Ordinanza di Cassazione Civile Sez. 1 Num. 13073 Anno 2023
Civile Ord. Sez. 1 Num. 13073 Anno 2023
Presidente: GENOVESE NOME COGNOME
Relatore: COGNOME NOME
Data pubblicazione: 12/05/2023
ORDINANZA
sul ricorso iscritto al n. 30023/2021 R.G. proposto da:
RAGIONE_SOCIALE, domiciliato ex lege in ROMA, INDIRIZZO presso la CANCELLERIA della CORTE di CASSAZION E, rappresentato e difeso da ll’avvocato COGNOME NOME COGNOME COGNOME (CODICE_FISCALE)
-ricorrente-
contro
NOME COGNOME , domiciliato ex lege in INDIRIZZO presso la CANCELLERIA della CORTE di CASSAZION E, rappresentato e difeso da ll’avvocato NOME COGNOME NOME COGNOME (CODICE_FISCALE)
-controricorrente-
i
COGNOME
Numero registro generale 30023,2021
Numero sezionale 2172,2E123
Nurnero di raccolta generale 13073f2023
Data pubblicazione 12,135,2023
avverso la SENTENZA del TRIBUNALE di RAGIONE_SOCIALE n. 1204/2021 depositata il 21/09/2021.
Udita la relazione svolta nella camera di consiglio del 19/04/2023 dal Consi NOME COGNOME.
Fatti di causa
Il Comune di Pisa ha proposto ricorso per cassazione contro la sentenza con la quale il Tribunale della stessa città l’ha condannato a risarcire i danni cagionati al RAGIONE_SOCIALE, propria dipendente, a causa di un trattamento illecito di RAGIONE_SOCIALE RAGIONE_SOCIALE.
La RAGIONE_SOCIALE. ha resistito con controricorso e memoria.
Ragioni della decisione
I. – Il ricorso è affidato ai seguenti motivi:
(i) violazione o falsa applicazione degli artt. 24, 29 e 82 Regolamento (UE) 2016/679, cd. GDPR, per avere il tribunale ignorato le circostanze che avevano condotto all’illecito trattamento del dato personale dell’interessata, e ritenuto il danno in re ipsa per il solo fatto che si fosse verificato, nell’ente, un trattamento RAGIONE_SOCIALE non conforme a dettato normativo: si sostiene esser stato pacificamente dimostrato in giudizio quale fosse il complesso sistema di gestione della privac adottato dal comune di Pisa, con puntuale descrizione delle misure di sicurezza tese a garantire la RAGIONE_SOCIALE dei RAGIONE_SOCIALE proprio nell’ambito dell gestione informatica dei flussi documentali e della pubblicazione di att e documenti all’albo pretorio, ambito in cui l’incidente si era verificat donde l’ostensione all’albo pretorio del comune dei RAGIONE_SOCIALE RAGIONE_SOCIALE della dipendente era avvenuta per incidente, distrazione o errore umano, non prevedibile, né evitabile in futuro, di un operatore autorizzato a trattamento e adeguatamente istruito; operatore che, incaricato di curare il procedimento informatico di generazione del visto di regolarità contabile e di caricarlo sul sistema di gestione documentale in allegato
COGNOME
Numero registro generale 30023,2021
Numero sezionale 2172,2E123
Nurnero di raccolta generale 13073f2023
iigi alla determinazione anonimizzata, aveva inavvertitamente “siS at 13.ubb i c one 12,135,2023 ufitato , il campo “pubblica” in corrispondenza del visto stesso, che invece doveva rimanere a solo uso interno; a tale incidente era stato posto rimedio in poco più di 24 ore, sicché si sarebbe dovuto ritenere insussistente un danno addossabile al comune quale conseguenza della accidentale affissione all’albo pretorio del visto;
(ii) violazione o falsa applicazione dell’art. 2050 cod. civ., perché il danno afferente non può mai essere considerato in re ipsa, e l’attrice nel giudizio di merito non aveva fornito prova alcuna del danno subito in conseguenza della pubblicazione all’albo pretorio di un visto di regolarità contabile contenente i suoi RAGIONE_SOCIALE RAGIONE_SOCIALE per poco più di un giorno;
(iii) nullità della sentenza per motivazione apparente dovuta a illogica valutazione dei presupposti di fatto, avendo il tribuna affermato che il danno come in re ipsa per esser stati divulgati RAGIONE_SOCIALE RAGIONE_SOCIALE in violazione dei principi per il trattamento dei RAGIONE_SOCIALE stessi, mostrando di confondere il concetto di violazione dei RAGIONE_SOCIALE con quello di danno che possa esserne derivato;
(iv) omesso esame di fatto decisivo in ordine al contenuto della comunicazione del RAGIONE_SOCIALE, che era stata considerata solo come presa d’atto, da parte dell’autorità d controllo, della rinuncia al reclamo da parte della S.G. , anziché come definizione di merito del reclamo, con declaratoria di non sussistenza di alcuna violazione nella condotta del comune tale da rendere necessaria l’adozione di provvedimenti collegiali.
