Che si tratti di Data Breach ormai non c’è più ombra di dubbio. Qualsiasi ne siano le cause, che non sono al momento ancora state acclarate, l’indisponibilità della posta elettronica di Libero e Virgilio che è durata per una settimana, integra a tutti gli effetti quella che, ai sensi dell’art. 4 n. 12 del Regolamento Europeo per la Protezione dei Dati Personali 679/2016 è considerata una violazione di dati personali. Il Regolamento, infatti, prende in considerazione tutti i casi in cui i dati subiscano una violazione della triade RID: riservatezza, integrità e disponibilità, per qualsiasi causa, che sia essa volontaria, come nel caso di un attacco da parte di cybercriminali, o accidentale.
E di perdita di disponibilità ben può parlarsi in questo caso, visto che milioni di utenti in Italia, nei giorni scorsi, per un lasso di tempo considerevole, non hanno avuto accesso alle proprie e-mail: non un semplice “disservizio”, ma un vero e proprio data breach, quindi, con tutte le conseguenze che ne derivano dal punto di vista giuridico.
Naturalmente, ora che la situazione si sta lentamente normalizzando, c’è la corsa alla richiesta di risarcimento danni, con svariate associazioni di consumatori che si sono già mosse per presentare class action. Diversi possono essere i profili di inadempimento contrattuale sulla base dei quali chiedere un risarcimento; in questa sede parleremo dei profili inerenti il trattamento dei dati e la normativa (europea ed italiana) relativa al risarcimento in caso di violazioni delle disposizioni in materia di privacy.
Ed è indubbio che il data breach in generale e questo in particolare potrebbero, a determinate condizioni, fare sorgere il diritto in capo ai soggetti i cui diritti hanno subito compressioni o violazioni al risarcimento dei danni subiti, sia di natura patrimoniale, sia di natura non patrimoniale.
Ma le cose potrebbero non essere così semplici.
Che cosa dice il GDPR
Il Regolamento 679/2016 prevede che l’interessato possa chiedere il risarcimento del danno quando i suoi dati vengono sottoposti a un trattamento illecito. È precisamente l’art. 82 a cui bisogna fare riferimento: chiunque abbia subito un danno materiale o immateriale (patrimoniale o non patrimoniale diciamo in gergo giuridico nostrano, e lo diciamo da quando la Cassazione, nell’ormai lontano 2008, con le famose sentenze gemelle di S. Martino ha negato che nel nostro ordinamento trovi spazio la figura del danno esistenziale, ricomprendendo tutto ciò che non è definibile come danno patrimoniale nell’unitaria voce di danno non patrimoniale, escludendo ogni ipotesi si duplicazione risarcitoria) ha il diritto di ottenere dal Titolare del trattamento (o dal responsabile esterno, qualora applicabile) il risarcimento del danno subito.
Fino a qui sembrerebbe andare tutto bene. I milioni di utenti che non hanno avuto la disponibilità della posta elettronica potranno richiedere il risarcimento del danno patrimoniale, qualora per esempio quell’indirizzo di posta fosse usato per lavoro: prenotazioni mancate, colloqui saltati, ordini annullati, clienti persi, fatturazione mancata. Potenzialmente tutto potrebbe rientrare nel computo, il che, trattandosi di violazione di dati personali, è un caso molto peculiare.
Nell’ambito del risarcimento del danno ex art. 82 GDPR, infatti, è più usuale che il danno derivante da trattamento illecito dei dati sia di natura non patrimoniale, piuttosto che patrimoniale: si pensi ai casi di telemarketing aggressivo, di comunicazioni commerciali non desiderate, di spamming, di installazione di cookie senza preventivo consenso, o di diffusione di dati nel web a seguito di data leak. In tutti questi casi sarà ben difficile affermare la sussistenza di un danno materiale, ma saranno invece la sofferenza, la tranquillità, la reputazione e l’identità personale a essere state danneggiate e quindi oggetto di un possibile risarcimento.
Entrambe le tipologie di danno, è acclarato, possono essere risarcite, ma è necessario che sussistano condizioni ben precise:
- Innanzi tutti deve esserci da parte del Titolare una condotta attiva o omissiva che integri una violazione del Regolamento;
- In secondo luogo, deve sussistere un danno (patrimoniale o non patrimoniale);
- Infine, deve sussistere il nesso eziologico tra la condotta del Titolare ed il danno subito dall’interessato
Il considerando 85 del regolamento elenca una serie di aspetti che riguardano la risarcibilità delle condotte attive o omissive del Titolare, e precisamente:
- La perdita del controllo dei dati personali degli interessati (caso in cui sembrerebbe rientrare il data breach di Libero)
- La limitazione dei diritti degli interessati;
- La discriminazione degli interessati;
- Il furto di identità;
- Una perdita di carattere economico finanziario;
- Un pregiudizio alla reputazione;
- La perdita di riservatezza di dati oggetto di segreto professionale
- Decifratura non autorizzata in caso di pseudonimizzazione;
- Qualsiasi altro danno economico o sociale significativo: formula conclusiva e onnicomprensiva che include sostanzialmente qualsiasi ipotesi.
