Dati giudiziari e privacy. Il danno è in re ipsa?

In tema di privacy l’an della responsabilità e del danno sono in re ipsa in quanto l’art. 15 codice privacy pone due presunzioni quella secondo cui il danno è da addebitare a chi ha trattato i dati a meno che non dimostri di avere adottato tutte le misure idonee per evitarlo ex art. 2050 c.c. e quella secondo cui le conseguenze non patrimoniali di tale danno sono da considerare in re ipsa a meno che il danneggiante non dimostri che esse non vi sono state ovvero che si tratta di un danno irrilevante o bagatellare ovvero ancora che il danneggiato abbia tratto vantaggio dalla pubblicazione dei dati .

Così la Corte di Cassazione con la sentenza n. 14242/18 depositata il 4 giugno. Il caso. Un agente di Dogana, a seguito di un'indagine nei propri confronti, viene trasferito. Il provvedimento di tale trasferimento in cui si citava la vicenda giudiziaria viene comunicato utilizzando il protocollo ordinario aperto a tutti e non il protocollo riservato come dovuto trattandosi di dati giudiziari. L'interessato fa ricorso al Garante Privacy per illecito trattamento ma ottiene un rigetto e così si rivolge al Tribunale di Roma che invece gli dà ragione e gli riconosce il danno non patrimoniale nella misura di euro 10.000,00. L'Agenzia di Dogana ricorre in Cassazione sostenendo la posteriorità della nota rispetto all'uscita della notizia dell'indagine già nota nell'ambiente di lavoro. Gli Ermellini non sono dello stesso avviso in quanto la ratio decidendi della sentenza impugnata si fonda sulla ritenuta illegittimità delle modalità con cui vennero diffusi i dati giudiziari [ ] ovvero mediante una nota ordinaria e non riservata, dunque acquisibile non solo dal titolare del trattamento ma da qualunque altro impiegato dell'Agenzia delle Dogane, ovvero senza le cautele previste nel caso di trattamento di dati giudiziari. L'Agenzia di Dogana censura ulteriormente la sentenza di primo grado sostenendo che non è stato svolto alcun accertamento né sull’esistenza del danno né sul nesso causale tra condotta e danno. Gli Ermellini rigettano anche questo secondo motivo di ricorso sostenendo in sostanza che sia l’esistenza della responsabilità sia l’esistenza del danno nelle violazioni privacy sono in re ipsa salvo che il danneggiante non dia prova contraria inversione onere della prova ex art. 2050 c.c. richiamato dall’art. 15 codice privacy la fattispecie delineata dai due commi dell’art. 15 del d.lgs. 196/03 pone quindi due presunzioni quella secondo la quale il danno è da addebitare a chi ha trattato i dati personali o a chi si è avvalso di un altrui trattamento a meno che egli non dimostri di avere adottato tutte le misure idonee per evitarlo ai sensi dell’art. 2050 c.c. e quella secondo la quale le conseguenze non patrimoniali di tale danno [] sono da considerare in re ipsa a meno che il danneggiante non dimostri che esse non vi sono state [] Cass. Civ. sentenza n. 14242/18 . Spiegazione e commento. La pronunzia in oggetto ammette che l’ an della responsabilità e del danno sia in re ipsa ammettendo quindi in entrambi i casi l’inversione dell’onere della prova. L’orientamento giurisprudenziale maggioritario sostiene invece che il danno privacy dev’essere provato. In merito al quantum invece aderisce all’orientamento prevalente secondo cui la liquidazione deve fondarsi o su presunzioni oppure sulla valutazione delle allegazioni delle parti compiuta dal giudice in via equitativa. Questa sentenza della Cassazione riporta alla ribalta la questione dell’esistenza del danno privacy quale danno in re ipsa . Questione più volte discussa in dottrina e giurisprudenza. Il danno privacy è danno in re ipsa? L’orientamento giurisprudenziale maggioritario di legittimità sostiene che il pregiudizio conseguente alla violazione privacy sia un danno-conseguenza” secondo i meccanismi dell’art. 2043 c.c. e non un danno-evento” secondo i meccanismi dell’art. 2050 c.c Ricordiamo un autorevole precedente - Corte di Cassazione, sezione I civile, sentenza 20 maggio 2016, n. 10510 – sulla violazione dei dati di salute di un ricorrente presso la Corte dei Conti Sicilia per la pensione di invalidità a seguito di illecita diffusione provocata dalla pubblicazione