Cassazione sulla brevità del danno e il danno risarcibile in re ipsa.

REPUBBLICA ITALIANA

IN NOME DEL POPOLO ITALIANO
LA CORTE SUPREMA DI CASSAZIONE
SEZIONE PRIMA CIVILE
Cass. civ., Sez. I, Ord.12-05-2023, n. 13073 (ud. 19-04-2023)
Composta dagli Ill.mi Sigg.ri Magistrati:
Dott. GENOVESE Francesco - Presidente -
Dott. SCOTTI Umberto - Consigliere -
Dott. PARISE Clotilde - Consigliere -
Dott. TRICOMI Laura - Consigliere -
Dott. TERRUSI Francesco - rel. Consigliere -
ha pronunciato la seguente:

ORDINANZA
sul ricorso iscritto al n. 30023-2021 R.G. proposto da:
COMUNE DI (Xxxx), domiciliato ex lege in ROMA, PIAZZA CAVOUR presso la CANCELLERIA della CORTE di
CASSAZIONE, rappresentato e difeso dall'avvocato CIARAMELLI SANDRA ();
- ricorrente -
contro
A.A., domiciliato ex lege in ROMA, PIAZZA CAVOUR presso la CANCELLERIA della CORTE di CASSAZIONE,
rappresentato e difeso dall'avvocato JACCHERI ELENA ();
-controricorrente-
avverso la SENTENZA del TRIBUNALE di PISA n. 1204-2021 depositata il 21/09/2021.
Udita la relazione svolta nella camera di consiglio del 19/04/2023 dal Consigliere FRANCESCO TERRUSI.

FATTO

Il Comune di (Xxxx) ha proposto ricorso per cassazione contro la sentenza con la quale il Tribunale della
stessa città l'ha condannato a risarcire i danni cagionati a A.A., propria dipendente, a causa di un
trattamento illecito di dati personali.

La A.A. ha resistito con controricorso e memoria.

DIRITTO

I. - Il ricorso è affidato ai seguenti motivi:

(i) violazione o falsa applicazione degli artt. 24, 29 e 82 del Regolamento (UE) 2016-679, cd. GDPR, per avere
il tribunale ignorato le circostanze che avevano condotto all'illecito Trattamento del dato personale
dell'interessata, e ritenuto il danno in re ipsa per il solo fatto che si fosse verificato, nell'ente, un trattamento
dati non conforme al dettato normativo:

si sostiene esser stato pacificamente dimostrato in giudizio quale
fosse il complesso sistema di gestione della privacy adottato dal comune di (Xxxx), con puntuale descrizione
delle misure di sicurezza tese a garantire la protezione dei dati proprio nell'ambito della gestione
informatica dei flussi documentali e della pubblicazione di atti e documenti all'albo pretorio, ambito in cui
l'incidente si era verificato;

donde l'ostensione all'albo pretorio del comune dei Dati personali della
dipendente era avvenuta per incidente, distrazione o errore umano, non prevedibile, né evitabile in futuro,
di un operatore Autorizzato al Trattamento e adeguatamente istruito;

operatore che, incaricato di curare il
procedimento informatico di generazione del visto di regolarità contabile e di caricarlo sul sistema di
gestione documentale in allegato alla determinazione anonimizzata, aveva inavvertitamente "spuntato", il
campo "pubblica" in corrispondenza del visto stesso, che invece doveva rimanere a solo uso interno; a tale
incidente era stato posto rimedio in poco più di 24 ore, sicché si sarebbe dovuto ritenere insussistente un
danno addossabile al comune quale conseguenza della accidentale affissione all'albo pretorio del visto;

(ii) violazione o falsa applicazione dell'art. 2050 c.c., perché il danno afferente non può mai essere
considerato in re ipsa, e l'attrice nel giudizio di merito non aveva fornito prova alcuna del danno subito in
conseguenza della pubblicazione all'albo pretorio di un visto di regolarità contabile contenente i suoi dati
personali per poco più di un giorno;

(iii) nullità della sentenza per motivazione apparente dovuta a illogica valutazione dei presupposti di fatto,
avendo il tribunale affermato che il danno come in re ipsa per esser stati divulgati Dati personali in violazione
dei principi per il trattamento dei dati stessi, così mostrando di confondere il concetto di violazione dei dati
con quello di danno che possa esserne derivato;

(iv) omesso esame di fatto decisivo in ordine al contenuto della comunicazione del Garante per la
protezione dei dati personali, che era stata considerata solo come presa d'atto, da parte dell'autorità di
controllo, della rinuncia al reclamo da parte della A.A., anziché come definizione di merito del reclamo, con
declaratoria di non sussistenza di alcuna violazione nella condotta del comune tale da rendere necessaria
l'adozione di provvedimenti collegiali.

