La Sentenza n. 1399/2025 della Corte d’Appello di Palermo (clicca qui per scaricare il PDF integrale della decisione) offre un contributo significativo alla disciplina della responsabilità degli enti pubblici per la diffusione illecita di dati sensibili. Confermando la condanna di un Comune per la pubblicazione di atti contenenti informazioni sanitarie di una dipendente, la pronuncia consente di approfondire la qualificazione del danno non patrimoniale, la natura della responsabilità ex art. 2050 c.c., la distribuzione dell’onere probatorio e la legittimità della liquidazione equitativa. In linea con la giurisprudenza di legittimità e le indicazioni del Garante Privacy, la decisione offre spunti metodologici e operativi per la compliance pubblica e per la formazione giuridica.
Consiglio: per approfondimenti in materia, segnaliamo, con piacere, l’uscita della seconda edizione del “Formulario commentato della privacy”, acquistabile cliccando su Shop Maggioli o su Amazon.
Formulario commentato della privacy
La nuova edizione dell’opera affronta con taglio pratico gli aspetti sostanziali e procedurali del trattamento dei dati personali alla luce delle nuove sfide poste dall’evoluzione normativa e tecnologica degli ultimi due anni. La disciplina di riferimento è commentata tenendo conto dei rilevanti interventi a livello europeo e nazionale (tra cui le Linee Guida EDPB, i regolamenti AI Act e DORA, l’attuazione della direttiva NIS 2), offrendo al Professionista una guida completa e aggiornata.
Il libro è suddiviso in tredici sezioni, che coprono ogni aspetto della materia e tutti gli argomenti sono corredati da oltre 100 formule e modelli. Tra le novità più rilevanti:
• Connessioni tra il nuovo AI Act e il GDPR, differenze tra FRIA e DPIA, valutazione dei rischi e incidenti
• Gestione del personale: smart working, telelavoro e whistleblowing
• Strumenti di monitoraggio: controlli a distanza dei lavoratori, cloud computing e gestione degli strumenti informatici in azienda
• Tutela degli interessati: una guida completa su profilazione, processi decisionali automatizzati e sull’esercizio dei diritti
• Strumenti di tutela: sanzioni, reclami, segnalazioni e ricorsi al Garante.
Giuseppe Cassano
Direttore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi.
Enzo Maria Tripodi
attualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici.
Cristian Ercolano
Partner presso Theorema Srl - Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
Leggi descrizione
Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano, 2025, Maggioli Editore
62.00 €
58.90 €
Formulario commentato della privacy
La nuova edizione dell’opera affronta con taglio pratico gli aspetti sostanziali e procedurali del trattamento dei dati personali alla luce delle nuove sfide poste dall’evoluzione normativa e tecnologica degli ultimi due anni. La disciplina di riferimento è commentata tenendo conto dei rilevanti interventi a livello europeo e nazionale (tra cui le Linee Guida EDPB, i regolamenti AI Act e DORA, l’attuazione della direttiva NIS 2), offrendo al Professionista una guida completa e aggiornata.
Il libro è suddiviso in tredici sezioni, che coprono ogni aspetto della materia e tutti gli argomenti sono corredati da oltre 100 formule e modelli. Tra le novità più rilevanti:
• Connessioni tra il nuovo AI Act e il GDPR, differenze tra FRIA e DPIA, valutazione dei rischi e incidenti
• Gestione del personale: smart working, telelavoro e whistleblowing
• Strumenti di monitoraggio: controlli a distanza dei lavoratori, cloud computing e gestione degli strumenti informatici in azienda
• Tutela degli interessati: una guida completa su profilazione, processi decisionali automatizzati e sull’esercizio dei diritti
• Strumenti di tutela: sanzioni, reclami, segnalazioni e ricorsi al Garante.
Giuseppe Cassano
Direttore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi.
Enzo Maria Tripodi
attualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici.
Cristian Ercolano
Partner presso Theorema Srl - Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
Introduzione
La protezione dei dati personali rappresenta un diritto fondamentale, strettamente legato alla dignità, alla riservatezza e alla salute dell’individuo. Tale tutela trova fondamento negli artt. 2 e 21 della Costituzione, nell’art. 8 della CEDU e nel Regolamento UE 2016/679 (GDPR), che ha armonizzato a livello europeo le regole sul trattamento dei dati.
Nel settore pubblico, il trattamento di dati sensibili impone il rispetto dei principi di liceità, necessità, pertinenza, proporzionalità e minimizzazione, come previsti dal D.Lgs. n. 196/2003. Il titolare del trattamento deve adottare misure tecniche e organizzative idonee a prevenire la diffusione illecita delle informazioni, conciliando la trasparenza amministrativa con la tutela della riservatezza individuale.
In questo contesto, la sentenza n. 1399/2025 della Corte d’Appello di Palermo rappresenta un caso emblematico per comprendere i profili sistemici, probatori e risarcitori della responsabilità da trattamento illecito di dati personali.
Il danno da violazione della privacy
La giurisprudenza ha più volte chiarito che il danno non patrimoniale da violazione della privacy non è mai in re ipsa: deve essere provata la gravità e l’intensità del pregiudizio. Tale danno si manifesta come sofferenza interiore, perdita della riservatezza e compromissione della stima di sé, e va valutato nel contesto concreto, considerando l’impatto della diffusione e l’eventuale reiterazione della condotta.
Nel caso in esame, la Corte ha ritenuto che anche la semplice indicazione delle assenze per malattia, pur priva di diagnosi esplicita, integri una diffusione di dati sensibili, idonea a ledere la dignità della dipendente e la percezione che di lei hanno colleghi e comunità.
