Il risarcimento del danno da violazione della privacy

Il risarcimento del danno da violazione della privacy

Levita Luigi

Versione PDF del documento

Con la sintetica espressione "diritti della personalità", la dottrina civilistica accomuna ormai da tempo una serie di situazioni legittimanti proprie del singolo soggetto, caratterizzate prevalentemente da indisponibilità ed irrinunciabilità, che connotano ciascun individuo come tale riconoscendone gli status non solo nella vita associata, ma anche e soprattutto in quanto essere vivente dotato di una propria personalità da garantire e legittimare a priori.
Essendo multiforme la personalità dell’individuo in tutte le sue manifestazioni, non ha avuto vita facile l’orientamento dottrinale che tendeva ad accomunare i diritti della personalità in una categoria unitaria: attualmente infatti è prevalente fra gli studiosi l’opposto orientamento di tipo pluralistico, che ad un corpus minimo di regole comuni affianca una corposa serie di regole specifiche per ogni situazione giuridica. Così, ad esempio, in tema di diritto al nome il soggetto leso potrà esperire l’azione di reclamo o l’azione di usurpazione, laddove invece la lesione dell’onore o della reputazione troverà un rimedio nell’ordinamento giuridico penale, che tutela siffatti beni giuridici mediante le fattispecie di ingiuria e diffamazione.
Nondimeno, con il progresso scientifico ed il prorompente ingresso delle tecnologie informatiche, si è verificato negli ultimi anni un notevole mutamento di prospettiva in tema di diritti della personalità, il cui pericolo di lesione aumenta esponenzialmente a cagione dell’utilizzo quotidiano degli strumenti informatici, i quali consentono l’esecuzione di operazioni in tempi prima difficilmente raggiungibili.
Il problema si avverte in tutta la sua gravità con riferimento alla esigenza della riservatezza (che, con espressione efficace, la dottrina anglosassone riconduce al più generale "right to be alone"), la cui necessità si ravvisa come indefettibile in un mondo infestato dalla presenza ossessiva dei mass media e dalla immediata circolazione delle informazioni. Difatti, senza scomodare il "grande fratello" di orwelliana memoria, è agevole constatare che le maggiori possibilità di lesione alla riservatezza del singolo derivano proprio dal vorticoso intrecciarsi dei dati sensibili ad esso relativi, eventualità oggi notevolmente semplificata e quindi potenzialmente lesiva in misura senz’altro maggiore rispetto al passato: si pensi, per limitarsi ad un solo esempio, alla miniera di informazioni scaturenti dal semplice possesso di un apparecchio di telefonia cellulare, il cui funzionamento consente in teoria di conoscere per filo e per segno gli spostamenti del suo possessore, le sue comunicazioni, i suoi contatti. Se poi questo ipotetico soggetto viene anche ripreso dalle telecamere di un ufficio pubblico, se fa uso di una carta di credito o se acquista un qualsiasi bene, compie una serie di operazioni idonee alla sua identificazione e potenzialmente lesive, qualora esse s’incrocino e vengano trattate in maniera non rispettosa dei dettami legislativi.
Seppur con un certo ritardo rispetto agli ordinamenti degli altri Paesi europei, anche il nostro legislatore ha introdotto una regolamentazione specifica indirizzata alla risoluzione di queste problematiche, facendo confluire l’originaria legge n. 675/1996 nel decreto legislativo n. 196/2003, testo unico in materia di trattamento di dati personali. E’ difatti inconferente, secondo la maggioranza degli studiosi, sostenere che il testo unico del 2003 attenga ai soli profili relativi alla privacy, se è vero, per quanto sinora detto, che la lesione della riservatezza del singolo costituisce il segmento conclusivo di una fattispecie complessa, che vede la sua origine nell’illecito trattamento dei dati personali.
Occorre a questo punto ricordare che, in linea generale, le tecniche di tutela previste dall’ordinamento in materia di diritti della personalità sono essenzialmente di due tipi, ossia preventive o successive: le prime, in particolare, trovano un loro fondamento dogmatico nell’esperienza giuridica anglosassone ed un appiglio processuale nella clausola aperta di cui all’articolo 700 Cpc, tendono a
scongiurare il rischio di lesione mediante opportune misure giurisdizionali di tipo repressivo ed anticipatorio, volte ad evitare la produzione di un danno che, una volta verificatosi, non può essere mai integralmente riparato. Infatti, trattandosi di lesioni ai beni fondamentali dell’individuo (onore, identità personale, immagine et similia), è evidente che qualsiasi forma di tutela successiva non possa mai ristorare completamente il pregiudizio subito, bensì solo attenuarlo mediante una riparazione pecuniaria sostituiva con funzione risarcitoria piuttosto che ripristinatoria.
In materia di riservatezza, l’ordinamento giuridico appronta entrambe le forme di tutela, con una netta prevalenza delle regole di tipo preventivo, delineate nel titolo secondo del codice sotto la rubrica di "diritti dell’interessato".
