«In tema di privacy l’an della responsabilità e del danno sono in re ipsa in quanto l’articolo 15 codice privacy pone due presunzioni quella secondo cui il danno è da addebitare a chi ha trattato i dati a meno che non dimostri di avere adottato tutte le misure idonee per evitarlo ex articolo 2050 c.c. e quella secondo cui le conseguenze non patrimoniali di tale danno sono da considerare in re ipsa a meno che il danneggiante non dimostri che esse non vi sono state ovvero che si tratta di un danno irrilevante o bagatellare ovvero ancora che il danneggiato abbia tratto vantaggio dalla pubblicazione dei dati».
Così la Corte di Cassazione con la sentenza numero 14242/18 depositata il 4 giugno. Il caso. Un agente di Dogana, a seguito di un'indagine nei propri confronti, viene trasferito. Il provvedimento di tale trasferimento in cui si citava la vicenda giudiziaria viene comunicato utilizzando il protocollo ordinario aperto a tutti e non il protocollo riservato come dovuto trattandosi di dati giudiziari. L'interessato fa ricorso al Garante Privacy per illecito trattamento ma ottiene un rigetto e così si rivolge al Tribunale di Roma che invece gli dà ragione e gli riconosce il danno non patrimoniale nella misura di euro 10.000,00. L'Agenzia di Dogana ricorre in Cassazione sostenendo la posteriorità della nota rispetto all'uscita della notizia dell'indagine già nota nell'ambiente di lavoro. Gli Ermellini non sono dello stesso avviso in quanto «la ratio decidendi della sentenza impugnata si fonda sulla ritenuta illegittimità delle modalità con cui vennero diffusi i dati giudiziari [ ] ovvero mediante una nota ordinaria e non riservata, dunque acquisibile non solo dal titolare del trattamento ma da qualunque altro impiegato dell'Agenzia delle Dogane, ovvero senza le cautele previste nel caso di trattamento di dati giudiziari. L'Agenzia di Dogana censura ulteriormente la sentenza di primo grado sostenendo che non è stato svolto alcun accertamento né sull’esistenza del danno né sul nesso causale tra condotta e danno. Gli Ermellini rigettano anche questo secondo motivo di ricorso sostenendo in sostanza che sia l’esistenza della responsabilità sia l’esistenza del danno nelle violazioni privacy sono in re ipsa salvo che il danneggiante non dia prova contraria inversione onere della prova ex articolo 2050 c.c. richiamato dall’articolo 15 codice privacy «la fattispecie delineata dai due commi dell’articolo 15 del d.lgs. 196/03 pone quindi due presunzioni quella secondo la quale il danno è da addebitare a chi ha trattato i dati personali o a chi si è avvalso di un altrui trattamento a meno che egli non dimostri di avere adottato tutte le misure idonee per evitarlo ai sensi dell’articolo 2050 c.c. e quella secondo la quale le conseguenze non patrimoniali di tale danno [] sono da considerare in re ipsa a meno che il danneggiante non dimostri che esse non vi sono state []» Cass. Civ. sentenza numero 14242/18 . Spiegazione e commento. La pronunzia in oggetto ammette che l’an della responsabilità e del danno sia in re ipsa ammettendo quindi in entrambi i casi l’inversione dell’onere della prova. L’orientamento giurisprudenziale maggioritario sostiene invece che il danno privacy dev’essere provato. In merito al quantum invece aderisce all’orientamento prevalente secondo cui la liquidazione deve fondarsi o su presunzioni oppure sulla valutazione delle allegazioni delle parti compiuta dal giudice in via equitativa. Questa sentenza della Cassazione riporta alla ribalta la questione dell’esistenza del danno privacy quale danno in re ipsa. Questione più volte discussa in dottrina e giurisprudenza. Il danno privacy è danno in re ipsa? L’orientamento giurisprudenziale maggioritario di legittimità sostiene che il pregiudizio conseguente alla violazione privacy sia un “danno-conseguenza” secondo i meccanismi dell’articolo 2043 c.c. e non un “danno-evento” secondo i meccanismi dell’articolo 2050 c.c Ricordiamo un autorevole precedente - Corte di Cassazione, sezione I civile, sentenza 20 maggio 2016, numero 10510 – sulla violazione dei dati di salute di un ricorrente presso la Corte dei Conti Sicilia per la pensione di invalidità a seguito di illecita diffusione provocata dalla pubblicazione senza omissis del provvedimento nella banca dati online della Corte dei Conti liberamente accessibile. Si trattava di un caso di violazione dei dati di salute in ambito di informazione giuridica per cui la Cassazione afferma che «la giurisprudenza consolidata di questa Corte tra le altre, Cass. 