Viene confermata anche in sede di legittimità la condanna di un Comune per la violazione del GDPR dovuta alla pubblicazione, seppur erronea e corretta nel giro di 24 ore, dei dati personali di una dipendente.
Un Comune veniva condannato al risarcimento dei danni cagionati ad una propria dipendente a causa di un trattamento illecito di dati personali. Il Comune ha proposto ricorso in Cassazione dolendosi per la violazione del GDPR per avere il tribunale ignorato le circostanze che avevano condotto all'illecito trattamento del dato personale dell'interessata e per aver ritenuto il danno in re ipsa. La vicenda era ricondotta alla pubblicazione sull'albo pretorio del Comune di dati personali della dipendente determina relativa al pignoramento per un importo dello stipendio , fatto che, secondo l'ente ricorrente, era riconducibile ad un incidente, distrazione o errore umano, non prevedibile né evitabile, dell'operatore autorizzato al trattamento dati e a tal fine adeguatamente istruito. L'operatore infatti aveva inavvertitamente “spuntato” il campo “pubblica” in corrispondenza del dato che invece doveva rimanere a solo uso interno. A tale incidente era stato posto rimedio in poco più di 24 ore e, sempre secondo l'ente, si sarebbe dovuto escludere un danno quale conseguenza della accidentale affissione all'albo pretorio. Il ricorso non trova accoglimento da parte della Suprema Corte. La pronuncia sottolinea l'irrilevanza del fatto che la pubblicazione sia avvenuta per errore umano, distrazione o altro, posto che il titolare del trattamento dei dati risponde anche per il fatto colposo dei propri dipendenti, come già sancisce in generale l'articolo 2049 c.c. per tutta la materia della responsabilità civile. Ciò posto, viene ribadito che «il punto fondamentale è che il danno non patrimoniale risarcibile è in questi casi determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato costituzionalmente articolo 2 e 21 Cost. e articolo 8 della Cedu . La rilevanza del rimedio risarcitorio è confermata dal GDPR, il cui articolo 82 stabilisce che chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento ». Il soggetto danneggiato a seguito di un trattamento dei suoi dati in violazione delle norme del GDPR e di quelle nazionali di recepimento d.lgs. numero 101/2018 di aggiornamento del codice privacy può dunque ottenere il risarcimento di qualunque danno subito, anche se la lesione sia marginale e il titolare risponde per il danno causato dal trattamento in violazione del regolamento indipendentemente dall'eventuale concorso del responsabile specifico. Passando alla questione della sussistenza del danno e fermo restando che il danno non può dirsi in re ipsa, la pronuncia afferma che «il diritto al risarcimento non si sottrae alla verifica della gravità della lesione e della serietà del danno. Questo perché anche per tale diritto opera il bilanciamento con il principio di solidarietà ex articolo 2 cost., di cui quello di tolleranza della lesione minima è un precipitato. Il senso dell'affermazione, dopo il GDPR, è offerto dalla constatazione che non è tale da determinare una lesione effettiva del diritto la mera violazione delle prescrizioni poste in tema di trattamento, ma lo è invece quella violazione che concretamente offenda la portata effettiva del diritto alla riservatezza del dato». Si tratta di un accertamento di fatto rimesso al giudice di merito, che nel caso di specie è stato correttamente condotto. In conclusione, tutte le giustificazioni addotte dal Comune risultano irrilevanti nonché prive di decisività e inammissibilmente finalizzate a sovvertire il giudizio di fatto.
Presidente Genovese – Relatore Terrusi Fatti di causa Il Comune di […] ha proposto ricorso per cassazione contro la sentenza con la quale il Tribunale della stessa città l'ha condannato a risarcire i danni cagionati a S.G. , propria dipendente, a causa di un trattamento illecito di dati personali. La S. ha resistito con controricorso e memoria. Ragioni della decisione I. - Il ricorso è affidato ai seguenti motivi i violazione o falsa applicazione degli articolo 24, 29 e 82 del Regolamento UE 2016-679, cd. GDPR, per avere il tribunale ignorato le circostanze che avevano condotto all'illecito trattamento del dato personale dell'interessata, e ritenuto il danno in re ipsa per il solo fatto che si fosse verificato, nell'ente, un trattamento dati non conforme al dettato normativo si sostiene esser stato pacificamente dimostrato in giudizio quale fosse il complesso sistema di gestione della privacy adottato dal comune di […], con puntuale descrizione delle misure di sicurezza tese a garantire la protezione dei dati proprio nell'ambito della gestione informatica dei flussi documentali e della pubblicazione di atti e documenti all'albo pretorio, ambito in cui l'incidente si era verificato donde l'ostensione all'albo pretorio del comune dei dati personali della dipendente era avvenuta per incidente, distrazione o errore umano, non prevedibile, nè evitabile in futuro, di un operatore autorizzato al trattamento e adeguatamente istruito operatore che, incaricato di curare il procedimento informatico di generazione del visto di regolarità contabile e di caricarlo sul sistema di gestione