, nel prisma degli artt. 5, par. 2, 24 e 32 GDPR: val quanto dire, dovrebbe provare non già soltanto il fatto del terzo, ma di aver adottato, altresì, adeguate misure di sicurezza atte a prevenirlo.

Una negazione recisa della esigenza di speciali caratterizzazioni, come pure del necessario raggiungimento di una soglia de minimis, affinché un pregiudizio non patrimoniale riesca risarcibile ex art. 82 GDPR si rinviene, ancora, in Corte Giust. UE, 14 dicembre 2023, C-456/22.

Il senso della precisazione che, nel testo, segue a mo' di corollario, secondo cui resta fermo l'onere del danneggiato di provare di aver subito un danno non patrimoniale (di qualsiasi entità, seppur minuta), si coglie agevolmente leggendo il penultimo paragrafo del provvedimento (n. 23). La CGUE non intende, cioè, recuperare in modo surrettizio una valutazione particolaristica del singolo giudice nazionale al vaglio di risarcibilità, bensì, semplicemente, intende sottolineare che la prova di una violazione del Regolamento n. 679/2016 commessa dal convenuto non può considerarsi, di per sé, prova del pregiudizio lamentato dall'attore. Il danneggiato che voglia esperire vittoriosamente l'azione risarcitoria, insomma, dovrebbe dimostrare pur sempre l'occorrere di un pregiudizio non patrimoniale: tale pregiudizio, in coerenza con l'analitica tripartizione degli elementi costitutivi della fattispecie di cui all'art. 82 GDPR, è elemento costitutivo autonomo della fattispecie di responsabilità, non potendo, pertanto, configurarsi in re ipsa a fronte (appena) dell'accertamento di una violazione del regolamento.

Intonata alla sentenza-pilota del maggio 2023 è anche la successiva Corte Giust. UE 11 aprile 2024, C-741/21, la quale si segnala, nonché per la qualificazione della responsabilità ex art. 82 GDPR come fondata sul criterio d'imputazione di una colpa c.d. presunta, soprattutto per aver affrontato funditus il momento della determinazione del quantum risarcitorio del danno non patrimoniale da trattamento.

Non essendo quest'ultimo aspetto puntualmente disciplinato dal regolamento né tantomeno offrendo il diritto eurounitario alcuna sponda al riguardo, è giocoforza guardare, in tal caso bensì, alle regole del diritto interno, applicabili dal giudice nazionale del caso concreto. Tuttavia, la Corte non rinunzia a identificare talune linee di indirizzo, entro le quali il giudice nazionale risulta vincolato a muoversi.

Per cominciare, la disciplina interna sulla quantificazione della prestazione risarcitoria non potrebbe assumere qualsiasi contenuto, dovendo conformarsi ai principi eurounitari di equivalenza ed effettività, perfezionati dalla giurisprudenza della medesima CGUE. In altri termini, non sarebbe ammissibile (e applicabile) una tutela domestica contro i danni non patrimoniali da trattamento non commisurata ai pregiudizi da riparare o tanto esigua da vanificare, sostanzialmente, il rimedio risarcitorio assegnato dal legislatore eurounitario ai danneggiati.

In secondo luogo, il risarcimento di cui all'art. 82 GDPR dovrebbe rispecchiare la sua funzione, opinata dai giudici europei, esclusivamente compensativa e giammai punitiva. La prospettazione appare accordarsi alla prospettiva del regolamento, giusta la quale la disciplina ex art. 82 GDPR è strumentale ad assicurare ai danneggiati un ristoro integrale ed effettivo del nocumento patito (considerando n. 146), e non già a sanzionare i designati responsabili per le violazioni (dannose) del GDPR.

Ne deriva, per un verso, che nella valutazione circa il quantum risarcitorio il giudice del caso concreto non dovrebbe prendere in considerazione eventuali circostanze quale la particolare gravità della violazione del regolamento (foriera di danno) o la reiterazione delle violazioni. Ne deriva, per altro verso, che non risulterebbero utilizzabili, per la quantificazione, i criteri relativi alle sanzioni amministrative pecuniarie previste dall'art. 83 GDPR e alle altre sanzioni ex art. 84 GDPR: la cui funzione è, per espressa indicazione positiva, afflittivo-dissuasiva.

