Dott. Giovanni Modesti[1]
SOMMARIO: PREMESSA. 1. L’ART. 2050 C.C. 2. LA CASISTICA GIURISPRUDENZIALE. 3. L’ART. 15 DEL DECRETO LEGISLATIVO N. 196/2003 QUALE CAMPO DI APPLICAZIONE DELL’ART. 2050 C.C. 3.1 LA DELEGA DI FUNZIONI IN MATERIA DI TRATTAMENTO DEI DATI PERSONALI, TRA TITOLARE E RESPONSABILE. 3.2 ORIENTAMENTI GIURISPRUDENZIALI IN MATERIA DI RESPONSABILITA’ OGGETTIVA DERIVANTE DA TRATTAMENTO DEI DATI PERSONALI 4. L’AZIONE DI RISARCIMENTO
PREMESSA.
Mediante la previsione contenuta nell’art. 2050[2] cc il legislatore ha inteso consentire l’espletamento di talune attività che, benché siano ritenute pericolose, hanno una loro utilità sociale[3].
Tale atteggiamento deriva da una lunga elaborazione teorica[4] che brevemente riassumiamo. Nel secolo XIX la responsabilità civile extra contrattuale era limitata alle ipotesi di responsabilità per colpa, ciò a dire che l’obbligo di risarcimento del danno scattava solo a carico di chi avesse prodotto il danno in questione in maniera illecita. La responsabilità civile, secondo tale concezione, non poteva essere tirata in ballo quando il danno non fosse riconducibile alla colpa di altri.
Con la industrializzazione che prese piede a partire dalla seconda metà dell’Ottocento, cominciarono ad essere svolte attività lavorative, nei più disparati campi, che per la loro specificità erano in grado di produrre situazioni di pericolo.
Pur in presenza di tali tipi di attività[5], attesa la loro valenza sociale, partendo da una loro liceità si è però stabilita una ipotesi di responsabilità scaturente, appunto, dallo svolgimento di attività di natura pericolosa.
Ci si accorse che non era possibile assicurare una copertura da rischi per tali attività ricorrendo alla impostazione tradizionale “nessuna responsabilità senza colpa” e ciò perché la colpa poteva essere stata cancellata dall’incidente stesso oppure poteva essere ricondotta all’opera di un singolo lavoratore non in grado di risarcire il danno o, altra ipotesi, la colpa non era riconducibile in maniera certa ad un soggetto o ad una singola fase di produzione.
Si tenga presente che allorché fu affrontato il problema del risarcimento delle vittime degli incidenti non era ancora in vigore una mutualità, né pubblica né tanto meno privata, per cui fu una via obbligata quella di prevedere una responsabilità civile.
1. L’ART. 2050 C.C.
L’art. 2050 c.c. si inquadra all’interno del Titolo IX “Dei fatti illeciti”, che disciplina, in prima battuta, la figura generale della responsabilità di cui all’art. 2043 c.c.[6], dove la colpa e il dolo sono criteri di imputazione della responsabilità, vale a dire, che diventano elementi costitutivi del diritto al risarcimento del danno.
Le fattispecie oggetto di disciplina del citato Titolo non si esauriscono con tale articolo ma prevedono ulteriori e diverse forme di responsabilità: alcune delle quali ( ad es. gli arrt. 2050, 2047[7], 2048[8] e 2054[9], primo comma del c.c.) reputano che la rilevanza del caso fortuito è superata dalla prova – prodotta dall’autore del fatto – di avere adottato tutti gli accorgimenti possibili e prevedibili per evitarlo; altre (art. 2051[10] e 2052[11] c.c.) per le quali l’autore del fatto deve dimostrare l’esistenza della fortuità quale causa determinante dell’evento[12].
Attraverso tale norma fu concettualizzata e normata una presunzione di responsabilità civile extra contrattuale dalla quale scaturiva l’onere, a carico dell’esercente l’attività pericolosa, di dimostrare di avere adottato tutte le misure idonee ad evitare il danno.
Sempre in merito all’onere della prova, va detto che non è sufficiente dimostrare la prova negativa, che consiste nella affermazione di non avere violato regole scaturenti da norme positive o dettate dalla comune prudenza, ma occorre dimostrare di avere adottato tutte le misure possibili per impedire l’evento dannoso (c.d. prova positiva)
Tale dimostrazione risulterà fondata solo qualora si dimostri che tra l’attività pericolosa e l’evento dannoso non ci sia un nesso di causalità[13].
Ma cosa si intende per « attività pericolosa » ? di sicuro il legislatore ha inteso fare riferimento ad una attività realizzatasi attraverso una serie di atti continuativi e coordinati[14].
Come ribadito dalla Cassazione[15], l’attività imprenditoriale presuppone una responsabilità in capo a colui che ha il controllo dell’attività al momento in cui il danno si è prodotto.
Volendo focalizzare meglio la problematica, tale tipologia di attività comprende sia le attività esercitate per fini di lucro sia quelle poste in essere dalla Pubblica Amministrazione.
Una volta definito, seppur succintamente, l’ambito di applicazione dell’art. 2050 c.c. occorre procedere a fornire i criteri utili a stabilire quando una attività può definirsi pericolosa.
Poiché manca una esaustiva elencazione da parte del legislatore, appare, in prima battuta, possibile ricorrere all’utilizzo della statistica[16], per cui la pericolosità di una attività la si desume dall’avere essa cagionato numerosi incidenti.
Un ulteriore elemento da tenere a mente ci viene fornito, questa volta, dal legislatore che introduce nel citato articolo una qualificazione del tipo di attività pericolosa, indicando la “natura” o la “natura dei mezzi adoperati”.
Di conseguenza talune attività sono pericolose in quanto tali (ad es. l’impiego di materiale esplosivo, la conduzione di una centrale termica, la gestione di informazioni elettroniche, ecc.) altre diventano pericolose a seguito dei mezzi, pericolosi appunto, con i quali vengono realizzate (ad es: l’assemblaggio di tavole di compensato di per sé non rientra nel novero delle attività pericolose ma può diventarlo allorché venga usato un collante a base chimica che se inalato provoca bruciore agli occhi o, a maggior ragione, intossicazione).
In merito al nesso di causalità, va precisato che il danneggiato ha solo l’onere di provare l’esistenza del nesso causale tra l’attività pericolosa ed il danno subito; incombe invece sull’esercente l’attività pericolosa l’onere di provare di avere adottato tutte le misure idonee a prevenire il danno[17].
Solitamente, l’adozione di tali misure è rimessa alla piena discrezionalità dell’esercente in quanto il legislatore quasi mai fornisce ‘un aiuto’.[18]
Però pur trattandosi di una ipotesi attinente la presunzione di responsabilità (art. 2050 c.c.) e non una presunzione di colpa, occorre comunque che venga accertata l’esistenza del nesso eziologico tra l’esercizio dell’attività e l’evento dannoso. Tale prova, lo ribadiamo, è a carico del danneggiato[19].
L’esercente l’attività pericolosa non risponde del danno subito dal terzo qualora il comportamento di questi sia stato tale da “costituire una causa sopravvenuta da sola efficiente nella produzione dell’evento[20]” oltre ad essere stata di per sé idonea a troncare il nesso di causalità tra la condotta dell’esercente l’attività pericolosa e il verificarsi del danno.
A tale riguardo la Cassazione[21] ha ribadito che colui che esercita un’attività pericolosa ha l’onere di dimostrare di avere adottato “tutte le misure idonee ad evitare il danno”, pertanto non è ritenuta sufficiente la c.d. prova negativa di non avere violato la legge o le norme di comune prudenza ma bisogna ricorrere alla prova positiva di avere impiegato ogni cura e misura atta ad impedire l’evento dannoso[22].
Il nesso eziologico, rectius, il suo accertamento è competenza del giudice di merito, così come la natura dell’attività e l’idoneità delle cautele prescritte dal legislatore. Ad avviso della suprema Corte[23], il giudice di merito è competente anche per giudicare la idoneità di quegli elementi la cui presenza è richiesta dalla norma e/o da regole non codificate e il suo giudizio deve basarsi sulla complessità degli indizi in modo da potere esprimere una valutazione ex ante[24].
