La Cassazione chiarisce quando è possibile ottenere un risarcimento per ingiustificata circolazione dei proprio dati anagrafici
Secondo quanto stabilito dall’art. 15 del codice Privacy, ossia la legge n. 196/2003 di recente riformata dal Gdpr, chiunque cagiona danni ad altri in conseguenza del trattamento di dati personali è tenuto al risarcimento del danno ai sensi dell’art. 2050 del codice civile.
Un’azienda responsabile del trattamento dei dati personali sarà tenuta al risarcimento dei danni se non dimostra di aver adottato tutte le misure ritenute necessarie alla tutela della privacy dell’utente.
Di contro, la società potrebbe esonerarsi da qualsiasi tipo di responsabilità qualora riuscisse a dimostrare di aver adoperato con la dovuta diligenza, tutti i parametri di sicurezza materialmente esistenti.
Non tutte le fattispecie di lesione della privacy sono, quindi, indennizzabili.
La Corte di Cassazione con la sentenza n. 29982/2020 ha stabilito che il diritto al risarcimento del danno, in caso di propagazione di dati personali potrà concretizzarsi se si dimostra un nesso causale tra il comportamento della società e il danno subito dal cliente. Oltre alla gravità e serietà del danno legata all’illegittima circolazione dei propri dati anagrafici.
Cosa stabilisce la sentenza n. 29982/2020?
Il principio affermato dalla Cassazione con la recente sentenza n.29982 del 2020 respinge la richiesta di risarcimento “automatico” per diffusione di dati personali senza alcuna rimostranza da parte dell’attore, del danno subito.
Il risarcimento del danno non patrimoniale dovrà, necessariamente, essere giustificato da un evento grave capace di provocare conseguenze negative all’utente.
La Suprema Corte, nello specifico, ha chiarito che il risarcimento potrà essere accordato solamente se in conseguenza alla circolazione di tali dati personali il cliente dimostri un danno gravoso, tangibile ed effettivo e la società non palesi di aver utilizzato tutte le tecniche di protezione dati necessarie per proteggere i propri mezzi informatici da possibili attacchi hacker.
Nel caso di data breach, sia parziale che totale, la possibilità del risarcimento si ricollega al concreto verificarsi di un evento capace di arrecare una lesione al diritto alla privacy di ciascun cliente.
Non saranno presi in considerazione ai fini risarcitori i danni di tenue misura, ovverosia, eventi che non hanno determinato alcun risultato dannoso all’interessato e appartenenti ad una sfera di comune tollerabilità civile.
Per ottenere un risarcimento per ingiustificata circolazione di informazioni personali sarà, dunque, necessario dare prova di un nesso causale tra il danno patito e l’evento, la rilevanza del danno dovrà essere seria oltre che grave e, infine, la società dovrebbe non aver predisposto tutte le misure di tutela disponibili per contrastare possibili attacchi da parte di chi si insinua abusivamente in una rete informatica.