documentale in allegato alla determinazione anonimizzata, aveva inavvertitamente spuntato , il campo pubblica in corrispondenza del visto stesso, che invece doveva rimanere a solo uso interno a tale incidente era stato posto rimedio in poco più di 24 ore, sicché si sarebbe dovuto ritenere insussistente un danno addossabile al comune quale conseguenza della accidentale affissione all'albo pretorio del visto ii violazione o falsa applicazione dell'articolo 2050 c.c., perché il danno afferente non può mai essere considerato in re ipsa, e l'attrice nel giudizio di merito non aveva fornito prova alcuna del danno subito in conseguenza della pubblicazione all'albo pretorio di un visto di regolarità contabile contenente i suoi dati personali per poco più di un giorno iii nullità della sentenza per motivazione apparente dovuta a illogica valutazione dei presupposti di fatto, avendo il tribunale affermato che il danno come in re ipsa per esser stati divulgati dati personali in violazione dei principi per il trattamento dei dati stessi, così mostrando di confondere il concetto di violazione dei dati con quello di danno che possa esserne derivato iv omesso esame di fatto decisivo in ordine al contenuto della comunicazione del Garante per la protezione dei dati personali, che era stata considerata solo come presa d'atto, da parte dell'autorità di controllo, della rinuncia al reclamo da parte della S. , anziché come definizione di merito del reclamo, con declaratoria di non sussistenza di alcuna violazione nella condotta del comune tale da rendere necessaria l'adozione di provvedimenti collegiali. II. - Il ricorso, i cui motivi possono essere esaminati congiuntamente per connessione, è in parte inammissibile e in parte infondato. III. - Dalla sentenza si apprende che il trattamento illecito era stato integrato nel seguente modo il 12/8/2020 il comune di […] aveva pubblicato sul proprio sito istituzionale una determina relativa pignoramento per un certo importo dello stipendio di una dipendente comunale, tale per cui l'ente si era assunto l'impegno di versare il quinto dello stipendio a favore della società creditrice nella determina era stata omessa la pubblicazione dei dati della debitrice, ma nella nota contabile allegata l'espressa indicazione dei dati era stata invece mantenuta, e i dati erano così finiti, seppure per poco più di un giorno, nell'albo pretorio on line del comune medesimo. In tale situazione il tribunale ha concluso nel senso che il trattamento era comunque oggettivamente avvenuto in violazione del GDPR, e che di ciò era d'altronde consapevole lo stesso ente, che aveva giustappunto ammesso - così come ha ammesso anche in questa sede - di avere diffuso mediante pubblicazione i dati reputazionali non ostensibili in virtù dei principi di necessità e minimizzazione previsti dalla norma. IV. - Tanto premesso, non possiede alcuna rilevanza il fatto che ciò sia avvenuto per errore umano, distrazione o altro, come il ricorrente insiste nel dire ai fini dell'attuale primo mezzo, per l'elementare ragione che il titolare del trattamento dei dati risponde anche per il fatto colposo dei propri dipendenti, come del resto già sancisce in generale l'articolo 2049 c.c. per tutta la materia della responsabilità civile. V. - Il punto fondamentale è che il danno non patrimoniale risarcibile è in questi casi determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato costituzionalmente Cost., articolo 2 e 21 e articolo 8 della Cedu . La rilevanza del rimedio risarcitorio è confermata dal GDPR, il cui articolo 82 stabilisce che chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento . Ciò sta a significare che il soggetto danneggiato a seguito di un trattamento dei suoi dati in violazione delle norme del GDPR e di quelle nazionali di recepimento cfr. il D.Lgs. numero 101 del 2018 di aggiornamento del codice privacy può ottenere il risarcimento di qualunque danno occorsogli, anche se la lesione sia marginale e il titolare risponde per il danno causato dal trattamento in violazione del regolamento indipendentemente dall'eventuale concorso del responsabile specifico. VI. - Il concetto di danno è d'altronde precisato nel Considerando 146 del GDPR, secondo il quale Il titolare del trattamento o il responsabile del trattamento dovrebbe risarcire i danni cagionati a una persona da un trattamento non conforme al presente regolamento ma dovrebbe essere esonerato da tale responsabilità se dimostra che l'evento dannoso non gli è in alcun modo imputabile . Vi si trova scritto inoltre che il concetto di danno dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di giustizia in modo tale da rispecchiare pienamente gli obiettivi del presente regolamento sicché gli interessati dovrebbero ottenere pieno ed effettivo risarcimento per il danno subito . VII. - I Considerando di un Regolamento UE o di una Direttiva svolgono la funzione di spiegare le ragioni dell'intervento normativo e ne integrano la concisa motivazione , come chiarito anche dalla Guida pratica comune del Parlamento Europeo, del Consiglio e della Commissione per la redazione dei testi legislativi dell'Unione Europea del 2015. Non contengono cioè enunciati di carattere normativo v. Cass. Sez. 5 