Da ultimo, l'orientamento inaugurato in occasione della causa Corte Giust. UE, 4 maggio 2023, C-300/21 è stato asseverato da due sentenze risalenti al 20 giugno 2024 (Corte Giust. UE, 20 giugno 2024, C-590/22, nonché la già citata cause riunite Corte Giust. UE, 20 giugno 2024, cause riunite C-182/22 e C-189/22), le quali meritano un richiamo, fra le altre, per due ragioni.

Da un lato, in tale occasione i giudici europei hanno ribadito la sufficienza del timore di una possibile divulgazione a terzi di dati personali dell'interessato ad integrare un di lui danno non patrimoniale risarcibile ex art. 82 GDPR, in linea di continuità con quanto espresso da Corte Giust. UE, 14 agosto 2023, C-340/21.

Da altro lato, sulla scia di Corte Giust. UE, 11 aprile 2024, C-741/21, la Corte ha rimarcato che, essendo il risarcimento in questione orientato alla piana compensazione dei danni cagionati dal trattamento in violazione del regolamento, il giudice dell'applicazione non possa avere riguardo, nella valutazione della relativa posta, al livello di gravità della violazione o all'elemento soggettivo del violatore; né possa fare leva sui criteri di individuazione dell'importo delle sanzioni di cui all'art. 83 GDPR. Degna di nota, a questo proposito, è soprattutto l'affermazione, che si legge nel provvedimento relativo alle cause riunite C-182/22 e C-189/22, secondo cui in sede di liquidazione un danno non patrimoniale da trattamento non debba di necessità considerarsi, per propria natura, meno rilevante di un (danno da) lesione personale.

Le resistenze della giurisprudenza italiana in punto di ingiustizia e filtri selettivi del danno non patrimoniale risarcibile: necessità di un ripensamento

A fronte di una giurisprudenza della CGUE granitica, ormai, nel celebrare la irriducibilità della disciplina contenuta nell'art. 82 GDPR a letture particolaristiche, non sembra allo stato registrarsi un reale cambiamento di rotta sul punto, rispetto al periodo antecedente alla entrata in vigore del regolamento, da parte della giurisprudenza (almeno, di legittimità) italiana.

Sebbene il mutato quadro normativo post-2016 (rectius, post-2018, stante l'art. 99 cpv. GDPR) sia ancora raramente rilevante ratione temporis nelle controversie che giungono alla cognizione della Corte di Cassazione, i provvedimenti interessati, che pure si dimostrano consapevoli della novità, faticano a trarne le dovute conseguenze.

Emblematico è il caso di Cass. civ., sez. I, 12 maggio 2023, n. 13073. La fattispecie concreta delinea un lavoratore dipendente i cui dati personali, pertinenti alla situazione debitoria, vengono illecitamente resi pubblici sul web, per errore, dal datore di lavoro; sebbene l'ostensione perduri per un lasso di tempo breve, il dipendente lamenta di aver subito un danno non patrimoniale a cagione della pubblicazione.

La Corte di Cassazione, nella specie, conferma la pronuncia di primo grado, la quale aveva accolto la domanda risarcitoria avanzata dal dipendente; ma ciò che davvero importa, dell'ordinanza, è un passaggio, dal respiro generale, della parte motiva. Ad avviso dei giudici di legittimità, infatti, per il risarcimento del danno non patrimoniale, nel prisma del GDPR parimenti all'anteriore prisma della Direttiva 95/46/CE e del c. privacy, non sarebbe bastevole l'accertamento di un trattamento contrario al diritto oggettivo da parte del convenuto, legato eziologicamente al pregiudizio dell'attore.

