(in Il nuovo danno non patrimoniale, a cura di G. Ponzanelli, Cedam, 2004, pag. 255 e ss.)
FRANCESCO DI CIOMMO
SOMMARIO: 1. – Il trattamento dei dati personali e il ruolo delle regole di responsabilità civile. 2. – Dalla direttiva 95/46/Ce al d.lgsl. 196/2003. 3. – Il danno risarcibile nella legge 675/96 e nel d.lgsl. 196/2003. 4. – La risarcibilità del danno non patrimoniale cagionato dall’illecito trattamento dei dati personali. 5. – (segue) Effettività del pregiudizio come condizione di risarcibilità del danno anche non patrimoniale. 6. – L’applicabilità dell’art. 2050 nel caso di danno non patrimoniale.
1. – Il trattamento dei dati personali e il ruolo delle regole di responsabilità civile.
Il trattamento dei dati personali, tanto «in una società urbana e a configurazione complessa» , quanto a maggior ragione in una “società dell’informazione” globale , costituisce attività in grado di ledere alcuni diritti fondamentali della persona, ed in particolare alcuni diritti della personalità . Ciò soprattutto quando il trattamento sia effettuato attraverso strumenti informatici capaci di archiviare, incrociare, scambiare, selezionare, modificare, aggiornare, diffondere, ecc. un numero potenzialmente infinito di dati personali . Riflettendo su tal ultima circostanza, già nei primi anni Settanta del secolo scorso la dottrina italiana più attenta, e più sensibile agli afflati di tutela ispirati dalla Carta costituzionale, notava come «la possibilità di accumulare informazioni in quantità illimitata sui più minuti atti della vita quotidiana di ciascun individuo, sulle sue condizioni fisiche, mentali, economiche, sui luoghi e sulle persone che frequenta, su ciò che legge, sulle sue opinioni politiche e religiose» e quant’altro, abbia «creato un nuovo potere di dominio sociale sull’individuo: il potere informatico», il cui esercizio indiscriminato rischia di rendere la nostra una «società trasparente» .
Sulla base degli stimoli provenienti dai pionieristici studi in argomento , quando cominciarono a costituirsi le prime grandi banche elettroniche di dati, nei paesi progrediti si iniziò ad avvertire una diffusa esigenza di tutela della privacy dell’individuo rispetto al trattamento altrui dei suoi dati personali. Nacquero in questo clima, di generale allarme e di sospetto nei confronti delle potenzialità ancora poco conosciute degli elaboratori elettronici, le prime leggi nazionali in materia che infatti si rivelarono, praticamente da subito, eccessivamente severe in quanto vietavano qualsiasi raccolta automatizzata di dati personali non espressamente e specificatamente autorizzata con una legge o un provvedimento amministrativo. In questa prima generazione di normative rientrano la “Datalag” svedese emanata l’11 maggio 1973, la “Bundesdatenschutzgesetz (BDSG)” tedesca del 27 gennaio 1977, la “Datenschutzgesetz (DSG)” austriaca e le leggi danese, islandese, norvegese, nonché, in ultimo, la legge lussemburghese emanata il 31 marzo 1979. Di diverso tenore apparivano già allora le norme in vigore negli Stati Uniti dove il “Freedom of Informatio Act (FOIA)” del 1966 e il “Privacy Act” approvato il 31 dicembre 1974 e modificato il 13 ottobre 1980, disciplinavano soltanto le banche di dati gestite direttamente dall’amministrazione federale; mentre le banche dati private erano e sono regolate da una vasta gamma di leggi settoriali statali e federali.
Nel vecchio continente, dopo un primo periodo lasciato alla libera iniziativa dei singoli stati, il Consiglio d’Europa il 28 gennaio 1981 emanò la “Convenzione di Strasburgo per la protezione delle persone in relazione all’elaborazione automatica dei dati a carattere personale”, e a sua volta la Commissione delle Comunità Europee il 29 luglio 1981 con una apposita raccomandazione invitò i paesi membri della Comunità a ratificare entro il 1982 la convenzione.
L’Italia, che pure era tra i firmatari della convenzione, ratificò la normativa europea soltanto nel 1989 in forza delle legge 21 febbraio 1989 n. 98 che autorizzava in tal senso il Presidente della Repubblica; tale ratifica, tuttavia, era destinata a non sortire effetti perché, in base agli articoli 4 e 22 della convenzione, essa avrebbe dovuto essere anticipata dall’emanazione di una legge nazionale in materia di trattamento dei dati personali. L’Italia, dunque, risultava, in sostanza, inadempiente rispetto agli obblighi di ratifica e, soprattutto, era ancora priva di regole in materia di trattamento dei dati. Ciò accadde malgrado nel corso dei primi anni Ottanta fossero stati presentati senza fortuna in Parlamento diversi disegni di legge in materia, tra i quali spicca il c.d. disegno di legge Martinazzoli – n. 1657 del 1984 – che recepiva il progetto elaborato da una commissione insediata nel 1980 per volontà del Ministero di Grazia e Giustizia e presieduta da Giuseppe Mirabelli. Tale disegno di legge, dopo un primo abbandono, fu oggetto di modifiche da parte di una nuova commissione appositamente costituita nel 1988 e fu riproposto nel 1992 e, in versione lievemente modificata, nel 1993, prima di decadere definitivamente con lo scioglimento anticipato delle Camere dopo essere stato approvato il 15 novembre 1995 dalla Commissione Giustizia della Camera dei Deputati.