Tali regole, che garantiscono all’interessato il diritto di accedere alle informazioni che lo riguardano, ivi compresa la facoltà di cancellazione dei dati e di opposizione al loro trattamento, trovano il corrispondente assetto di garanzia nella parte terza del codice, che si apre proprio con l’elencazione degli strumenti di tutela offerti al singolo, ossia il reclamo, la segnalazione ed il ricorso.
Infatti, in sede di proposizione di un reclamo, il Garante per la protezione dei dati personali è abilitato in via cautelare a sospendere il trattamento dei dati che appaia come illecito, contestualmente potendo imporre al soggetto inottemperante specifiche prescrizioni. Analogo potere è previsto in capo al giudice al quale venga sottoposta la questione in via giurisdizionale, essendo il sistema imperniato sulla regola dell’alternatività e sulla indefettibilità della libera scelta di adire l’autorità giudiziaria ordinaria al posto dell’autorità amministrativa indipendente.
Le forme di tutela successiva, d’altro canto, si sostanziano prevalentemente nel risarcimento del danno, se è vero che lo stesso metodo parallelo della pubblicazione della sentenza, come acutamente è stato osservato in dottrina, rischia di danneggiare nuovamente la parte che pure ha visto riconosciuta in giudizio la violazione della sua riservatezza, riportando all’attenzione della collettività una vicenda sulla quale potrebbe già essere caduto l’oblio.
Al fine di individuare con precisione il fatto illecito tipico in materia di lesione della riservatezza, occorre allora prendere le mosse dalla dicitura dell’articolo 14 del testo unico, il quale scolpisce la regola della inutilizzabilità dei dati decontestualizzati; in altre parole, il dato sensibile relativo ad un certo soggetto ha ragione d’esistere sino a quando "convive" con gli altri dati di quel medesimo tipo, relativi ad altri soggetti (in una cd. "banca dati"), che un titolare detiene lecitamente ai fini di un loro trattamento. Qualora invece tale singolo dato venisse estrapolato dal suo contesto, non potrebbe affatto essere utilizzato, giacché con tale attività di "estrazione" la riconducibilità dell’informazione al suo titolare diverrebbe immediata e foriera di una irreparabile lesione.
Il successivo articolo 15 delinea le conseguenze scaturenti dall’illecito trattamento dei dati, edificando un duplice sistema di risarcimento che ha ad oggetto congiuntamente, se ne ricorrano i presupposti, il danno patrimoniale (comma 1) e quello non patrimoniale (comma 2).
La norma, che deve la sua genesi alla spinta incalzante delle direttive comunitarie in materia di trattamento dei dati, le quali hanno nel tempo reso necessaria la previsione di un obbligo risarcitorio, è peraltro stata fatta oggetto di non poche critiche da parte degli studiosi, a cagione della sua formulazione atecnica e per questo suscettiva di difficoltà applicative.
Procedendo analiticamente, con riguardo al primo comma dell’articolo 15, il riferimento all’articolo 2050 del codice civile ha ingenerato più di un dubbio. La norma, come è noto, si inserisce nel contesto delle forme di responsabilità aggravata, affiancandosi alle forme di responsabilità imponendo l’obbligo risarcitorio a carico di chi, nello svolgimento di una attività pericolosa, cagioni a terzi un danno, salva la prova di aver adottato ogni misura idonea.
L’incerta collocazione dell’articolo 2050 è frutto delle dispute sulla natura della responsabilità extracontrattuale del nostro sistema e sul fondamento della responsabilità extracontrattuale. Superate le tradizionali concezioni etiche della responsabilità precontrattuale, che risale a tempi remoti, in base alla quale la responsabilità extracontrattuale è la sanzione di un illecito e di un illecito colpevole, le più moderne impostazioni civilistiche, anche quando confermino la necessità della base colposa o dolosa per l’attribuzione della responsabilità, sono propense a ritenere che la tutela extracontrattuale non abbia funzionalità sanzionatorie ma abbia funzionalità riparatoria.
Non occorre guardare, nella logica della responsabilità, al comportamento del danneggiante la cui colpa merita punizione, ma occorre guardare al danno ingiusto, che è l’elemento fondamentale della disposizione dell’art. 2043. Tale finalità riparatoria richiede un criterio attraverso il quale il danneggiante debba sopportare il danno cagionato ad altri.
Criterio eminente è quindi quello della colpa, la colpevolezza in senso lato; per talune situazioni invece la normativa, persino quella codicistica, condizionata dall’evoluzione tecnologica, dalla massificazione del danno, sostituisce al criterio della colpa altri possibili criteri, prospettando regole risarcitorie che in vario modo esonerano il danneggiato dal dimostrare quel preteso elemento costitutivo della responsabilità che è la colpevolezza.
Dunque, tornando alla norma in esame, la prova di aver fatto tutto il possibile per impedire l’evento lesivo, come suggerisce l’art. 2050 dettando l’unico canone che possa consentire al danneggiante di esonerarsi dalla responsabilità, non sarebbe la prova della mancanza di colpa, che in via eccezionale graverebbe negativamente sul danneggiante piuttosto che positivamente sul danneggiato, ma sarebbe la prova che il comportamento pericoloso dell’agente, danneggiante, non avrebbe nessun nesso dal punto di vista causalistico con il danno ipoteticamente cagionato al danneggiato.