Chi pone in essere un’attività pericolosa è tenuto ad organizzarla in forme tali che risulti scongiurata l’eventualità che la pericolosità si sostanzi in un danno concreto.
La condotta del soggetto danneggiato ha effetto liberatorio solo se tale condotta ha provocato una interruzione del nesso di causalità materiale[25]. Tale concetto era stato ribadito in una precedente pronuncia della suprema Corte[26] che ebbe modo di precisare che non è sufficiente provare che la condotta del danneggiato o di terzi sia stata la causa determinante per la produzione dell’evento dannoso ma occorre provare anche che sono stati adottati tutti gli accorgimenti idonei ad evitare il danno[27].
Il caso fortuito che fa venir meno la responsabilità dell’esercente l’attività pericolosa deve rientrare nel novero delle categorie riconducibili alla eccezionalità ed alla oggettiva imprevedibilità. Verificandosi il ‘caso fortuito’ la suprema Corte ha ritenuto che tale elemento rilevi anche nell’ambito delle ipotesi di responsabilità oggettiva[28].
Il caso fortuito abbraccia tutti quei fattori causali, sopravvenuti, presistenti o concomitanti, che hanno reso eccezionalmente possibile il verificarsi di un evento che si presenta come conseguenza del tutto inverosimile secondo la migliore scienza ed esperienza. Ecco il motivo per il quale il caso fortuito, rectius, la sua presenza esclude il rapporto di causalità.
Un aspetto non ancora sufficientemente studiato, risulta essere – a parere di chi scrive –quello del necessario bilanciamento degli interessi in gioco allorché siano svolte attività pericolose. Di per sé, sappiamo che, diverse attività umane sono reputate utili benchè presentino degli aspetti di pericolosità. Riconoscere la utilità sociale, economica, ecc, di tali attività ha fatto si che esse siano consentite in ragione del rischio insito nelle stesse. Ebbene, la concretizzazione di tale bilanciamento, tra l’interesse allo svolgimento di una attività socialmente utile e la sua rischiosità meriterebbe, forse, una maggiore elaborazione dottrinale e giurisprudenziale.
2. LA CASISTICA GIURISPRUDENZIALE
Attraverso una serie di pronunce giurisprudenziali è possibile procedere ad una elencazione, certamente non esaustiva ma comunque illuminante, degli indici la cui presenza fa scattare il range di pericolosità[29]. Esistono delle attività per le quali la legge prevede l’adozione di determinate misure precauzionali (ad es: attività che comportano l’esposizione a sostanze radioattive), altre, invece, sono subordinate al rilascio di una autorizzazione da parte della pubblica amministrazione (ad es. l’attività estrattiva posta in essere presso le cave).
Poiché l’art. 2050 c.c. costituisce un caso di ‘norma aperta’ è necessario fare riferimento alla casistica giurisprudenziale per individuare, a priori, le ipotesi di attività pericolosa.
La Cassazione[30], nelle sue più recenti pronunce, ha ribadito che la attività pericolosa di cui all’art. 2050 c.c. va ascritta tra le ipotesi di responsabilità oggettiva. Di conseguenza non è necessario accertarne l’elemento colposo. A tale proposito è stata operata una distinzione rispetto alla fattispecie enunciata attraverso l’articolo 2051 c.c. ove si fa riferimento all’eventuale colposità del comportamento di chi ha delle cose in custodia[31].
Premesso che determinate attività[32] sono state sottratte a tale disciplina dallo stesso legislatore, quelle che vi possono essere ricondotte sono: la produzione e la distribuzione di energia elettrica ad alta tensione; la produzione e la distribuzione di gas in bombole; la produzione e la distribuzione del metano, l’attività pirotecnica[33]; l’impiego di armi e di esplosivi; le attività edilizie ed i lavori stradali[34]; l’attività posta in essere dai medici di medicina trasfusionale e quella inerente la produzione di farmaci; l’attività sportiva, l’attività venatoria, ecc.
Rispetto all’attività sportiva e, precisamente, all’attività di equitazione la Cassazione[35] ha stabilito che l’attività di equitazione svolta all’interno di un circolo ippico, alla presenza di un istruttore e con cavalli collaudati e addestrati all’uopo non rientra tra le attività pericolose ex art. 2050 c.c. a meno che vengano ad emergere situazioni di pericolosità riconducibili, però, al dettato dell’art. 2052 c.c[36].
Sempre in tema di equitazione, la suprema Corte[37] ha stabilito che in caso di danni alla persona causati da una caduta da cavallo verificatasi durante una lezione, il gestore del maneggio è soggetto alla presunzione di responsabilità di cui all’art. 2052 e non a quella di cui all’art. 2050 c.c. a meno che non si tratti di danni conseguenti alle esercitazioni di principianti, ignari di ogni regola di equitazione o inesperti la cui inesperienza e conseguente incapacità di controllo dell’animale rende pericolosa l’attività imprenditoriale di maneggio.
La attività sportiva, nella fattispecie si fa riferimento alla gestione di una piscina, è stata oggetto di una recentissima pronuncia da parte della suprema Corte[38] la quale ha ribadito esistere una posizione di garanzia a carico del titolare di una piscina e che lo stesso deve, quindi, garantire l’incolumità fisica degli utenti.
Con altra sentenza la suprema Corte[39] ha stabilito che la scriminante circa l’applicabilità o meno dell’art. 2050 c.c in riferimento all’attività di maneggio è data dalla distinzione tra soggetti partecipanti principianti o meno, inesperti o meno. Ha ritenuto, pertanto, che l’applicazione della responsabilità oggettiva, sempre in merito all’attività di maneggio, dovesse essere fatta ex post.
E’ pericolosa ai sensi dell’art. 2050 c.c., l’attività che risulti qualificata tale dalla legge di pubblica sicurezza o da altre leggi speciali nonché l’attività che, per la sua stessa natura o per le caratteristiche dei mezzi adoperati, comporti la rilevante possibilità del verificarsi di un danno per la sua spiccata potenzialità offensiva. Non rientra in questa fattispecie l’attività innocua che diventa pericolosa solo in virtù del comportamento di chi la esercita[40].
Tra le attività pericolose, non rientrano neanche la navigazione aerea, stando ad una pronuncia della Cassazione[41] in merito ad una richiesta di risarcimento intentata dagli eredi di un elicotterista.
Anche le montagne russe sono state escluse dall’ambito di applicazione dell’art. 2050 c.c. in quanto la natura pericolosa di una attività deve essere valutata ex ante, ossia avuto riguardo a come la suddetta attività si presentava al momento del suo esercizio[42].
L’attività sciistica non rientra tra le attività di natura pericolosa normate dalla legge, tant’è che la suprema Corte[43] ha rigettato l’istanza prodotta da uno sciatore in riferimento a danni subiti durante una gara sciistica.
Va ribadito che, ai fini dell’accertamento della sussistenza della responsabilità ex art 2050 c.c., il giudizio sulla pericolosità dell’attività svolta quando non è espresso dal legislatore, è rimesso alla valutazione del giudice di merito, insindacabile in sede di legittimità, ove coerentemente e logicamente motivata. Rispetto a tale accertamento di fatto l’onere di provare la sussistenza di un’attività pericolosa incombe su chi invoca l’applicazione dell’ art. 2050 c.c.
La stessa attività di esecuzione di lavori sulla pubblica strada[44] rientra nel novero delle attività assoggettate all’art. 2050 c.c.
3. L’ART. 15 DEL DECRETO LEGISLATIVO N. 196/2003 QUALE CAMPO DI APPLICAZIONE DELL’ART. 2050 C.C.
Tale articolo prevede, lo ricordiamo, che “chiunque cagiona danno ad altri per effetto del trattamento dei dati personali è tenuto al risarcimento ai sensi dell’art. 2050 c.c.”, con la conseguenza che l’autore del danno deve dimostrare di avere adottato tutte le misure idonee a evitare il danno.
Attraverso tale norma si ha, quindi, un ampliamento relativamente al concetto di sicurezza.
E’ noto che qualora una condotta o una cosa produca danno non per la sua intrinseca natura o per l’insorgenza in essa di agenti dannosi, ma perché inserita in un’attività pericolosa, trova applicazione la presunzione di responsabilità prevista dall’art. 2050 del c.c.