Mentre da noi si consumava la infruttuosa vicenda legislativa che si è sommariamente descritta, la Commissione delle Comunità Europee il 27 luglio 1990 aveva presentato al Consiglio una proposta di direttiva in tema di “Protezione delle persone con riguardo al trattamento dei dati a carattere personale”, che, al termine di un itinerario lungo e complesso, il 24 ottobre 1995 fu approvata in versione definitiva sotto la dizione: direttiva 95/46/Ce . Sulla spinta della direttiva anche in Italia, di lì a poco, si riuscì ad approvare la legge 31 dicembre 1996 n. 675 (oggi abrogata e sostituita dal d. lgsl. 196/2003, come meglio si vedrà infra) che recepiva la normativa comunitaria e dotava il nostro ordinamento, per la prima volta e in netto ritardo rispetto agli altri paesi tecnologizzati, di una disciplina interna in materia di trattamento dei dati personali.
La direttiva 95/46/Ce è molto diversa dalle leggi nazionali degli anni Settanta in materia perché rappresenta il prodotto di una nuova sensibilità e di nuove esigenze storiche e tecnologiche. Nel corso degli anni Ottanta, infatti, lo sviluppo del mercato degli elaboratori elettronici e la diffusione del c.d. personal computer avevano moltiplicato a dismisura le possibilità private di trattare i dati personali altrui, sicché non avevano più senso norme rivolte esclusivamente al trattamento pubblico dei dati e soprattutto non sarebbe stata più condivisa dai consociati una scelta di politica del diritto restrittiva volta a limitare la libertà di trattamento dei dati . Fu così che maturò l’esigenza di un compromesso legislativo tra istanze di tutela della privacy individuale ed esigenza di affermazione della libertà di trattamento dati personali altrui a fini informativi, sanitari, imprenditoriali, industriali, di ricerca, di studio, ecc. Il compromesso fu realizzato attraverso l’affermazione di una libertà di trattamento circostanziata che subisce regimi più severi in caso di dati c.d. sensibili e che trova i suoi contrappesi negli istituti di tutela procedimentale di cui il titolare dei dati può avvalersi , oltre che sul versante della responsabilità civile, amministrativa e penale dei soggetti coinvolti nel trattamento .
L’utilizzazione del meccanismo risarcitorio nell’ambito di una normativa prevalentemente incentrata su mezzi di tutela e garanzie procedimentali non sorprende, se solo si considera che, nel corso del ventesimo secolo, le regole di responsabilità civile hanno manifestato in svariati campi una spiccata attitudine a fungere da strumento di «efficiente bilanciamento tra valori economici/mercantili, certezza del diritto e protezione dei consociati più deboli», anche quando – come nel caso della privacy – siano state chiamate ad operare principalmente in funzione di “sigillo di garanzia” rispetto ad un sistema di protezione basato su regole tecniche di dettaglio. Ciò è accaduto perché il mercato, malgrado l’esistenza di regole contrattuali, spesso non riesce a massimizzare il benessere collettivo senza penalizzare valori irrinunciabili, ed inoltre perché le sanzioni penali e quelle amministrative in molti casi si rivelano inattuabili o inefficienti , mentre il sistema aquiliano ha dimostrato una naturale facilità a tutelare, nell’attuale contesto socio-economico, interessi primari che altrimenti resterebbe indifesi e indifendibili .
Parte della dottrina, enfatizzando il ruolo del modello di tutela a carattere procedimentale, tende a disconosce l’importanza delle regole di responsabilità civile contenute nelle normative europee ed italiane in materia di privacy . A chi scrive, tuttavia, pare che la tutela procedimentale – sulla quale, come detto, la normativa poggia in modo significativo – finisca per acquisire forza e sostanza proprio in virtù del potere persuasivo o, viceversa, riequilibratore e riparatore che le regole di responsabilità esercitano con particolare vigore nel campo del trattamento dei dati personali; e ciò, malgrado, per quanto consta, soltanto nella seconda metà del 2003 sia stata pronunciata in Italia la prima sentenza di condanna al risarcimento dei dati per «illecito trattamento e diffusione dei dati personali» realizzato fuori dall’esercizio dell’attività giornalistica . In questa prospettiva vanno lette le norme che, nella materia in esame, rendono operativo un regime di presunzione di responsabilità con inversione dell’onere della prova a carico del responsabile del trattamento, ed inoltre riconoscono una piena ed incondizionata risarcibilità anche del danno non patrimoniale .
2. – Dalla direttiva 95/46/Ce al d. lgsl. 196/2003.
Ai sensi dell’art. 23 della direttiva 95/46, «Gli Stati membri dispongono che chiunque subisca un danno cagionato da un trattamento illecito o da qualsiasi altro atto incompatibile con le disposizioni nazionali di attuazione della [stessa] direttiva abbia il diritto di ottenere il risarcimento del pregiudizio subito dal responsabile del trattamento»; ed inoltre: «Il responsabile del trattamento può essere esonerato in tutto o in parte da tale responsabilità se prova che l’evento dannoso non gli è imputabile».
