Tutela privacy, danno non patrimoniale automatico se il datore di lavoro non ne dimostra l’irrilevanza

di Giulia Bifano e Uberto Percivalle

14 Giugno 2018

Il danno non patrimoniale a carico del datore di lavoro che abbia trattato i dati personali del dipendente in violazione della norme a tutela della privacy è automatico, a meno che lo stesso datore non abbia adottato tutte le misure idonee a evitarlo o sia in grado di dimostrarne l'assenza o quantomeno la sostanziale irrilevanza.

Lo ha chiarito la Corte di cassazione con l'ordinanza 14242/2018, decidendo sulla vicenda di un dipendente dell'agenzia delle Dogane e dei Monopoli che, a seguito dell'avvio da parte della Procura della Repubblica di un'indagine che lo riguardava, veniva trasferito presso un altro ufficio. Tuttavia, il provvedimento di trasferimento che riportava nelle motivazioni le vicende giudiziarie del dipendente veniva adottato dall'Amministrazione utilizzando il protocollo ordinario, idoneo a rendere accessibile a tutti i dipendenti dell'Agenzia - e dunque di dominio pubblico - l'informazione sul coinvolgimento di quest'ultimo nelle indagini.

Proposto ricorso al Garante della privacy per vedere accertata la natura illegittima della condotta datoriale tenuta in violazione delle norme a tutela dei dati giudiziari, il dipendente ha visto dapprima rigettate le proprie richieste in ragione del fatto che il trattamento appariva finalizzato a garantire una corretta esecuzione del rapporto di lavoro. Il dipendente si è così rivolto al Tribunale di Roma che, nell'accoglierne le ragioni, gli ha riconosciuto il diritto al risarcimento del danno non patrimoniale sofferto. Decisione, questa, confermata dalla Corte di cassazione, la quale, investita della questione, ha in particolare dichiarato infondato il motivo di ricorso proposto dall'Agenzia relativo alla mancata prova da parte del dipendente del danno non patrimoniale, nonché del nesso causale tra la violazione commessa e il danno patito.

La Corte ha precisato che «la sola circostanza che i dati siano stati utilizzati dal titolare o da chiunque in modo illecito o scorretto non è idonea di per sé a legittimare l'interessato a richiedere il risarcimento del danno non patrimoniale» e deve dunque in ogni caso essere effettuata dal giudice la verifica circa la gravità della lesione e la serietà del danno. È altrettanto innegabile, però, che una volta accertata l'esistenza della violazione idonea a ledere «in modo sensibile» la portata effettiva della norma in materia di modalità del trattamento e requisiti dei dati, le conseguenze dannose non patrimoniali del danno cagionato all'interessato da quel titolare del trattamento - o da qualsiasi danneggiante- che non abbia adottato tutte le misure idonee a prevenirlo, devono essere considerate automaticamente esistenti (in ciò richiamando l'articolo 2050 del codice civile, secondo cui «chiunque cagiona danno ad altri nello svolgimento di un'attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno»).

Il titolare del trattamento o il danneggiato possono andare esenti da responsabilità qualora siano in grado di dimostrare l'inesistenza o l'irrilevanza del danno cagionato, o il fatto che il danneggiato abbia perfino tratto vantaggio dalla divulgazione dei dati. In assenza di queste circostanze, dunque, il giudice dovrà disporre il risarcimento del danno nella misura che potrà stabilire in via equitativa o sulla base delle allegazioni del danneggiato, considerando tale danno automaticamente connaturato alla violazione.
Alla luce di questa decisione, presa sulla base delle norme del Codice privacy a pochi giorni dall'entrata in vigore del Regolamento generale sulla protezione dei dati (Gdpr) vale la pena chiedersi cosa e quanto sarebbe mutato se la stessa si fosse fondata proprio sulle disposizioni del regolamento europeo.

Lo schema di decreto attuativo del regolamento europeo, attualmente all'esame della Camera, prevede, tra l'altro, l'abrogazione del Titolo III del Codice privacy e con esso il richiamo all'articolo 2050 del Codice civile. Non è detto, però, che l'assenza di un richiamo espresso porti a una modifica effettiva del regime probatorio. Per un verso, infatti, i giudici potrebbero continuare a considerare il trattamento di dati come “attività pericolosa” e così applicare l'articolo 2050 anche senza un esplicito rinvio a tale norma. Per altro verso l'articolo 82 del Gdpr, anche se diverso («Il titolare del trattamento… è esonerato dalla responsabilità … se dimostra che l'evento dannoso non gli è in alcun modo imputabile»), non avrebbe dovuto portare, in questo caso, a conclusioni molto diverse.

L'ordinanza n. 14242/18 della Corte di cassazione