Tema svolto di diritto civile: la natura della responsabilità in materia di privacy
PREMESSI BREVI CENNI SUL REGIME DI RESPONSABILITA’ PREVISTO IN MATERIA DI ILLEGITTIMO TRATTAMENTO DEI DATI PERSONALI, IL CANDIDATO AFFRONTI LE PROBLEMATICHE CONNESSE ALL’INDIVIDUAZIONE DELL’INTERESSE PROTETTO, AI RAPPORTI CON LA FATTISPECIE DI CUI ALL’ART. 2050 CC. E AI CRITERI DI IMPUTAZIONE DELLA RESPONSABILITA’,
di Elena Guerri
Tra le ipotesi di responsabilità speciali codicistiche, l’art. 2050 cc. disciplina la responsabilità civile derivante dall’esercizio di attività pericolose, per sua natura o per la natura dei mezzi adoperati.
Il danneggiante, dispone l’articolo in questione, è tenuto al risarcimento del danno conseguente se non prova di avere adottato tutte le miure idonee ad evitare il dnano.
Innanzitutto, per attività pericolosa deve intendersi non solo quella così definita dalla legge ma ogni attività che, in base al naturale dinamisno dei mezzi utilizzati, può essere ritenuta pericolosa non solo statisticamente, ma anche qualitativamente, ovvero in base al tipo di lesioni che può provocare.
A seguito della previsione di tale norma, sconosciuta dal codice civile del 1865, sia la dottrina sia la giurisprudenza avevano ritenuto si trattasse di responsabilità soggettiva basata sulla colpa presunta, con inversione probatoria rispetto a quanto diposto dal principio generale di cui all’art. 2043 cc.
Infatti, secondo l’art. 2050 cc., il danneggiato agirà in giudizio provando solo il nesso causale tra condotta del danneggiante ed evento ed il soggetto che esercita una attività pericolosa risponderà del danno cagionato per colpa presunta, potendo liberarsi dall’obbligo di risarcimento unicamente se proverà di avere adottato tutte le misure idonee ad evitare il danno, ovvero provando di essere stato diligente.
Secondo altra parte della dottrina, si trattava sì di responsabilità colposa ma aggravata dal dovere di utilizzare una diligenza estrema, come ricavabile dalla lettura della norma, che usa elementi rafforzativi con l’espressione misure idonee ad evitare il danno: gli era così attribuito un grado maggiore di diligenza, come specifica meticolosità nell’adozione delle misure di sicurezza.
Questa posizione è stata criticata da quanti hanno osservato come la colpa vada vista unitariamente, tenendo conto del comportamento dell’uomo di media e normale diligenza, il cd. bonus pater familias, il quale nell’esercitare attività pericolose, di sicuro pone in atto tutte quelle misure possibili affinchè possano essere evitati eventi dannosi.
L’orientamento prevalente ritiene che si tratti di una vera responsabilità oggettiva. Ai sensi dell’art. 2050 cc., infatti, non sarebbe tanto importante il comportamento umano in senso stretto, quanto, piuttosto, lo stesso svolgimento dell’attività pericolosa.
Infatti, il soggetto chiamato a rispondere è colui che ha il controllo dell’attività al momento del danno, sul solo presupposto dell’oggettiva mancanza delle misure protettive idonee, non essendogli sufficiente, per ottenere l’esonero, la prova di essere personalmente incolpevole. Infatti, la valutazione rihiesta dalla norma concerne l’attività nella sua interezza e non il comportamento personale del responsabile.
Il principio generale della responsabilità extracontrattuale è che l’illecito deve presentare tra i suoi requisiti l’elemento soggettivo della colpa o del dolo; tuttavia, la legge, per motivi di tutela delle parti danneggiate, talvolta, ha preso in considerazione numerose ipotesi di responsabilità oggettiva, per le quali si risponde del fatto dannoso anche se si è commesso sensa dolo o colpa.
Il principio della responsabilità oggettiva si fonda sulla semplice esistenza di un nesso di causalità tra il fatto e l’evento dannoso, per cui si è responsabili nel caso che l’evento dannnoso stesso sia una conseguenza, prevedibile secondo il criterio della causalità, dell’azione od omissione posta in essere.