La prima legge italiana di attuazione si occupava della questione relativa al risarcimento del danno, cagionato dal trattamento illecito dei dati, all’art. 18. La norma, rispetto al corrispondente testo comunitario appariva più sibillina. Essa, infatti, prevedeva soltanto che «Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’art. 2050 del codice civile».
La formulazione letterale dell’art. 18 ha imposto alla dottrina sforzi ermeneutici di non poco conto in quanto la disposizione in parola si limitava ad esprimere in termini generici l’astratta idoneità del trattamento in parola a produrre un danno giuridicamente rilevante, e ad indicare nell’art. 2050 il referente normativo obbligato. L’art. 18, in altre parole, implicitamente demandava agli operatori del diritto l’attività integrativa finalizzata ad individuare nei singoli casi la concreta ricorrenza di tutti gli elementi della fattispecie di responsabilità. In particolare, la norma non forniva indicazioni circa il soggetto responsabile, il rapporto di causalità tra fatto e danno, i criteri atti a qualificare in termini di ingiustizia il danno, ed inoltre le modalità di quantificazione del risarcimento . Al contrario, il rinvio all’art. 2050 – che pure è stato oggetto di approfondite riflessioni e si è prestato ad alcune considerazioni critiche – appare utile ad individuare il regime probatorio operativo in materia in quanto, in ossequio al dettato comunitario, stabiliva una presunzione di responsabilità che il soggetto chiamato a rispondere del danno può superare solo provando «di aver adottato tutte le misure idonee a evitare il danno».
Il sistema di responsabilità civile disegnato dalla legge 675/96 imponeva di integrare quanto disposto dall’art. 18 con le disposizioni degli artt. 9 e 29. L’art. 9, rubricato «Modalità di raccolta e requisiti dei dati personali», stabiliva per principi generali le modalità con cui i dati devono essere trattati e, proprio per questo, rappresentava il principale e primo referente normativo utile a stabilire quando il trattamento dei dati sia non in iure e, dunque, illecito . L’art. 29, rubricato «Tutela», definiva le regole atte a presidiare il ricorso e le controversie davanti al Garante o all’autorità giudiziaria e, al comma 9, prevedeva che «Il danno non patrimoniale è risarcibile anche nei casi di violazione dell’art. 9». La sfasatura sistematica tra la disciplina del danno patrimoniale, contenuta nell’art. 18, e il riferimento testuale al danno non patrimoniale, contenuta nell’ultimo comma dell’art. 29, ha suscitato perplessità, ad esempio, circa la portata del rinvio all’art. 9 e circa la possibilità di applicare l’inversione dell’onere della prova, di cui all’art. 2050, anche nel caso in cui il danneggiato lamenti esclusivamente un danno non patrimoniale.
Nel corso del 2003 il legislatore italiano è tornato ad occuparsi del trattamento dei dati personali ed ha ordinato la complessa materia abrogando la legge 675/96 in forza dell’emanazione – avvenuta con il decreto legislativo n. 196 del 30 giugno 2003 – del «Codice in materia di protezione dei dati personali», anche detto codice della privacy, entrato in vigore il 1° gennaio 2004 . Il nuovo codice dedica l’art. 15 al tema del risarcimento dei danni causati dal trattamento dei dati personali senza modificare la lettera dell’art. 18 della legge abrogata, se non per quanto concerne il danno non patrimoniale, al quale la nuova norma dedica il secondo comma, in cui si stabilisce che «il danno non patrimoniale è risarcibile anche in caso di violazione dell’art. 11». Con ciò si è unificata nel nuovo art. 15 la disciplina del danno patrimoniale e non patrimoniale derivante dal trattamento illecito dei dati personali e dunque sono stati superanti definitivamente i dubbi interpretativi giustificati dalla sistematica della precedente normativa.
Anche in costanza del nuovo codice l’applicazione della regola di responsabilità civile stabilita dall’art. 15 passa per una lettura ed un’interpretazione congiunta di altre norme del decreto n. 196/2003, sulle quali occorrerà approfondire la riflessione nell’immediato prosieguo di questo lavoro al fine di indagare al meglio, in particolare, il tema del danno non patrimoniale.
3. – Il danno risarcibile nella legge 675/96 e nel d.lgsl. 196/2003.
La legge 675/96 dichiarava sin dal suo incipit – e cioè dal primo comma dell’art. 1 rubricato «Finalità e definizioni» – di voler garantire «che il trattamento dei dati personali si svolga nel rispetto dei diritti, delle libertà fondamentali, nonché della dignità delle persone fisiche, con particolare riferimento alla riservatezza e all’identità personale», ed inoltre di voler tutelare gli analoghi «diritti delle persone giuridiche o di ogni altro ente o associazione». Dalla lettura della norma appena citata si ricava che la legge non mirava soltanto alla tutela del diritto alla riservatezza, ma più in generale alla tutela dei diritti della personalità e di tutti gli altri diritti che possono essere incisi dal trattamento illecito dei dati personali.