Il trattamento dei dati personali[45] è considerato quindi dal Legislatore attività pericolosa. La Cassazione con sentenza n. 3022 del 2001 ha stabilito che “ si intendono per attività pericolose, in relazione al cui svolgimento opera la presunzione, oltre quelle prese in considerazione per la prevenzione degli infortuni e la tutela dell’incolumità pubblica, tutte quelle altre che, pur non essendo specificate o disciplinate, presentino una pericolosità intrinseca o dipendente dalle modalità di esercizio e dai mezzi adoperati”.
Pertanto, chi ritenga di essere stato leso a seguito dell’attività di trattamento dei dati personali che lo riguardano può ottenere il risarcimento dei danni senza dovere provare la colpa del Titolare che ha trattato i suoi dati. L’interessato deve però provare[46] eventuali danni derivanti dal trattamento dei dati, egli dovrà provare il nesso di causalità [47], quindi che:
b) dipenda dall’attività di trattamento [50].
Colui che ha effettuato il trattamento, per sottrarsi all’obbligo di risarcimento, ha l’onere di provare di avere adottato tutte le misure idonee a evitare il danno, secondo il principio dell’inversione dell’onere della prova[51], mentre non gli è sufficiente dimostrare di non avere violato norme di legge o di prudenza[52].
A tale riguardo, la Direttiva comunitaria 95/46, in tema di imputabilità, dispone che “i danni cagionati alle persone per effetto di un trattamento illecito devono essere riparati dal responsabile del trattamento, il quale può essere esonerato dalla propria responsabilità se prova che l’evento dannoso non gli è imputabile, segnatamente quando dimostra l’esistenza di un errore della persona interessata o un caso di forza maggiore”.
E’ difficile per il titolare del trattamento dimostrare che il danno prodotto dal responsabile o dall’incaricato del trattamento non gli è in alcun modo riconducibile. Per riuscire in tale intento occorre provare di avere seguito le cautele del caso nella scelta del responsabile[53] e dell’incaricato[54], nonché di avergli fornito la strumentazione e le indicazioni scritte (mansionario) necessarie e di avere vigilato adeguatamente sul loro operato.
Qualora la mancata adozione di misure di sicurezza sia imputabile al responsabile del trattamento, a carico del titolare del trattamento dei dati può, a seconda dei casi, ricorrere una colpa in eligendo[55] o una colpa in vigilando.[56]
Nell’ipotesi in cui titolare del trattamento dei dati personali sia una persona giuridica pubblica, a fare luce sul versante delle responsabilità sono da una parte il dettato costituzionale[57] e dall’altra lo Statuto degli impiegati civili dello stato. Dalla lettura congiunta dei due riferimenti normativi si evince che ricorrendo la ipotesi di responsabilità civile, i dipendenti ed i funzionari sono responsabili in solido con lo Stato o gli enti pubblici, così come c’è una responsabilità a totale carico del dipendente qualora il danno cagionato a terzi sia dipeso da un comportamento doloso o gravemente colposo. Invece, qualora si rientri nella ipotesi di un comportamento colposo da parte del dipendente, il risarcimento del danno sarà a carico della sola pubblica amministrazione.
3.1 LA DELEGA DI FUNZIONI, DEL TITOLARE NEI CONFRONTI DEL RESPONSABILE, IN MATERIA DI TRATTAMENTO DEI DATI PERSONALI.
Nel caso del trattamento di dati personali all’interno di una struttura aziendale complessa, la nomina del responsabile da parte del Titolare può essere considerata a pieno titolo come una forma di delega di funzioni.
La delega si identifica con quell’atto con cui l’obbligato originario devolve volontariamente alcuni degli obblighi originariamente suoi ad un altro soggetto (delegato), che per effetto di tale atto diviene responsabile del loro adempimento.
L’istituto della delega è nato per consentire di trasferire su altri una responsabilità, conseguente alla violazione di norme penali, che sarebbe propria.
Da una ricognizione effettuata avendo presente gli studi condotti dalla dottrina e le pronunce giurisprudenziali i requisiti richiesti affinché la delega sia valida, risultano essere i seguenti: forma, specificità, incompatibilità, accettazione, effettività, competenza tecnica del delegato – responsabile, non ingerenza del delegante, non conoscenza, sistema di vigilanza, dimensioni dell’impresa.[58]
La genesi di tale istituto[59], va ricercata nella progressiva spersonalizzazione dell’attività imprenditoriale che rende sempre più difficile per il naturale destinatario del precetto penale (nella fattispecie si fa riferimento al Titolare del trattamento dei dati personali), adempiere personalmente gli obblighi imposti dalla legge, perciò è necessario potere affidare ad altri soggetti specificamente individuati, il compito di vigilare sulla concreta applicazione di tali norme. Nel caso della azienda sanitaria è lo stesso legislatore che ha previsto la possibilità che il Titolare nomini uno o più Responsabili per il trattamento dei dati personali[60].
La delega, che nel caso in questione si estrinseca attraverso un atto di nomina con allegato mansionario, è redatta in forma scritta o comunque risultante in modo certo[61], va conferita a:
1. persona professionalmente idonea, id est: esperto di informatica oltre che conoscitore della materia giuridica e della organizzazione aziendale;
2. persona cui siano attribuiti sufficienti poteri decisionali e disponibilità economiche per potere concretamente attuare le misure di sicurezza richieste dal decreto legislativo n. 196 del 2003[62];
3. il delegante non deve ingerirsi nell’esercizio delle attribuzioni trasferite con la delega.
Riguardo agli effetti della delega, va operata una prima distinzione tra:
•delega di funzioni, che è l’unica ad avere efficacia discriminante in presenza delle condizioni sopra indicate e che consiste nell’assunzione – a titolo derivato – da parte di un soggetto, di una serie di funzioni a lui assegnate da chi ne era in precedenza titolare[63]; la sentenza n. 39628/04 della Cassazione, ribadisce il principio fondamentale in materia di delega di funzioni, secondo cui, attesa la posizione di garanzia assunta dai vertici dell’ente pubblico, la delega in favore di un soggetto che non può neppure rifiutarla quale è il dirigente o il funzionario preposto, assume valore solo se detti organi siano incolpevolmente estranei alle inadempienze del delegato e non siano stati informati, assumendo un atteggiamento di inerzia e di colpevole tolleranza.
•delega c.d. materiale, che consiste nel mero incarico ad un terzo di eseguire materialmente alcune incombenze, quali: la esecuzione di specifici atti rispetto ai quali viene al delegato trasferita non la competenza ma la legittimazione al compimento dei singoli atti rientranti nella competenza del delegante. Il delegante non si spoglia della posizione avente rilievo penale e resta il vero obbligato. Tale incarico potrà essere valutato a suo favore solo in sede di colpevolezza.
Per quanto riguarda il dovere di controllo, il delegante-datore di lavoro resta il garante primario dell’obbligo penalmente sanzionato, di cui è titolare per legge. Nel momento in cui ha trasferito ad altri l’adempimento dei suoi doveri, che assumono così una posizione di garanzia autonoma ma derivata, assume il rischio dell’inadempimento del delegato – Responsabile e ne risponde se viene meno ai suoi nuovi doveri di controllo.
La verifica dell’inosservanza del dovere di controllo va eseguita dal giudice, caso per caso, con riferimento ad una serie di parametri che vanno: dalla organizzazione aziendale al tipo di delega e al tipo di contestazione elevata.
Ai fini della responsabilità penale, deriva che il delegante che violi il dovere di controllo sarà chiamato a rispondere in concorso con il Responsabile inadempiente. Per effetto della delega, quest’ultimo, viene contrattualmente investito di una posizione di garanzia derivata ed autonoma, che si aggiunge a quella originaria.
Il Responsabile del trattamento dei dati, sempre in materia di responsabilità penale, non è responsabile della mancata applicazione delle misure minime di sicurezza derivante dalla mancanza o dall’insufficienza di cautele e mezzi strumentali, in quanto non esplica un potere di supremazia e di direzione nell’organizzazione dell’impresa.
