Erronea pubblicazione di informazioni del dipendente sul sito internet istituzionale e risarcimento dei danni
Un Comune aveva pubblicato sul proprio sito istituzionale una determina relativa al pignoramento per un certo importo dello stipendio di una dipendente, tale per cui l’ente si era assunto l’impegno di versare il quinto dello stipendio a favore della società creditrice; nella determina era stata omessa la pubblicazione dei dati della debitrice, ma nella nota contabile allegata l’indicazione dei dati era viceversa stata invece mantenuta, e i dati personali erano così finiti, seppure per poco più di un giorno, nell’albo pretorio on line del comune.
Secondo quanto statuito dalla Suprema Corte di Cassazione con la sentenza n. 13073/2023, non possiede alcuna rilevanza il fatto che il tutto sia avvenuto per errore umano, distrazione o altro, per l’elementare ragione che il titolare del trattamento dei dati risponde anche per il fatto colposo dei propri dipendenti, come del resto già sancisce in generale l’art. 2049 c.c. per tutta la materia della responsabilità civile.
Il punto fondamentale è che il danno non patrimoniale risarcibile è in questi casi determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato costituzionalmente (artt. 2 e 21 Cost. e art. 8 CEDU).
Ciò sta a significare che il soggetto danneggiato a seguito di un trattamento dei suoi dati in violazione delle norme del GDPR (Reg. UE n. 2016/679) e di quelle nazionali di recepimento può ottenere il risarcimento di qualunque danno occorsogli, anche se la lesione sia marginale; e il titolare risponde per il danno causato dal trattamento in violazione del regolamento indipendentemente dall’eventuale concorso del responsabile specifico.
Quindi, vengono enunciati i seguenti principi di diritto:
In base alla disciplina generale del Regolamento (UE) 2016/679, cd. GDPR, il titolare del trattamento dei dati personali è sempre tenuto a risarcire il danno cagionato a una persona da un trattamento non conforme al regolamento stesso, e può essere esonerato dalla responsabilità non semplicemente se si è attivato (come suo dovere) per rimuovere il dato illecitamente esposto, ma solo “se dimostra che l’evento dannoso non gli è in alcun modo imputabile”.
L’esclusione del principio del danno in re ipsa presuppone, in questi casi, la prova della serietà della lesione conseguente al trattamento; ciò vuol dire che può non determinare il danno la mera violazione delle prescrizioni formali in tema di trattamento del dato, mentre induce sempre al risarcimento quella violazione che concretamente offenda la portata effettiva del diritto alla riservatezza.