La circostanza appena segnalata è di fondamentale importanza nell’ottica di un corretto inquadramento delle possibili tipologie di danno da trattamento dei dati personali rilevanti sul piano della responsabilità civile. Queste ultime, infatti, come anticipato, tanto nella direttiva quanto nelle normative italiane non sono tipizzate dal legislatore e vanno dunque individuate attraverso un procedimento interpretativo e ricostruttivo che passa per un corretta impostazione dei rapporti tra normativa speciale e disposizioni del codice civile astrattamente applicabili.
Muovendosi in questa prospettiva, e posta la genericità della lettera dell’art. 1 della legge 675/96, durante la vigenza di tale normativa la dottrina si è innanzitutto domandata se la gamma delle posizioni giuridicamente rilevanti tutelate dalle norme italiane in materia di trattamento dei dati personali sia davvero tanto vasta da echeggiare quella degli interessi sottesi alla clausola generale che nella sistematica del codice civile rappresenta la vera cartina di tornasole della responsabilità aquiliana, l’art. 2043. In proposito, infatti, si osservava che, per non ritenere l’art. 18 della legge una disposizione meramente ricognitiva del dettato codicistico, fosse indispensabile cogliere il quid novi che giustificava la sua introduzione nel nostro ordinamento.
Tale indagine fu condotta in due direzioni: da un lato, si tentò di enucleare dalle espressioni generiche della legge 675/96 fattispecie di danno pensate ex novo dal legislatore della privacy; dall’altro, forse più efficacemente, si verificò nell’impianto della stessa normativa una originalità nella protezione di interessi già riconosciuti meritevoli di tutela nel nostro ordinamento. Più precisamente, si è notato come la normativa in materia di trattamento dei dati personali, rispetto a quella codicistica – e ciò vale anche per il nuovo codice della privacy – non ponga l’accento sul tipo di danno arrecato, e cioè sulla natura e la categoria dell’interesse leso, bensì esclusivamente sulle regole che devono essere rispettate da chi tratta dati altrui, e ciò per «arretrare la soglia dell’intervento regolativo e quindi per anticipare il momento della tutela», che altrimenti incontrerebbe pur sempre il limite di un’apprezzabilità della violazione della personalità solo a posteriori, e cioè a seguito «della valutazione contemperativa degli interessi concretamente in conflitto» .
In questo modo, la tutela della personalità e delle libertà fondamentali, proclamata all’art. 1 della legge 675, viene oggettivizzata – e cioè sottratta a valutazioni di carattere discrezionale basate sulla natura del soggetto danneggiato piuttosto che su altre circostanze – oltre che generalizzata e funzionalizzata . E’ proprio in ragione di ciò che, da un lato, l’applicazione dell’art. 18 non soffre alcuna restrizione relativa alle qualità personali dei soggetti coinvolti, al tipo di interesse leso, alla natura dei dati o alle finalità del trattamento e, dall’altro, che attraverso il comma 9 dell’art. 29 la tutela risarcitoria finisce per coprire indistintamente anche i danni non patrimoniali, con il solo limite del trattamento rispettoso delle prescrizioni di legge e, dunque, garantito .
I dubbi relativi alla convivenza nel nostro ordinamento dell’art. 18 della legge 567/96 e dell’art. 2043 c.c. – entrambe norme di carattere generale e dalla sfera di applicabilità concretamente non definibile a priori – possono, dunque, essere superati evidenziando come la normativa speciale abbia voluto (per garantire al meglio tanto colui che tratta i dati, quanto il titolare degli stessi) limitare la discrezionalità dell’interprete chiamato a tutelare i soggetti potenzialmente esposti al danno derivante dal trattamento dei propri dati personali, e lo abbia fatto sottraendo la materia in esame dalla sfera di operatività del concetto generico di “ingiustizia” su cui poggia, per l’appunto, l’art. 2043.
La ricostruzione qui proposta della nozione di danno risarcibile ai sensi della legge 675/96 resta valida, ed anzi viene confermata dal nuovo codice. Quest’ultimo, infatti, dopo aver dichiarato solennemente all’art. 1 che «chiunque ha diritto alla protezione dei dati personali che lo riguardano», all’art. 2, rubricato Finalità», riproduce il primo comma dell’art. 1 della legge 675, introducendo però, rispetto a quello, un’interessante novità letterale costituita dal richiamo alla «protezione dei dati personali» tra i diritti (gli altri sono, come nella precedente normativa, la «riservatezza» e «l’identità personale») che la legge vuole tutelare con particolare riguardo. La nuova versione della norma, che dichiara le finalità della disciplina in materia di tutela della privacy, rafforza il convincimento che quello della protezione dei dati rispetto al loro trattamento illegittimo sia solo uno strumento di tutela di altri e volutamente non meglio definiti interessi individuali.