Da ciò deriva che il dovere di vigilanza non viene, quindi, adempiuto se il Titolare-delegante si sia limitato ad eseguire solo avvertimenti verbali dei pericoli e dei rischi specifici inerenti il trattamento dei dati personali, o se abbia solo predisposto le misure di sicurezza, senza vigilare sull’effettivo utilizzo delle stesse.
3.2 ORIENTAMENTI GIURISPRUDENZIALI IN MATERIA DI RESPONSABILITA’ OGGETTIVA DERIVANTE DA TRATTAMENTO DEI DATI PERSONALI
Da premettere che mentre le sanzioni penali in tema di trattamento illecito dei dati personali sono, per lo più legate al dolo; per quanto attiene alle misure minime di sicurezza viene presa in considerazione dal legislatore solo la colpa e possono quindi essere colpiti i titolari del trattamento che agiscono in buona fede, sia pure con una condotta colposa ( id est, ignoranza o negligenza).
La giurisprudenza[64] ha ritenuto che il titolare debba dimostrare di avere rispettato tutte le tecniche note – anche solo astrattamente possibili – all’epoca del fatto.
Nella fattispecie, mentre le misure minime di sicurezza sono stabilite in maniera esaustiva dal legislatore e contenute sia nel Titolo V Capo II Misure Minime di Sicurezza, precisamente negli artt. 33-35[65] del Decreto Legislativo n. 196/2003 sia nell’Allegato B – Disciplinare Tecnico in materia di misure minime di sicurezza, per quanto attiene invece alle misure idonee non è stabilito in maniera tassativa dal legislatore un loro elenco.
Per inciso, va detto che il rimando operato dal legislatore, attraverso gli artt. 34 e 35 del decreto leg.vo n. 196/2003, all’Allegato B) presuppone che le disposizioni in esso contenute siano vincolanti.
Di conseguenza, è il titolare del trattamento dei dati personali che deve valutare la estensione di tali misure alla luce di una serie di parametri quali: il tipo di dato trattato, se comune o sensibile[66], la modalità di trattamento[67], se informatica e/o cartacea, l’ambito di diffusione, ecc.; dovrà inoltre tenere a mente il grado di evoluzione raggiunto al momento dagli sviluppi tecnologici[68].
Riassuntivamente si può affermare che “l’adozione di misure di sicurezza deve effettuarsi in base al principio dinamico per il quale le misure variano con il tempo, a seguito – soprattutto – dell’evoluzione tecnologica[69]”.
Nello specifico, tali misure non si esauriscono, né potrebbe essere diversamente, in quelle esplicitate dalla normativa o dai regolamenti – nella fattispecie ci riferiamo alle cd misure minime di sicurezza – ma comprendono anche tutti gli accorgimenti che il caso concreto e l’aggiornamento della tecnologia servono per rendere più efficaci le misure da adottare, id est: le misure di sicurezza idonee[70].
E’ da ritenere[71] che il titolare del trattamento dei dati disponga di un margine di discrezionalità nella scelta delle misure di sicurezza idonee, combinando tra loro l’uso della normale prudenza con i traguardi raggiunti dalla tecnica, la probabilità statistica di verificazione dell’evento dannoso[72] con le condizioni pratiche in cui si svolge l’attività. Analogo discorso, invece, non può essere fatto circa l’applicazione delle misure minime di sicurezza che sono esplicitate sia dalla legislazione primaria sia da quella di rango secondario ( id est, i regolamenti).
Poiché la sicurezza, soprattutto quella in campo informatico, non avrà mai i requisiti della assolutezza e della staticità, si potrebbe ritenere che a carico del titolare del trattamento dei dati personali andrà imputato l’avere adottato misure dì sicurezza tali non da impedire il verificarsi del danno ma tali da ridurlo fino al livello minimo della soglia del rischio.
Nello specifico le misure di sicurezza da adottare nel trattamento dei dati sono di tipo fisico (ad es., controllo degli accessi, video sorveglianza, rilevatori di fumo, gruppi di continuità, ecc.), logico (ad es., pass word, programmi anti virus, firewall, ecc.) e organizzativo (ad es, nomina degli incaricati e dei responsabili, loro formazione, stampati per il rilascio della Informativa e per la acquisizione del consenso, ecc.).
Rientrano nel novero delle misure idonee anche quelle di cui all’art. 10, riguardanti l’esercizio del diritto di accesso ai propri dati personali che deve essere garantito nei termini di legge, così come il garantire che i dati personali che vengono trattati siano esatti, aggiornati, completi, pertinenti e non eccedenti rispetto alle finalità per le quali vengono trattati.
La domanda di risarcimento dei danni va avanzata dal soggetto interessato nei confronti del Titolare.
L’area dei danni risarcibili per la violazione del diritto alla riservatezza è estesa anche al danno non patrimoniale, nel caso in cui il Titolare violi i principi generali sulla privacy indicati all’art. 11[73], la quantificazione del danno non patrimoniale (nella fattispecie ci si riferisce al risarcimento delle sofferenze fisiche o psichiche subite dal danneggiato) si basa su una valutazione di equità, ai sensi degli articoli 1226[74] e 2056[75] del c.c.
L’area del danno non patrimoniale comprende il danno morale, il danno biologico, il danno alla vita di relazione, il danno estetico e il danno esistenziale.
Come è stato acutamente osservato[76] “L’espressa estensione al trattamento di dati personali della risarcibilità del danno non patrimoniale è sintomatica della particolare attenzione che il Legislatore ha voluto rivolgere ai danneggiati, dal momento che il danno che ricorre più frequentemente è proprio quello relativo alla sfera morale dell’individuo, di cui sarebbe stata altrimenti esclusa la risarcibilità (stante il precetto dell’art. 2059 c.c[77].)”.
A nostro avviso, la estensione sopra riferita trova una propria giustificazione nel fatto che spesso il danno derivante dal trattamento dei dati personali attiene più che alla sfera economica alla sfera personale sic et simpliciter.
Diverse pronunce giurisprudenziali, una emessa quando era in vigore la l. n. 675/96, e l’altra emessa in presenza dell’attuale Codice, hanno riconosciuto il risarcimento congiunto da danni patrimoniali e non[78].
A seguito della sentenza della Corte Costituzionale n. 233 del 2003, è stato riconosciuto nel nostro ordinamento giuridico in maniera espressa la riparazione delle lesioni e dei pregiudizi che impattano sulla dignità e sui valori della persona, come peraltro esplicitati dall’articolo 2 del dettato costituzionale. Al punto da fare giustamente ritenere che “…il nuovo campo di azione del diritto…ha…come nuovo obiettivo quello di difendere l’individuo nella sua dignità, nelle sue libertà fondamentali, nelle attività ‘areddituali’ realizzatrici della propria personalità, tanto più in un campo delicato e pieno di insidie quale quello del trattamento dei dati personali, ove una sola informazione sbagliata può davvero mutare l’esistenza di ognuno[79]”.
4. L’AZIONE DI RISARCIMENTO
Il soggetto passivamente legittimato all’azione risarcitoria è, ai sensi dell’art. 2050 c.c., da identificare come ‘chiunque’, quindi colui che esercita l’attività e, pertanto, risponderà anche dell’attività svolta dai propri dipendenti.
Nel caso di trattamento in ambito pubblico, il danneggiato potrà agire indifferentemente contro la pubblica amministrazione, o contro i funzionari o dipendenti. Il titolare risponderà ai sensi dell’art. 2050 c.c.. però qualora il danno sia stato cagionato a seguito della condotta illecita del dipendente (responsabile o incaricato) potrà rivalersi contro questi; è però prevista anche la ipotesi di una responsabilità in solido, ai sensi dell’art. 2055 c.c. nel caso di trattamento in ambito pubblico, l’azione di rivalsa va prodotta davanti alla Corte dei Conti.
Poiché in materia vige il principio di effettività, se ne deduce che andrà stabilito chi effettivamente abbia in concreto il potere di controllo, la signoria, sull’attività pericolosa.
Il danneggiato ha diritto al risarcimento del danno patrimoniale e del danno morale, così come, qualora abbia subito un danno a causa di un fatto che di per sé costituisce reato, può optare tra la richiesta di risarcimento del danno, diretta al giudice civile, ex art. 75 del codice di procedura penale, oppure può proporre azione civile nel corso del processo penale, ex art. 74 del codice di procedura civile.