senza omissis del provvedimento nella banca dati online della Corte dei Conti liberamente accessibile. Si trattava di un caso di violazione dei dati di salute in ambito di informazione giuridica per cui la Cassazione afferma che la giurisprudenza consolidata di questa Corte tra le altre, Cass. 222/16 , anche in materia di diritti fondamentali, [stabilisce che il danno privacy] non può configurarsi in re ipsa il richiedente deve fornire prova di tutti i presupposti di cui all’art. 2043 c.c., non solo il comportamento illegittimo, ma pure il danno occorso e il nesso di causalità tra comportamento ed evento dannoso Corte di Cassazione, sezione I civile, sentenza 20 maggio 2016, n. 10510 . Del resto anche l’orientamento del Garante Privacy si declina in questo senso. Pensiamo all’Autorizzazione n. 7/2008 al trattamento dei dati a carattere giudiziario, anche da parte di soggetti pubblici o alla Deliberazione del Garante della Privacy del 2 dicembre 2010 Linee guida sul trattamento dei dati personali nella riproduzione di provvedimenti giurisdizionali, per finalità di informazione giuridica”. Questi provvedimenti si fondano sul bilanciamento delle posizioni in gioco interesse pubblico all’informazione giuridica e diritto alla riservatezza che conduce a trovare un punto di equilibrio nella pubblicazione delle sentenze della Corte dei Conti oscurando i nomi o comunque gli identificativi delle persone coinvolte. L’adozione della tecnica giuridica del bilanciamento costituisce una scelta eloquente da cui si capisce che sebbene il diritto alla privacy sia un diritto fondamentale, la relativa lesione dev’essere valutata secondo i criteri della gravità della lesione” e della serietà del danno” rifiutando qualsiasi tipo di automatismo tra violazione e danno-evento o danno in re ipsa . Così Cass. n. 16133/14 il danno non patrimoniale risarcibile ai sensi dell’art. 15 del d.lgs. 196/03, pur determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli artt. 2 e 21 Cost e dall’art. 8 della CEDU, non si sottrae alla verifica della gravità della lesione” e della serietà del danno” e sicché [chiosa Cass. sez. I civ, sent. 20/05/2016 n. 10510, 10511,10512,10513] determina una lesione ingiustificabile del diritto non la mera violazione delle prescrizioni poste dall’art. 11 del codice della privacy ma solo quella che ne offenda in modo sensibile la sua portata effettiva. Il relativo accertamento di fatto è rimesso al giudice di merito e resta ancorato alla concretezza della vicenda materiale portata alla cognizione giudiziale ed al suo essere maturata in un dato contesto temporale e sociale . Così anche Cass., III Sez. Civile, n. 17974/14 in tema di risarcimento del danno non patrimoniale per violazione dell’art. 15 d.lgs. 30 giugno 2003 n. 196 c.d. codice della privacy , è ammissibile la prova per testimoni di tale danno, in quanto esso non può ritenersi in re ipsa , ma va allegato e provato sia pure attraverso il ricorso a presunzioni semplici, e quindi, a maggior ragione, tramite testimonianze, che attestino uno stato di sofferenza fisica o psichica . Infine consideriamo che tutto il sistema ammette di rado l’esistenza del danno in re ipsa come si evince ancora dai Giudici di Legittimità che stabiliscono che in caso di illecito trattamento dei dati personali per illegittima segnalazione alla Centrale dei rischi, il danno, sia patrimoniale che non patrimoniale, non può essere considerato in re ipsa per il fatto stesso dello svolgimento dell'attività pericolosa. Anche nel quadro di applicazione dell'art. 2050 c.c., il danno, e in particolare la perdita”, deve essere sempre allegato e provato da parte dell'interessato Cass. Civ., Sez. I, 25 gennaio 2017, n. 1931 . L’evoluzione giurisprudenziale di merito non sempre va di pari passo con quella di legittimità e a volte ci sono delle ipotesi in cui si ammette anche il danno in re ipsa. Tuttavia parrebbe che il panorama giudiziario attuale registri il tramonto del danno in re ipsa in tutti i settori. In punto di prova soprattutto nell’ambito della lesione dei diritti fondamentali si registra una forte apertura anzi addirittura una prevalenza per il ricorso al sistema delle presunzioni come afferma anche la sentenza in commento.