Il Titolare ha sempre la possibilità di aver correttamente adempiuto agli obblighi del Regolamento e di aver fatto tutto quanto in suo potere per evitare il danno: non si tratta, quindi, di responsabilità oggettiva, ma di responsabilità che deve avere alla sua base o il dolo o per lo meno una colpa grave. Il che, essendo il Regolamento intero basato sul principio dell’accountability e dell’approccio basato sul rischio, rende tutt’altro che semplice, per il danneggiato, ottenere in concreto il suo risarcimento.
La prova del danno
Il danno non è in re ipsa, dunque, cioè non esiste un danno per il solo fatto che il regolamento è stato violato. Occorre che il danneggiato che agisce in giudizio per tutelare i propri diritti dia prova del danno subito, descrivendolo in maniera dettagliata e non limitandosi a lamentare un danno generico, così come fornisca adeguata prova del nesso eziologico tra la violazione del Regolamento e il danno lamentato (e provato).
Considerato poi il fatto che il Titolare ha la possibilità di esentarsi da responsabilità “se dimostra che il fatto dannoso non gli è in alcun modo imputabile”, cioè se dimostra di aver correttamente adempiuto agli obblighi del Regolamento, è chiaro che l’onere probatorio del soggetto danneggiato risulta particolarmente gravoso (pronuncia del Tribunale regionale superiore di Innsbruck del 13.02.20).
Il danneggiato quindi avrà l’onere di:
- Spiegare il danno, qualificandolo, se possibile facendo riferimento a specifici articoli del regolamento e ai considerando 85 e 75 (danno circostanziato);
- Fornire prove concrete del danno subito e di cui si richiede il risarcimento;
- Dimostrare che si tratta di un danno di entità rilevante (non può trattarsi di un mero fastidio o di una preoccupazione o di una “brutta figura”).
- Fornire prova del nesso eziologico
La giurisprudenza italiana
Come accennato poco sopra, sembrerebbe più semplice fornire prova del danno patrimoniale. Nel caso del data breach di Libero, allegando di aver subito danni di carattere economico, per l’utilizzo della e-mail per contatti di lavoro e fornendo prova dei suddetti danni, potrebbe essere più semplice ottenere una somma in risarcimento (ma anche in questo caso non è sufficiente allegare di aver avuto “problemi sul lavoro” o “disservizi”; inoltre, varrebbe la pena di indagare sull’opportunità di utilizzare un servizio email di un provider gratuito per scopi lavorativi).
Ma per quanto riguarda coloro i quali utilizzano le e-mail a scopo “personale” e che dunque avrebbero subito danni non patrimoniali, la strada potrebbe essere in salita.
La Corte di Cassazione si è pronunciata diverse volte sulla risarcibilità del danno non patrimoniale derivante dalla violazione delle norme in materia di protezione dei dati personali, ora accogliendo la richiesta (sentenza n. 11020/2021), ora rigettandola (ordinanza n. 16402 del 10 giugno 2021).
Il discrimine risiede nella gravità e serietà del danno subito.
Già sotto la vigenza del codice privacy (d. lgs. 196/2003) la Suprema Corte aveva stabilito che per essere risarcibile il danno doveva avere il requisito della gravità, non essendo sufficiente la semplice violazione delle disposizioni privacy da parte del Titolare del trattamento (Cass. 222/2016). Successivamente, con pronuncia 17383/2020, gli ermellini hanno ribadito che il danno non patrimoniale derivante da violazione del GDPR, pur determinando la violazione di un diritto umano fondamentale tutelato ai sensi della Costituzione e della CEDU, deve provocare una compromissione grave e seria per l’interessato, non essendo sufficiente la violazione delle prescrizioni in materia di protezione dei dati personali per determinare il diritto a ottenere un risarcimento.
In sintesi, dunque, i Giudici italiani applicano alla lettera le disposizioni del Regolamento e si pongono in linea con le pronunce europee in materia di risarcimento del danno e con quanto stabilito dall’art. 82 e dal considerando 85 del GDPR: chi subisce un danno derivante dalla violazioni delle disposizioni in materia di protezione dei dati personali potrà ricevere un risarcimento, anche non patrimoniale, a patto che provi la serietà e la gravità del danno subito.
Resta quindi da vedere se gli utenti di Libero e Virgilio mail, che sono stati privati per così tanti giorni della possibilità di scambiare comunicazioni elettroniche, saranno in grado, in concreto, di fornire questa prova e ricevere così lo sperato risarcimento.
La parola passa ai Giudici di merito.
Fonte: https://www.diritto.it/data-breach-risarcimento-danni-libero-e-virgilio/