II. – Il ricorso, i cui motivi possono essere esaminati congiuntamente per connessione, è in parte inammissibile e in parte infondato.
III. – Dalla sentenza si apprende che il trattamento illecito era stato integrato nel seguente modo: il 12/8/2020 il comune di Pisa aveva pubblicato sul proprio sito istituzionale una determina relativa pignoramento per un certo importo dello stipendio di una dipendente
Numero registro generale 30023,2021
Nurnero sezionale 2172f2023
Numero di raccolt a.cie nerale 13073,2023 comunale, tale per cui l’ente si era assunto l’impegno di versare n quinto Data pubblicazione 12,1:W2023 dello stipendio a favore della società creditrice; nella determina er stata omessa la pubblicazione dei RAGIONE_SOCIALE della debitrice, ma nella nota contabile allegata l’espressa indicazione dei RAGIONE_SOCIALE era stata inve mantenuta, e i RAGIONE_SOCIALE erano così finiti, seppure per poco più di un giorno nell’albo pretorio 011 line del comune medesimo.
In tale situazione il tribunale ha concluso nel senso che trattamento era comunque (oggettivamente) avvenuto in violazione del GDPR, e che di ciò era d’altronde consapevole lo stesso ente, che aveva giustappunto ammesso – così come ha ammesso anche in questa sede – di avere diffuso mediante pubblicazione i RAGIONE_SOCIALE “reputazionali” non ostensibili in virtù dei principi di necessità e m inimizzazione previs dalla norma.
IV. – Tanto premesso, non possiede alcuna rilevanza il fatto che ciò sia avvenuto per errore umano, distrazione o altro, come il ricorrente insiste nel dire ai fini dell’attuale primo mezzo, per l’elementare ragio che il titolare del trattamento dei RAGIONE_SOCIALE risponde anche per il fatto colpo dei propri dipendenti, come del resto già sancisce in generale l’art. 204 cod. civ. per tutta la materia della responsabilità civile.
V. – Il punto fondamentale è che il danno non patrimoniale risarcibile è in questi casi determinato da una lesione del dirit fondamentale COGNOME alla COGNOME RAGIONE_SOCIALE COGNOME dei COGNOME RAGIONE_SOCIALE COGNOME RAGIONE_SOCIALE COGNOME tutelato costituzionalmente (artt. 2 e 21 Cost. e art. 8 della Cedu).
La rileva nza del rimedio risarcitorio è confermata dal GDPR, il cui art. 82 stabilisce che “chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattament o dal responsabile del trattamento”.
Ciò sta a significare che il soggetto danneggiato a seguito di un trattamento dei suoi RAGIONE_SOCIALE in violazione delle norme del GDPR e di quelle nazionali di recepimento (cfr. Il d.lgs. n. 101 del 2018 di aggiornamento del codice privacy) può ottenere il risarcimento di qualunque danno
COGNOME
Numero registro generale 30023,2021
Numero sezionale 2172,2E123
Nurnero di raccolta generale 13073f2023
NOME done 1295’2023
occorsogli, anche se la lesione sia marginale; e il titolare rispontreP danno causato dal trattamento in violazione del regolamento indipendentemente dall’eventuale concorso del responsabile specifico.
VI. – Il concetto di danno è d’altronde precisato nel Considerando 146 del GDPR, secondo il quale “Il titolare del trattamento o il responsabile del trattamento dovrebbe risarcire i danni cagionati a una persona da un trattamento non conforme al presente regolamento ma dovrebbe essere esonerato da tale responsabilità se dimostra che l’evento dannoso non gli è in alcun modo imputabile”.
Vi si trova scritto inoltre che il concetto di danno “dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di giustizia in modo tale da rispecchiare pienamente gli obiettivi del presente regolamento”; sicché “gli interessati dovrebbero ottenere pieno ed effettivo risarcimento per il danno subito.
VII. – I Considerando di un Regolamento UE o di una Direttiva svolgono la funzione di spiegare le ragioni dell’intervento normativo e ne integrano la “concisa motivazione”, come chiarito anche dalla Guida pratica comune del Parlamento europeo, del Consiglio e della Commissione per la redazione dei testi legislativi dell’Unione europea del 2015.
Non contengono cioè enunciati di carattere normativo (v. Cass. Sez. 5 n. 7280-22).
E tuttavia costituiscono in ogni caso elementi non secondari in chiave interpretativa delle norme afferenti.
L’adeguamento del sistema nazionale alle norme del GDPR impone allora di puntualizzare il senso di alcune anteriori posizioni espresse da questa Corte a proposito dell’art. 15 del codice privacy.
Si è detto nella vigenza dell’art. 15 che il danno non può dirsi in re Osa (v. Cass. Sez. 6-1 n. 17383-20, Cass. Sez. 3 n. 16133-14), e questo è certamente da mantenere.
COGNOME
Numero registro generale 30023,2021
Numero sezionale 2172,2023
Nurnero di raccolta generale 13073f2023
Tuttavia il senso dell’affermazione non può esser [ tpli c ip t Isilictèi ione 12,135,2023 altrimenti che in ciò: che il diritto al risarcimento non si sottrae verifica della gravità della lesione e della serietà del danno.
