RESPONSABILITA' E RISARCIMENTO DEI DANNI IN SEGUITO AL TRATTAMENTO DEI DATI PERSONALI
di Alessandra Lucarino 

In caso di lesione della riservatezza e dell’identità personale, la legge prevede una forma di tutela successiva, affidata al risarcimento del danno. La conferma della configurabilità di una responsabilità civile per il trattamento illecito di dati personali (evidenziata dagli artt. 18. e 29, comma 9 della legge) è molto importante, poiché dimostra la preferenza del legislatore, sul versante delle sanzioni civili, per i rimedi inibitori, riparatori e sanzionatori, anziché per i controlli preventivi.
L’uso illegittimo delle informazioni e la divulgazione di informazioni inesatte integrano la fattispecie del c.d. danno da informazione. Tale danno è ipotizzabile, in primo luogo, in caso di violazione del c.d. principio di finalità che si ha quando, dei dati, si faccia un uso diverso rispetto a quello per il quale è stato dato il consenso.
Danni possono derivare, anche, dalla divulgazione di informazioni false o parziali. La falsa informazione può danneggiare l’interessato sia in quanto diretta a terzi, e lesiva, quindi, dell’interesse alla corretta percezione sociale dell’identità personale, sia in quanto diretta allo stesso interessato; oppure può danneggiare soggetti diversi dall’interessato, in quanto destinatari o semplici fruitori dei dati.
Alla tipologia del danno da informazione sono dedicati due articoli della legge: l’art. 18, il quale stabilisce che "Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’art. 2050 c.c."; e l’art. 29, comma 9, il quale sancisce che "Il danno non patrimoniale è risarcibile anche nei casi di violazione dell’art. 9". L’art. 9, a sua volta, enunciando quelli che sono i principi generali sulle modalità della raccolta e sui requisiti dei dati personali, stabilisce che questi devono essere: "a) trattati in modo lecito e secondo correttezza; b) raccolti e registrati per scopi determinati, espliciti e legittimi, e utilizzati in altre operazioni del trattamento in termini non incompatibili con tali scopi; c) esatti e, se necessario, aggiornati; d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati; e) conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati".
Il rinvio all’art. 2050 ha lo scopo, da un lato, di evitare la connotazione in senso oggettivo della responsabilità civile per la gestione di una banca dati, dall’altro, di stabilire una presunzione speciale di responsabilità a carico di chi effettua il trattamento, mediante una regola che pone a carico del titolare e del responsabile del trattamento l’onere della prova riguardante il fatto lesivo, a differenza di quanto risulterebbe dall’applicazione dell’art. 2043 cod. civ., considerato come la regola generale della responsabilità extracontrattuale.
E’ importante rilevare che l’art. 2050 c.c. parla di "attività pericolosa", che si ha in tutti i casi in cui vi è un’elevata potenzialità di danno, sia per la natura della stessa, sia per le caratteristiche dei mezzi di lavoro utilizzati. E’, quindi, necessario che siano riconosciute una rilevante possibilità che si verifichi il danno, e la pericolosità dell’attività nel corso della quale si è prodotto il fatto dannoso.
Nel nostro caso si ritiene che l’art. 18, in combinato disposto con l’art. 1, della legge n. 675/1996, contenga una predeterminazione legale di pericolosità: il "trattamento" è qualificato, "ipso iure", come esercizio di attività pericolosa. Da qui deriva un’importante conseguenza relativamente all’onere della prova. Il nostro ordinamento civile prevede che, chiunque si ritenga danneggiato da un fatto illecito, debba dar prova della responsabilità di colui che l’ha commesso. Non accade così, invece, nell’ipotesi regolata dall’art. 2050, dove è sancito il c.d. principio dell’inversione dell’onere della prova, in base al quale il danneggiato deve provare solo il fatto storico, mentre colui che effettua il trattamento, e che quindi ha causato il fatto dannoso, a fini liberatori, deve dimostrare di aver adottato tutte le misure idonee ad evitarlo. La prova è particolarmente rigorosa , in quanto non è sufficiente la sola dimostrazione, in negativo, di non aver commesso alcuna violazione della legge o delle regole di comune prudenza, ma è necessaria la prova positiva di aver impiegato ogni cura o misura atta ad impedire l’evento dannoso.
E’ necessario, inoltre, individuare i soggetti tenuti al risarcimento dei danni causati dal trattamento dei dati personali, e, a riguardo, l’art. 18 parla, indistintamente, di "chiunque". La legge n. 675/1996 ha, però, disciplinato in modo particolare i soggetti cui è ascrivibile il nesso di causalità tra evento dannoso ed imputabilità dello stesso, individuandoli nel "titolare" (ossia in colui "cui competono le decisioni in ordine alle finalità del trattamento" e "della sicurezza" dei dati, art.1, comma 2, lett. d), e nel "responsabile" (ossia in colui che è preposto dal titolare al trattamento dei dati, avendo "esperienza, capacità ed affidabilità" tale da fornire "idonea garanzia del pieno rispetto delle disposizioni di legge in materia di trattamento, ivi compreso il profilo relativo alla sicurezza", art.8, comma 1).
Si può, quindi, affermare che il titolare e il responsabile sono, entrambi, potenzialmente legittimati passivi, ed obbligati in solido, ai sensi dell’art. 2055 c.c. (anche sulla base di quanto stabilito dall’art.8, comma 2 della legge, e cioè che "il responsabile procede al trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni e delle proprie istruzioni").
All’art. 18 si collega il comma 9 dell’art. 29, che prevede la risarcibilità del danno non patrimoniale anche nelle ipotesi di violazione dell’art. 9, estendendo, in questo modo, l’area della risarcibilità del danno morale da trattamento di dati personali oltre il limite della corrispondenza del comportamento illecito ad una fattispecie penale. Di conseguenza il titolare e il responsabile del trattamento potranno rispondere anche di questo tipo di danno, qualora i dati non fossero stati trattati in modo lecito e corretto, oppure la registrazione degli stessi non fosse avvenuta per gli scopi determinati, oltre che in tutti gli altri casi contemplati dalla norma citata (art. 9), che regolamenta, appunto, le modalità di raccolta.
Per capire che cosa si intenda per danno morale, è importante rifarsi alla definizione data dalla Corte Costituzionale (sent. n. 184/1996) che lo definisce come quel danno che in nessun modo incide sul patrimonio, ma che arreca solo un dolore morale alla vittima, una sofferenza fisica (nel senso di sensazione dolorosa) o psichica. Di conseguenza, il relativo risarcimento soddisfa l’esigenza di compensare le sofferenze fisiche, morali e psichiche patite dal soggetto danneggiato.
Il danno non patrimoniale, inoltre, non è suscettibile di risarcimento per equivalente (come avviene, invece, per il danno patrimoniale, che può essere risarcito, anche, in forma specifica), e, di conseguenza, la sua liquidazione è affidata all’apprezzamento discrezionale ed equitativo del giudice di merito, il quale deve tener conto: delle sofferenze patite dall’offeso, della gravità dell’illecito, e di tutti gli elementi peculiari del caso concreto. Il giudice, quindi, è chiamato a pronunciarsi sul risarcimento, indicando un ristoro pecuniario che risulti socialmente adeguato alla gravità della lesione. L’adeguatezza del ristoro, infine, deve essere valutata oggettivamente, a prescindere dalla soddisfazione morale che il danneggiato possa provare personalmente, potendosi trattare, anche, di persona incapace di intendere e di volere o di persona giuridica.