222/16 , anche in materia di diritti fondamentali, [stabilisce che il danno privacy] non può configurarsi in re ipsa il richiedente deve fornire prova di tutti i presupposti di cui all’articolo 2043 c.c., non solo il comportamento illegittimo, ma pure il danno occorso e il nesso di causalità tra comportamento ed evento dannoso» Corte di Cassazione, sezione I civile, sentenza 20 maggio 2016, numero 10510 . Del resto anche l’orientamento del Garante Privacy si declina in questo senso. Pensiamo all’Autorizzazione numero 7/2008 al trattamento dei dati a carattere giudiziario, anche da parte di soggetti pubblici o alla Deliberazione del Garante della Privacy del 2 dicembre 2010 “Linee guida sul trattamento dei dati personali nella riproduzione di provvedimenti giurisdizionali, per finalità di informazione giuridica”. Questi provvedimenti si fondano sul bilanciamento delle posizioni in gioco interesse pubblico all’informazione giuridica e diritto alla riservatezza che conduce a trovare un punto di equilibrio nella pubblicazione delle sentenze della Corte dei Conti oscurando i nomi o comunque gli identificativi delle persone coinvolte. L’adozione della tecnica giuridica del bilanciamento costituisce una scelta eloquente da cui si capisce che sebbene il diritto alla privacy sia un diritto fondamentale, la relativa lesione dev’essere valutata secondo i criteri della “gravità della lesione” e della “serietà del danno” rifiutando qualsiasi tipo di automatismo tra violazione e danno-evento o danno in re ipsa. Così Cass. numero 16133/14 «il danno non patrimoniale risarcibile ai sensi dell’articolo 15 del d.lgs. 196/03, pur determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli articolo 2 e 21 Cost e dall’articolo 8 della CEDU, non si sottrae alla verifica della “gravità della lesione” e della “serietà del danno” e “sicché [chiosa Cass. sez. I civ, sent. 20/05/2016 numero 10510, 10511,10512,10513] determina una lesione ingiustificabile del diritto non la mera violazione delle prescrizioni poste dall’articolo 11 del codice della privacy ma solo quella che ne offenda in modo sensibile la sua portata effettiva. Il relativo accertamento di fatto è rimesso al giudice di merito e resta ancorato alla concretezza della vicenda materiale portata alla cognizione giudiziale ed al suo essere maturata in un dato contesto temporale e sociale». Così anche Cass., III Sez. Civile, numero 17974/14 «in tema di risarcimento del danno non patrimoniale per violazione dell’articolo 15 d.lgs. 30 giugno 2003 numero 196 c.d. codice della privacy , è ammissibile la prova per testimoni di tale danno, in quanto esso non può ritenersi in re ipsa, ma va allegato e provato sia pure attraverso il ricorso a presunzioni semplici, e quindi, a maggior ragione, tramite testimonianze, che attestino uno stato di sofferenza fisica o psichica». Infine consideriamo che tutto il sistema ammette di rado l’esistenza del danno in re ipsa come si evince ancora dai Giudici di Legittimità che stabiliscono che «in caso di illecito trattamento dei dati personali per illegittima segnalazione alla Centrale dei rischi, il danno, sia patrimoniale che non patrimoniale, non può essere considerato in re ipsa per il fatto stesso dello svolgimento dell'attività pericolosa. Anche nel quadro di applicazione dell'articolo 2050 c.c., il danno, e in particolare la “perdita”, deve essere sempre allegato e provato da parte dell'interessato» Cass. Civ., Sez. I, 25 gennaio 2017, numero 1931 . L’evoluzione giurisprudenziale di merito non sempre va di pari passo con quella di legittimità e a volte ci sono delle ipotesi in cui si ammette anche il danno in re ipsa. Tuttavia parrebbe che il panorama giudiziario attuale registri il tramonto del danno in re ipsa in tutti i settori. In punto di prova soprattutto nell’ambito della lesione dei diritti fondamentali si registra una forte apertura anzi addirittura una prevalenza per il ricorso al sistema delle presunzioni come afferma anche la sentenza in commento.