Lo stesso può dirsi per il nuovo art 3, rubricato «Principio di necessità nel trattamento dei dati», il quale aggiunge in capo al gestore di banche dati, che utilizza sistemi informativi o programmi informatici, o l’obbligo di «ridurre al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi posso essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità». In sostanza, la disposizione in parola introduce una nuova indicazione relativa alle modalità di trattamento dei dati e così arricchisce la gamma dei criteri individuati dal legislatore per qualificare in termini di liceità o illiceità il trattamento dei dati. Come nell’ambito della legge 675, infatti, anche sotto il nuovo codice la valutazione della idoneità del trattamento a generare danni risarcibili passa per la previa verifica della sua liceità. Nel nuovo codice, il più importante referente normativo in proposito – quello cioè che, in assenza di limiti alla sfera del danno risarcibile, in qualche modo sembra aver tipizzato i requisiti di liceità del trattamento, così disegnando, seppure a contrario, i confini dell’aria della responsabilità – è rappresentato dall’art. 11, che riproduce l’art. 9 della vecchia normativa .
All’art. 11 vanno aggiunti una serie di altri indici normativi di liceità del trattamento non facilmente riconducibili ad un disegno unitario e riassuntivo. Emblematico a questo riguardo è il comma 3 dell’art. 12 del nuovo codice, il quale stabilisce che «il rispetto delle disposizioni contenute nei codici [di deontologia e buona condotta per determinati settori, promossi dal garante ed adottati direttamente dalle categorie interessate] costituisce condizione essenziale per la liceità e la corretta del trattamento dei dati personali effettuato da soggetti privati e pubblici». E del resto già il fatto che alla lettera a) tanto dell’art. 9 della legge 675, quanto dell’art. 11 del codice della privacy, si dispone che «i dati personali oggetto di trattamento sono trattati in modo lecito e secondo correttezza», palesa l’esigenza di formulare il giudizio di liceità del trattamento tenendo presente la normativa speciale nel suo complesso e, dunque, non solo singole norme della stessa.
4. – La risarcibilità del danno non patrimoniale cagionato dall’illecito trattamento dei dati personali.
Attraverso un trattamento di dati personali altrui, come evidente, si possono causare danni tanto patrimoniali quanto non patrimoniali; ed anzi, considerata la particolare natura degli interessi coinvolti in una vicenda di tal fatta, spesso accade che il danno si manifesti esclusivamente nella sua componente non patrimoniale . Ora, volendo accedere alla tesi meno restrittiva, secondo la quale il danno non patrimoniale ai sensi dell’art. 2059 c.c. sarebbe sempre risarcibile quando lede interessi comunque espressamente tutelati dalla legge (come, per inciso, si verifica nel caso di alcuni diritti della personalità), ovvero alle teorie più recenti, a tenore delle quali il risarcimento del danno non patrimoniale è ammissibile ogni qual volta l’interesse leso trovi affermazione anche indiretta in una norma di tenore costituzionale , non vi sarebbe ragione di fare un espresso riferimento alla risarcibilità di tale danno in una normativa in materia di trattamento dei dati personali. Naturalmente, ciò non vale se si riconosce valore alle teorie tradizionali a tenore delle quali il risarcimento in parola è dato, in forza dell’art. 2059, soltanto in caso di espressa indicazione legislativa in tal senso .
Dopo l’emanazione della legge 675, e per tutta la sua vigenza, la dottrina si è interrogata sul senso e sulla portata dell’art. 29, comma 9, il quale – come anticipato – introduceva nel corpo della normativa sul trattamento dei dati personali un esplicito riferimento al danno non patrimoniale, indicando che esso sarebbe stato risarcibile «anche nei casi di violazione dell’art. 9» . I dubbi suscitati dalla norma riguardavano vari aspetti. In primis, appariva ingiustificata, o quantomeno di difficile interpretazione, la scelta legislativa di inserire il riferimento in parola nell’ultimo comma dell’art. 29 piuttosto che nell’art. 18, rubricato «Danni cagionati per effetto del trattamento di dati personali» . Inoltre, non era chiaro se – come pure il testo sembrava lasciare intendere – in presenza di ogni violazione dell’art. 9 scattasse la risarcibilità dei danni non patrimoniali. Infine, dubbia era la riconducibilità del danno non patrimoniale sotto l’art. 2050 c.c., visto che, da un lato, il rinvio a tale disposizione era contenuto solo nell’art. 18, ma, di contro, non si rinvenivano ragioni di carattere logico per ammettere l’esistenza di due contrapposti regimi probatori, uno operante in caso di danno patrimoniale (e risultante dal combinato disposto degli artt. 18 e 2050), l’altro in caso di danno non patrimoniale (e risultante dal combinato disposto degli art. 29, ultimo comma, e 2059), ed anzi tale soluzione appariva ai più inefficiente.
Alcune delle perplessità di carattere sistematico indotte dalla legge 675/96 sono oggi superate dal nuovo codice della privacy, il quale all’art. 15, come già evidenziato, oggi comprende sia il danno patrimoniale che quello non patrimoniale. Rimangono aperte, tuttavia, alcune questioni di non poca importanza, visto che in realtà nella norma da ultimo citata il riferimento al danno non patrimoniale è contenuto esclusivamente nel seconda comma, all’interno del quale il legislatore si è limitato a ribadire che tale danno è risarcibile anche in caso di violazione dell’art. 11 (che ha preso il posto dell’art. 9 della legge 675/96).