Ad avviso della suprema Corte[80], per il risarcimento del danno non patrimoniale (vale a dire del danno morale e del danno che deriva dalla lesione di un interesse garantito da norma costituzionale, ad es. la immagine) “è sufficiente che la colpa possa essere accertata in base a presunzioni”.
Maggio 2006
Dott. Giovanni Modesti
· [1] L’Autore, funzionario AUSL, è Docente Incaricato di: Diritto Privato al Corso di Laurea Specialistica in Scienze Infermieristiche ed Ostetriche, e di: Elementi di Diritto Pubblico al Corso di Laurea in Tecnico di Laboratorio Biomedico; presso la Università “G.D’Annunzio” – Facoltà di Medicina e Chirurgia di Chieti-Pescara; a.a. 2005/2006.
[2] Art. 2050 cc, Responsabilità per l’esercizio di attività pericolose “Chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno.”
[3]Bibliografia di riferimento: Trimarchi P., Istituzioni di diritto privato, Giuffrè, 1989; Trabucchi A., Istituzioni di diritto civile, Cedam. 1989; Monateri P.G., La responsabilità civile per lo svolgimento di attività pericolose, in www.notiziariogiuridico.it; La responsabilità civile per danni causati da rovina di edificio, in www.altalex.com; Gentilini G., Cenni sulla responsabilità derivante dallo svolgimento di attività pericolose anche in relazione alla sua applicabilità alla pubblica amministrazione, in www.Diritto.it ; Cenni sulla responsabilità civile per i danni causati dalla rovina di edificio anche con riferimento alla pubblica amministrazione, in www.Diritto.it; Cenni sulla responsabilità civile per i danni causati dal trattamento dei dati personali nell’ambito della pubblica amministrazione, in www.Diritto.it; Gaudino L., Responsabilità civile, in jus.unitn.it; Cervelli V.R., Commento a sentenza Cassazione n. 11234/1997, in www.fog.it; Giacobbe G., Gli atti leciti dannosi nella teoria della responsabilità civile, ed. Giappichelli; Giacopuzzi L., La sicurezza dei dati in rete: quali obblighi di legge?, su www.criminologia.org ; Berlingieri M., La responsabilità civile derivante dal trattamento dei dati personali: natura giuridica, conseguenze, oneri probatori; su www.privacy.it; Galdieri M., Il delicato equilibrio del rischio consentito nella pratica di attività sportive pericolose, su Guida al diritto, n. 16/2006 de Il Sole-24 Ore; Perfetti T., “Profili di responsabilità civile nel nuovo “Codice della Privacy”; Cirillo G.P., Trattamento pubblico dei dati personali e responsabilità civile della P.A., in Foro amministrativo n. 11-12/1999; Carozzi G., Sanzioni e contenzioso, in Diritto & Pratica del Lavoro, n. 25/2004; Sammartano F., i contratti informatici, Università degli Studi di Palermo; Vaccaro D., L’evoluzione del concetto di misura di sicurezza a protezione del sistema informatico alla luce dell’art. 615 ter e del Disciplinare tecnico, 2004; Tonelli G., Il delitto di accesso abusivo a sistemi informatici o telematici con particolare riferimento alla tutela dei dati personali L.U.M.S.A., 2002-2004; Telesio P., Profili di responsabilità civile nel nuovo “Codice della Privacy” (d.lgs. 196/2003); Lo Cane P., Sul cumulo di responsabilità contrattuale ed extracontrattuale, www.Diritto.it;
[4]Per completezza, occorre partire in questo excursus dalla lex Aquilia de damno per arrivare al Codice napoleonico e di qui al Codice Civile del 1865, attraverso gli artt. 1151 e 1152. L’attuale Codice Civile, del 1942, ha introdotto la novità della ‘ingiustizia del danno’.
[5] Ci si riferisce, per es, al traffico: ferroviario, aereo, automobilistico; all’impiego dell’energia termica o nucleare, all’impiego di materiale esplosivo, ecc.
[6]Art. 2043 c.c., Risarcimento per fatto illecito.“Qualunque fatto doloso o colposo, che cagiona ad altri un danno ingiusto obbliga colui che ha commesso il fatto a risarcire il danno”.
[7]Art. 2047 Danno cagionato dall’incapace
[8]Art. 2048 c.c., Responsabilità dei genitori, dei tutori, dei precettori e dei maestri d’arte.
[9]Art. 2054 c.c., Circolazione di veicoli.
[10]Art. 2051 c.c., Danno cagionato da cosa in custodia
[11]Art. 2052 c.c., Danno cagionato da animali.
[12]Cassazione, sentenza n. 3571/2005.
[13] Il problema del nesso di causalità è stato affrontato in maniera sistematica a partire dagli anni 30 dello scorso secolo, attraverso la elaborazione della teoria della equivalenza, da parte di Engisch. La dottrina tedesca partiva dal presupposto che per stabilire il rapporto di causa-effetto fosse indispensabile rifarsi ad un enunciato di tipo generale, il quale asserisse una regolarità nella successione fra due eventi di un certo tipo. Gli enunciati o leggi vengono distinti in leggi universali e leggi statistiche, a seconda che il loro enunciato sia valido per coppie di eventi simili in altri tempi e in altri luoghi, oppure vale in una certa percentuale di casi.
[14]Sia la giurisprudenza (Cassazione n. 878/1969, n. 1712/1972, ecc.) sia la dottrina più attenta ( Monateri, P.G. op. cit. ) sono dell’avviso di ascrivere alla fattispecie di cui all’art. 2050 c.c. solo le condotte estrinsecatisi all’interno di una attività imprenditoriale mentre le attività poste in essere in maniera isolata rientrerebbero tra quelle oggetto di disciplina da parte dell’art. 2043 c.c.
[15]Cassazione, sentenza n. 17851/2003, “Nell’ipotesi in cui l’attività è esercitata in forma di impresa è chiamato a rispondere chi ha il controllo dell’attività al momento del danno sul solo presupposto dell’oggettiva mancanza delle misure idonee ad evitarlo senza possibilità di provare di essere personalmente incolpevole; ciò perché la valutazione richiesta dalla norma concerne l’attività nel suo complesso e non il personale comportamento dell’imprenditore.”
[16]Cassazione, sentenza n. 7571/1990, ha ritenuto di doversi adottare un criterio statistico, per la individuazione della pericolosità di una determinata attività. Cassazione, sentenza n. 1894/1960, aveva già fatto ricorso a dati statistici per determinare la potenzialità dannosa di una attività.
[17]Cassazione Civile, Sez. III, sentenza n. 12307 del 04.12.1998.
[18]Cassazione Sez. III, sentenza n. 17851/2003, “Presupposto per l’applicazione della presunzione di responsabilità è che sussista un nesso causale tra l’esercizio dell’attività pericolosa ed il danno, la cui prova spetta al danneggiato. Una volta provato il nesso causale, per superare la presunzione di responsabilità l’esercente l’attività pericolosa deve provare di avere adottato tutte le misure idonee ad evitare il danno: nella scelta di tali misure l’esercente l’attività dispone di un margine di discrezionalità da esercitare facendo uso della normale prudenza e tenendo conto dello sviluppo della tecnica e delle condizioni pratiche in cui si svolge l’attività. Siffatta discrezionalità viene, peraltro, meno quando è la legge ad imporre l’obbligo di adottare talune misure”.