Corte di Cassazione, sez. I Civile, ordinanza 6 febbraio – 4 giugno 2018, numero 14242 Presidente Campanile – Relatore Cirese Fatti di causa R.A. , all’epoca dei fatti Capo della Sezione Doganale di omissis , in data 22.1.2010 presentava ricorso ex articolo 145 e ss. del d.lgs numero 196 del 2003 al Garante per la protezione dei dati personali esponendo che, a causa di una indagine avviata dalla locale Procura della Repubblica nel corso della quale era stato sottoposto a perquisizione personale, domiciliare e locale, in data 21.9.2006 era stato trasferito presso l’Ufficio Tecnico Finanza di e che il provvedimento di trasferimento datato 26.10.2006, in cui si dava atto della vicenda, era stato comunicato utilizzando un protocollo ordinario e rendendo quindi la nota di pubblico dominio. Il ricorso proposto al Garante della privacy veniva respinto con provvedimento del 6.5.2010 sull’assunto che i dati personali non fossero stati trattati in violazione di legge e ciò in quanto il relativo trattamento appariva finalizzato a garantire una corretta esecuzione del rapporto di lavoro. A seguito di ricorso ex articolo 152 d.lgs. numero 196 del 2003 proposto dal R. nei confronti dell’Agenzia delle Dogane nonché nei confronti del Garante per la Protezione dei dati personali, il Tribunale di Roma, in accoglimento della domanda, con sentenza numero 8437/2013 depositata in data 20.5.2013 condannava l’Agenzia delle Dogane al risarcimento del danno non patrimoniale sofferto dall’attore che liquidava in Euro 10.000,00 oltre alle spese legali. Avverso tale decisione, l’Agenzia delle Dogane e dei Monopoli ha proposto ricorso per cassazione affidato a due motivi di censura, cui il R. ha resistito con controricorso. Parte ricorrente depositava memorie ex articolo 378 c.p.c Ragioni della decisione 1. Con il primo motivo di ricorso omesso esame di fatti decisivi per il giudizio oggetto di discussione tra le parti in relazione all’articolo 360 comma 1 numero 5 c.p.c. il ricorrente censura la decisione resa dal Tribunale di Roma nella parte in cui ha collegato l’illecita diffusione dei dati giudiziari riguardanti il R. all’invio della nota in data 26.10.2006 omettendo di valutare fatti decisivi emersi nel corso del giudizio da cui inferire che la diffusione della notizia dell’apertura di un procedimento penale nei suoi confronti si era verificata prima dell’invio della predetta nota.1.2 I motivo è infondato.Ed invero, parte ricorrente nel censurare la decisione del giudice di merito che ha ritenuto illegittime le modalità con cui vennero diffusi i dati riguardanti la vicenda giudiziaria del R. , si è diffusa nella ricostruzione di una serie di circostanze ed in particolare l’invio delle note in data 15 e 21 settembre 2006 atte a dimostrare che la propalazione delle notizie riguardanti l’odierno ricorrente poteva essere ricondotta ad un periodo antecedente alla trasmissione della nota in data 26.10.2006 di talché tali notizie potevano ritenersi già note nell’ambiente di lavoro. Al di là della genericità di tale assunto, che in realtà non individua un momento o un fatto specifico, tali argomentazioni mostrano di non cogliere la ratio decidendi della sentenza impugnata che si fonda sulla ritenuta illegittimità delle modalità con cui vennero diffusi i dati giudiziari riguardanti il R. in data 26.10.2006, ovvero mediante una nota ordinaria e non riservata, dunque acquisibile non solo dal titolare del trattamento ma da qualunque altro impiegato dell’Agenzia delle Dogane, ovvero senza le cautele previste nel caso di trattamento di dati giudiziari.2. Con il secondo motivo di ricorso violazione degli articolo 2050, 2697, 2729 c.c. e 15 del d.lgs. numero 196 del 2003 in relazione all’articolo 360 comma 1 numero 3 c.p.c. il ricorrente censura la decisione di merito che ha accolto la domanda pur non essendo stata fornita la prova del danno non patrimoniale nonché del nesso causale tra la violazione ed il danno lamentato.2.2. Il motivo è infondato.Con tale motivo di ricorso si censura la sentenza impugnata per aver riconosciuto il diritto al risarcimento del danno senza aver svolto alcun accertamento dell’esistenza di tale danno nonché del nesso di causalità tra il trattamento dei dati personali ed il danno patito.A riguardo va premesso che la sola circostanza che i dati siano stati utilizzati dal titolare o da chiunque in modo illecito o scorretto non idonea di per sé a legittimare l’interessato a richiedere il risarcimento del danno non patrimoniale.Ed invero Il danno non patrimoniale risarcibile ai sensi dell’articolo 15 del d.lgs. 30 giugno 2003, numero 196 cosiddetto codice della privacy , pur determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli articolo 2 e 21 Cost. e dall’articolo 8 della CEDU, non si sottrae alla verifica della gravità della lesione e della serietà del danno quale perdita di natura personale effettivamente patita dall’interessato , in quanto anche per tale diritto opera il bilanciamento con il principio di solidarietà ex articolo 2 Cost., di cui il principio di tolleranza