Premessi brevi cenni sulla responsabilità d’impresa chiarisca il candidato i profili relativi al danno da lesione della privacy con riferimento al trattamento dei dati giudiziari e bancari 

 

Premessi brevi cenni sulla responsabilità d’impresa chiarisca il candidato i profili relativi al danno da lesione della privacy con riferimento al trattamento dei dati giudiziari e bancari 

a cura di Carmen Oliva

La questione circa l’effettiva tutela del diritto alla privacy rappresenta una problematica di particolare evidenza nell’attuale periodo storico, sempre più caratterizzato dalla propagazione veloce e diffusa dei dati personali, anche attraverso gli strumenti informatici di nuova tecnologia. Non a caso le ipotesi di violazione dei dati sono sempre più frequenti, non solo nell’ambito dei rapporti personali, ma anche in quello  dei rapporti lavorativi, tanto che le stesse imprese, per non incorrere in responsabilità, sono tenute ad adottare  gli strumenti necessari per proteggere i dati personali dei dipendenti.

Dunque, il trattamento dei dati è, di per sé, un’attività che espone le imprese ad un “rischio”: quello della possibile manipolazione,  divulgazione o uso illecito degli stessi. Tale “rischio” è giuridicamente accettato dall’ordinamento, ma l’utilità economica e/o sociale di tale attività deve essere compensata da un sistema di tutele idonee a ripristinare il patrimonio giuridico dell’interessato che risulti danneggiato.

Ciò premesso, come è noto, l’attività imprenditoriale presuppone in generale una responsabilità civile in capo a colui che ha il controllo dell’attività al momento in cui il danno si è prodotto.

Tale  considerazione è desumibile dal generale principio stabilito dal codice civile all’ art. 2043 c.c. in tema di responsabilità extracontrattuale, secondo cui “ qualunque fatto doloso o colposo che cagiona ad altri un danno ingiusto, obbliga colui che ha commesso il fatto a risarcirlo”.

Tale norma, come sappiamo, richiede quali criteri di imputazione della responsabilità,  la colpa e il dolo, i quali, per antonomasia, rappresentano gli elementi costitutivi del diritto al risarcimento del danno.

Nel contesto della responsabilità civile da illecito, però,  si innestano  anche alcune disposizioni, ( di responsabilità c.d. speciali) che spostano l’indagine, non più sulla colpa e il dolo quali elementi costitutivi del risarcimento, ma sulla rilevanza del caso fortuito e sulla circostanza di avere adottato tutti gli accorgimenti possibili e prevedibili per evitare il danno, per cui l’autore del fatto deve dimostrare l’esistenza della fortuità quale causa determinante dell’evento.

In particolare, l’art 2050 c.c., (responsabilità per l’esercizio di attività pericolose) che introduce un’ipotesi di responsabilità oggettiva,  stabilisce che “chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei mezzi adoperati , è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno”

Tale disposizione, pacificamente riferibile anche alle ipotesi in cui l’attività pericolosa sia svolta nell’esercizio dell’attività d’impresa, trova applicazione anche con riguardo all’attività di  trattamento dei dati personali,  la quale, secondo dottrina prevalente, rappresenta- per la sensibilità che caratterizza tali dati-  una un’attività in re ipsa “pericolosa” . Essa soggiace, quindi,  alla tutela codicistica in materia di ristoro del danno.

Tale affermazione è ancora più vera se si considerano le disposizioni in materia di trattamento dei dati personali.

I vertici dell’azienda o dell’impresa sono infatti considerati, rispetto alla raccolta e all’utilizzo dei dati personali di dipendenti e clienti, “Titolari del trattamento”, intendendosi per tale soggetto colui che decide circa il trattamento dei dati e le sue modalità.  In sostanza, si tratta del soggetto che determina le finalità e i mezzi del trattamento di dati, per cui un trattamento illecito degli stessi determina la sua  responsabilità.  Il responsabile del trattamento, invece, è la persona fisica, giuridica o l’autorità pubblica o qualsiasi altro organismo che tratta i dati personali per conto del titolare del trattamento. Nel caso del trattamento di dati personali all’interno di una struttura aziendale complessa, la nomina del responsabile da parte del Titolare può essere considerata a pieno titolo come una forma di delega di funzioni, quindi genera lo spostamento della responsabilità dal delegante al delegato, ferma la colpa in eligendo o in vigilando.

