La tutela effettiva della persona nel cyberspazio: liability under data protection law

in Giuricivile, 2021, 2 (ISSN 2532-201X)

La sofisticazione dei sistemi di analisi dei dati costituisce un rischio elevato per la persona; quest’ultima non ha ad oggetto esclusivamente una lesione del diritto alla protezione dei dati personali ovvero sensibili bensì dei diritti inalienabili dei consociati che rappresentano legittima aspirazione allo svolgimento della personalità protetta mediante criteri non preventivamente determinati.[1]

Responsabilizzazione del titolare del trattamento ovvero del responsabile

Preliminarmente è utile analizzare il nesso logico- giuridico tra la disciplina dei diritti della personalità e quella in materia di dati personali che è complesso nonché multiforme: l’articolo 2 comma I del Codice della Privacy elenca all’interno delle finalità la più importante necessità di garanzia di un trattamento dei dati rispettoso «dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali». Per poter parlare di risarcimento, dunque, si rileva la possibilità di una lesione dei diritti della personalità anche senza il trattamento dei dati personali; viceversa è impossibile stabilire a priori che un trattamento illecito leda reputazione, onore, riservatezza ovvero identità personale dell’interessato. [2]

Il Regolamento 679/2016 – coadiuvato dalla Convenzione n. 108 modernizzata – pone l’accento sulla responsabilizzazione dei titolari e dei responsabili del trattamento dei dati che, a tale scopo, hanno l’obbligo di porre in essere atti e misure tecniche nonché organizzative adeguate e soprattutto comprovabili in caso di attivazione della giurisdizione; in particolare i responsabili del trattamento, nonostante la norma non li richiami espressamente, devono ritenersi competenti poiché, in via formale e sostanziale, ottemperano a obblighi legati alla responsabilità ergo pur sembrando esonerati da responsabilità di tipo risarcitorio hanno l’obbligo di tener conto delle ipotesi in cui siano delineabili inadempimenti ovvero violazioni a loro carico, basti pensare all’obbligo relativo alla tenuta dei registri del trattamento ex art. 30, par. 2 del RGPD.

In altre parole, data l’impossibilità di osteggiare il progresso scientifico e tecnologico nonché l’evoluzione della lex mercatoria, l’unico orizzonte possibile avente la ratio di tutelare le situazioni giuridiche soggettive nel cyberspazio è quello dato dal principio della responsabilità: l’articolo 82 del RGPD consente una chiara riflessione sulla responsabilità civile relativa al trattamento dei dati tanto da rendere il fulcro del diritto al risarcimento proprio il principio di responsabilizzazione.[3]

È la riparazione dei danni in siffatto contesto che si configura in termini differenti rispetto ad altre situazioni soggettive: la lesione subita non è suscettibile di reintegrazione in forma specifica ergo il ripristino della situazione antecedente alla lesione risulterebbe alquanto complesso.

Se nell’illecito penale la responsabilità sorge dalla commissione di un reato a cui si associa una concezione atomistica per la quale ogni condotta è specificatamente prevista dalla legge, per l’illecito civile relativo al trattamento dei dati sensibili non esiste una rigida elencazione, bensì una formula molto ampia che sorge dalla lettura in combinato disposto degli artt. 2043, 2050 e 2059 del codice civile rispettosa di un’interpretazione costituzionale relativa all’esplicazione della persona umana come idea-guida e valore primario del sistema ordinamentale.[4]

Conditio sine qua non della risarcibilità della lesione delle situazioni esistenziali è il verificarsi di tre condizioni: l’interesse leso dev’essere costituzionalmente rilevante; l’offesa deve superare la soglia di tollerabilità; il pregiudizio dev’essere serio ergo non congruente a meri fastidi o disagi futili.[5]

Art. 82 RGPD e 2050 c.c.: ingiustizia del danno e antigiuridicità della condotta

Il RGPD all’articolo 82, abrogante l’articolo 15 del Codice della privacy (D. lgs. 196/2003), sancisce che il risarcimento di un danno materiale o immateriale sia legittimo in caso di «violazione del presente regolamento» e dunque non più, come stabiliva la previgente disposizione, in caso di «danno per effetto del trattamento risarcibile ai sensi dell’articolo 2050 del Codice civile».