Nell’ipotesi di cui all’art. 2050 cc., chi causa il danno nell’esercizio di un’attività pericolosa ne risponde indipendentemente da ogni sua colpa e quindi anche se, al momento del fatto, ha improntato il proprio comportamento alla massima diligenza, prudenza e perizia. L’onere probatorio equivale alla dimostrazione del fortuito, ovvero dell’imprevedibile ed inevitabile. Le mancate precauzioni dell’esercente non sono di per sè sufficienti ad imputare la responsabilità in capo all’autore del danno, necessitando l’esistenza del nesso eziologico, la cui prova è a carico del danneggiato, tra l’esercizio dell’attività e l’evento dannoso, non potendo l’attore essere investito da una presunzione di responsabilità rispetto ad un evento che non è ad esso riconducibile.
I danni per cause ignote rimangono a carico di chi esercita l’attività se non ha predisposto i necessari accorgimenti preventivi. Al contrario, se chi esercita l’attività ha predisposto le misure necessarie, potrà essere ritenuto esente da responsabilità anche se le cause produttive del danno rimangono ignote.
D’altra parte, è anche possibile che, per l’esercizio di una determinata attività ritenuta pericolosa, la scienza e la tecnologia non offrano ancora valide misure idonee a prevenire i danni: in questo caso il soggetto che la esercita lo fa a proprio rischio, con l’eventualità di non poter fornire alcuna valida prova liberatoria.
Quest’ultima, quindi, non alle modalità del fatto dannoso, ma alle modalità di organizzazione dell’attività pericolosa. La dottrina e la giurisprudenza ritengono necessaria e sufficiente la predisposizione di tutte le misure allo stato offerte dalla tecnica: occorre, cioè, dimostrare che non si poteva fare altrimenti.
Di fatto, comunque, è difficile stabilire a priori quali siano le misure idonee a prevenire un danno, non a caso tale prova liberatoria è ritenuta da alcuni probatio diabolica.
Il D. Lgs. 196/03 (cd. Testo Unico sulla Privacy) riconosce il diritto del singolo sui propri dati personali e, conseguentemente, alla disciplina delle diverse operazioni di gestione, cd. trattamento, dei dati, riguardanti la raccolta, l’elaborazione, il raffronto, la cancellazione, la modificazione, la comunicazione o la diffusione degli stessi.
All’art. l viene riconosciuto il diritto assoluto di ciascuno sui propri dati, affermando testualmente che chiunque ha diritto alla protezione dei dati personali che lo riguardano, trattandosi di un diritto della personalità.
Lo scopo della legge è quello di evitare che il trattamento dei dati avvenga senza il consenso dell’avente diritto, ovvero in modo da recargli pregiudizio.
Nel Testo Unico sulla Privacy, al Titolo II, articoli da 8 a 10, sono definiti i diritti degli interessati, la modalità di raccolta e i requisiti dei dati, gli obblighi di chi raccoglie, detiene o tratta dati personali e le responsabilità e sanzioni in caso di danni.
Ai sensi dell’art. 4, comma primo, lettera b), per dati personali si intendono le informazioni relative alla persona fisica, giuridica, ente o associazione, identificati o identificabili, anche indirettamente.
I dati giudiziari sono quei dati personali in materia di casellario giudiziale, relativi ai carichi giudiziari pendenti.
Sono sensibili quelli la cui raccolta e trattamento sono soggetti sia al consenso dell’interessato, sia all’autorizzazione preventiva del Garante per la protezione dei dati personali, circa l’origine razziale, le opinioni politiche, lo stato di salute, la vita sessuale.
L’art. 15, sotto la rubrica Danni cagionati per effetto del trattamento prevede che Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’art. 2050 cc.
Sotto il Titolo V sono disciplinate le misure di sicurezza. L’art. 31 prevede che i dati personali oggetto del trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. L’art. 33 aggiunge che ..i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell’art. 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali.
Come si è scritto, l’art. 15 richiama espressamente l’art. 2050 cc.: dottrina e giurisprudenza, dal tempo della sua entrata in vigore, si interrogano circa la natura di tale richiamo.
Secondo una prima impostazione, il richiamo sta a significare che l’attività di trattamento dei dati personali è in sé pericolosa, in base al particolare valore dell’oggetto giuridico tutelato dalla norma, collegato ai diritti fondamentali della persona, ai sensi dell’art. 2 Cost., quali il diritto all’identità personale ed alla riservatezza.
Sempre basandosi su questa impostazione, alcuni ritengono che la disciplina di cui all’art. 2050 cc. sia utilizzabile solo in caso di violazione di diritti fondamentali, mentre per ogni altro pregiudizio debba applicarsi il disposto di cui all’art. 2043 cc.