La Direttiva comunitaria 95/46, in tema di imputabilità, dispone che “i danni cagionati alle persone per effetto di un trattamento illecito dei dati devono essere riparati dal responsabile del trattamento, il quale può essere esonerato dalla propria responsabilità se prova che l’evento dannoso non gli è imputabile, segnatamente quando dimostra l’esistenza di un errore della persona interessata o un caso di forza maggiore”. E’ difficile per il titolare del trattamento dimostrare che il danno prodotto dal responsabile o dall’incaricato del trattamento non gli è in alcun modo riconducibile. Per riuscire in tale intento occorre provare di avere seguito le cautele del caso nella scelta del responsabile e dell’incaricato, nonché di avergli fornito la strumentazione e le indicazioni scritte necessarie e di avere vigilato adeguatamente sul loro operato.

Lo stesso decreto legislativo n. 196/2003, poi, richiama alle misure minime in materia di sicurezza, che si reputano,così,  vincolanti anche nel caso di trattamento di dati personali. La giurisprudenza, infatti, ha ritenuto che il Titolare debba dimostrare di avere rispettato tutte le tecniche di sicurezza note, anche solo astrattamente possibili,  all’epoca del fatto. Di conseguenza, è il titolare del trattamento dei dati personali che deve valutare la estensione di tali misure alla luce di una serie di parametri quali: il tipo di dato trattato, se comune o sensibile, la modalità di trattamento, se informatica e/o cartacea, l’ambito di diffusione, ecc.; dovrà inoltre tenere a mente il grado di evoluzione raggiunto al momento dagli sviluppi tecnologici. Qualora, invece, la mancata adozione di misure di sicurezza sia imputabile al responsabile del trattamento, a carico del titolare del trattamento dei dati può, a seconda dei casi, ricorrere una colpa in eligendo o una colpa in vigilando.

In epoca più recente, anche il Regolamento Europeo 2016/679 si è preoccupato di delineare, all’art 82, le responsabilità del titolare e del responsabile del trattamento stabilendo che : “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento“.

 La disposizione che, rispetto alla precedente, si colloca più nell’ottica del danneggiato che del danneggiante, afferma, dunque, il diritto dell’interessato ( in quanto danneggiato) di ottenere il risarcimento del danno sia patrimoniale che non patrimoniale. Tale diritto sorge nel momento in cui è stata posta in essere una condotta, attiva o omissiva, che costituisca violazione di una prescrizione del regolamento. Sono tenuti al risarcimento del danno il titolare o il responsabile del trattamento.

A tale disposizione si affianca quella di cui all’art 15, comma 1 del dlgs n. 196/2003 che, invece, è riferita a “chiunque”cagioni  un danno ad altri per il trattamento illecito di dati personali,  e non ai soli titolari o responsabili del trattamento. Entrambe le disposizioni, però, seppur diverse dal punto di vista soggettivo, sono riferite alla medesima condotta: il trattamento illecito dei dati personali.

Comunemente, si profila la responsabilità  per trattamento illecito dei dati personali quando non solo si notifica il falso al Garante per la privacy, ma, in generale, quando non vengono adottate le necessarie misure di sicurezza a tutela della privacy oppure i provvedimenti dettati dal Garante vengono disattesi. Nello specifico, per trattamento illecito dei dati personali si intende ogni azione commessa in violazione delle disposizioni dal Codice per la privacy al fine di trarre per sé o per altri profitto o di recare ad altri un danno.