Dunque la prova incombente sul danneggiante, nell’ipotesi emblematica del 2050, non sarebbe la prova dell’assenza di colpa ma sarebbe la prova del fortuito, cioè della prova, in tesi, dell’assenza del nesso di causalità.
Si suggerisce di ritenere che le ipotesi speciali o aggravate di responsabilità di cui all’articolo 2048 e ss. sarebbero ipotesi di responsabilità propriamente e rigorosamente oggettiva; la colpa non viene in considerazione nè positivamente, come oggetto di prova in capo al danneggiante, né negativamente, come facoltà di esonero di responsabilità in capo al danneggiante ove riesca a dimostrare la sua assenza.
Secondo altra impostazione, invece, la prova negativa pur incombente sul danneggiante, al preordinato fine di esonerarsi della responsabilità, sarebbe comunque la mancanza di colpa, cioè il dimostrare di aver fatto tutto il possibile per impedire il danno, di aver rispettato tutte le regole di diligenza qualificata in relazione alla pericolosità o alla natura dell’attività.
Esiste infine un’ipotesi intermedia, secondo la quale occorre distinguere l’eventualità in cui effettivamente l’oggetto della prova sia la mancanza di colpa, da quelle in cui sia la mancanza del nesso di causalità, ulteriormente partizionando la responsabilità semi aggravata dalla responsabilità oggettiva.
Dunque, con riferimento all’articolo 15 del codice della privacy, dal punto di vista tecnico, la previsione di obblighi di sicurezza e la enucleazione dei rischi che tali stringenti obblighi di sicurezza mirano ad evitare, sono espressivi della pericolosità in re ipsa del trattamento dei dati e dunque dell’attività di trattamento generalmente considerata.
Contro questa tesi, in base alla quale il richiamo all’articolo 2050 non sarebbe generico, bensì tecnico, si osserva, da una pluralità di punti di vista, che il codice della privacy, nel suo complesso, non si applica solamente al caso in cui si tratti di trattamento massificato di dati, che per la loro potenziale utilizzazione pericolosa mettono in pericolo in modo grave i diritti della personalità.
La stessa legge, come del resto emerge in termini positivi dalla definizione di "trattamento", riguarda anche il trattamento effettuato senza l’ausilio di strumenti elettronici, e quindi si applica anche al trattamento cd. manuale di dati.
Dunque, la legge sulla privacy ha un oggetto ampio, che certamente si riferisce al trattamento complessivo, telematico e informatizzato di dati, che costituirebbe la ragion d’essere dell’apprezzamento in senso di attività pericolosa, ma si riferisce anche, in termini di non meno rilevanza, al trattamento manuale del dato, all’utilizzazione del singolo dato, per la quale la pericolosità non potrebbe essere apprezzata in astratto, ma andrebbe semmai apprezzata concretamente, con riferimento alle modalità della condotta e per le quali allora l’articolo 2050 sarebbe frutto di una sproporzionata e eccessiva regola di attribuzione della responsabilità in capo al danneggiante.
In termini più complessivi, secondo questo ulteriore orientamento, si dice che il richiamo all’articolo 2050 non andrebbe apprezzato in senso tecnico, ma dal punto di vista effettuale: l’unico obiettivo che il legislatore si proporrebbe, come emerge del resto dalla direttiva comunitaria che andava attuata, è invertire l’onere della prova.
Non minori problemi suscita, infine, la previsione del secondo comma dell’articolo 15, mirante al risarcimento del danno non patrimoniale: difatti l’inciso "anche", linguisticamente poco comprensibile, o rischia di apparire superfluo, o spinge l’interprete verso pericolose esegesi del dato testuale.
Prescindendo dalla tecnica definitoria, giova sottolineare che questa norma si occupa di richiamare l’articolo 11 quanto all’evocazione delle modalità di trattamento dei dati.
Occorre dunque rinvenire quali sono le disposizioni del codice dalle quali si possano indurre le condizioni della liceità e della correttezza del trattamento del dato. Ciò è implicitamente richiamato dall’articolo 15, quale il contenuto della clausola di ingiustizia del danno, che non è espressamente richiamata ma evidentemente è implicita nella normale ipotesi di responsabilità extracontrattuale.
Da questo punto di vista, la dottrina appare quindi concorde nell’apprezzare allora il richiamo all’articolo 11, che è appunto dedicato alle modalità di trattamento dei dati.
Tale norma, conclusivamente, lascia aperti molteplici problemi relativi alla cd. Plurioffensività dell’illecito civile, per come scandagliata dai recenti arresti giurisprudenziali anche del giudice delle leggi, in una con le tecniche di quantificazione e liquidazione del danno.
Avv. Luigi Levita
Specializzato nelle professioni legali
Dottorando di ricerca – SUN
 

© RIPRODUZIONE RISERVATA


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it