Se i dati del lavoratore sono trattati illecitamente, il datore di lavoro deve risarcire il danno

Cass. Civ., Sez. I, 4/06/2018 n. 14242

Nel 2010 un ex capo della sezione dell’Agenzia delle Dogane e dei Monopoli veniva sottoposto a perquisizione personale, domiciliare e locale ed in seguito a tale circostanza gli veniva comunicato un provvedimento di trasferimento ad altra sede lavorativa con nota con protocollo ordinario; in detta nota erano elencate le ragioni sottese al trasferimento.

Il lavoratore presentava ricorso al Garante privacy asserendo che fosse stato violato il suo diritto alla riservatezza, con richiesta di riconoscimento del risarcimento del danno patito; il Garante respingeva il ricorso, per cui il lavoratore leso si rivolgeva alla giustizia ordinaria fino al giudice di legittimità.

La Corte di Cassazione nel riconoscere il diritto al risarcimento del danno ha ribadito alcuni principi, che vale la pena ricordare.

1. Il danno non patrimoniale risarcibile, pur determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dalla Costituzione e dalla CEDU, non si sottrae alla verifica della “gravità della lesione” e della “serietà del danno”
2. I danni cagionati per effetto di trattamenti illeciti di dati personali sono assoggettati alla disciplina dell’art. 2050 c.c., per cui il danneggiato è tenuto solo a provare il danno ed il nesso di causalità con il trattamento illecito posto in essere dal datore di lavoro.

Sulla base dei cennati assunti la Corte ha affermato che una volta ritenuto che il bene violato faccia parte di quei valori fondamentali ovvero dei diritti inviolabili della persona, il danno è da considerarsi in re ipsa, e quindi il giudice dovrà disporre il risarcimento, quantomeno in via equitativa, salvo prova contraria del datore di lavoro che dimostri di avere posto in essere ogni misura idonea ad evitare il danno.

È evidente che la sentenza in esame prende in esame fatti verificatisi in vigenza del Codice della privacy e prima dell’avvento del GDPR, ma si può supporre che i principi ivi enunciati in materia di risarcimento del danno possano ritenersi validi anche alla luce del Regolamento 679/2016.

In particolare le misure idonee ad evitare il danno di cui all’art. 2050 c.c. richiamano le misure tecniche ed organizzative che il Titolare ed il Responsabile del trattamento devono dimostrare di avere posto in essere al fine di rendere lecito il trattamento dei dati e/o di diminuire il rischio di perdita dei dati.