Pur applicando ratione temporis il D.Lgs. 196/2003, la Corte ha valorizzato principi oggi codificati nel GDPR, in particolare gli artt. 5, 24, 32 e 82: accountability, misure tecniche adeguate e documentazione delle azioni preventive. La decisione, dunque, anticipa la lettura sistemica del GDPR, mostrando come la valutazione del danno morale debba considerare non solo la lesione subita, ma anche la diligenza proattiva dell’ente pubblico nella gestione dei dati.
La responsabilità del titolare del trattamento
La Corte ha configurato la responsabilità dell’ente pubblico, ratione temporis, come responsabilità da esercizio di attività pericolosa ai sensi dell’art. 2050 c.c., con inversione dell’onere della prova. Spetta quindi al danneggiato dimostrare il danno e il nesso causale, mentre incombe sul titolare del trattamento provare di aver adottato tutte le misure idonee a evitare l’evento lesivo.
Questa logica, oggi trasfusa nell’art. 82 GDPR, enfatizza il principio di accountability e impone standard elevati di diligenza, richiedendo una documentazione sistematica delle misure preventive. Nel caso di specie, il Comune non è riuscito a dimostrare l’adozione di strumenti tecnici efficaci, come l’anonimizzazione o la cifratura dei dati, confermando così la sua responsabilità.
Il caso concreto
La Corte d’Appello ha confermato la condanna del Comune per la pubblicazione, sull’albo pretorio e sul sito istituzionale, di atti contenenti dati anagrafici e informazioni sullo stato di salute di una dipendente. Tali elementi, anche se privi di diagnosi esplicita, sono stati qualificati come dati sensibili, in quanto rivelatori di condizioni sanitarie. La Corte ha inoltre rilevato l’inadeguatezza delle misure di sicurezza adottate dall’ente.
La lavoratrice ha subito un danno morale concreto, espresso in sentimenti di vergogna, sofferenza e perdita di autostima, aggravati dalla dimensione ristretta del contesto locale e dalla reiterazione della condotta. La liquidazione equitativa di € 7.000,00 è stata confermata, sulla base di un criterio analogico alle tabelle milanesi per il danno da diffamazione, coerente con la funzione compensativa del risarcimento.
Evoluzione normativa: dall’art. 2050 c.c. all’art. 82 GDPR
La disciplina della responsabilità per illecito trattamento dei dati personali ha conosciuto una progressiva evoluzione. Prima del GDPR, l’art. 15 del D.Lgs. n. 196/2003 configurava tale responsabilità come extracontrattuale, assimilabile a quella da attività pericolosa ex art. 2050 c.c., con inversione dell’onere probatorio.
Con l’entrata in vigore del Regolamento UE 2016/679, il sistema si è trasformato: la responsabilità civile si fonda ora sul principio di accountability e sull’obbligo di dimostrare la conformità a misure tecniche e organizzative adeguate (artt. 5, 24 e 32 GDPR). Pur mantenendo la logica bifasica – l’interessato prova il danno e il titolare dimostra la diligenza – l’art. 82 introduce una responsabilità più ampia, incentrata sulla prevenzione e sulla prova documentale delle misure adottate.
La decisione palermitana si colloca in questa fase di transizione: pur riferendosi al Codice Privacy, la Corte interpreta la norma alla luce del GDPR, valorizzando la prevenzione e l’efficacia delle misure di sicurezza.
La funzione del risarcimento nel danno da privacy
Il risarcimento del danno non patrimoniale per violazione della privacy ha funzione essenzialmente compensativa: mira cioè a riconoscere e riparare la sofferenza interiore, la perdita di riservatezza e la compromissione della dignità personale.
La giurisprudenza distingue tra:
- danno morale (dolore, vergogna, disistima);
- danno esistenziale (alterazione delle abitudini e delle relazioni);
- e danno da reputazione (lesione dell’immagine pubblica o professionale).
Nel caso di specie, la Corte ha confermato la liquidazione equitativa di € 7.000,00, richiamando il criterio delle tabelle milanesi per il danno da diffamazione. Tale importo risponde a una logica compensativa, tesa a ristabilire l’equilibrio morale e relazionale della persona offesa.
La recente giurisprudenza sottolinea inoltre la necessità di personalizzare il risarcimento in base alla gravità della lesione, alla reiterazione della condotta e all’impatto sociale, a conferma della natura flessibile ma proporzionata della tutela risarcitoria.
Prospettive applicative
La sentenza fornisce indicazioni operative di rilievo per la pubblica amministrazione, che deve rivedere le proprie prassi di pubblicazione e gestione dei dati adottando:
- protocolli di anonimizzazione sistematica;
- criteri di oscuramento selettivo;
- e procedure interne volte a prevenire la diffusione illecita di dati sensibili.
È inoltre essenziale implementare:
- audit periodici;
- sistemi di tracciabilità dei trattamenti;
- e programmi di formazione continua per i responsabili del procedimento.
Dal punto di vista professionale, la decisione costituisce un caso paradigmatico di responsabilità da trattamento illecito. Essa offre una chiave di lettura concreta per bilanciare trasparenza amministrativa e tutela dei diritti fondamentali, comprendere la distribuzione dell’onere probatorio e individuare le misure preventive da adottare per garantire compliance e responsabilità. In tal senso, rappresenta una guida operativa per DPO, giuristi, funzionari pubblici e operatori della compliance, traducendo principi normativi e giurisprudenziali in strumenti pratici di tutela e prevenzione.
Formazione in materia
Il Master in Compliance Management è un percorso di formazione specialistica della durata di 24 ore, pensato per offrire una visione chiara, aggiornata e completa delle principali aree della compliance aziendale. Il focus è sugli strumenti, gli obblighi e le responsabilità che imprese e professionisti devono conoscere e applicare per garantire la conformità e l’efficacia dei modelli organizzativi (clicca qui per iscriverti).