II. - Il ricorso, i cui motivi possono essere esaminati congiuntamente per connessione, è in parte
inammissibile e in parte infondato.

III. - Dalla sentenza si apprende che il trattamento illecito era stato integrato nel seguente modo: il
12/8/2020 il comune di (Xxxx) aveva pubblicato sul proprio sito istituzionale una determina relativa
pignoramento per un certo importo dello stipendio di una dipendente comunale, tale per cui l'ente si era
assunto l'impegno di versare il quinto dello stipendio a favore della società creditrice; nella determina era
stata omessa la pubblicazione dei dati della debitrice, ma nella nota contabile allegata l'espressa indicazione
dei dati era stata invece mantenuta, e i dati erano così finiti, seppure per poco più di un giorno, nell'albo
pretorio on line del comune medesimo.

In tale situazione il tribunale ha concluso nel senso che il Trattamento era comunque (oggettivamente)
avvenuto in violazione del GDPR, e che di ciò era d'altronde consapevole lo stesso ente, che aveva
giustappunto ammesso - così come ha ammesso anche in questa sede - di avere diffuso mediante
pubblicazione i dati "reputazionali" non ostensibili in virtù dei principi di necessità e Minimizzazione previsti

dalla norma.

IV. - Tanto premesso, non possiede alcuna rilevanza il fatto che ciò sia avvenuto per errore umano,
distrazione o altro, come il ricorrente insiste nel dire ai fini dell'attuale primo mezzo, per l'elementare
ragione che il Titolare del Trattamento dei dati risponde anche per il fatto colposo dei propri dipendenti,
come del resto già sancisce in generale l'art. 2049 c.c. per tutta la materia della responsabilità civile.

V. - Il punto fondamentale è che il danno non patrimoniale risarcibile è in questi casi determinato da una
lesione del diritto fondamentale alla protezione dei Dati personali tutelato costituzionalmente (Cost., artt.
2 e 21 e art. 8 della Cedu).

La rilevanza del rimedio risarcitorio è confermata dal GDPR, il cui art. 82 stabilisce che "chiunque subisca
un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di
ottenere il risarcimento del danno dal Titolare del Trattamento o dal Responsabile del trattamento".

Ciò sta a significare che il soggetto danneggiato a seguito di un Trattamento dei suoi dati in violazione delle
norme del GDPR e di quelle nazionali di recepimento (cfr. il D.Lgs. n. 101 del 2018 di aggiornamento del
codice privacy) può ottenere il risarcimento di qualunque danno occorsogli, anche se la lesione sia
marginale; e il Titolare risponde per il danno causato dal Trattamento in violazione del regolamento
indipendentemente dall'eventuale concorso del Responsabile specifico.

VI. - Il concetto di danno è d'altronde precisato nel Considerando 146 del GDPR, secondo il quale "Il titolare
del Trattamento o il Responsabile del Trattamento dovrebbe risarcire i danni cagionati a una persona da un
trattamento non conforme al presente regolamento ma dovrebbe essere esonerato da tale responsabilità
se dimostra che l'evento dannoso non gli è in alcun modo imputabile".

Vi si trova scritto inoltre che il concetto di danno "dovrebbe essere interpretato in senso lato alla luce della
giurisprudenza della Corte di giustizia in modo tale da rispecchiare pienamente gli obiettivi del presente
regolamento"; sicché "gli interessati dovrebbero ottenere pieno ed effettivo risarcimento per il danno
subito".

VII. - I Considerando di un Regolamento UE o di una Direttiva svolgono la funzione di spiegare le ragioni
dell'intervento normativo e ne integrano la "concisa motivazione", come chiarito anche dalla Guida pratica
comune del Parlamento Europeo, del Consiglio e della Commissione per la redazione dei testi legislativi
dell'Unione Europea del 2015.

Non contengono cioè enunciati di carattere normativo (v. Cass. Sez. 5 n. 7280-22).

E tuttavia costituiscono in ogni caso elementi non secondari in chiave interpretativa delle norme afferenti.
L'adeguamento del sistema nazionale alle norme del GDPR impone allora di puntualizzare il senso di alcune
anteriori posizioni espresse da questa Corte a proposito dell'art. 15 del codice privacy.

