Corte di Cassazione, sentenza n. 13073 del 12 maggio 2023
Il comune aveva pubblicato sul proprio sito istituzionale una determina relativa pignoramento per un certo importo dello stipendio di una dipendente comunale, tale per cui l’ente si era assunto l’impegno di versare il quinto dello stipendio a favore della società creditrice; nella determina era stata omessa la pubblicazione dei dati della debitrice, ma nella nota contabile allegata l’espressa indicazione dei dati era stata invece mantenuta, e i dati erano così finiti, seppure per poco più di un giorno, nell’albo pretorio on line del comune medesimo.
In tale situazione il tribunale ha concluso nel senso che il trattamento era comunque oggettivamente) avvenuto in violazione del GDPR, e che di ciò era d’altronde consapevole lo stesso ente, che aveva giustappunto ammesso
La Suprema Corte, confermando quanto statuito dai giudici di prime cure e dalla Corte territoriale, ha stabilito che l’adeguamento del sistema nazionale alle norme del GDPR impone allora di puntualizzare il senso di alcune anteriori posizioni espresse da questa Corte a proposito dell’art. 15 del codice privacy. Si è detto nella vigenza dell’art. 15 che il danno non può dirsi in re ipsa (v. Cass. Sez. 6-1 n. 17383-20, Cass. Sez. 3 n. 16133-14), e questo è certamente da mantenere, e canno affermati i seguenti principi di diritto:
– in base alla disciplina generale del Regolamento (UE) 2016.679, cd. GDPR, il titolare del trattamento dei dati personali è sempre tenuto a risarcire il danno cagionato a una persona da un trattamento non conforme al regolamento stesso, e può essere esonerato dalla responsabilità non semplicemente se si è attivato (come suo dovere) per rimuovere il dato illecitamente esposto, ma solo “se dimostra che l’evento dannoso non gli è in alcun modo imputabile”;
– l’esclusione del principio del danno in re ipsa presuppone, in questi casi, la prova della serietà della lesione conseguente al trattamento; ciò vuol dire che può non determinare il danno la mera violazione delle prescrizioni formali in tema di trattamento del dato, mentre induce sempre al risarcimento quella violazione che concretamente offenda la portata effettiva del diritto alla riservatezza