Articolo Pubblicato il 9 gennaio, 2021 alle 11:00.

Con la sentenza 29982/20 depositata il 31 dicembre 2020 la Corte di Cassazione ha affrontato una questione caldissima diventata sempre più di attualità negli ultimi anni con lo sviluppo dell’informatica (e delle tecniche di hackeraggio), la diffusione dei dati personali e quando possa essere risarcito chi ne è rimasto vittima.

La Suprema Corte, tuttavia, ha chiarito che il diritto al risarcimento non è automatico, ma sussiste solo laddove si dimostri la gravità delle conseguenze legate all’illegittima circolazione dei propri dati personali.

 

La causa di un collaboratore scolastico contro la Scuola per la diffusione di suoi “dati personali”

Il contenzioso in oggetto, in realtà, anche se la situazione è perfettamente mutuabile per le modalità “on line”, poco aveva a che fare con la telematica. Esso infatti era insorto per la diffusione alla polizia giudiziaria, da parte del direttore amministrativo di una scuola, di notizie relative a inadempimenti nello svolgimento del suo lavoro da parte di un collaboratore scolastico, il quale aveva denunciato per diffamazione una collega.

Per quanto non si trattasse di veri e propri procedimenti disciplinari, erano rilievi e richiami orali coperti dal diritto alla privacy. Il collaboratore ha quindi avviato una causa chiedendo ai danni, sulla scorta dell’art. 15 del codice Privacy (ossia la legge n. 196/2003), in virtù del quale chiunque cagiona danni ad altri per effetto del trattamento di dati personali è tenuto al risarcimento.

 

Il quadro normativo sulla tenuta dei dati personali

Risarcimento che si basa sulla cosiddetta responsabilità per attività pericolose: come stabilito, infatti, dall’art. 250 c.c., l’azienda che svolge un’attività pericolosa (nella fattispecie in esame, consistente nella raccolta e tenuta dei dati personali altrui) è tenuto al risarcimento dei danni che tale attività potrebbe procurare a terzi (anche se determinati dall’opera illecita altrui, come quella dei criminali informatici).

L’azienda può esonerarsi da ogni responsabilità se dimostra di “avere adottato tutte le misure idonee a evitare il danno”. Dunque, la società è responsabile dei danni (e di conseguenza è tenuta al risarcimento) se, non avendo predisposto tutte le misure possibili, idonee a ridurre il rischio di accesso non autorizzato, ha causato il danno al cliente, titolare dei dati personali.

Ma accanto a tale condizione, ricorda nella presente sentenza la Cassazione, vi è anche quella di provare la sussistenza di un un danno effettivo e concreto.

La Cassazione analizza il caso

Analizzando il caso nello specifico, la Cassazione evidenza innanzitutto che, pur trattandosi di richiami orali coperti dal diritto alla privacy, essi potevano essere considerati lecitamente diffusi se necessari a realizzare la leale collaborazione tra amministrazioni pubbliche (Scuola e forze dell’ordine): collaborazione che deve comunque essere commisurata ai profili di pertinenza, proporzionalità e coerenza con i fini istituzionali.

Inoltre, non era stata dimostrata, ma anzi esclusa la partecipazione attiva del dirigente alla diffusione nell’ambiente di lavoro delle notizie “disciplinari” sul ricorrente .

Tali notizie erano state date alla polizia in una conversazione telefonica al fine di sondare l’attendibilità del collaboratore scolastico che aveva sporto denuncia contro la collega. Tale finalità, e la richiesta da parte della polizia giudiziaria, sarebbero dovute essere accertate dai giudici di merito per escludere l’illegittimità della condotta del dirigente.

 

Risarcimento dovuto solo in presenza di un danno concreto

Ma, come spiega la Cassazione, il rigetto della domanda di danni si fonda soprattutto sulla mancata dimostrazione del danno il che rappresenta una ragione autonoma e sufficiente per la decisione negativa. Dalla lesione del diritto alla privacy scaturisce il diritto al risarcimento dei danni non patrimoniali solo se si dimostra la gravità e la serietà delle conseguenze patite dall’illegittima circolazione dei propri dati personali. Ciò in ossequio al principio costituzionale di solidarietà derivante dall’articolo 2 della Carta.

La Cassazione ha perciò respinto la richiesta di ristoro avanzata in base alla tesi che l’illegittima diffusione di dati personali determini automaticamente un danno non patrimoniale senza necessità di dimostrare le gravi e serie conseguenze che il titolare abbia patito.

Dunque, per esemplificare e concludere, ciò significa che il semplice fatto di avere un contratto con una compagnia telefonica, che abbia subito il furto dei dati dei propri clienti, non legittima la richiesta di risarcimento del danno.

Esso può essere preteso solo se, a seguito della diffusione di tali informazioni riservate, il cittadino ha avuto dei seri pregiudizi personali, e sempre che la società non dimostri di aver adottato tutte le tecniche necessarie a scongiurare l’accesso abusivo al proprio sistema informatico.