Chiunque subisca un danno materiale o immateriale causato da una violazione del GDPR ha il diritto di ottenere il risarcimento del danno: il danno alla reputazione non coincide però con l'evento, ma presuppone che ne sia fornita la prova.
La normativa applicabile
Il regime di responsabilità civile per danni conseguenti a trattamento illecito dei dati personali effettuato dal Titolare e/o dal Responsabile, è disciplinato dall'art. 82 del GDPR , secondo cui “ Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento ”.
La prescrizione della norma sembra evocare una tendenziale oggettivazione della responsabilità, in deroga alle regole comuni previste dal codice civile per la responsabilità civile, in continuità con quanto già statuito dal previgente art. 15 del Codice della Privacy: incombe, infatti, al danneggiante – Titolare e/o Responsabile – dimostrare che l'evento dannoso non è in alcun modo imputabile al trattamento dei dati operato.
Danno in re ipsa?
La Cassazione, con la recente ordinanza n. 17383/2020, applicando ratione temporis la previgente normativa ha affermato che “ il danno non patrimoniale risarcibile ai sensi del D.Lgs. n. N. 30 giugno 2003, n. 196 , artt. 15 (cosiddetto codice della privacy), pur determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli artt. 2 e 21 Costo. e dall'art . 8 della CEDU, non si sottrae alla verifica della "gravità della lesione" e della "serietà del danno"(quale perdita di natura personale effettivamente patita dall'interessato) [..] Il relativo accertamento di fatto è rimesso al giudice di merito e resta ancorato alla concretezza della vicenda materiale portata alla cognizione giudiziale ed al suo essere maturata in un dato contesto temporale e sociale (Cass. 16133/2014; Cass. 20615/2016)” .
Se in riferimento alla verifica della presenza e della serietà del danno, il nuovo GDPR, al considerando n. 75, richiama esplicitamente l'attenzione degli operatori sui rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, che possono derivare proprio da trattamenti di dati personali suscettibili di cagionare un pregiudizio alla reputazione , la pronuncia sopra riportata si pone senz'altro in linea con l'ormai prevalente orientamento giurisprudenziale, secondo cui il danno alla reputazione non può coincidere con l'evento, ma presuppone che ne sia fornita la prova .
Basti ricordare le quattro pronuncia nn. 26972 e ss. del 2008 della Suprema Corte a Sezioni Unite.
La liquidazione del danno
Per quanto attiene la liquidazione del danno alla reputazione , nella prassi si fa costantemente ricorso ad una liquidazione determinata in via equitativa, attenendosi a parametri di carattere generale quali: la natura e la pervasività del mezzo con cui è stato diffuso il contenuto illecito (si pensi alla pubblicazione di dati nel web e alla risonanza che può conseguirne); le caratteristiche del soggetto leso; la gravità dell'offesa (quale perdita effettivamente patita dall'interessato) e il comportamento del danneggiato successivo alla commissione della condotta illecita.