La disposizione di riferimento in ordine al danno risarcibile è il sopra menzionato art. 15, comma 1 del dlgs 196/03, il quale stabilisce che “chiunque cagiona danno ad altri per effetto del trattamento dei dati personali è tenuto al risarcimento ai sensi dell’art 2050 del codice civile”.

Dunque,  chi a subito un danno per effetto del trattamento illecito dei danni personali può ottenere il risarcimento dei danni ex art 2050. C.c..  Nell’obbligo di risarcimento è ovviamente incluso l’obbligo di ristorare la parte danneggiata anche del danno non patrimoniale.

La norma richiamata (art 2050 c.c.), come sappiamo, stabilisce una presunzione di responsabilità civile extracontrattuale dalla quale scaturisce l’onere, a carico dell’esercente l’attività pericolosa, di dimostrare di avere adottato tutte le misure idonee ad evitare il danno. In merito all’onere della prova, non è sufficiente dimostrare la prova negativa, che consiste nella affermazione di non avere violato regole scaturenti da norme positive o dettate dalla comune prudenza, ma occorre dimostrare di avere adottato tutte le misure possibili per impedire l’evento dannoso (c.d. prova positiva). Tale dimostrazione risulterà fondata solo qualora si dimostri che tra l’attività pericolosa e l’evento dannoso non ci sia un nesso di causalità.

Attraverso l’art 15 si ha, quindi, un ampliamento relativamente al concetto di sicurezza nel trattamento dei dati personali, per cui qualora lo stesso si profili illegittimo e arrechi un danno al soggetto di cui i dati si tratta, opererà la presunzione di  cui all’art 2050 c.c..

Per dato personale, secondo quanto dispone il Codice della Privacy (D.lgs. 196/2003), si intende qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.

Per attività di trattamento dei dati personali, invece, si intendono le operazioni effettuate anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, il raffronto,l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati  (art. 4 co. 1 lett. A) del d. lgs. 196/03).

La natura dell’attività di trattamento dei dati personali è stata oggetto di un lungo dibattito, stante l’espresso richiamo del legislatore all’art 2050 c.c..

Secondo un orientamento che privilegia il dato letterale della disposizione, il trattamento dei dati personali si sostanzierebbe in un’ “attività pericolosa” perché proprio nell’art.. 15 d.lgs. 196/03, si fa riferimento all’art. 2050 c.c. che disciplina la responsabilità per l’esercizio di attività pericolose.

La Cassazione ha stabilito che “ si intendono per attività pericolose, in relazione al cui svolgimento opera la presunzione, oltre quelle prese in considerazione per la prevenzione degli infortuni e la tutela dell’incolumità pubblica, tutte quelle altre che, pur non essendo specificate o disciplinate, presentino una pericolosità intrinseca o dipendente dalle modalità di esercizio e dai mezzi adoperati”.

Da ciò consegue l’applicazione di un regime probatorio derogatorio rispetto a quello tradizionale, previsto dal 2043 c.c., e caratterizzato da una inversione dell’onere della prova.  Come noto, infatti, per le attività pericolose vige il principio per cui il danneggiato può limitarsi a dimostrare il fatto storico da cui dipende, a suo dire, il danno e il nesso di causalità; mentre spetta alla controparte dimostrare di aver adottato tutte le misure adeguate, richieste dal caso concreto, per evitare il danno stesso. Pertanto, secondo la richiamata corrente dottrinale, sussiste una presunzione di responsabilità in capo al danneggiante, sul quale grava la prova liberatoria di aver tenuto un comportamento diligente e di aver adottato tutte le misure preventive idonee ad evitare il danno.

Tale orientamento rinviene, dunque, una “pericolosità” ex se nel trattamento dei dati personali sia per la natura automatizzata e seriale dell’attività, sia perché i mezzi impiegati, per la loro velocità ed ampiezza nella diffusione, rendono altamente probabile il verificarsi di lesioni a diritti fondamentali della persona, quali, in primis, quello alla riservatezza ed all’identità personale.