Stando ad una seconda ricostruzione, invece, il trattamento dei dati personali non costituirebbe attività pericolosa: pericolosa sarebbe solo la condotta, ovvero la pericolosità sorge per errore o colpea nell’uso dei mezzi. In questa ottica, il richiamo all’art. 2050 cc., varrebbe solo per estendere alla norma in questione la disciplina della responsabilità oggettiva.
Ovvero, la previsione di tale articolo, richiamando espressamente l’art. 2050 cc., stabilisce, quindi, che chiunque cagionerà un danno per effetto del trattamento di dati personali sarà tenuto al risarcimento, se non proverà di avere adottato tutte le misure idonee ad evitare il danno. Si attua, così, un’inversione dell’onere della prova e non sarà necessario, per il danneggiato, provare il dolo o la colpa nella condotta che ha cagionato il danno, bensì sarà la parte chiamata in causa a dover provare di aver adottato tutte le misure idonee ad evitare il danno.
In tale contesto, si ricorda una sentenza di pochi anni fa emessa dal Tribunale di Pordenone che ha condannato una Azienda Ospedaliera per l’illecita comunicazione di dati inerenti lo stato di salute di una paziente.
Una paziente aveva richiesto espressamente al personale ospedaliero che il proprio stato di extossicodipendente in terapia con metadone non venisse rivelato ai propri parenti. Ma, nonostante detta esplicita richiesta, durante una visita da parte di una sorella, le veniva chiesto in presenza di quest’ultima dalla caposala quando voleva che le portasse il metadone. Tale rivelazione aveva portato i parenti della paziente a cessare i loro rapporti con quest’ultima a tal punto da non presentarsi neanche al suo matrimonio.
Gli indubbi danni non patrimoniali subiti dalla ricorrente sono stati alla base della condanna per la mancata adozione di misure di sicurezza idonee ad evitare la illecita comunicazione di dati personali inerenti lo stato di salute della paziente stessa.
Il giudice, infatti, ha riconosciuto che non solo il Codice della Privacy all’art. 83 c. 1 e 2 lett. c) e d) impone l’adozione di misure di sicurezza in grado di prevenire, durante i colloqui, l’indebita conoscenza da parte di terzi di informazioni idonee a rivelare lo stato di salute e tali da evitare che le prestazioni sanitarie avvengano in situazioni di promiscuità derivanti dalle modalità o dai locali prescelti, ma anche il codice deontologico di medici e infermieri sanziona tali condotte.
Il Giudice si è, quindi, soffermato sulla natura della responsabilità derivante da tale illecito trattamento aderendo all’interpretazione dottrinale secondo la quale, in tali casi, non vi sia solo una semplice inversione dell’onere della prova ma si realizzi una forma di vera e propria responsabilità oggettiva.
In ogni caso, sottolinea il Giudice, l’Azienda Ospedaliera non aveva comunque fornito alcuna prova di aver adottato tutte le misure possibili onde evitare il fatto oggetto di accertamento, la responsabilità ex art. 15 Codice della Privacy deve essere valutata in concreto, in base all’attività del titolare, del responsabile, dell’incaricato del tarttamento, effettivamente esercitata nella fattispecie reale, alla luce dei poteri decisionali e all’autonomia posseduta.
Tuttavia, a prescindere dalle due impostazioni innanzi riportate, poco rileva se il trattamento dei dati personali costituisca un’ attività qualificabile ex se come pericolosa o sia, invece, assimilabile ad essa soltanto sul piano del regime probatorio, in entrambi i casi essendo il danneggiante sollevato dall’onere risarcitorio solo con la prova del fortuito.
Ai fini civilistici, acuta dottrina osserva come chi esercita l’attività pericolosa non dovrà e non potrà accontentarsi dell’adozione delle misure minime di sicurezza, previste dal Codice della Privacy, se allo stato delle conoscenze tecniche si conoscano misure più efficaci. L’adempimento delle misure minime previste dal Codice, implica, infatti, unicamente l’esonero dalle responsabilità penali di cui all’articolo 169 del Codice privacy stesso.
La tutela civilistica offerta dal Codice della Privacy è particolarmente interessante, poi, sotto il profilo delle voci di danno risarcibili, che ricomprendono sia il danno patrimoniale, sia quello non patrimoniale.
La Corte di Cassazione ha precisato che il danno non patrimoniale debba essere inteso come categoria ampia, comprensiva di ogni ipotesi in cui sia leso un valore inerente alla persona, non esaurendosi nel danno morale soggettivo. Ne consegue la possibilità di risarcire anche un danno che derivi da un illecito non qualificabile come illecito penale.