Questo perché anche per tale diritto opera il bilanciamento con il principio di solidarietà ex art. 2 cost., di cui quello di tolleranza lesione minima è un precipitato.
Il senso dell’affermazione, dopo il GDPR, è offerto dalla constatazione che non è tale da determinare una lesione effettiva del diritto la mera violazione delle prescrizioni poste in tema di trattamento ma lo è invece quella violazione che concretamente offenda la portata effettiva del diritto alla riservatezza del dato.
Fermo allora che il relativo accertamento integra la questione di fatto ed è rimesso al giudice di merito, può osservarsi che nel caso esame il tribunale non ha mancato di cogliere l’evidenza del profilo.
Sebbene menzionando la categoria del danno in re Osa, il tribunale ha svolto l’accertamento ritenendo che in effetti un danno era stato integrato dall’ostensione del dato per tipologia e contest sebbene solo per un tempo ridotto. E tanto emerge implicitamente dalla descrizione della vicenda materiale e dal suo essere maturata in uno specifico ambito temporale e socio-lavorativo.
VIII. – Ne deriva che tutte le giustificazioni fornite dal comune di Pisa nel primo motivo non sono rilevanti, visto che l’illiceità d trattamento imputabile al titolare non è stata mai contestata (né, per l considerazioni esposte, è minimamente contestabile), e gli elementi indicati a fondamento dei restanti motivi sono tutti privi di decisività inammissibilmente finalizzati a sovvertire il giudizio di fatto.
IX. – E’ opportuno del resto aggiungere che mai potrebbe rilevare in senso favorevole al comune ciò che nel ricorso è stato specificato proposito del provvedimento del RAGIONE_SOCIALEnte.
Il provvedimento era conseguito alla rinuncia al reclamo fatta dall’interessata.
COGNOME
Numero registro generale 30023,2021
Numero sezionale 2172,2E123
Nurnero di raccolta generale 13073f2023
i:Iiilctéi)P_IVA
Nel ricorso è riportato il passaggio cruciale, nel quale l àgtlY riconosciuto che “il documento è stato pubblicato per un mero errore materiale e per un periodo limitato e l’amministrazione, nel momento in cui ha avuto conoscenza dell’errore, ha posto immediatamente in essere tutte le misure necessarie per rimuovere il documento”.
Ebbene, anche a voler prescindere dall’essere stata la decisione motivata per concludere l’esame del reclamo “senza l’adozione di provvedimenti collegiali”, ai soli fini, quindi, del giudizio amministrativo colà rilevante, impregiudicati naturalmente i diritti del soggetto les resta essenziale che lo stesso provvedimento del RAGIONE_SOCIALEnte conforta la valutazione di responsabilità del titolare del trattamento, ov doverosa mente parametrata al GDPR.
Invero il titolare del trattamento deve comunque risarcire il danno cagionato a una persona “da un trattamento non conforme al presente regolamento”, e può essere esonerato da una tale responsabilità non semplicemente se si è attivato (come suo dovere) per rimuovere il dato illecitamente esposto, ma solo “se dimostra che l’evento dannoso non gli è in alcun modo imputabile”.
X. In conclusione il ricorso deve essere rigettato.
Vanno affermati i seguenti principi di diritto:
in base alla disciplina generale del Regolamento (UE) 2016/679, cd. GDPR, il titolare del trattamento dei RAGIONE_SOCIALE RAGIONE_SOCIALE è sempre tenuto a risarcire il danno cagionato a una persona da un trattamento non conforme al regolamento stesso, e può essere esonerato dalla responsabilità non semplicemente se si è attivato (come suo dovere) per rimuovere il dato illecitamente esposto, ma solo “se dimostra che l’evento dannoso non gli è in alcun modo imputabile”;
l’esclusione del principio del danno in re Osa presuppone, in questi casi, la prova della serietà della lesione conseguente trattamento; ciò vuol dire che può non determinare il danno la mera violazione delle prescrizioni formali in tema di trattamento del dato,
Numero registro generale 30023,2021
Nurnero sezionale 2172f2023
mentre induce sempre al risarcimento quella COGNOME il tAceig alérale 130712E123 Data pubblicazione 12,1W2023 concretamente offenda la portata effettiva del diritto alla riservatezza.
Le spese seguono la soccombenza.
p.q.m.
La Corte rigetta il ricorso e condanna il ricorrente alle spese processuali, che liquida in 2.200,00 EUR, di cui 200,00 EUR per esborsi, oltre accessori e rimborso forfetario di spese generali nella massima percentuale di legge.
Dispone che, in caso di diffusione della presente ordinanza, siano omesse le generalità e gli altri RAGIONE_SOCIALE significativi.
Ai sensi dell’art. 13, comma 1-quater, del d.P.R. n. 115 del 2002, dà atto della sussistenza dei presupposti per il versamento, da parte del ricorrente, dell’ulteriore importo a titolo di contributo unificato pari quello relativo al ricorso, se dovuto.
Deciso in Roma, nella camera di consiglio della prima sezione