Il modello europeo pone l’accento su ulteriori prescrizioni circa gli obblighi concernenti titolari del trattamento, responsabili e sub-responsabili, i concetti enucleati dall’articolo 25 del RGPD, infatti, sintetizzano gli effetti essenziali delle «Privacy by default e Privacy by design» che, insieme, impongono di implementare, sin dall’origine dell’attività «misure tecniche e organizzative adeguate» ex art. 32 RGPD al fine di attuare efficacemente principi di protezione dei dati a tutela dei diritti degli interessati; in virtù di quanto esplicitato, la sostanziale differenza è lapalissiana in uno schema completamente rinnovato, l’adeguatezza si misura, con una valevole valutazione d’impatto, ex ante e non – come accadeva precedentemente – soltanto ex post; si tratta della c.d. positivizzazione degli obblighi di protezione, qualificabile elemento antigiuridico per l’irrogazione di una sanzione ex art. 83 RGPD.[6]

La dottrina discute in maniera pedissequa l’ambivalenza dell’ingiustizia del danno tra la lesione di un interesse e l’antigiuridicità della condotta che dipende dal profilo funzionale delle norme dalla cui trasgressione il legislatore permette la risarcibilità: queste sono norme di condotta, regolanti il comportamento rectius non individuanti, almeno in modo diretto, le situazioni giuridiche tutelate. Il fulcro della questione si sostanzia in una bipartizione: la violazione delle regole di condotta potrebbe ovviare l’individuazione di un interesse giuridicamente protetto come l’obbligo del risarcimento potrebbe essere subordinato alla verifica in concreto della lesione dell’interesse giuridicamente rilevante. Una parte della dottrina ritiene che il parametro dell’ingiustizia sia insito nella mera antigiuridicità tant’è che la violazione delle norme sul trattamento legittima la risarcibilità del danno, con la dovuta specificazione della sussistenza di quest’ultimo. Al contrario, altri confutano sottolineando la configurazione dell’ingiustizia del danno indipendentemente dall’antigiuridicità della condotta ergo bisogna trovare la situazione giuridica soggettiva lesa rilevante nel nostro ordinamento.

La perimetrazione del danno risarcibile risulta ancora equidistante tra tali concezioni anche se l’ammonimento alla necessaria esistenza del danno non può prescindere dall’individuazione dell’oggetto di quest’ultimo e quindi di una posizione lesa dell’interessato.[7]

Approccio fenomenologico dei diritti della personalità

La responsabilità in materia dei diritti della personalità, in concerto con le discusse teorie dell’unitarietà della colpa contrattuale ed extracontrattuale ad opera del formante dottrinale[8], specie nel mondo digitale, dev’essere analizzata dal punto di vista fenomenologico rectius dall’effettiva tutela che l’ordinamento può convogliare nel fascio di situazioni giuridiche soggettive esistenziali, i civilisti parlano di una continua osmosi fra soluzioni offerte dall’integrazione di fonti nazionali e internazionali che richiamano norme eterogenee aventi ratio e contenuti diversificati tali per cui un’omologazione applicativa ai fini del risarcimento risulterebbe, almeno per ora, difficile.[9]


[1] A. Moretti, Algoritmi e diritti fondamentali della persona. Il contributo del Regolamento (UE) 2016/679, in Diritto dell’informazione e dell’informatica (II), fasc. 4, Ottobre 2018, pp. 799 ss.; Cfr. P. Perlingieri, Manuale di diritto civile, Napoli, 2018, ISBN 978-88-495-3735-2 pp.184- 187

[2] S. Thobani, Il danno non patrimoniale da trattamento illecito dei dati personali, in Il diritto dell’informazione e dell’informatica, anno XXXII, Fasc. 2- 2017, ISSN: 2499-2437, pp. 432- 434; v. Corte d’App. Milano, 22 luglio 2015, III, 3312, in De Jure: nel caso di specie nonostante si trattasse di un trattamento di dati sulla base di una intercettazione, il giudice tiene conto principalmente ai fini del risarcimento del danno, l’intromissione nella vita privata.