[19]Cassazione civile, sez. III, sentenza n. 8457/2004, “In tema di illecito aquiliano, perché rilevi il nesso di causalità tra un antecedente e l’evento lesivo deve ricorrere la duplice condizione che si tratti di un antecedente necessario dell’evento nel senso che questo rientri tra le conseguenze normali ed ordinarie del fatto, e che l’antecedente medesimo non sia poi neutralizzato sul piano eziologico, dalla sopravvenienza di un fatto di per sé idoneo a determinare l’evento. Ne consegue che, anche nell’ipotesi in cui l’esercente dell’attività pericolosa non abbia adottato tutte le misure idonee ad evitare il danno realizzando quindi una situazione astrattamente idonea a fondare una sua responsabilità ex art. 2050 c.c., la causa efficiente sopravvenuta, che da sola sia stata idonea a causare l’evento, recide il nesso eziologico che si sarebbe innestato tra l’attività pericolosa stessa, esercitata in assenza di misure di cautela idonee, e l’evento, se questa causa sopravvenuta è idonea a determinare l’evento in via esclusiva, costituendo – invece – causa concorrente, se l’evento dannoso si ricolleghi eziologicamente ad entrambe le cause (cioè all’attività pericolosa, in assenza di idonee cautele, ed alla causa sopravvenuta).” Cassazione sentenza n. 1895/1970, “ il giudice, qualora esista un rapporto di causalità materiale tra l’attività e l’evento dannoso, deve accertare che un fattore successivamente intervenuto abbia avuto di per sé efficienza causale esclusiva, non essendo sufficiente che la causa preesistente abbia avuto minima o trascurabile efficienza causale, per escludere la responsabilità”.
[20]Cassazione, sentenza n. 7298/2003.
[21]Cassazione, sentenza n. 4710/1991, “la condotta del danneggiato o del terzo non si reputa abbia provocato il danno in questione quando sia “tale da escludere, in modo certo, il nesso causale tra attività pericolosa ed evento e non già quando costituisce elemento concorrente nella produzione del danno, inserendosi in una situazione di pericolo che ne abbia reso possibile l’insorgenza a causa dell’inidoneità delle misure preventive adottate”.
[22]L’accertamento del nesso di causalità è finalizzato ad emettere, rectius, a consentire di emettere un giudizio di responsabilità, per cui la causalità – in quanto criterio di imputazione oggettiva del fatto al soggetto – quando è provata comprova che non solo l’azione ma lo stesso risultato lesivo è opera dell’agente.
[23]Cassazione, sentenza n. 6850/1982.
[24]Per inciso, sul versante del processo penale il ragionamento che porta il giudice ad emettere la sentenza deve compiersi in base alle regole della logica, della scienza e dell’esperienza. Quindi il giudice ha un duplice obbligo: l’obbligo di utilizzare nella spiegazione solo leggi derivate dalle singole discipline scientifiche sia l’obbligo di trarre esclusivamente dalla scienza i criteri per risolvere le controversie che dovessero eventualmente sorgere in merito alla validità di una legge scientifica.
[25]Cassazione, sentenze n. 3022/2001 e n. 7298/2003. in dottrina, per tutti: Realmonte, Il problema del rapporto di causalità nel risarcimento del danno, Milano, 1967; Stella, Leggi scientifiche e spiegazione causale nel diritto penale, Milano, 1975; Mantovani, Diritto Penale, parte generale, Cedam.
[26]Cassazione, sentenza n. 6888/2005, “…la presunzione di responsabilità di cui all’art. 2050 c.c. per le attività pericolose…può essere vinta solo con una prova particolarmente rigorosa, poiché è posto a carico dell’esercente l’attività pericolosa l’onere di dimostrare l’adozione di ‘tutte le misure idonee ad evitare il danno’: occorre cioè dare anche la prova di avere impiegato ogni cura o misura atta ad impedire l’evento dannoso…di guisa che anche il fatto del danneggiato o del terzo può produrre effetti liberatori solo se per la sua incidenza e rilevanza sia tale da escludere, in modo certo, il nesso causale tra l’attività pericolosa e l’evento, e non già quando costituisce elemento concorrente nella produzione del danno, inserendosi in una situazione di pericolo che ne abbia reso possibile l’insorgenza a causa delle idoneità delle misure preventive adottate”.
[27]L’evento può essere imputato all’agente solo quando l’asserzione relativa all’esistenza del nesso di condizionamento soddisfa il requisito dell’alto grado di conferma o di credibilità, e tale requisito può considerarsi soddisfatto in tutte le ipotesi in cui il giudice abbia accertato che si siano verificate le relative condizioni iniziali, semprechè, sulla base dell’evidenza disponibile, risulti poco credibile che l’evento si sia realizzato per l’intervento di altri processi causali.
[28]Cassazione civile, sez. III, sentenza n. 8457/2004, ”…il caso fortuito…sebbene espressamente previsto come causa liberatoria solo nell’ipotesi di cui agli artt. 2051 e 2052 c.c., in effetti rileva in ogni ipotesi di responsabilità oggettiva, sulla base del principio generale che anche in queste ipotesi di responsabilità è necessario il nesso eziologico tra il fatto generatore e l’evento dannoso. La rilevanza del fortuito attiene, al profilo causale, in quanto suscettibile di una valutazione che consenta di ricondurre all’elemento esterno, anziché all’attività pericolosa, che ne è fonte immediata, il danno concretamente verificatosi. Anche il fatto del danneggiato o del terzo può integrare il caso fortuito e quindi produrre effetti liberatori, sempre che per la sua incidenza e rilevanza sia tale da escludere, in modo certo, il nesso causale tra attività pericolosa e l’evento e non già quando costituisce elemento concorrente nella produzione del danno, inserendosi in una situazione di pericolo che ne abbia reso possibile l’insorgenza a causa della inidoneità delle misure preventive adottate.”
[29] La Cassazione, sentenza n. 80699/93, ha stabilito che si considerano pericolose quelle attività che benché non normate come tali, hanno un grado di pericolosità intrinseca.
[30]Cassazione civile, sez. III, sentenza n. 8457/2004 “L’esercente l’attività pericolosa è assoggettato alla presunzione di responsabilità ai sensi dell’art. 2050 c.c. in relazione ai danni cagionati nello svolgimento dell’attività, presunzione che lo stesso può vincere fornendo la dimostrazione di avere adottato tutte le misure idonee ad evitare il danno. Nella scelta di tali misure, egli dispone di un certo margine di discrezionalità, da esercitare facendo uso della normale prudenza e tenendo conto dello sviluppo della tecnica e delle condizioni pratiche in cui si svolge l’attività. Siffatta discrezionalità, peraltro, viene meno quando è la legge ad imporre l’obbligo di adottare talune misure. Pertanto, la presunzione di responsabilità opera nei confronti dell’esercente l’attività pericolosa che abbia adottato misure diverse da quelle prescritte da norme legislative (o regolamentari), senza che vi sia alcuna possibilità, in tal caso, di valutarne l’idoneità.
[31]Art. 2051 c.c. Danno cagionato da cosa in custodia. “Ciascuno è responsabile del danno cagionato dalle cose che ha in custodia, salvo che provi il caso fortuito”.
[32]Ci riferiamo: alle centrali di energia nucleare, alla guida di autoveicoli, alle attività professionali.
[33]Cassazione civile, Sez. un., sentenza n. 2726/1991, ha stabilito che, ai sensi dell’art. 57 T.U.L.P.S. è necessaria, per l’accensione dei fuochi d’artificio come per le altre attività pericolose indicate nello stesso articolo, la licenza dell’attività di pubblica sicurezza le cui attribuzioni in campo locale sono esercitate dal corpo dell’ufficio di pubblica sicurezza, o, in mancanza, dal sindaco; in tale veste il sindaco opera quale ufficiale del governo preposto alla salvaguardia della incolumità ed alla sicurezza dei cittadini, di conseguenza, se dall’accensione di fuochi d’artificio sia derivata lesione di un diritto soggettivo del privato, la pubblica amministrazione risponde in solido con il soggetto privato che ha acceso i fuochi.
[34]Cassazione Sez. III, sentenza n. 17851/2003, ha sancito la pericolosità – ai sensi dell’art. 2050 c.c. – in quanto elemento costitutivo nella esecuzione di lavori sulla strada pubblica, costituendo i lavori stessi una fonte di pericolo. “.. pertanto chi esercita l’attività è soggetto alla presunzione stabilita dalla norma sopra indicata in relazione ai danni subiti dagli utenti della strada a causa e nello svolgimento dell’attività.”.
[35]Cassazione civile, sez. III, sentenza n. 11861/1998 e n. 1380/1994, “…il gestore del maneggio, in quanto proprietario o utilizzatore dei cavalli che servono per le esercitazioni, è soggetto, per i danni subiti dagli allievi durante le esercitazioni eseguite sotto la sua sorveglianza e la direzione di un istruttore ed in condizioni, quindi, che privano il cavaliere della disponibilità dell’animale, alla presunzione di responsabilità di cui all’art. 2052 c.c., e non a quella di cui all’art. 2050 c.c., a meno che non si tratti di danni conseguenti alle esercitazioni di principianti…la cui inesperienza, e conseguente incapacità di controllo dell’animale, imprevedibile nelle sue reazioni e non sottoposto ad un comando valido, rende pericolosa l’attività imprenditoriale di maneggio”.
