Trattamento dei dati personali e responsabilità per attività pericolose
di Nicoletta Minafra Scarica in PDFCass. civ., sez. I, 3 settembre 2015, n. 17547
Persona fisica – Tutela della riservatezza – Trattamento dati personali – Responsabilità civile – Attività pericolosa – Onere della prova.
(C.c. artt. 2043, 2050, 2697; D.lgs. 30 giugno 2003, n. 196, art. 15)
[1] I danni cagionati per effetto del trattamento dei dati personali ai sensi dell’art. 15 d.lgs. 30 giugno 2003, n. 196, sono assoggettati alla disciplina di cui all’art. 2050 c.c., che attiene alla responsabilità per attività pericolose; pertanto, il danneggiato è tenuto a provare il danno e il nesso di causalità tra questo e l’attività posta in essere, sorgendo in capo all’autore della condotta l’onere di dimostrare di aver adottato tutte le misure idonee ad evitare il danno.
CASO
[1] Il Tribunale di Milano respingeva la domanda di risarcimento del danno da illecito trattamento dei dati personali, in quanto accertava che i fatti contestati non erano imputabili alla società convenuta. L’attore ricorre in cassazione sostenendo, tra l’altro, che a torto il Tribunale aveva individuato il responsabile nel solo titolare formale del trattamento dei dati, ex art. 4, lett. f), dello stesso decreto, e non in colui che avesse di fatto utilizzato i dati stessi e cagionato poi il danno.
SOLUZIONE
[1] La Corte di cassazione, nel confermare la sentenza impugnata, ribadisce i criteri cui attenersi nella ripartizione dell’onere della prova in materia di danno da illecito trattamento dei dati personali.
L’art. 15 del d.lgs. n. 196 del 2003 dispone che, ai sensi dell’art. 2050 c.c., chi cagiona ad altri un danno per l’effetto del trattamento dei dati personali, è tenuto poi a risarcirlo. La norma del codice civile su richiamata attiene alla responsabilità per l’esercizio di attività pericolose e prevede una precisa ripartizione dell’onere della prova. Il presunto danneggiato, dunque, deve dimostrare la configurabilità della condotta illecita, nonché la sussistenza del danno e del relativo nesso di causalità. Per contro, l’asserito autore della condotta, che intenda sottrarsi all’obbligo risarcitorio, è tenuto a dimostrare di aver adottato tutte le misure idonee ad evitare il verificarsi del danno. La Suprema Corte ha dichiarato infondato il motivo di ricorso in parola, avendo la sentenza impugnata correttamente affermato che il possibile autore dell’illecito è “chiunque”, «venuto in possesso dei dati, causi un danno al titolare degli stessi, dovendosi ex lege intendere come ‘trattamento’ qualsiasi attività che comporti l’acquisizione, anche attraverso il profilo della committenza, come dedotto, oltre che l’uso, diretto o indiretto, di tali dati».
QUESTIONI
[1] In base a quanto previsto dal d.lgs. n. 196 del 2003, il titolare e, se designato, il responsabile del trattamento dei dati personali, hanno l’obbligo di custodire e controllare i dati acquisiti e trattatati, al fine di evitare, o quanto meno ridurre, i rischi connessi al loro utilizzo e consistenti nella distruzione, perdita accidentale, accesso e trattamento non autorizzati.
Il richiamo, operato dall’art. 15 del succitato decreto all’art. 2050 c.c., comporta l’assimilazione del trattamento dei dati alle attività – lecite ma – pericolose, da cui deriva l’inversione dell’onere della prova. Infatti, se il danneggiato è tenuto a dimostrare il nesso causale fra l’attività illecita e il danno subito, la prova liberatoria spetta non soltanto al titolare, ma anche ad altri soggetti (responsabili o incaricati) che abbiano avuto la possibilità di trattare i dati, i quali potranno sottrarsi all’obbligo risarcitorio solo qualora dimostrino di aver adottato tutte le misure idonee a conferire adeguata sicurezza al trattamento (cfr. Montuori, Trattamento dati: attività pericolosa che espone al risarcimento dei danni – In caso di mancata adozione delle idonee misure di sicurezza, in Dir. e giustizia, 2001, fasc. 41, 64).
Quanto deciso dalla sentenza in commento è conforme ai principi espressi dalla giurisprudenza di legittimità, secondo cui «i danni cagionati per effetto del trattamento dei dati personali in base all’art. 15, d.lgs. 30 giugno 2003 n. 196, sono assoggettati alla disciplina di cui all’art. 2050 c.c., con la conseguenza che il danneggiato è tenuto solo a provare il danno e il nesso di causalità con l’attività di trattamento dei dati, mentre spetta al convenuto la prova di aver adottato tutte le misure idonee ad evitare il danno» (Cass. civ., sez. VI, 5 settembre 2014, n. 18812, in CED, richiamata in motivazione).
Occorre, però, distinguere il titolare, cioè colui che prende l’iniziativa del trattamento dei dati, dal responsabile (eventualmente nominato dal primo), il quale gestisce l’attività di trattamento su incarico e nell’interesse del titolare. La normativa poi, individua anche la figura degli “incaricati” che svolgono materialmente l’attività di trattamento dei dati – per conto del titolare o del responsabile – e spesso legati ad uno di questi soggetti da un rapporto di preposizione. Tutte le figure appena individuate possono essere chiamate a rispondere del fatto dannoso rappresentato da un illecito trattamento di dati (in dottrina, v. Lucchini Guastalla, Trattamento dei dati personali e danno alla riservatezza, in Resp. civ. e prev., 2003, 6