[3] Per approfondire v. Agenzia dell’unione europea per i diritti fondamentali e consiglio d’europa, C.Giakoumopoulos, G. Buttarelli, M. O’Flaherty, Manuale sul diritto europeo in materia di protezione dei dati, Lussemburgo, 2018, ISBN: 978-92-871-9846-4, pp. 150- 155; Cfr. V. Cuffaro, R. D’Orazio, V. Ricciuto, I dati personali nel diritto europeo, Milano, 2019, ISBN: 9788892112742, pp. 1017- 1020; Per ulteriori informazioni v. F. Di Ciommo, Civiltà tecnologica, mercato e insicurezza: la responsabilità del diritto, in Riv. Crit. Dir. priv., 2010, pp. 588 ss.; RGPD, art. 82: «Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento […]»

[4] G. Chiappetta, Lezioni di diritto civile, Napoli, 2018, ISBN: 9788889464359, p. 8 ss. «Le situazioni inviolabili della persona umana rappresentano, quindi, una categoria aperta esplicazione della singola persona umana idea-guida e valore primario del sistema ordinamentale». Cfr. M. R. Cattani, Il nuovo sistema diritto, Milano- Torino, 2015, ISBN: 9788861602540, pp. 300 ss.; Per quanto concerne il valore della persona umana nell’ordinamento v. P. Perlingieri, Trattato di diritto civile del Consiglio nazionale del notariato, Camerino, 2012, ISBN: 9788849523133, p. 11: «La preminenza del valore della persona, pertanto, si manifesta pure nella sua attitudine a porsi come principio di interpretazione e di conformazione delle norme. Difatti, l’intensità con cui l’articolo 2 Cost. tutela il valore della persona dimostra che il parametro è da annoverare tra i criteri destinati a conformare l’intero sistema normativo»

[5] Così P.Perlingieri, Manuale di diritto civile, Napoli, 2018, ISBN 978-88-495-3735-2 pp.220- 221; v. anche Cass. Civile, 9422/2011 in De Jure; cias. Civile, SSUU, 26972/08 in De Jure.

[6] Per approfondimenti sul tema v. V.Cuffaro, R. D’Orazio, V. Ricciuto, I dati personali nel diritto europeo, Milano, 2019, ISBN: 9788892112742, pp. 10 ss.; cfr. L. Brotherston, A. Berlin, La sicurezza dei dati e delle reti aziendali, Defensive Security Handbook; Milano, ISBN: 9788848136150; pp. 68 – 71.

[7] S. Thobani, Il danno non patrimoniale da trattamento illecito dei dati personali, in Il diritto dell’informazione e dell’informatica, anno XXXII, Fasc. 2- 2017, ISSN: 2499-2437, pp. 429- 431; Per la trattazione relative alle norme di condotta si rinvia a N.Bobbio, Studi per una teoria generale del diritto, Torino, 2012, ISBN: 978-883482591-4, p. XVII :«ciò che contraddistingue un ordinamento giuridico da ordinamenti normativi di altra natura è la compresenza di due tipi di norme: norme primarie di condotta, le quali impongono obblighi e norme secondarie le quali conferiscono poteri»

[8] G. Visintini, Fatti illeciti: fondamenti e nuovi sviluppi della responsabilità civile, Pisa, 2019, ISBN: 9788833790657; pp. 12- 28; nello specifico l’autrice si interroga sulle ragioni che hanno portato il formante dottrinale ad allontanarsi da quello legislativo.