[36]Art. 2052 c.c. Danno cagionato da animali. “Il proprietario di un animale o chi se ne serve per il tempo in cui lo ha in uso, è responsabile dei danni cagionati dall’animale, sia che fosse sotto la sua custodia, sia che fosse smarrito o fuggito, salvo che provi il caso fortuito”.
[37]Cassazione, sez. III civile, sentenza n. 121307/1998.
[38]Cassazione, sentenza n. 4462 del 14.12.2005 – 3.2.2006, “…il titolare di una piscina…è titolare di una posizione di garanzia…in forza della quale è tenuto a garantire l’incolumità fisica degli utenti mediante l’idonea organizzazione dell’attività, vigilando sul rispetto delle regole interne e di quelle emanate dalla federazione italiana nuoto, le quali hanno valore di norme di comune prudenza, al fine di impedire che vengano superati i limiti del rischio connaturato alla normale pratica sportiva”.
[39]Cassazione, sentenza n. 6888/2005.
[40]Tribunale di Monza, sentenza del 07.02.2000.
[41]Cassazione, sentenza n. 11234/1997, secondo la quale “ E’ ben vero che la natura pericolosa dell’attività deriva dalla previsione specifica della legge, e che tale non è di per sé l’attività di navigazione aerea…, ma è altresì vero che questa corte ha affermato il principio (peraltro insito nella norma del codice civile, allorché si riferisce ‘alla natura dei mezzi adoperati’) che un’attività di per sé non pericolosa, lo diventa per il suo carattere intrinseco, come è possibile che sia avvenuto nel caso di specie, proprio nella considerazione delle circostanze analiticamente considerate…In definitiva, coma ha già rilevato questa stessa Corte (sent. n. 1769 del 1976) la norma codicistica dell’art. 2050, normalmente non opera quando l’attività di navigazione aerea rientra nella normalità delle condizioni previste, in osservanza di piani di volo e di condizioni di sicurezza, ma torna ad operare, integrando la disciplina speciale, in condizioni di anormalità e di pericolo”. Per un commento critico si rimanda a Cervelli, op. cit.
[42]Tribunale di Milano, sentenza del 22.01.2001.
[43]Corte di Cassazione, Sez. III, sentenza n. 2220 del 28.02.2000.
[44]Corte di cassazione, sentenza n. 7298/2003.
· [45] Sull’argomento sia consentito rimandare alle seguenti pubblicazioni: Modesti G.,: Commento breve al D.Lgs.vo n. 196/2003. Codice in materia di protezione dei dati personali, su www.dirittosuweb.com; ottobre 2005 e su www.diritto.it/articoli/dir_privacy/diritto_privacy.html;
Introduzione al Decreto Legislativo n. 196 del 2003 (Codice in materia di protezione dei dati personali) con particolare riferimento alle misure di sicurezza, su www.filodiritto.com/diritto/privato/informaticagiuridica/introduzioneprivacymisuresicurezzamodesti.htm;
[46] In merito allastruttura dell’illecito, la dottrina ha individuato gli elementi che lo compongono: il fatto(azione od omissione), la riferibilità del fatto alla P.A., l’evento dannoso, il nesso di causalitàel’elementosoggettivo.
[47] Il nesso di causalitàè disciplinato dalle regole ordinarie. Anche in materia di reati omissivi la Cassazione ha stabilito che il nesso di causalità vada accertato avendo a mente gli stessi ragionamenti utilizzati per i reati commissivi. Ciò vuol significare che occorre avere riguardo ad un alto grado di probabilità logica, vicinissima alla certezza.
[48] Il fattopuò consistere in una qualunque delle operazioni di trattamento, di cui all’art. 4 del Codice, ma può perfezionarsi anche con l’omissione di un adempimento dovuto: rileva la mancata adozione delle misure di sicurezza prescritte. Il verificarsi di un danno conseguente alla mancata adozione delle misure di sicurezza obbligatorie comporterà la responsabilità dell’agente. Se la natura particolare dei dati o delle operazioni che su di essi devono essere svolte, o di altre circostanze lo richiedano, la P.A. dovrà adottare anche misure ulteriori richieste dalla situazione concreta per “evitare il danno”, altrimenti la prova liberatoria non potrà essere fornita.
[49] L’evento dannoso consiste nella perdita di informazioni personali, che si qualifica nel senso di “danno ingiusto” laddove detta perdita avvenga a seguito della violazione di una delle disposizioni poste dal Codice per lo svolgimento dei trattamenti dei dati personali. Per quanto attiene ai daticomuni, l’antigiuridicità dell’evento andrà valutata in relazione alla connessione delle operazioni di trattamento con lo svolgimento di funzioni istituzionali da parte del soggetto attivo: il trattamento si qualificherà in senso antigiuridico laddove avvenga per motivi non attinenti al raggiungimento degli obiettivi di pubblico interesse che le leggi, i regolamenti, ed in generale gli atti del potere politico assegnano all’Ente. Per quanto riguarda, invece, i dati sensibili o giudiziari, costituisce evento dannoso antigiuridico la perdita dei dati personali correlata a trattamenti che l’Amministrazione abbia posto in essere fuori dai casi previsti da “espresse disposizioni di legge”, o effettuati senza rispettare le modalità e le limitazioni da queste prescritte, o le norme generali ex art. 22 per il trattamento dei dati sensibili e giudiziari da parte della P.A. Costituirà danno ingiustola perdita di dati correlata a trattamenti che la P.A. abbia posto in essere senza avere emanato il suddetto regolamento o incidendo su dati personali esclusi da questo o ancora effettuando operazioni che esso non autorizza.
[50] La riferibilità del fatto all’Amministrazionesussiste in tanto in quanto essa possa ritenersi esplicazione di una delle funzioni istituzionali della stessa. Laddove il fatto avvenga per uno scopo che fuoriesce dall’attività propria dell’Amministrazione o addirittura collide con esso, l’agente sarà l’unico soggetto tenuto al risarcimento. Il risarcimento potrà essere richiesto, in via alternativa, al dipendente dell’Amministrazione o a quest’ultima. Nel caso in cui l’Amministrazione sia costretta a pagare il prezzo del risarcimento dei danni provocati da propri dipendenti potrà effettuare la rivalsa nei loro confronti; a tal fine sarà necessario incardinare il processo per la responsabilità amministrativa innanzi alla Corte dei Conti, al termine del quale il dipendente, autore del danno, dovrà rimborsare all’Amministrazione ciò che questa ha risarcito, ma solo se il primo ha agito con dolo o colpa grave. Non configura necessariamente un caso di colpa grave la mancata adozione di misure di sicurezza ulteriori, non previste nei regolamenti ma comunque indispensabili nel caso concreto. Non dovrebbe configurare un caso di colpa grave neanche il fatto di procedere alla ostensione di documenti amministrativi contenenti dati personali di terzi a fronte di una richiesta di accesso.
[51] l’elemento soggettivo. Ai sensi dell’art. 2043 del c.c., l’illecito civile può essere punito solo se l’autore del fatto abbia agito con dolo, cioè con l’intento di cagionare un danno ingiusto alla vittima, o con colpa, cioè violando regole (comuni o specifiche) di prudenza, diligenza e perizia. Per alcuni, la prova liberatoriarichiesta dall’art. 2050 del c.c. attiene alla diligenza professionale: l’autore del danno deve cioè provare di avere adottato le misure di prudenza e di diligenza che sono appropriate a quelle particolari operazioni di trattamento
[52] Diciamo subito, a scanso di equivoci, che la tematica delle misure di sicurezza di cui si stà trattando attiene solo alla protezione del dato personale e non alla protezione di tutte le informazioni in quanto tali. Per fare un esempio, la legge sulla riservatezza prevede l’applicazione di misure di sicurezza in materia di dati personali e non per quanto attiene i dati di diverso tipo, ad es. i brevetti posseduti da una azienda.