La risarcibilità sarebbe assoggettata, invece, a due ulteriori riscontri:

• la lesione, perpetrata dal trattamento in violazione del regolamento, di un diritto della personalità del danneggiato (al “diritto alla riservatezza del dato” si riferisce, per vero, la Corte, volendo ragionevolmente significare diritto alla protezione dei dati personali);
• e la gravità di tale lesione, scaricatasi in un pregiudizio serio del leso.

Attraverso la lente delle categorie interne italiane, come già sottolineato, ciò equivale a richiedere, affinché sorga l'obbligo risarcitorio, l'ingiustizia del danno di cui all'art. 2043 c.c. e il superamento dei filtri selettivi del danno non patrimoniale risarcibile di cui, secondo il comune adagio, all'art. 2059 c.c. innervato dall'art. 2 Cost.

Orbene, quantunque si tratti di requisiti accidentalmente reputati bensì ricorrere dalla Corte nel caso concreto, secondo quanto finora riferito è facile avvedersi di come, in questo modo, si aggredisca il problema del danno da trattamento utilizzando un metodo che, già discutibile nell'impero della direttiva e dei diritti nazionali armonizzati, non può essere affatto accettato oggi.

Merita rammentare che l'elemento costitutivo della fattispecie generale di cui all'art. 2043 c.c., corrispondente all'ingiustizia del danno, già non è immanente al sistema della responsabilità civile italiano: non comparendo, si badi, in svariate fattispecie normative speciali interne, come quelle disegnate dagli artt. 872 cpv. e 2600 c.c., o dall'art. 185 cpv. c.p. Queste ultime, in funzione della selezione dei danni giuridicamente rilevanti, sostituiscono il criterio della ingiustizia-lesione di un interesse protetto del danneggiato con quello dell'antigiuridicità-violazione di regole prescrittive ad opera del fatto del danneggiante (inosservanza di norme edilizie, slealtà dell'atto concorrenziale, fatto di reato). In altre parole, la qualificazione negativa del fatto dannoso, nella prima ipotesi, si appunta sull'evento lesivo provocato dal fatto, ossia sulla compromissione di uno specifico interesse del danneggiato del quale l'ordinamento giuridico esige la conservazione; nella seconda, per converso, inerisce al disvalore del comportamento del danneggiante in sé e per sé considerato, senza avere riguardo a eventuali ricadute lesive di specifici interessi del danneggiato giuridicamente tutelati.

Ciò non deve sorprendere. Da un lato, l'elemento che, in linea logico-giuridica, non può mai fare difetto in una fattispecie di responsabilità in senso proprio è il danno(-conseguenza), non certo l'ingiustizia di esso: è al danno(-conseguenza) che l'effetto di responsabilità, costitutivo dell'obbligazione di risarcimento, mira a rimediare, mentre la lesione di interessi protetti costituisce uno dei criteri, per quanto centrale, di discrimine dei danni(-conseguenza) risarcibili da quelli irrisarcibili.

Da altro lato, se la pronuncia di responsabilità è l'esito di un giudizio comparativo, la prevalenza dell'interesse del danneggiato su quello del danneggiante ben si presta a derivare tanto dalla protezione giuridica di un interesse del primo, leso dal secondo in assenza di cause di giustificazione (ingiustizia del danno), quanto dalla repressione giuridica dell'interesse al compimento del fatto produttivo di danno, pur in mancanza della puntuale protezione di un interesse del danneggiato (antigiuridicità del fatto).

Nemmeno, va da sé, l'ingiustizia del danno è un elemento di fattispecie conosciuto al diritto eurounitario, ovvero a diritti nazionali diversi da quello italiano. La sua funzione selettiva dei pregiudizi risarcibili in via aquiliana, già non rappresentante un assoluto nel sistema italiano, nei sistemi domestici europei è veicolata da strutture mutevoli: nessuna delle quali, a cominciare da quella tedesca (parr. 823 e 826 BGB), davvero sovrapponibile a quella italiana.