[9] Perlingieri, Manuale di diritto civile, Napoli, 2018, ISBN 978-88-495-3735-2 pp. 220- 221 L’autore prospetta anche un’idea di prevenzione del danno: «L’inibitoria ad esempio che è diretta a far cessare (o a non far iniziare) il comportamento antigiuridico del danneggiante, o altro rimedio di urgenza (7000 c.p.c.) che può essere chiesto da chi ha fondato motivo di temere che, nel tempo necessario a far valere un suo diritto in via ordinaria, questo sia minacciato da pregiudizio imminente ed irreparabile. L’introduzione sistematica o in via generale di tecniche di controllo sociale o la comminatoria di pene pecuniarie progressive in ragione del ritardo nella rimozione delle cause del danno, in via preventiva; il rafforzamento del sistema di sicurezza sociale, magari mediante la costituzione di un fondo di solidarietà con le pene private inflitte ai danneggianti, in via successiva, rappresentano le proposte de iute condendo della più moderna dottrina»; Cfr. G. Alpa, M. J. Bonell, D. COrapi, L. Moccia, V. Zeno-Zencovich, A. Zoppini, Diritto privato comparato: istituti e problemi, Bari, 2013, ISBN: 9788858104682, pp. 246- 247: «L’evoluzione dei sistemi di responsabilità civile è poi influenzata, quantomeno nell’ultimo secolo, da tre ulteriori fattori: a) la crescente complessità, per numero e intensità, dei rapporti fra i soggetti appartenenti ad una comunità, che non può essere più considerata localistica, ma che ha una estensione planetaria: una fuga radioattiva da una centrale nucleare può arrecare danni a migliaia di chilometri, un prodotto difettoso fabbricato in una parte del globo e distribuito nell’altra parte può provocare lesioni a chi lo usa, una trasmissione via satellite può essere captata da centinaia di milioni di persone sparse su tutta la terra. Con l’intensificazione dei rapporti, crescono proporzionalmente le possibilità che qualcuno lamenti un danno e che dunque si rivolga (anche) agli istituti della responsabilità civile per tentare di addossarlo a qualcun altro; b) lo sviluppo economico-sociale il quale tende nei paesi c.d. occidentali a ridurre i divari fra i cittadini e a raggiungere una uguaglianza sostanziale, rende sempre più consapevoli i soggetti danneggiati della possibilità di ricorrere a procedure legali ripristinatorie o risarcitorie e sempre meno disposti a sopportare il danno senza reagire giuridicamente. Il che ovviamente moltiplica il numero di azioni giudiziarie rafforzando quel motore di cui si è appena parlato; c) il ricorso a strumenti non privatistici per la riparazione del danno, laddove questo presenti talune caratteristiche che potremmo definire di inaccettabilità sociale». Cfr. S. Thobani, Il danno non patrimoniale da trattamento illecito dei dati personali, in Il diritto dell’informazione e dell’informatica, anno XXXII, Fasc. 2- 2017, ISSN: 2499-2437, pp. 428- 430

Laureato cum laude in giurisprudenza presso l’Università della Calabria con soggiorno di studio/ricerca presso la Delaware Law School (Delaware, USA) e tesi finale sul Privacy Shield; è Assistant Professor alle cattedre di diritto civile e diritto di famiglia presso il Dipartimento di Scienze Aziendali e Giuridiche dell’Università della Calabria, ha conseguito un master di II° livello in “Insegnamento del diritto e dell’economia” con una tesi sui sistemi di raccolta invisibile dei dati particolari; già tutor contrattualizzato presso la Scuola di Specializzazione per le Professioni Legali “Fausto Gullo” di Cosenza; già Auditor UNI EN ISO 19011:2018.

SCRIVI IL TUO COMMENTO

Scrivi il tuo commento!
Per favore, inserisci qui il tuo nome

tre × quattro =

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.