Corte di Cassazione, sez. I Civile, ordinanza 6 febbraio – 4 giugno 2018, n. 14242 Presidente Campanile – Relatore Cirese Fatti di causa R.A. , all’epoca dei fatti Capo della Sezione Doganale di omissis , in data 22.1.2010 presentava ricorso ex art. 145 e ss. del d.lgs n. 196 del 2003 al Garante per la protezione dei dati personali esponendo che, a causa di una indagine avviata dalla locale Procura della Repubblica nel corso della quale era stato sottoposto a perquisizione personale, domiciliare e locale, in data 21.9.2006 era stato trasferito presso l’Ufficio Tecnico Finanza di e che il provvedimento di trasferimento datato 26.10.2006, in cui si dava atto della vicenda, era stato comunicato utilizzando un protocollo ordinario e rendendo quindi la nota di pubblico dominio. Il ricorso proposto al Garante della privacy veniva respinto con provvedimento del 6.5.2010 sull’assunto che i dati personali non fossero stati trattati in violazione di legge e ciò in quanto il relativo trattamento appariva finalizzato a garantire una corretta esecuzione del rapporto di lavoro. A seguito di ricorso ex art. 152 d.lgs. n. 196 del 2003 proposto dal R. nei confronti dell’Agenzia delle Dogane nonché nei confronti del Garante per la Protezione dei dati personali, il Tribunale di Roma, in accoglimento della domanda, con sentenza n. 8437/2013 depositata in data 20.5.2013 condannava l’Agenzia delle Dogane al risarcimento del danno non patrimoniale sofferto dall’attore che liquidava in Euro 10.000,00 oltre alle spese legali. Avverso tale decisione, l’Agenzia delle Dogane e dei Monopoli ha proposto ricorso per cassazione affidato a due motivi di censura, cui il R. ha resistito con controricorso. Parte ricorrente depositava memorie ex art. 378 c.p.c Ragioni della decisione 1. Con il primo motivo di ricorso omesso esame di fatti decisivi per il giudizio oggetto di discussione tra le parti in relazione all’art. 360 comma 1 n. 5 c.p.c. il ricorrente censura la decisione resa dal Tribunale di Roma nella parte in cui ha collegato l’illecita diffusione dei dati giudiziari riguardanti il R. all’invio della nota in data 26.10.2006 omettendo di valutare fatti decisivi emersi nel corso del giudizio da cui inferire che la diffusione della notizia dell’apertura di un procedimento penale nei suoi confronti si era verificata prima dell’invio della predetta nota.1.2 I motivo è infondato.Ed invero, parte ricorrente nel censurare la decisione del giudice di merito che ha ritenuto illegittime le modalità con cui vennero diffusi i dati riguardanti la vicenda giudiziaria del R. , si è diffusa nella ricostruzione di una serie di circostanze ed in particolare l’invio delle note in data 15 e 21 settembre 2006 atte a dimostrare che la propalazione delle notizie riguardanti l’odierno ricorrente poteva essere ricondotta ad un periodo antecedente alla trasmissione della nota in data 26.10.2006 di talché tali notizie potevano ritenersi già note nell’ambiente di lavoro. Al di là della genericità di tale assunto, che in realtà non individua un momento o un fatto specifico, tali argomentazioni mostrano di non cogliere la ratio decidendi della sentenza impugnata che si fonda sulla ritenuta illegittimità delle modalità con cui vennero diffusi i dati giudiziari riguardanti il R. in data 26.10.2006, ovvero mediante una nota ordinaria e non riservata, dunque acquisibile non solo dal titolare del trattamento ma da qualunque altro impiegato dell’Agenzia delle Dogane, ovvero senza le cautele previste nel caso di trattamento di dati giudiziari.2. Con il secondo motivo di ricorso violazione degli artt. 2050, 2697, 2729 c.c. e 15 del d.lgs. n. 196 del 2003 in relazione all’art. 360 comma 1 n. 3 c.p.c. il ricorrente censura la decisione di merito che ha accolto la domanda pur non essendo stata fornita la prova del danno non patrimoniale nonché del nesso causale tra la violazione ed il danno lamentato.2.2. Il motivo è infondato.Con tale motivo di ricorso si censura la sentenza impugnata per aver riconosciuto il diritto al risarcimento del danno senza aver svolto alcun accertamento dell’esistenza di tale danno nonché del nesso di causalità tra il trattamento dei dati personali ed il danno patito.A riguardo va premesso che la sola circostanza che i dati siano stati utilizzati dal titolare o da chiunque in modo illecito o scorretto non idonea di per sé a legittimare l’interessato a richiedere il risarcimento del danno non patrimoniale.Ed invero Il danno non patrimoniale risarcibile ai sensi dell’art. 15 del d.lgs. 30 giugno 2003, n. 196 cosiddetto codice della privacy , pur determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli artt. 2 e 21 Cost. e dall’art. 8 della CEDU, non si sottrae alla verifica della gravità