Osservandola con disincanto, allora, nella disposizione dell'art. 82 GDPR si ha agio di rinvenire una regola di responsabilità tutt'altro che eccentrica, ma (appena) fondata sul modulo selettivo dell'antigiuridicità del fatto in luogo dell'ingiustizia del danno. La violazione di norme del regolamento da parte del danneggiante è, in effetti, elemento di fattispecie ivi contemplato in modo esplicito, assieme al danno(-conseguenza) e al nesso causale tra violazione e pregiudizio, mentre non vi è traccia di una necessaria lesione di interessi protetti del danneggiato, quale un diritto della personalità.

Pretendere, per sdoganare il risarcimento, che alla violazione del GDPR ad opera del danneggiante (esemplificando, divulgazione di dati personali priva di una base legittimante ex art. 6) e al pregiudizio non patrimoniale che ne deriva al danneggiato (dolore, sofferenza, mero timore) si affianchi una tale lesione significa, pertanto, riscrivere la fattispecie normativa eurounitaria, sulla base di logiche proprie a un singolo sistema nazionale. E significa, altresì, non cogliere appieno la dimensione funzionale in cui si colloca l'art. 82 GDPR, il quale, al pari di altre regole di responsabilità di matrice eurounitaria (in primis, gli artt. 3 Direttiva 2014/104/UE e 1 d.lgs. n. 3/2017), non è informato a logiche prettamente individuali (o risolutive di conflitti inter-individuali), essendo strumentalizzato, fra l'altro, alla costruzione del mercato comune: qui, di un mercato concorrenziale comune degli operatori del trattamento di dati personali.

Del tutto conseguente, da questa specola, sembra una regola di responsabilità incentrata, quanto alla selezione dei pregiudizi risarcibili, sul contegno degli operatori-designati responsabili: chiamati, senza distinzioni spesso aleatorie basate sul ricorrere o no di lesioni di interessi protetti, a sopportare il costo di tutti i danni provocati dalle loro violazioni del Regolamento UE n. 679/2016.

Analoghe considerazioni possono spendersi, beninteso, per i filtri selettivi del danno non patrimoniale risarcibile, sui quali già ci si è intrattenuti nel superiore paragrafo.

In conclusione

L'indirizzo tradizionale della giurisprudenza nazionale italiana, secondo cui il danno non patrimoniale da trattamento di dati personali sarebbe risarcibile solo al cospetto della lesione grave di un interesse protetto (sub specie di diritto della personalità) del danneggiato, arrecante a costui un pregiudizio serio, non potrà non essere oggetto di ripensamento nel prossimo futuro.

Sebbene l'argomentare di Cass. civ., sez. I, 12 maggio 2023, n. 13073 abbia trovato eco, più di recente, pure in altri provvedimenti (conf. Cass. civ., sez. I, 11 ottobre 2023, n. 28390), un revirement è reclamato dal diritto positivo (art. 82 GDPR) e, tanto più, dalla salda interpretazione dell'art. 82 GDPR ad opera della CGUE: la quale ultima, oggi difforme da quella interna, permane, tuttavia, vincolante per il giudice nazionale.

Per condannare al risarcimento, quindi, il giudice italiano non potrà tenere in conto se non l'accertamento della violazione di una norma del GDPR da parte del danneggiante, di un pregiudizio del danneggiato e di un nesso che congiunga causalmente violazione e pregiudizio.

La circostanza che la norma violata nel caso concreto integri, per ipotesi, una norma specificativa del contenuto del diritto alla protezione dei dati personali (artt. 15 ss. GDPR, dettaglianti l'art. 8 della Carta dei diritti fondamentali dell'Unione europea), oppure che la violazione del regolamento rechi seco la lesione di un (diverso) diritto della personalità del danneggiato, dovrà considerarsi rappresentare un mero accidente: utile, semmai, a rafforzare la prova del pregiudizio subito dall'attore, ma nient'affatto condicio sine qua non della declaratoria di responsabilità.

Similmente, ai fini dell'an respondeatur, nessuna importanza potrà ancora assegnarsi alla gravità della eventuale lesione, così come alla serietà del pregiudizio che ne discendesse, trattandosi di aspetti della fattispecie concreta il cui rilievo dovrà essere confinato, a tutto concedere, al profilo del quantum