IL DANNO DA DATA PROTECTION E DA ILLEGITTIMA MONETIZZAZIONE DEI DATI PERSONALI

Il risarcimento del danno, ex art. 82 GDPR

Il tema del risarcimento del danno da violazione del GDPR, benché passi spesso in secondo piano rispetto alle sanzioni, è stato oggetto recentemente di plurimi interventi giurisprudenziali, che ne hanno consolidato i tratti principali, a cominciare dal riconoscimento (apparentemente scontato) che, sotto questo aspetto, oltre all’art. 82 debbono tenersi in conto i concetti e le regole delle normative civilistiche nazionali.

Nell’ultimo biennio (2023/2024), ci sono state almeno sei decisioni importanti (cinque della CGUE e una ordinanza della nostra Corte di Cassazione), tra cui la Sentenza della Corte di Giustizia del 21 dicembre 2023 (nella causa C‑667/21), che rappresenta una vera pietra miliare per il diritto al risarcimento del danno in ambito privacy.

I principi giurisprudenziali

Ecco, quindi, alcuni principi che emergono ormai chiari, sul punto:

- la mera violazione delle disposizioni GDPR non è sufficiente per conferire un diritto al risarcimento, a meno che questa violazione causi una lesione effettiva della riservatezza. Il danneggiato è quindi tenuto a dimostrare non solo l’avvenuta violazione di disposizioni del GDPR, ma anche che la stessa gli abbia causato il danno che lamenta.

- La violazione di disposizioni del GDPR che conferiscono diritti all’interessato non è, pertanto, di per sé sufficiente a costituire un «danno immateriale», ai sensi di tale disposizione, indipendentemente dal grado di gravità del danno subito dall’asserito danneggiato.

- una norma o una prassi nazionale che subordini il risarcimento di un danno immateriale, alla condizione che il danno subito dall’interessato abbia raggiunto un certo grado di gravità è contraria al GDPR.

- il danno non è solo una questione di perdita economica (perdite finanziarie dirette o danni tangibili), ma include anche aspetti immateriali come lo stress psicologico, la violazione della dignità personale o la perdita del controllo sui propri dati personali.

- Il grado di colpa non rileva per la quantificazione del danno, cioè nel calcolare l’importo del risarcimento del danno riconosciuto a titolo di danno immateriale.

- Il risarcimento ha funzione prettamente e solo compensativa: l’importo del risarcimento dovrebbe essere calcolato sulla base del danno effettivamente subito dalla persona danneggiata, onde ristabilire la situazione che sarebbe esistita se non ci fosse stata la violazione del GDPR, senza includere elementi punitivi o dissuasivi.

- In merito al calcolo del risarcimento, il GDPR lascia agli Stati membri la discrezione di applicare le proprie normative nazionali, purché rispettino i principi di equivalenza ed effettività del diritto dell’Unione. Il calcolo del risarcimento può quindi variare da uno Stato membro all’altro, a seconda delle leggi nazionali.

L’esonero da responsabilità del titolare

È poi interessante, nello specifico, un ulteriore punto stabilito dalla CGUE, nella sentenza 11 aprile 2024 (causa C-741/21), che riguarda la possibilità del titolare del trattamento di essere esonerato dalla responsabilità, dimostrando che il danno sia stato causato dall’errore di una persona che agisca sotto la sua autorità.

La Corte ha ricordato che le persone che agiscono sotto l’autorità del titolare del trattamento - come i suoi dipendenti - e che hanno accesso a dati personali, possono trattare tali dati solo su sue istruzioni e conformemente alle stesse; e che il titolare stesso deve adottare misure per garantire che qualsiasi persona fisica che agisca sotto la sua autorità, e abbia accesso a tali dati, li tratti solo su sua istruzione, per cui spetta al titolare stesso assicurarsi che le sue istruzioni siano correttamente applicate dai propri dipendenti, non potendo sottrarsi alla propria responsabilità ai sensi dell’articolo 82, paragrafo 3, del GDPR semplicemente invocando una negligenza o un inadempimento di una persona che agisce sotto la sua autorità.

In tali casi, pertanto, il titolare potrà beneficiare dell’esonero da responsabilità solo se provi che non sussiste alcun nesso di causalità tra l’eventuale violazione dell’obbligo di protezione dei dati ad esso incombente e il danno subito dall’interessato.