[53]Art. 4, D.Lgs.n. 196/2003, è “responsabile la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamentodi dati personali”.
[54]Art. 4, D.Lgs.n. 196/2003sono “incaricati, le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile”.
[55]Tale colpa si determina quando il delegato commette un fatto previsto come reato e si dimostra che non era in possesso delle condizioni per rendere effettiva la delega. La culpa in eligendo va esclusa quando il delegato assicura la massima idoneità tecnico-professionale e al delegante non si può muovere nessun rimprovero fino a quando non venga a conoscenza della inosservanza della normativa sulla sicurezza.
[56][56] Tale colpa si concreta qualora non sia stata verificata la permanenza delle condizioni che avevano portato all’affidamento della delega. Riguardo la culpa in vigilando, il delegante – come garante primario dell’obbligo penalmente sanzionato, di cui resta titolare – nel momento in cui ha trasferito ad altri l’adempimento dei suoi doveri assume il rischio dell’inadempimento del delegato e ne risponde se viene meno ai suoi doveri di controllo, subentrati a quelli originari affidati ad altri.
[57]Art. 28 Cost., I funzionari e i dipendenti dello Stato e degli enti pubblici sono direttamente responsabili, secondo le leggi penali, civili e amministrative, degli atti compiuti in violazione di diritti. In tali casi la responsabilità civile si estende allo Stato e agli enti pubblici.
[58]Per una esplicitazione dei singoli requisiti si rimanda a P.Farinoni, Deleghe in materia antinfortunistica e responsabilità penale del datore di lavoro nella “piccola impresa”, in Il Sole 24 Ore, 2004.
[59]Sia consentito rimandare a Modesti G., Il decreto legislativo n. 626 del 19 settembre 1994 e il sistema di responsabilità all’interno delle aziende sanitarie, alla luce delle recenti pronunce della Corte di Cassazione; (2005) su www-iureconsult.com
[60]Ma lo stesso discorso va fatto per tutte quelle realtà aziendali e di pubbliche amministrazioni che hanno i requisiti di una organizzazione complessa, in base al numero dei dipendenti, alla articolazione in più strutture, spesso dislocate in più posti, alle dimensioni dell’azienda, ecc.
[61] La Cassazione con sentenza n. 22931/2003, ha stabilito che affinché la delega di attribuzioni all’interno dell’azienda sia seria e reale, e non un mezzo artificioso per scaricare la responsabilità, è necessario che abbia forma espressa e non tacita, oltre a possedere un contenuto chiaro, in modo che il delegato sia messo in grado di conoscere le responsabilità che gli sono attribuite, senza per questo, che sia necessaria una prova scritta dell’esistenza della delega poiché ciò non è previsto da alcuna norma.
[62] In altre parole, occorre che il delegato, oltre a possedere le competenze necessarie allo svolgimento delle mansioni, sia messo in condizioni di potere effettivamente svolgere le funzioni a cui è stato assegnato per evitare che la delega diventi un mero strumento per concentrare verso il basso le responsabilità penali derivanti dal mancato adempimento degli obblighi previsti dalla legge. La Cassazione, sezione IV penale, sentenza del 1990, ha stabilito che tali condizioni devono concretizzarsi in una piena autonomia decisionale nonché in pieni poteri di disposizione economica.
[63]La delega di funzioni deve salvaguardare due esigenze: evitare di violare il principio di legalità e di tipicità dei reati e, quindi, rendere derogabili gli obblighi sanzionati penalmente; evitare la applicazione, in sede giudiziale, di forme oggettive di responsabilità, in capo a soggetti troppo lontani dalla realtà oggetto della fattispecie penale.
[64]Tribunale di Milano, sentenza del 19 novembre 1987;Tribunale di Orvieto, sentenza del 23.11.2202, con la quale un istituto bancario è stato condannato al risarcimento del danno per il fatto che non erano state adottate misure di sicurezza minime per la custodia dei dati.
[65]Art. 33, Misure Minime; art. 34 Trattamenti con strumenti elettronici; art. 35, Trattamenti senza l’ausilio di strumenti elettronici.
[66]Art. 4, c. 1, d.lgs. 196/03, dati sensibili, (sono) i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale. Dalla elencazione contenuta nel citato articolo si evince che il dato è sensibile allorché è in grado di creare discredito nei confronti di un soggetto.
[67]Art. 4, c. 1, d.lgs. 196/03, per trattamento si intende qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca dati. A ben vedere, le modalità attraverso le quali si può effettuare il trattamento dei dati personali sono tali e tante che le misure di sicurezza che il titolare deve approntare non possono che operare a 360°!
[68] Senza volere fare dell’allarmismo ma solo per dare contezza della problematicità della situazione inerente il trattamento dei dati personali, si vuole illustrare il seguente caso: si ipotizzi che una Azienda abbia subito una introduzione illecita all’interno del suo sistema operativo e che ciò abbia provocato la diffusione di dati sensibili relativi ad un utente, con conseguente denuncia da parte di questi, definito dal legislatore ‘interessato’. Ebbene, il giudice nominerà un perito d’ufficio con il compito di accertare se il sistema operativo violato disponeva delle misure di sicurezza. In prima battuta, andrà accertata la presenza delle misure minime di sicurezza (autenticazione informatica, credenziali di autenticazione, documento programmatico per la sicurezza, sistema di autorizzazione, ecc.) e, in caso di risposta affermativa, si passerà ad esaminare la applicazione delle misure idonee di sicurezza. Potrà quindi verificarsi il caso che il sistema operativo violato fosse protetto da una password con otto caratteri alfanumerici (come stabilito dal legislatore tra le misure minime di sicurezza) anche se consentiva l’inserimento di una password con un maggior numero di caratteri. Verificandosi tale ipotesi il Titolare del trattamento non risponderebbe di omissione delle misure minime di sicurezza (per le quali sono previste sanzioni di tipo penale) ma dell’omissione di misure idonee (in presenza delle quali è prevista la comminazione di sanzioni di tipo civile!), cioè di quelle misure aggiuntive a quelle minime la cui determinazione non è stata formalizzata dal legislatore ma è rimessa all’apprezzamento del Titolare del trattamento dei dati. Il citato esempio è di per sé sufficiente per dare contezza della gravità del problema.
[69]Sia consentito rimandare aModesti G. Il reato di accesso abusivo ad un sistema informatico, di cui all’art. 615 – ter c.p., alla luce delle pronunce giurisprudenziali, su www.filodiritto.com; e www.diritto.it.
[70]Schneier b., a tale proposito ha affermato che: “la sicurezza è un processo e non un prodotto”.
[71] In questo nostro argomentare siamo sostenuti da una pronuncia della Corte di Cassazione, sentenza n. 3022/2001.
[72] Ad es., la scelta di sistemare il centro elaboratore dati (CED) a piano terra o su un piano rialzato, per evitare il pericolo di eventuali allagamenti, va valutata in base alle reali probabilità che tali fenomeni meteorologici possano prodursi o meno. Una volta determinata la probabilità la decisione se effettuare o meno una ‘contromisura’ va presa tenendo d’occhio la voce costi.
[73]Art. 11, D.Lgs.vo n. 196/2003, Modalità di trattamento e requisiti dei dati
[74]Art. 1226 c.c., Valutazione equitativa del danno “ Se il danno non può essere provato nel suo preciso ammontare, è liquidato dal giudice con valutazione equitativa”.
[75]Art. 2056 c.c. Valutazione dei danni “Il risarcimento dovuto al danneggiato si deve determinare secondo le disposizioni degli artt. 1223, 1226 e 1227. Il lucro cessante è valutato dal giudice con equo apprezzamento delle circostanze del caso.”
[76]Giacopuzzi L. op. cit.
[77]Art. 2059 c.c. Danni non patrimoniali “Il danno non patrimoniale deve essere risarcito solo nei casi determinati dalla legge”.
[78]Tribunale di Orvieto, sentenza del 25.11.2002; Giudice di pace di Napoli, del 10.06.2004.
[79]Perfetti T., op. cit.
[80]Cassazione, sentenza n. 3751/2005.
Scrivi un commento
Accedi per poter inserire un commento