numero 7280-22 . E tuttavia costituiscono in ogni caso elementi non secondari in chiave interpretativa delle norme afferenti. L'adeguamento del sistema nazionale alle norme del GDPR impone allora di puntualizzare il senso di alcune anteriori posizioni espresse da questa Corte a proposito dell'articolo 15 del codice privacy. Si è detto nella vigenza dell'articolo 15 che il danno non può dirsi in re ipsa v. Cass. Sez. 6-1 numero 17383-20, Cass. Sez. 3 numero 16133-14 , e questo è certamente da mantenere. Tuttavia il senso dell'affermazione non può esser tradotto altrimenti che in ciò che il diritto al risarcimento non si sottrae alla verifica della gravità della lesione e della serietà del danno. Questo perché anche per tale diritto opera il bilanciamento con il principio di solidarietà ex Cost., articolo 2, di cui quello di tolleranza della lesione minima è un precipitato. Il senso dell'affermazione, dopo il GDPR, è offerto dalla constatazione che non è tale da determinare una lesione effettiva del diritto la mera violazione delle prescrizioni poste in tema di trattamento, ma lo è invece quella violazione che concretamente offenda la portata effettiva del diritto alla riservatezza del dato. Fermo allora che il relativo accertamento integra la questione di fatto ed è rimesso al giudice di merito, può osservarsi che nel caso in esame il tribunale non ha mancato di cogliere l'evidenza del profilo. Sebbene menzionando la categoria del danno in re ipsa, il tribunale ha svolto l'accertamento ritenendo che in effetti un danno era stato integrato dall'ostensione del dato per tipologia e contesto, sebbene solo per un tempo ridotto. E tanto emerge implicitamente dalla descrizione della vicenda materiale e dal suo essere maturata in uno specifico ambito temporale e socio-lavorativo. VIII. - Ne deriva che tutte le giustificazioni fornite dal comune di […] nel primo motivo non sono rilevanti, visto che l'illiceità del trattamento imputabile al titolare non è stata mai contestata nè, per le considerazioni esposte, è minimamente contestabile , e gli elementi indicati a fondamento dei restanti motivi sono tutti privi di decisività e inammissibilmente finalizzati a sovvertire il giudizio di fatto. IX. - È opportuno del resto aggiungere che mai potrebbe rilevare in senso favorevole al comune ciò che nel ricorso è stato specificato a proposito del provvedimento del Garante. Il provvedimento era conseguito alla rinuncia al reclamo fatta dall'interessata. Nel ricorso è riportato il passaggio cruciale, nel quale era stato riconosciuto che il documento è stato pubblicato per un mero errore materiale e per un periodo limitato e l'amministrazione, nel momento in cui ha avuto conoscenza dell'errore, ha posto immediatamente in essere tutte le misure necessarie per rimuovere il documento . Ebbene, anche a voler prescindere dall'essere stata la decisione motivata per concludere l'esame del reclamo senza l'adozione di provvedimenti collegiali , ai soli fini, quindi, del giudizio amministrativo colà rilevante, impregiudicati naturalmente i diritti del soggetto leso, resta essenziale che lo stesso provvedimento del Garante conforta la valutazione di responsabilità del titolare del trattamento, ove doverosamente parametrata al GDPR. Invero il titolare del trattamento deve comunque risarcire il danno cagionato a una persona da un trattamento non conforme al presente regolamento , e può essere esonerato da una tale responsabilità non semplicemente se si è attivato come suo dovere per rimuovere il dato illecitamente esposto, ma solo se dimostra che l'evento dannoso non gli è in alcun modo imputabile . X. - In conclusione il ricorso deve essere rigettato. Vanno affermati i seguenti principi di diritto - in base alla disciplina generale del Regolamento UE 2016.679, cd. GDPR, il titolare del trattamento dei dati personali è sempre tenuto a risarcire il danno cagionato a una persona da un trattamento non conforme al regolamento stesso, e può essere esonerato dalla responsabilità non semplicemente se si è attivato come suo dovere per rimuovere il dato illecitamente esposto, ma solo se dimostra che l'evento dannoso non gli è in alcun modo imputabile - l'esclusione del principio del danno in re ipsa presuppone, in questi casi, la prova della serietà della lesione conseguente al trattamento ciò vuol dire che può non determinare il danno la mera violazione delle prescrizioni formali in tema di trattamento del dato, mentre induce sempre al risarcimento quella violazione che concretamente offenda la portata effettiva del diritto alla riservatezza. Le spese seguono la soccombenza. P.Q.M. La Corte rigetta il ricorso e condanna il ricorrente alle spese processuali, che liquida in 2.200,00 EUR, di cui 200,00 EUR per esborsi, oltre accessori e rimborso forfetario di spese generali nella massima percentuale di legge. Dispone che, in caso di diffusione della presente ordinanza, siano omesse le generalità e gli altri dati significativi. Ai sensi del D.P.R. numero 115 del 2002, articolo 13, comma 1 quater, dà atto della sussistenza dei presupposti per il versamento, da parte del ricorrente, dell'ulteriore importo a titolo di contributo unificato pari a quello relativo al ricorso, se dovuto.