Responsabilità in caso di attacco informatico subito dal titolare del trattamento

Con la sentenza del 14 dicembre 2023 (C-340/21), la Corte di Giustizia ha poi chiarito le responsabilità del titolare del trattamento in relazione all'adeguatezza delle misure adottate per la protezione dei dati personali e alla responsabilità derivante da un data breach derivante da un attacco informatico ad opera di cyber-criminali, stabilendo che egli possa esimersi dall’obbligo di risarcire il danno solo se sia in grado di dimostrare (positivamente) che non sussista alcun nesso di causalità tra la sua eventuale violazione e il danno subito dall’interessato. Un attacco informatico esterno, quindi, di per sé non esonera il titolare dalla sua responsabilità ex articolo 82 GDPR.

Il danno da timore che i dati personali possano essere oggetto di un futuro utilizzo abusivo

I Giudici di Lussemburgo si sono pronunciati sulla risarcibilità del danno immateriale, concludendo che anche il semplice timore che i dati personali possano essere oggetto di un futuro utilizzo abusivo da parte di terzi, può costituire, appunto, danno immateriale risarcibile.

Il titolare deve infatti garantire un livello adeguato di protezione delle persone fisiche, che può essere garantito solo includendo, fra i danni immateriali rientranti nell’articolo 82, “le situazioni in cui un interessato si avvale unicamente del suo timore che i suoi dati siano oggetto di un utilizzo abusivo da parte di terzi, in futuro”.

Spetterà poi alle Corti nazionali adite verificare, di volta in volta, che il timore fatto valere sia effettivamente fondato, in base alle circostanze specifiche del caso.

La giurisprudenza italiana

La Cassazione civile, con ordinanza n. 13073 del 12.05.2023, si va ad allineare con questa giurisprudenza comunitaria, superando un precedente orientamento più restrittivo in punto di risarcimento del danno non patrimoniale da violazione della normativa privacy.

Gli ermellini si confrontano con la pregressa interpretazione dell’art. 15 del D.lgs. 196/03, laddove si sosteneva che il diritto al risarcimento dovesse sottostare “alla verifica della gravità della lesione e della serietà del danno…” ed operare il bilanciamento con il “principio di tolleranza della lesione minima”.

Ebbene, essi precisano ora che la tolleranza della lesione minima deve essere intesa nel senso che “…non è tale da determinare una lesione effettiva del diritto la mera violazione delle prescrizioni poste in tema di trattamento…” (così adeguandosi pienamente alla Giurisprudenza della CGUE), “…ma lo è invece quella violazione che concretamente offenda la portata effettiva del diritto alla riservatezza del dato…”.

In sostanza, il semplice trattamento dei dati personali in violazione della normativa privacy, non determina automaticamente, ex se, un danno risarcibile, a meno che tale trattamento illegittimo non sia accompagnato dalla lesione effettiva della riservatezza (che, nel caso di specie, si sarebbe verificata con la pubblicazione sull’Albo Pretorio, dei dati personali di un dipendente comunale, relativa al pignoramento di quota parte del suo stipendio).

Le scuse come adeguato risarcimento del danno

Da ultima, si segnala una interessante sentenza della CGUE (Ottava Sezione) del 4 ottobre 2024 (nella causa C-507/23), riguardante una richiesta di pronuncia pregiudiziale sull'interpretazione dell'articolo 82(1) del Regolamento Generale sulla Protezione dei Dati (GDPR).

I Giudici di Lussemburgo, dopo aver ribadito che il danno risarcibile non è in re ipsa (ma l’interessato deve fornire la prova della sussistenza di un danno effettivo e di un nesso causale tra tale danno e la violazione del GDPR) e che l'intenzionalità o la gravità della violazione non influiscono sull'ammontare del risarcimento (che deve sempre rispecchiare il danno reale subito) erano chiamati a stabilire se l'articolo 82 del GDPR consentisse che, a determinate condizioni, le scuse potessero anche costituire l'unico risarcimento per danni non materiali.

La Corte di Giustizia ha risposto che sì, la presentazione delle scuse può essere considerata una forma di risarcimento per danni non materiali, se il Giudice ritiene che tali scuse possano compensare pienamente il danno subito, rispettando appunto i principi di equivalenza ed efficacia.