Si è detto nella vigenza dell'art. 15 che il danno non può dirsi in re ipsa (v. Cass. Sez. 6-1 n. 17383-20, Cass.
Sez. 3 n. 16133-14), e questo è certamente da mantenere.

Tuttavia il senso dell'affermazione non può esser tradotto altrimenti che in ciò: che il diritto al risarcimento
non si sottrae alla verifica della gravità della lesione e della serietà del danno.

Questo perché anche per tale diritto opera il bilanciamento con il principio di solidarietà ex Cost., art. 2, di
cui quello di tolleranza della lesione minima è un precipitato.

Il senso dell'affermazione, dopo il GDPR, è offerto dalla constatazione che non è tale da determinare una
lesione effettiva del diritto la mera violazione delle prescrizioni poste in tema di trattamento, ma lo è invece
quella violazione che concretamente offenda la portata effettiva del diritto alla riservatezza del dato.

Fermo allora che il relativo accertamento integra la questione di fatto ed è rimesso al giudice di merito, può
osservarsi che nel caso in esame il tribunale non ha mancato di cogliere l'evidenza del profilo.

Sebbene menzionando la categoria del danno in re ipsa, il tribunale ha svolto l'accertamento ritenendo che
in effetti un danno era stato integrato dall'ostensione del dato per tipologia e contesto, sebbene solo per
un tempo ridotto. E tanto emerge implicitamente dalla descrizione della vicenda materiale e dal suo essere
maturata in uno specifico ambito temporale e socio-lavorativo.

VIII. - Ne deriva che tutte le giustificazioni fornite dal comune di (Xxxx) nel primo motivo non sono rilevanti,
visto che l'illiceità del Trattamento imputabile al Titolare non è stata mai contestata (né, per le considerazioni
esposte, è minimamente contestabile), e gli elementi indicati a fondamento dei restanti motivi sono tutti
privi di decisività e inammissibilmente finalizzati a sovvertire il giudizio di fatto.

IX. - E' opportuno del resto aggiungere che mai potrebbe rilevare in senso favorevole al comune ciò che nel
ricorso è stato specificato a proposito del provvedimento del Garante.
Il provvedimento era conseguito alla rinuncia al reclamo fatta dall'interessata.
Nel ricorso è riportato il passaggio cruciale, nel quale era stato riconosciuto che "il documento è stato
pubblicato per un mero errore materiale e per un periodo limitato e l'amministrazione, nel momento in cui
ha avuto conoscenza dell'errore, ha posto immediatamente in essere tutte le misure necessarie per
rimuovere il documento".

Ebbene, anche a voler prescindere dall'essere stata la decisione motivata per concludere l'esame del
reclamo "senza l'adozione di provvedimenti collegiali", ai soli fini, quindi, del giudizio amministrativo colà
rilevante, impregiudicati naturalmente i diritti del soggetto leso, resta essenziale che lo stesso
provvedimento del Garante conforta la valutazione di responsabilità del Titolare del trattamento, ove
doverosamente parametrata al GDPR. Invero il Titolare del Trattamento deve comunque risarcire il danno
cagionato a una persona "da un Trattamento non conforme al presente regolamento", e può essere
esonerato da una tale responsabilità non semplicemente se si è attivato (come suo dovere) per rimuovere
il dato illecitamente esposto, ma solo "se dimostra che l'evento dannoso non gli è in alcun modo
imputabile".

X. - In conclusione il ricorso deve essere rigettato.

Vanno affermati i seguenti principi di diritto:

- in base alla disciplina generale del Regolamento (UE) 2016.679, cd. GDPR, il Titolare del trattamento dei
dati personali è sempre tenuto a risarcire il danno cagionato a una persona da un Trattamento non
conforme al regolamento stesso, e può essere esonerato dalla responsabilità non semplicemente se si è
attivato (come suo dovere) per rimuovere il dato illecitamente esposto, ma solo "se dimostra che l'evento
dannoso non gli è in alcun modo imputabile";

- l'esclusione del principio del danno in re ipsa presuppone, in questi casi, la prova della serietà della lesione
conseguente al trattamento; ciò vuol dire che può non determinare il danno la mera violazione delle
prescrizioni formali in tema di trattamento del dato, mentre induce sempre al risarcimento quella violazione
che concretamente offenda la portata effettiva del diritto alla riservatezza. Le spese seguono la
soccombenza.