E’ bene proprio partire da quest’ultimo dato per segnalare come sia la legge del 1996 sia il nuovo codice manifestino un’evidente intenzione di ampliare l’aria di risarcibilità del danno non patrimoniale. Quest’ultimo, infatti, non solo viene espressamente dichiarato «risarcibile anche» fuori dalle ipotesi di reato, previste o meno dalla normativa speciale; ma viene altresì – e soprattutto – portato fuori dei tradizionali, sin troppo angusti, confini del danno morale , con il che si finisce per ammettere la rilevanza giuridica dell’aggressione ad una pluralità di valori (la maggior parte dei quali trova senza difficoltà il proprio riferimento normativo di livello più alto nell’art. 2 della Carta costituzionale) la cui lesione è spesso priva di immediati risvolti patrimoniali .
Una volta constatato che la legislazione speciale in materia di trattamento realizza una significativa estensione dell’aria di risarcibilità del danno non patrimoniale, occorre domandarsi se essa sia realmente tanto generale ed incondizionata come appare prima facie dalla lettura delle norme . In altre parole, bisogna capire – ovvero decidere, nella più assoluta assenza di indicazioni legislative a riguardo – se il danno non patrimoniale, nel caso di trattamento illecito di dati, sia risarcibile indipendentemente dal fatto che via sia in concreto una lesione dell’interesse protetto dalla norma procedimentale violata ; o se, al contrario, anche in presenza di un’acclarata illiceità nelle modalità di trattamento dei dati, al fine di dichiarare la risarcibilità del danno non patrimoniale occorra recuperare e un momento di necessaria verifica della reale consistenza del pregiudizio lamentato .
A dire il vero, la legge 675/96 poneva un’importante limitazione alla risarcibilità dei diritti non patrimoniali. Ciò in forza dell’art. 3, ai sensi del quale «il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali non è soggetto all’applicazione della […] legge, sempre che i dati non siano destinati ad una comunicazione sistematica o alla diffusione»; a tale trattamento «si applicano in ogni caso le disposizioni in tema di sicurezza dei dati di cui all’articolo 15, nonché l’art. 18». In altre parole, l’art. 3 implicitamente escludeva l’applicazione dell’art. 29, comma 9 – e cioè della norma riguardante il risarcimento del danno non patrimoniale – in caso di trattamento, effettuato da persone fisiche per fini personali, di dati non destinati ad una comunicazione sistematica o alla diffusione.
Operando in tal modo il legislatore del 1996 dava l’impressione di aver effettuato a monte proprio una valutazione comparativa degli interessi coinvolti, oltre che delle diverse modalità di lesione della privacy. Alla lesione della privacy derivante da un trattamento illecito realizzato per scopi professionali, infatti, si riconducevano effetti risarcitori più gravi perché sempre comprensivi anche del danno non patrimoniale; mentre, nel caso di lesione della riservatezza derivante da un trattamento illecito condotto da una persona fisica per fini personali, si limitava per legge la responsabilità dell’autore del trattamento ai soli danni patrimoniali, salva la possibilità di rimproverargli anche il danno non patrimoniale, ma ciò solo in forza dell’art. 2059 e dunque, secondo l’impostazione tradizionale , solo in presenza di un fatto in astratto configurabile come reato.
La situazione ora descritta appartiene al passato. Il codice del 2003, infatti, all’art. 5, comma 3, riformando la precedente normativa sul punto, ha sancito la risarcibilità «in ogni caso» del danno non patrimoniale anche in presenza di un «trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali». Tale novità, invero, è stata realizzata indirettamente in quanto la norma in parola si limita a richiamare come applicabili «in ogni caso» gli articoli 15 («Danni cagionati per effetto del trattamento) e 31 («Obblighi di sicurezza»), così apparentemente ribadendo quanto già stabilito dall’art. 3 della legge del 1996 (che richiamava gli articoli 15, «Sicurezza dei dati», e 18, «Danni cagionati per effetto del trattamento dei dati personali»). La novità sta nel fatto che – come evidenziato in precedenza – l’attuale art. 15, al contrario dell’art. 18 della vecchia normativa, riunisce espressamente in un’unica disposizione i danni patrimoniali ed i non patrimoniali.
5. – (segue) Effettività del pregiudizio patrimoniale come condizione di risarcibilità del danno anche non immediatamente patrimoniale.
Nei precedenti paragrafi si è fugato il dubbio che il tenore sibillino dell’art. 18 della legge 675/96 consenta di affermare la risarcibilità di qualunque danno causato dal trattamento dei dati personali altrui. A tale risultato si è giunti osservando come la normativa del 1996, prima, e il codice del 2003, poi, abbiano negato rilievo ad ogni valutazione relativa al tipo di interesse offeso, per condizionare l’applicazione delle regole di responsabilità civile esclusivamente all’accertamento, caso per caso, della concreta violazione di una norma di legge da parte di chi effettua il trattamento. In definitiva, dunque, si è detto che, indipendentemente dall’interesse leso, ogni danno cagionato da trattamento illecito dei dati comporta una responsabilità risarcitoria.