Altra parte della dottrina, invece, ritiene che il trattamento dei dati personali non costituisca attività intrinsecamente pericolosa, ma possa diventarlo solo a seguito di una condotta non diligente che, per errori o colpe, cagioni danni alla persona fisica o giuridica cui i dati si riferiscano.

Pertanto, alla luce di queste affermazioni, il riferimento al 2050 c.c., contenuto nell’art.18 della legge sulla privacy, non avrebbe alcun valore se non quello di indicare il regime probatorio da seguire (cioè l’inversione dell’onere della prova), in ottemperanza alle stesse disposizioni contenute nella dir. CE 95/46.

Al di là della qualificazione giuridica del trattamento come attività pericolosa o meno, l’inversione dell’onere probatorio comporta che, stante la presunzione di colpa a carico del danneggiante, sia prima accertata l’esistenza del nesso di causalità tra l’esercizio dell’attività e l’evento dannoso. La prova di tale nesso incombe sul danneggiato non essendo possibile gravare l’altra parte di una presunzione di responsabilità rispetto a un evento che non è a lui riconducibile.

In sostanza, colui che ha effettuato il trattamento, per sottrarsi all’obbligo di risarcimento, ha l’onere di provare di avere adottato tutte le misure idonee a evitare il danno, secondo il principio dell’inversione dell’onere della prova, mentre non gli è sufficiente dimostrare di non avere violato norme di legge o di prudenza.

In ambito bancario l’onere probatorio a carico dell’istituto di credito assume ancora maggiore pregnanza se si considera che, oltre alle disposizioni in materia di dati sensibili, la banca è tenuta ad un generale obbligo di segretezza circa i dati patrimoniali e personali acquisiti  per tramite dei rapporti bancari con il cliente.  Quindi, in caso trattamento illecito dei dati personali e patrimoniali da parte della banca –  fattispecie che si verifica, ad esempio, mediante la divulgazione degli estratti conto del correntista o  dei contratti di finanziamento che la banca ha posto in essere con lo stesso-  il cliente può ottenere il risarcimento del danno ai sensi dell’art 2050 c.c.. Infatti, il comportamento della Banca che, violando i principi di liceità e correttezza, ha diffuso informazioni relative alla posizione patrimoniale di un proprio correntista, risulta ampiamente sanzionabile sia sul piano giuridico che deontologico. Ciò in quanto tale condotta ha leso non solo il diritto alla riservatezza (art. 2 Cost.), ma anche quello all’inviolabilità e alla segretezza della corrispondenza e delle comunicazioni (art. 15 Cost.), trattandosi di informazioni strettamente personali per la natura ed il contenuto delle quali si dovrebbe garantire il massimo riserbo.

Per effetto dell’inversione dell’onere probatorio, sotto il profilo della colpa, spetterà, dunque, alla Banca tanto la prova negativa di non aver commesso alcuna violazione delle regole di deontologia e di buona condotta, quanto quella positiva di aver adottato idonee misure preventive di sicurezza, volte a ridurre al minimo i rischi connessi ad un illecito trattamento dei dati.; quindi, sarà la banca a dover dimostrare di aver adottato tutte le misure idonee per prevenire il danno.

In base a tale principio anche a fronte di una violazione del segreto bancario e della privacy del cliente l’istituto di credito non può essere automaticamente tenuto a risarcire il danno al correntista, poiché può sempre dimostrare la mancanza del nesso eziologico tra la condotta (ossia il trattamento dei dati) e l’evento ( ossia il danno).

Allo stesso modo,  come l’istituto di credito, anche il datore di lavoro che divulga i dati giudiziari che riguardano un suo dipendente viola la sua privacy, rendendosi soggetto a responsabilità ex art 2050 c.c..

