Imprese e violazioni sul trattamento dati: il danno risarcibile

In molte realtà aziendali l’avvento del GDPR ha portato la necessità di apportare all’organizzazione interna una serie di importanti modifiche per potere effettuare operazioni economiche, amministrative e commerciali trattando correttamente i dati personali in esse coinvolte.

La scelta di procedere con un percorso di adeguamento secondo quanto prescritto dal Regolamento UE 679/2016, infatti, anche in relazione alle sanzioni applicabili (e direttamente proporzionali al valore del fatturato) potrebbe condizionare fortemente l’andamento dei ricavi e dei guadagni aziendali.

Un punto che spesso viene sottovalutato, però, è quello relativo alle richieste di risarcimento dei danni (materiali e non) avanzati da chi ha subito una violazione illecita dei propri dati.

Proviamo ad inquadrare in modo corretto il concetto di risarcimento del danno da trattamento illecito di dati a partire da questo caso concreto del 2019 e da quanto l’associazione dei consumatori Altroconsumo sta facendo.

Class action diretta contro Facebook (avviata da Altroconsumo)
Lo sfruttamento abusivo dei dati personali da parte di Facebook, senza aver richiesto alcun consenso agli utenti direttamente coinvolti, ha condotto l’associazione dei consumatori italiana ad agire con il lancio di una Class Action ex art. 140-bis Codice del Consumo ai fini dell’accertamento delle responsabilità del danno subito dai consumatori.
Il proposito di Altroconsumo consiste nel voler garantire ad ogni utente registrato su Facebook un giusto risarcimento rispetto al danno subito. Un importo, a partire da almeno 200 euro, ottenuto, per ogni anno di iscrizione al Social, dal valore economico dell’uso dei dati e dai danni morali subiti dagli utenti (l’importo dovrebbe corrispondere a 285 euro).

Il risarcimento andrebbe a quantificare il mancato guadagno che il consumatore ha subito dallo sfruttamento dei suoi dati personali ad opera di Facebook e del relativo illegittimo utilizzo di informazioni riservate per finalità commerciali non esplicitate all’interno dell’informativa.

La tutela procedimentale (giudiziale) prevista dal GDPR, infatti, non è solo diretta esclusivamente alla protezione dei diritti fondamentali e delle libertà individuali dell’interessato, ma è anche posta a presidio della tutela di interessi collettivi di categoria e del buon funzionamento del mercato: la dimostrazione concreta è l’effettiva possibilità di procedere a mezzo di azioni legali collettive a tutela degli interessi diffusi degli interessati ex art. 80 GDPR.

Dal punto di vista soggettivo, poi, è importante partire dal fatto che, nella prospettiva di voler accrescere la tutela dell’interessato che ha subito un danno da illecito trattamento dei propri dati personali, la responsabilità che può essere ascritta in capo al danneggiante è di tipo oggettivo e di natura extracontrattuale, in continuità con la pregressa lettura prevalente data dall’art. 15 del Codice Privacy.

Questo, concretamente, nella prospettiva del danneggiato, implica una serie di facilitazioni rispetto la prova del danno subito in quanto il danneggiato dovrà limitarsi a provare:

• la mera violazione dei principi e delle regole di condotta del GDPR;
• la gravità del pregiudizio ai fini della effettiva quantificazione del danno subito;
• il nesso di casualità tra l’evento e il danno, non dovendo dimostrare l’elemento psicologico (doloso o colposo) in capo al titolare.
  Deve infine rilevarsi che i danni risarcibili sono non solo quelli prevedibili e derivanti dall’esecuzione del contratto, ma anche quelli occorsi ulteriormente e in esso non ricompresi (cd. Danni imprevedibili).

Sarà infatti onere del danneggiante provare di non essere responsabile dell’accaduto dimostrando che l’evento dannoso non gli è in alcun modo imputabile ex art. 82 punto 3.

A conferma del principio del favor per il danneggiato risiede il fatto che quest’ultimo non può conoscere le regole e le misure tecniche organizzative interne ed è quindi onere del danneggiante procedere con la dimostrazione di essersi attenuto al principio di adeguatezza e di avere operato in conformità a quanto prescritto dal GDPR.

Tutto ciò avviene a partire dal fatto che, a fronte del rischio di impresa correlato all’attività massiva di trattamento dei dati personali, appare opportuno procedere con un necessario rafforzamento del rimedio risarcitorio in ragione dell’interferenza di tale attività con i fondamentali diritti e libertà della persona e della debolezza del soggetto su cui possono ricadere le conseguenze negative di uno scorretto trattamento dei dati che lo riguardano.

Per quanto riguarda gli aspetti civilistici, è sempre l’art. 82 paragrafo 6 del GDPR che stabilisce che l’unico rimedio giudiziale esperibile sia il ricorso innanzi ai giudici degli Stati membri.

Gli interessati che mirino al risarcimento dei danni, infatti, dovranno optare per il procedimento civile a cui si applicheranno le norme regolanti il processo del lavoro.
Questo, anche dal punto di vista della diminuzione dei termini che regolano il processo ordinario, potrà fornire al danneggiato una tutela breve ed efficace, volta ad un pronto reintegro del danno patito.

Per quanto riguarda la proposizione del ricorso giudiziale, già nel 2017 la Cassazione ha riconosciuto che l’interessato che riceva una decisione favorevole dal Garante ha la possibilità di agire successivamente in sede civile per il risarcimento dei danni, e che il provvedimento del Garante ha il valore di una “prova privilegiata” per l’accertamento della violazione da parte del giudice (Cass. Civ. 13151/2017).

Titolari e responsabili, quindi, non dovrebbero sottovalutare il rischio derivante dalla possibilità di “ricorsi a tappeto”, in quanto una decisione sfavorevole del Garante nei loro confronti non solo è in grado di comprometterli inesorabilmente in sede civile, ma costituisce un incentivo per tutti quegli interessati che vogliano ricorrere in giudizio per ottenere il risarcimento dei danni.

Per concludere, in ogni caso, pare opportuno sottolineare come la scarsa conoscenza del contenzioso sul punto, sebbene i meccanismi di tutela giurisdizionale siano effettivi e regolati secondo le tempistiche abbreviate del rito del lavoro, sia soprattutto dovuto alla prospettiva di gestione e prevenzione del rischio da parte del titolare del trattamento stabilito dal legislatore europeo con il GDPR (principio dell’accountability).

La forma di tutela stragiudiziale, infatti, è stata privilegiata rispetto alla tutela mediante declinazione dei diritti e delle garanzie dell’interessato in sede giudiziale, soprattutto anche per i grossi danni all’immagine che potrebbero riverberarsi in capo al titolare.

Ciò detto, l’ipotesi di potere affermare i propri diritti in sede giudiziale è un’opportunità che nessuno dovrebbe sottovalutare: né l’impresa (titolare del trattamento) affinché possa effettivamente conformarsi sempre più a quanto prescritto dal GDPR e affinché le proprie azioni in tema di accountability possano poi fungere da corretti strumenti probatori di quanto svolto (nell’ottica di un eventuale contenzioso), né l’interessato che, trovandosi in una posizione più debole, potrà ottenere una pronuncia giudiziale per vedere tutelati i propri diritti.