A questo punto, però, per comprendere a pieno la portata di tale affermazione occorre chiedersi a quale danno pensa il legislatore della privacy: se al danno derivante dalla astratta e presunta lesione di un qualunque interesse soggettivo giuridicamente protetto (la cui qualificazione – come più volte sottolineato – è peraltro irrilevante) determinata dalla violazione di una norma sul trattamento; ovvero, al danno che si concretizza in un pregiudizio reale ed effettivo ad un bene oggetto di un interesse soggettivo giuridicamente protetto (la cui qualificazione, ovviamente anche in questo caso, è irrilevante). Il nodo ermeneutico appare cruciale soprattutto se si riflette sul fatto che, come già evidenziato, la maggior parte dei danni causati dall’illecito trattamento dei dati personali ha natura di danno non patrimoniale e ha, dunque, una evidenza empirica il più delle volte assai rarefatta.
Qualora si reputi corretta la prima soluzione, il sistema di responsabilità delineato dalle norme in parola apparirà realmente incentrato soltanto sull’accertamento della illiceità del trattamento, sicché l’obbligazione risarcitoria che a questo segue, mancando una valutazione in concreto del danno patito dal titolare dei dati, non sarà in grado di svolgere una reale funzione riparatoria o redistributiva e si colorerà di una forte connotazione sanzionatoria . Viceversa, aderendo alla seconda soluzione ermeneutica, si ammette che la risarcibilità scatti soltanto in presenza di una aggressione ad un bene oggetto di un interesse tutelato, che abbia comportato un pregiudizio provato e quantificato in termini patrimoniali; pregiudizio che naturalmente può benissimo essere “conseguenza” anche di un danno non immediatamente patrimoniale .
La questione, come evidente, sembra riecheggiare quella attualissima che riguarda la risarcibilità del mero “danno evento” – quantificabile sulla base di valutazioni equitative – nel caso di lesione di interessi giuridicamente tutelati da principi di rango costituzionale, a cui non segua, o possa non seguire, un “danno conseguenza” riconducibile a categorie patrimoniali . Rispetto al trattamento dei dati personali, tuttavia, a parere di chi scrive, vi sono proprio nella normativa speciale indici che consentono di risolvere il problema in modo peculiare, e dunque attraverso un ragionamento non automaticamente estensibile ad altre aree del diritto civile.
Nel settore in esame la soluzione preferibile, tra le due supra prospettate, appare quella che reputa pregiudiziale ad una condanna al risarcimento l’accertamento della concreta materializzazione del danno inteso come lesione di un bene oggetto di un interesse tutelato . Tale convinzione si ricava da una valutazione complessiva delle scelte di politica del diritto compiute dal legislatore della privacy, il quale, sin dal 1996, ha approntato una vasta gamma di strumenti procedurali (accesso, rettifica, cancellazione, blocco) la cui funzione precipua appare quella di consentire, all’interessato che non abbia (ancora) subito un danno giuridicamente rilevante, di far valere il suo interesse a che nessuno tratti illecitamente i dati personali che lo riguardano.
In linea con tale scelta legislativa si mostrano gli artt. 18 e 29, comma 9, della legge 675, e l’art. 15 del decreto n. 196, i quali, se da un lato sottraggono al giudice ogni valutazione in ordine all’ingiustizia del danno lamentato nel caso concreto, dall’altro immancabilmente, anche dal punto di vista della loro formulazione letterale, riconducono il concetto di risarcimento a quello di danno, e non al semplice accertamento della illiceità del trattamento. Il tutto si giustifica in quanto molte violazioni di norme in materia di trattamento dei dati non comportano automaticamente ed immediatamente un danno al titolare dei dati stessi, ma soltanto un pericolo di danno futuro o potenziale .
Nell’ambito del ragionamento che si sta conducendo appare decisiva una ulteriore osservazione: una cosa è affermare che, accertato il “danno alla personalità”, e cioè la lesione di un diritto della personalità o di un altro interesse di rilievo costituzionale, il “danno evento” vada risarcito anche in mancanza di un “danno conseguenza”, e dunque anche in assenza di precisi riferimenti patrimoniali che consentano di quantificare precisamente il danno; un’altra è ammettere che basti la mera violazione di una norma di legge per integrare il “danno alla personalità” e di conseguenza far scattare l’obbligazione risarcitoria. Riportare nello specifico campo di indagine oggetto di questa riflessione i risultati del dibattito sulla risarcibilità del danno evento vuol dire cadere in un grave equivoco e confondere le due cose.
Da tali considerazioni si ricava netta l’impressione che nella legislazione speciale in materia di privacy l’area del trattamento illecito e l’area del danno risarcibile, seppure parzialmente sovrapponibili, non coincidano. Il che, del resto, appare in linea con i principi tradizionali in materia di responsabilità civile, visto che l’operatività dello strumento risarcitorio nella sistematica del codice presuppone sempre e comunque l’esistenza del danno, posta a tal fine l’insufficienza della mera integrazione dell’illecito .
6. – L’applicabilità dell’art. 2050 nel caso di danno non patrimoniale.
Per concludere la disamina delle questioni aperte in materia di danno non patrimoniale cagionato dall’illecito trattamento dei dati personali, resta da analizzare il problema della disciplina legislativa dell’onere probatorio. In sostanza, si tratta di comprendere se l’art. 2050 c.c. – a cui rinviava l’art. 18 della legge 675, e a cui oggi rinvia l’art. 15 del decreto 196/2003 – sia applicabile anche in relazione ai danni non patrimoniali lamentati in giudizio dall’attore . Prima di approfondire la problematica e provare a sciogliere il nodo ermeneutico, conviene chiarire meglio i termini della questione.
