La vicenda
Un’amministrazione comunale ha inavvertitamente pubblicato sul proprio sito istituzionale il pignoramento dello stipendio di una sua dipendente. L’operatore addetto a registrare il provvedimento, ed a caricarlo sul sistema di gestione documentale, ha inavvertitamente spuntato il campo “pubblica”, che sarebbe dovuto invece rimanere a solo uso interno. A tale incidente è stato posto rimedio dopo poco più di 24 ore, periodo di tempo nel quale l’informazione è stata però disponibile sul sito del Comune, emergendo così che la dipendente è debitrice di una data somma nei confronti di un creditore e che il quinto del suo stipendio è stato pignorato. A nulla rileva il fatto che l’evento sia avvenuto per errore umano, distrazione o altro, per l’elementare ragione che il titolare del trattamento (in questo caso l’amministrazione comunale) risponde anche per il fatto colposo dei propri dipendenti.
GDPR: l’analisi
Il danno non patrimoniale risarcibile è in questi casi determinato da una lesione del diritto fondamentale alla protezione dei dati personali, costituzionalmente tutelato. La rilevanza del rimedio risarcitorio è confermata dal GDPR, il cui articolo 82 stabilisce che “chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”. Ciò significa che il danneggiato può ottenere il risarcimento di qualunque danno, anche se marginale.
Il concetto di danno è precisato dal Considerando 146 del GDPR, per il quale “Il titolare del trattamento o il responsabile del trattamento dovrebbe risarcire i danni cagionati a una persona da un trattamento non conforme al presente regolamento ma dovrebbe essere esonerato da tale responsabilità se dimostra che l’evento dannoso non gli è in alcun modo imputabile”. La mera violazione delle prescrizioni poste in tema di trattamento non è tale da determinare una lesione effettiva del diritto, ma lo è invece quella violazione che concretamente offenda la portata effettiva del diritto alla riservatezza del dato.
Pertanto, pur non essendo il danno in re ipsa, l’accertamento ha dimostrato che in effetti un danno era stato integrato dall’ostensione del dato per tipologia e contesto, sebbene per un tempo ridotto. Tutte le giustificazioni fornite dal Comune sono irrilevanti, visto che l’illiceità del trattamento imputabile al titolare non è contestabile. Ed il titolare del trattamento deve risarcire il danno cagionato a una persona da un trattamento non conforme al GDPR, e può essere esonerato da una tale responsabilità non semplicemente per essersi attivato per rimuovere il dato illecitamente esposto, ma solo se dimostra che l’evento dannoso non gli è in alcun modo imputabile.
Le conclusioni
In base alla disciplina generale del GDPR, il titolare del trattamento è sempre tenuto a risarcire il danno cagionato a una persona a seguito di un trattamento non conforme al regolamento stesso. Può essere sollevato dalla responsabilità solo se dimostra che l’evento non gli è in alcun modo imputabile, non essendo sufficiente l’essersi attivato per la rimozione del dato illecitamente esposto. L’esclusione del danno in re ipsa presuppone la prova della serietà della lesione conseguente al trattamento. Ciò vuol dire che può non determinare il danno la mera violazione delle prescrizioni formali in tema di trattamento del dato, mentre induce sempre al risarcimento quella violazione che concretamente offenda la portata effettiva del diritto alla riservatezza.