della lesione minima è intrinseco precipitato, sicché determina una lesione, ingiustificabile del diritto non la mera violazione delle prescrizioni poste dall’articolo 11 del codice della privacy ma solo quella che ne offenda in modo sensibile la sua portata effettiva Cass., numero 16133/2014 .Ed inoltre I danni cagionati per effetto del trattamento dei dati personali in base all’articolo 15 del d.lgs. 30 giugno 2003, numero 196, sono assoggettati alla disciplina di cui all’articolo 2050 cod. civ., con la conseguenza che il danneggiato è tenuto solo a provare il danno e il nesso di causalità con l’attività di trattamento dei dati, mentre spetta al convenuto la prova di aver adottato tutte le misure idonee ad evitare il danno. Cass., numero 18812/2014 .La fattispecie delineata dai due commi dell’articolo 15 del d.lgs. numero 196 del 2003 pone quindi due presunzioni quella secondo la quale il danno è da addebitare a chi ha trattato i dati personali o a chi si è avvalso di un altrui trattamento a meno che egli non dimostri di avere adottato tutte le misure idonee per evitarlo ai sensi dell’articolo 2050 c.c. e quella secondo la quale le conseguenze non patrimoniali di tale danno - sia esso di natura contrattuale che extracontrattuale - sono da considerare in re ipsa a meno che il danneggiante non dimostri che esse non vi sono state ovvero che si tratta di un danno irrilevante o bagatellare ovvero ancora che il danneggiato abbia tratto vantaggio dalla pubblicazione dei dati.Presunzioni, queste, che varranno sia nel caso in cui il danneggiante sia il titolare del trattamento che nel caso in cui egli sia un chiunque , dato che gli interessi lesi di volta in volta attraverso un trattamento illecito, rappresentando diritti-interessi inviolabili del danneggiato, assumono un rilievo talmente evidente da comportare l’inversione dell’onere della prova non a caso tale presunzione sull’an del danno non patrimoniale legata alla violazione delle regole di liceità correttezza è rafforzata proprio dal richiamo da parte del legislatore al concetto di attività pericolosa. Ed infatti il danno maggiormente connaturato all’illecito trattamento è proprio quello non patrimoniale sicché il non avere adottato le misure idonee ad evitarlo si rivela in sostanza come una violazione delle regole di correttezza e di liceità le quali sono finalizzate a bilanciare la libertà di chi tratta i dati con la preservazione della sfera del danneggiato.Ovviamente, spetterà pur sempre al giudice dunque valutare, sulla base vuoi delle allegazioni del danneggiato, vuoi di semplici presunzioni, e tenendo conto dell’eventuale prova contraria fornita dal danneggiante, se il danno debba essere risarcito in quanto lesivo di diritti la cui violazione non debba e non possa essere tollerata dal danneggiato.Una volta ritenuto pertanto che il bene violato faccia parte di quei valori fondamentali ovvero dei diritti inviolabili della persona, il giudice dovrà disporre che il danno debba essere risarcito, quanto meno in via equitativa, salvo la prova contraria addotta dal danneggiante.Ciò premesso, dalla lettura della sentenza impugnata, sia pure in forma sintetica, si evince chiaramente come una volta ritenuta l’illecita lesione del diritto alla riservatezza del ricorrente mediante la diffusione di dati giudiziari inerenti alla sua persona, il giudicante ha ritenuto ricorrendo a presunzioni semplici è presumibile, senza alcun dubbio che tale condotta abbia provocato nel ricorrente un senso di forte turbamento e vergogna .Una volta ritenuto provato il danno lo stesso è stato poi liquidato in via equitativa.Orbene la sentenza impugnata, in linea con i principi enunciati, una volta accertata l’illegittimità della condotta posta in essere dall’Agenzia delle Dogane, ha ritenuto provato il danno parimenti dando atto che l’Agenzia delle Dogane non ha allegato né provato alcunché circa l’adozione di cautele volte a prevenire la conoscibilità dei dati.Il conclusione il ricorso va rigettato.Le spese seguono la soccombenza. P.Q.M. - rigetta il ricorso - condanna la ricorrente al pagamento delle spese del giudizio di legittimità che liquida nella misura di Euro 3200,00 di cui Euro 200,00 per esborsi . Ai sensi dell’articolo 13 comma 1 quater del d.p.r. numero 115 del 2002, dichiara la non sussistenza dei presupposti dell’obbligo di versamento, a carico della parte ricorrente, dell’ulteriore importo a titolo di contributo unificato pari a quello dovuto per il ricorso a norma del comma 1 bis dello stesso articolo 13.