L’art. 18 della legge del 1996 con il rinvio all’art. 2050, al fine di sollevare da incombenze probatorie il soggetto danneggiato, ha inteso creare una presunzione di responsabilità che il danneggiante può superare assolvendo l’onere della prova liberatoria. Ciò è avvenuto in ossequio alla direttiva 95/46/Ce, la quale all’art. 23, comma 2, prevedeva che «Il responsabile del trattamento può essere esonerato in tutto o in parte da tale responsabilità se prova che l’evento dannoso non gli è imputabile». La legge italiana, tuttavia, non chiariva se il rinvio alla norma codicistica in materia di attività pericolose valesse anche per i danni non patrimoniali, ed anzi sembrava suggerire il contrario, visto che l’art. 29, nono comma, nulla diceva circa il regime relativo all’onere della prova; il che lasciava presumere, in prima battuta, che per i danni non patrimoniali operasse il regime generale di imputazione della responsabilità disegnato dall’art. 2043. Tale prospettiva, a ben vedere, appare però in contrasto con il testo comunitario, che non distingue, ai fini della responsabilità aggravata (o presunta) del responsabile del trattamento, tra danni patrimoniali e non patrimoniali.
Il nuovo codice della privacy non risolve il problema, ed anzi alimenta ulteriormente i dubbi interpretativi, in quanto, pur avendo “portato” il danno non patrimoniale nel secondo comma dell’art. 15, effettua il rinvio all’art. 2050 nel primo comma, il quale si riferisce al “danno” in termini generici senza specificare se il termine nella circostanza vada inteso anche nella sua accezione non patrimoniale.
Come evidente, risolvere in un senso o nell’altro il dubbio ermeneutico circa l’applicabilità dell’art. 2050 a tutti i danni o solo a quelli patrimoniali vuol dire spostare accenti e toni della tutela della privacy nel nostro ordinamento, aumentando o, al contrario, di fatto e seppure indirettamente, limitando la sfera di risarcibilità dei danni cagionati dal trattamento illecito dei dati personali. Infatti, se si propende per una soluzione che – in aperto contrasto con l’indicazione legislativa comunitaria – vieta di trattare il danno non patrimoniale sulla base di quanto dispone l’art. 2050, si finisce per sottrarre all’applicazione di tale norma una variegata tipologia di danni e, in definitiva, molti casi concreti. E ciò, a maggior ragione, se nel concetto di danno non patrimoniale considerato dal nuovo art. 15 del decreto 163 si fa rientrare – come di fatto è – non solo il danno morale subiettivo, e cioè la sofferenza psicologica transeunte derivante dall’illecito, bensì qualunque lesione di interessi non immediatamente patrimoniali. Il tutto a discapito delle potenziali vittime del trattamento di dati.
La soluzione preferibile, a ben vedere, appare quella inversa e cioè quella che ammette l’applicazione dell’art. 2050 – e, dunque, della presunzione di responsabilità – anche in presenza di danni non patrimoniali. A tale conclusione si perviene sulla base di semplici considerazioni volte ad evidenziare come, tanto nelle legge 675 (art. 18) quanto nel decreto 196/2003 (art. 15, primo comma), il rinvio alla disposizione in parola è svolto nell’ambito di una norma di carattere generale che si rivolge al danno in quanto tale e non al solo danno patrimoniale. Il fatto, poi, che al danno non patrimoniale la legge del 1996 dedicasse il nono comma dell’art. 29 e il nuovo codice della privacy il secondo comma dell’art. 15 senza che in tali norme appaia alcun riferimento all’art. 2050, non rileva punto.
La tesi contraria sembra viziata da una confusione dei piani. Altro, infatti, è occuparsi dei criteri soggettivi di imputazione della responsabilità, così come faceva l’art. 18 della legge 675 e come oggi fa il primo comma dell’art. 15 del decreto 163/2003; altro è occuparsi della astratta risarcibilità (se si preferisce, dell’ingiustizia) del danno, e cioè del presupposto oggettivo di operatività dello strumento aquiliano, come faceva il comma nono dell’art. 29 nella vecchia normativa ed oggi fa il secondo comma dell’art. 15 del recente codice.
Una volta ristabilite le distanze di sicurezza tra norme che si occupano di cose diverse ed evitata ogni interferenza tra i due piani considerati, appare evidente come l’art. 2050 debba sempre trovare applicazione, in subiecta materia, tanto in caso di danno patrimoniale quanto in caso di danno non patrimoniale. Circostanza quest’ultima, che dimostra come, proprio nell’ambito delle normative italiane sulla privacy – settore in cui l’incidenza dei danni non patrimoniali è particolarmente significativa – le tradizionali differenze disciplinari tra le due categorie di danno siano state, già da qualche anno, quantomeno smorzate nell’ottica di una funzionalizzazione delle regole di responsabilità civile che tende ad una piena tutela di tutti gli interessi coinvolti .
