Con l’Ordinanza n. 19328 del 17 settembre 2020, la Corte di Cassazione ha affermato un importante principio in materia di trattamento illecito di dati personali: il datore di lavoro che diffonde impropriamente valutazioni professionali negative è tenuto a risarcire il danno non patrimoniale per la sofferenza morale patita dal lavoratore, anche laddove il pregiudizio sia stato dimostrato da semplici presunzioni.

Nel caso di specie, una lavoratrice ex INPDAD, per alcune condotte addebitatele, era stata revocata dalla posizione organizzativa occupata; accadeva, però, che tale provvedimento veniva, dapprima, consegnato a mano tramite un addetto alla segreteria (secondo quanto esposto dalla lavoratrice non qualificato come “incaricato al trattamento dei dati personali”) e, successivamente, diffuso dalla Dirigente di una sede territoriale INPDAP, durante una riunione sindacale.

La lavoratrice, dopo aver ottenuto un provvedimento negativo da parte dell’Autorità Garante, decideva di impugnare tale decisione innanzi al Tribunale di Latina, al fine di ottenere un risarcimento del danno per le condotte summenzionate effettuate dall’Ente. Il Tribunale, annullando il provvedimento dell’Autorità Garante, condannava l’Ente al risarcimento del danno non patrimoniale per trattamento illecito di dati personali. 

A seguito di tale sentenza, l’Ente decideva di promuovere ricorso per Cassazione, non ritenendo le due condotte sopra citate configuranti un trattamento illecito di dati personali.

La Suprema Corte decideva così di muoversi su un doppio binario. Da un lato, veniva accolto il ricorso dell’Ente per la parte riguardante la consegna a mano, avvenuta a mezzo di un addetto alla segreteria, degli addebiti professionali della lavoratrice: difatti, gli Ermellini hanno ritenuto il “messaggero” legittimato – e di conseguenza qualificato come Incaricato – al trattamento dei dati di cui in oggetto del provvedimento.

Dall’altro lato, veniva confermata la sentenza di merito per aver qualificato come illecita la diffusione di tali dati personali all’interno della riunione sindacale; su questo aspetto, la Corte ha fornito una puntuale disamina della normativa in materia di protezione dei dati personali, e del relativo onere della prova al fine di dimostrare un trattamento illecito:

“(…) il danneggiato che lamenti la lesione dell’interesse non patrimoniale può limitarsi a dimostrare l’esistenza del danno e del nesso di causalità rispetto al trattamento illecito, mentre spetta al danneggiante titolare del trattamento, eventualmente in solido col responsabile, dimostrare di aver adottato tutte le misure idonee per evitare il danno. Questo schema è parzialmente confermato anche nel nuovo GDPR (art. 82.3 GDPR) che, sulla base del principio di responsabilizzazione (accountability) addossa al titolare del trattamento dei dati – eventualmente in solido con il responsabile il rischio tipico di impresa (art. 2050 c.c.).

Secondo la giurisprudenza di questa Corte, in tema di onere della prova, in caso di illecito trattamento dei dati personali, il pregiudizio non patrimoniale non è in re ipsa, ma deve essere allegato e provato da parte dell’attore, a pena di uno snaturamento delle funzioni della responsabilità aquiliana. La posizione attorea è tuttavia agevolata dal regime più favorevole dell’onere della prova, descritto all’art. 2050 c.c., rispetto alla regola generale del danno aquiliano, nonché dalla possibilità di dimostrare il danno anche solo tramite presunzioni semplici e dal risarcimento secondo equità (Sez. 1, 08/01/2019, n. 207; Sez. 1, 25/1/2017 n. 1931; Sez. 1, n. 10638 del 23/05/2016). (…)”.

E ancora:

“(…) Per altro verso, il danno non patrimoniale risarcibile ai sensi del D.lgs. 30 giugno 2003, n. 196, art. 15 pur determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli artt. 2 e 21 Cost. e dall’art. 8 della CEDU, non si sottrae alla verifica della gravità della lesione e della serietà del danno (quale perdita di natura personale effettivamente patita dall’interessato) alla stregua dei parametri generali scolpiti dalle sentenze gemelle delle Sezioni Unite n. 26972-26975 dell’11/11/2008; infatti anche per tale diritto opera il bilanciamento con il principio di solidarietà ex art. 2 Cost., di cui la regola di tolleranza della lesione minima costituisce intrinseco precipitato, sicché determina una lesione ingiustificabile del diritto non la mera violazione delle prescrizioni poste dall’art. 11 del codice della privacy ma solo quella che ne offenda in modo sensibile la sua portata effettiva. Il relativo accertamento di fatto è tuttavia rimesso al giudice di merito e resta ancorato alla concretezza della vicenda materiale portata alla cognizione giudiziale ed al suo essere maturata in un dato contesto temporale e sociale

(Sez. 3, n. 16133 del 15/07/2014, Rv. 632536 – 01; Sez. 3, n. 20615 del 13/10/2016, Rv. 642913 – 02; Sez.1, 8/1/2019 n. 227).

Il titolare del trattamento, per non incorrere in responsabilità deve dimostrare che l’evento dannoso non gli è in alcun modo imputabile e non può limitarsi alla prova negativa di non aver violato le norme (e quindi di essersi conformato ai precetti), ma occorre la prova positiva di aver valutato autonomamente il rischio di impresa, purché tipico, cioè prevedibile, e attuato le misure organizzative e di sicurezza tali da eliminare o ridurre il rischio connesso alla sua attività. (…)”.

Per questi principi enunciati, si deduce che ogni datore di lavoro, nel corso di un procedimento a suo carico per trattamento di dati illeciti di un dipendente, avrà l’arduo compito di dover dimostrare di aver costruito una adeguata struttura privacy e di aver effettuato ogni azione possibile al fine di tutelare i lavoratori. A questi ultimi, al fine di azionare un procedimento, sarà sufficiente dimostrare di aver subito un pregiudizio da trattamenti illeciti mediante semplici presunzioni.

Avv. Stefano Alberto Brandimarte