Tra le sempre più numerose sentenze, si può riscontrare che è stato accordato il risarcimento del danno non patrimoniale in caso di: pubblicazione di immagini senza il consenso, invio di pubblicità commerciale non richiesta, diffusione di dati senza il consenso, svolgimento di indagini sulla solvibilità svolte illecitamente, illecita diffusione su un quotidiano di nome, indirizzo della vittima di un furto.
La tutela civile in materia di riservatezza è favorita da un ulteriore aspetto: il Legislatore ha accordato alle richieste di risarcimento danni per violazione della privacy una procedura giudiziale, diversa da quella ordinaria, estremamente vantaggiosa.
È previsto infatti che, in caso di pericolo, di un danno grave o irreparabile, il giudice può emanare provvedimenti urgenti con decreto motivato, fissando poi l’udienza di comparizione entro quindici giorni. Il giudice dispone i mezzi di prova omettendo ogni formalità non necessaria al contraddittorio tra le parti e al termine dell’istruttoria, una volta precisate le conclusioni, nella stessa udienza, si procede alla discussione orale e subito dopo il giudice pronuncia la sentenza. (Art. 152. Autorità giudiziaria ordinaria, 1. Tutte le controversie che riguardano, comunque, l’applicazione delle disposizioni del presente codice, comprese quelle inerenti ai provvedimenti del Garante in materia di protezione dei dati personali o alla loro mancata adozione, sono attribuite all’autorità giudiziaria ordinaria. 2. Per tutte le controversie di cui al comma 1 l’azione si propone con ricorso depositato nella cancelleria del tribunale del luogo ove risiede il titolare del trattamento…. 5. La proposizione del ricorso non sospende l’esecuzione del provvedimento del Garante. Se ricorrono gravi motivi il giudice, sentite le parti, può disporre diversamente in tutto o in parte con ordinanza impugnabile unitamente alla decisione che definisce il grado di giudizio. 6. Quando sussiste pericolo imminente di un danno grave ed irreparabile il giudice può emanare i provvedimenti necessari con decreto motivato, fissando, con il medesimo provvedimento, l’udienza di comparizione delle parti entro un termine non superiore a quindici giorni. In tale udienza, con ordinanza, il giudice conferma, modifica o revoca i provvedimenti emanati con decreto. 7. Il giudice fissa l’udienza di comparizione delle parti con decreto con il quale assegna al ricorrente il termine perentorio entro cui notificarlo alle altre parti e al Garante. Tra il giorno della notificazione e l’udienza di comparizione intercorrono non meno di trenta giorni.8. Se alla prima udienza il ricorrente non compare senza addurre alcun legittimo impedimento, il giudice dispone la cancellazione della causa dal ruolo e dichiara l’estinzione del processo, ponendo a carico del ricorrente le spese
di giudizio. 9. Nel corso del giudizio il giudice dispone, anche d’ufficio, omettendo ogni
formalità non necessaria al contraddittorio, i mezzi di prova che ritiene necessari e può disporre la citazione di testimoni anche senza la formulazione di capitoli. 10. Terminata l’istruttoria, il giudice invita le parti a precisare le conclusioni ed a procedere, nella stessa udienza, alla discussione orale della causa, pronunciando subito dopo la sentenza mediante lettura del dispositivo. Le motivazioni della sentenza sono depositate in cancelleria entro i successivi trenta giorni. Il giudice può anche redigere e leggere, unitamente al dispositivo, la motivazione della sentenza, che è subito dopo depositata in cancelleria…12. Con la sentenza il giudice, anche in deroga al divieto di cui all’articolo 4 della legge 20 marzo 1865, n. 2248, allegato E), quando è necessario anche in relazione all’eventuale atto del soggetto pubblico titolare o responsabile, accoglie o rigetta la domanda, in tutto o in parte, prescrive le misure necessarie, dispone sul risarcimento del danno, ove richiesto, e pone a carico della parte soccombente le spese del procedimento. 13. La sentenza non è appellabile, ma è ammesso il ricorso per cassazione).
Trattasi di un procedimento snello, che assicura una rapida soluzione della controversia. L’unico lato negativo è la competenza che spetta al Tribunale del luogo ove risiede il titolare del trattamento dei dati, ovvero l’esercente l’attività pericolosa. Tale previsione può essere, come da molti osservato, onerosa per l’interessato.