Ai fini della normativa in materia di privacy, i dati giudiziari sono le informazioni personali che rivelano l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (quali, ad es., i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione). Rientrano in questa categoria anche la qualità di imputato o di indagato. Il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza deve avvenire soltanto sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati.  Pertanto, il trattamento di tali dati è ammesso da parte di enti pubblici (anche nella qualità di datori di lavoro)solo se autorizzato da espressa disposizione di legge o provvedimento del Garante, che ne specifichi le finalità, i tipi di dati e le operazioni autorizzate (art 27 dlgs 196/03).

 Sulla scorta di tali ragioni, di recente Il Garante per la protezione dei dati personali è recentemente intervenuto stabilendo un principio dal notevole rilievo: non è ammissibile per un’impresa appaltatrice, a meno che non sia espressamente previsto dalla legge, provvedere a comunicare i dati giudiziari di un lavoratore ad una ditta appaltante. Attraverso la trasmissione di  dati giudiziari le imprese forniscono alla società appaltante la possibilità di fornire un gradimento sui lavoratori, trattandosi di informazioni legate alla esistenza di provvedimenti giudiziari aventi rilevanza penale.  La divulgazione di tale tipologia di atti è ammessa soltanto laddove sia espressamente previsto da una disposizione di legge o laddove risulti necessaria perché legata a specifiche questioni come ,ad esempio, i requisiti di onorabilità richiesti ad un dipendente che presta servizio nel settore del raiting. Lo stesso codice della privacy, poi, riconosce la trasmissibilità di tali dati esclusivamente quando è previsto da una norma o da un atto proprio del Garante.

 Dunque,  anche l’impresa che utilizza o divulga illecitamente i dati giudiziari del dipendente è tenuta a risarcire a questi il danno patrimoniale e non patrimoniale conseguente a tale utilizzazione/divulgazione, potendosi liberare soltanto  secondo l’onere della prova invertito ex art 2050 c.c..

Chiarito ciò ci si può soffermare sulle voci del danno, facendo particolare attenzione alla componente non patrimoniale, che come è noto, presenta maggiori difficoltà di quantificazione.

La necessità di risarcire anche il danno non patrimoniale nasce da una circostanza evidente:l’illecito trattamento dei dati personali comporta la violazione di molteplici diritti attenenti alla sfera personale dell’individuo non quantificabili in termini di reddito,  pertanto sia il legislatore che la giurisprudenza, al fine di garantire una precisa tutela al cittadino, hanno riconosciuto pacificamente la risarcibilità del danno non patrimoniale.

Tuttavia, in ordine a quest’ultimo la Suprema Corte ha precisato che il pregiudizio di natura non patrimoniale, anche quando è determinato dalla lesione di diritti inviolabili della persona come per esempio quello alla riservatezza, costituisce un danno-conseguenza e pertanto deve essere allegato e provato. In sostanza, il danno non patrimoniale risarcibile ai sensi dell’art. 15 del d.lgs. 196/2003, pur determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli artt. 2 e 21 Cost. e dall’art. 8 della CEDU, non si sottrae alla verifica della gravità della lesione e della serietà del danno (quale perdita di natura personale effettivamente patita dall’interessato), secondo un giusto bilanciamento con il principio di normale tollerabilità della lesione.

Per contro,  di fronte ad un danno rilevante l’autore dell’illecito trattamento dei dati può andare esente da responsabilità (solo) quando sia in grado di dimostrare l’adozione di tutte le misure idonee ad evitare il danno o l’inesistenza/irrilevanza del danno stesso. In assenza di queste circostanze, dunque, il giudice deve disporre il risarcimento del danno nella misura che può stabilire, per il danno non patrimoniale, in via equitativa o sulla base delle allegazioni del danneggiato.

Per i pregiudizi non patrimoniali diversi dal danno biologico (riguarda un bene immateriale) si deve fare ricorso alla prova testimoniale, documentale e presuntiva. Il danneggiato dovrà tuttavia allegare tutti gli elementi che, nel caso concreto, sono idonei a fornire la serie concatenata di fatti noti che consentano di risalire al fatto ignoto.


Have your say