della lesione e della serietà del danno quale perdita di natura personale effettivamente patita dall’interessato , in quanto anche per tale diritto opera il bilanciamento con il principio di solidarietà ex art. 2 Cost., di cui il principio di tolleranza della lesione minima è intrinseco precipitato, sicché determina una lesione, ingiustificabile del diritto non la mera violazione delle prescrizioni poste dall’art. 11 del codice della privacy ma solo quella che ne offenda in modo sensibile la sua portata effettiva Cass., n. 16133/2014 .Ed inoltre I danni cagionati per effetto del trattamento dei dati personali in base all’art. 15 del d.lgs. 30 giugno 2003, n. 196, sono assoggettati alla disciplina di cui all’art. 2050 cod. civ., con la conseguenza che il danneggiato è tenuto solo a provare il danno e il nesso di causalità con l’attività di trattamento dei dati, mentre spetta al convenuto la prova di aver adottato tutte le misure idonee ad evitare il danno. Cass., n. 18812/2014 .La fattispecie delineata dai due commi dell’art. 15 del d.lgs. n. 196 del 2003 pone quindi due presunzioni quella secondo la quale il danno è da addebitare a chi ha trattato i dati personali o a chi si è avvalso di un altrui trattamento a meno che egli non dimostri di avere adottato tutte le misure idonee per evitarlo ai sensi dell’art. 2050 c.c. e quella secondo la quale le conseguenze non patrimoniali di tale danno - sia esso di natura contrattuale che extracontrattuale - sono da considerare in re ipsa a meno che il danneggiante non dimostri che esse non vi sono state ovvero che si tratta di un danno irrilevante o bagatellare ovvero ancora che il danneggiato abbia tratto vantaggio dalla pubblicazione dei dati.Presunzioni, queste, che varranno sia nel caso in cui il danneggiante sia il titolare del trattamento che nel caso in cui egli sia un chiunque , dato che gli interessi lesi di volta in volta attraverso un trattamento illecito, rappresentando diritti-interessi inviolabili del danneggiato, assumono un rilievo talmente evidente da comportare l’inversione dell’onere della prova non a caso tale presunzione sull’an del danno non patrimoniale legata alla violazione delle regole di liceità correttezza è rafforzata proprio dal richiamo da parte del legislatore al concetto di attività pericolosa. Ed infatti il danno maggiormente connaturato all’illecito trattamento è proprio quello non patrimoniale sicché il non avere adottato le misure idonee ad evitarlo si rivela in sostanza come una violazione delle regole di correttezza e di liceità le quali sono finalizzate a bilanciare la libertà di chi tratta i dati con la preservazione della sfera del danneggiato.Ovviamente, spetterà pur sempre al giudice dunque valutare, sulla base vuoi delle allegazioni del danneggiato, vuoi di semplici presunzioni, e tenendo conto dell’eventuale prova contraria fornita dal danneggiante, se il danno debba essere risarcito in quanto lesivo di diritti la cui violazione non debba e non possa essere tollerata dal danneggiato.Una volta ritenuto pertanto che il bene violato faccia parte di quei valori fondamentali ovvero dei diritti inviolabili della persona, il giudice dovrà disporre che il danno debba essere risarcito, quanto meno in via equitativa, salvo la prova contraria addotta dal danneggiante.Ciò premesso, dalla lettura della sentenza impugnata, sia pure in forma sintetica, si evince chiaramente come una volta ritenuta l’illecita lesione del diritto alla riservatezza del ricorrente mediante la diffusione di dati giudiziari inerenti alla sua persona, il giudicante ha ritenuto ricorrendo a presunzioni semplici è presumibile, senza alcun dubbio che tale condotta abbia provocato nel ricorrente un senso di forte turbamento e vergogna .Una volta ritenuto provato il danno lo stesso è stato poi liquidato in via equitativa.Orbene la sentenza impugnata, in linea con i principi enunciati, una volta accertata l’illegittimità della condotta posta in essere dall’Agenzia delle Dogane, ha ritenuto provato il danno parimenti dando atto che l’Agenzia delle Dogane non ha allegato né provato alcunché circa l’adozione di cautele volte a prevenire la conoscibilità dei dati.Il conclusione il ricorso va rigettato.Le spese seguono la soccombenza. P.Q.M. - rigetta il ricorso - condanna la ricorrente al pagamento delle spese del giudizio di legittimità che liquida nella misura di Euro 3200,00 di cui Euro 200,00 per esborsi . Ai sensi dell’art. 13 comma 1 quater del d.p.r. n. 115 del 2002, dichiara la non sussistenza dei presupposti dell’obbligo di versamento, a carico della parte ricorrente, dell’ulteriore importo a titolo di contributo unificato pari a quello dovuto per il ricorso a norma del comma 1 bis dello stesso art. 13.