La verifica di tali condizioni spetta chiaramente ai tribunali nazionali: ma la Corte dell’Unione ha in questo modo sdoganato una interessante via per il risarcimento dei danni immateriali.

Il danno da illegittima monetizzazione dei dati personali

Visto l’ampio dibattito che da tempo si sta svolgendo (ed a cui ho personalmente dato un piccolo contributo, con questo articolo: https://www.linkedin.com/pulse/facebook-e-paywall-lesatto-valore-della-pubblicita-o-marco-cuniberti-yylqe/?trackingId=R%2FC9nWd71xKlmIKeQzYf3g%3D%3D) sulla liceità o meno della valorizzazione economica dei dati personali (cioè la loro monetizzazione), è naturale chiedersi se, nei casi in cui questi siano stati valorizzati economicamente senza il necessario consenso (o comunque in modo illecito) vi siano danni risarcibili.

E, in tal caso, di quali danni si tratti.

Ebbene, prima di arrivare all’applicazione dell’art. 82 GDPR, si potrebbe individuare una responsabilità precontrattuale (ai sensi degli artt. 1337 e 1338 cod. civ.), laddove il titolare del trattamento, nello svolgimento delle trattative e nella formazione dell’accordo con l’interessato per fargli prestare il consenso, non si sia comportato secondo buona fede (ad esempio non informando adeguatamente o, peggio ancora, fornendo informazioni false o incomplete); ovvero, conoscendo o dovendo conoscere l'esistenza di una causa di invalidità dell’accordo (per i motivi più disparati), non ne abbia dato notizia all'interessato.

Ma si potrebbe parlare anche di risarcimento del danno da responsabilità contrattuale (ex art. 1218), laddove il titolare tratti i dati dell’interessato (monetizzandoli) appunto in base ad un rapporto contrattuale, ma non adempia compiutamente ai propri obblighi (ad esempio quelli assunti nell’informativa), con ogni relativa conseguenza (ad esempio il maggiore termine di prescrizione). 

Arrivando all’art. 82 GDPR e alla giurisprudenza cui si è accennato, occorre chiedersi quale tipo di danno sussista in questo caso e come quantificarlo.

Si potrebbe sostenere, ad esempio, che se Meta quantifica, per l’iscrizione ad uno dei suoi social network, il valore dei nostri dati in circa 13 euro/mese (cioè l’importo richiesto per l’abbonamento, in caso di mandato consenso alla profilazione pubblicitaria), tale importo possa essere utilizzato come base per il calcolo.

E perché non parlare addirittura di lucro cessante, visto che è la stessa Meta (nell’esempio di cui sopra) a chiarire implicitamente a quanto ammonta la monetizzazione dei dati del suo utente, un guadagno cui l’interessato non ha mai potuto partecipare (anche perché inconsapevole delle cifre), quantomeno fino al momento in cui, finalmente, il colosso statunitense non ha offerto l’alternativa a pagamento.

Vi è infine un altro aspetto a cui la giurisprudenza fa riferimento come causa di risarcibilità ed è la perdita del controllo sui propri dati personali, che in questo caso parrebbe senz’altro ricorrere.

Conclusioni

In merito al risarcimento del danno da violazione delle norme sul trattamento dei dati personali, debbono poi considerarsi anche altri fattori ai fini sia della quantificazione, sia dell’opportunità del risarcimento: come, ad esempio, motivi reputazionali e di immagine del danneggiante (in caso di risarcimento, la transazione dovrà pertanto essere coperta da un robusto NDA), oppure il rischio derivante anche solo dal subire/coltivare un reclamo davanti all’Autorità (“minaccia” spesso brandita da chi chiede il risarcimento in fase stragiudiziale e che “costringe” spesso il titolare a risarcire somme decisamente superiori al reale valore del danno cagionato). 

È chiaro quindi come il risarcimento del c.d. “danno privacy” rappresenti, da un lato, uno strumento essenziale per garantire all’interessato la tutela dei suoi diritti sanciti dal GDPR; e, dall’altro, un argomento di particolare importanza non solo per i giuristi, ma anche per gli enti e le aziende, che debbano calcolare i rischi che comportino i trattamenti dagli stessi effettuati.