Risarcimento danni secondo il GDPR: Tribunale austriaco liquida il danno immateriale

Il regime di responsabilità civile per danni materiali e immateriali subiti dall’interessato, conseguenti a trattamento illecito dei dati personali effettuato dal Titolare e/o dal Responsabile, è disciplinato dall’art. 82 del GDPR. Ad oggi questa è l’unica norma di diritto sostanziale che, senza soluzione di continuità, parrebbe aderire al sistema di imputabilità dell’illecito previsto dall’art. 15 del previgente testo del D.lgs. 196/2003 – oggi abrogato dall’entrata in vigore del D.lgs. 101/2018 – e caratterizzato dall’inversione dell’onere della prova a carico del soggetto convenuto, stante il richiamo espresso all’art. 2050 c.c.

Nell’attuale formulazione normativa, a fronte della domanda risarcitoria dell’interessato fondata sulla prova dell’entità del pregiudizio subito – sia materiale (patrimoniale) che immateriale (non patrimoniale), ovvero “perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata” (cfr. Considerando 85 GDPR) – sarà, pertanto, il Titolare e/o il Responsabile del trattamento a dover dimostrare che l’evento generativo del danno non è riconducibile alla propria condotta attiva od omissiva, ancorché indiretta, provando la sussistenza di un fatto interruttivo della catena causale – fatto del terzo (che non costituisce esenzione da responsabilità in caso di violazione dell’art. 32 del Regolamento), caso fortuito – ovvero di aver adottato tutte le misure idonee a evitare il danno.

Doveroso sottolineare, inoltre, che le disposizioni che garantiscono la tutela risarcitoria prevista dal Regolamento non limitano il proprio spettro d’azione esclusivamente alle ipotesi di violazione del GDPR ma, per espressa previsione dello stesso (cfr. Considerando 80 e 146 GDPR), coinvolgono anche la violazione di atti di c.d. “soft law”, ovvero tutte quelle disposizioni nazionali “secondarie” nell’ordine gerarchico delle fonti di diritto – come i provvedimenti e le Autorizzazioni Generali dell’Autorità Garante – consistenti negli atti delegati e di esecuzione dei principi fissati dal Regolamento.

Fatte queste brevi premesse, di seguito si espone un caso concreto di violazione dell’art. 82 del GDPR che ha recentemente portato alla liquidazione del danno immateriale, quantificato in via equitativa da parte dell’Autorità Giudiziaria austriaca, a favore di un interessato leso nel diritto al controllo dei propri dati personali.

Il caso

Il Tribunale regionale austriaco (Landesgericht) di Feldkirch (cfr. LG Feldkirch, Beschl. V. 07.08.2019 – Az.: 57 Cg 30 / 19b – 15) ha riconosciuto e assegnato a un interessato, i cui dati personali erano stati illecitamente elaborati dalla Österreichische Post (ÖPAG), l’importo di € 800,00, a titolo di risarcimento del danno immateriale, ai sensi dell’articolo 82 GDPR.

La citata sentenza è una delle prime in Europa in cui un Tribunale civile ha riconosciuto un risarcimento all’interessato sulla base di una violazione del Regolamento Europeo n. 679/2016. Peraltro, parallelamente, a ÖPAG è stata, altresì, inflitta, per i medesimi fatti, una multa da 18 milioni di Euro da parte dell’autorità austriaca per la protezione dei dati.

Nello specifico, l’attore ha contestato che i suoi dati personali – e, in particolare, la sua preferenza per un determinato partito politico – fossero stati elaborati dalla ÖPAG senza alcuna base legale legittima; il ricorrente ha sostenuto, infatti, che il trattamento dei dati personali relativi alle sue preferenze politiche corrispondesse, in particolare, al trattamento di categorie particolari di dati ai sensi dell’art. 9 GDPR, e che il trattamento fosse avvenuto senza il suo consenso o in assenza di qualsiasi altra base giuridica.

Il ricorrente – formulata ai sensi dell’articolo 82 GDPR una richiesta di risarcimento del danno pari a Euro 2.500 – ha addotto, tra le altre contestazioni, di essere stato irrimediabilmente privato del controllo sui suoi dati personali, non avendo ÖPAG chiesto alcun consenso al trattamento degli stessi né utilizzato, in alternativa, alcun’altra base legittima di trattamento.

ÖPAG, dal proprio canto, contestando la fondatezza del reclamo in quanto l’interessato, pur rivendicando la perdita del controllo dei propri dati, non aveva previamente fatto ricorso ad altri diritti (opposizione, limitazione del trattamento, cancellazione dei dati), ha fermamente negato la sussistenza di alcun danno risarcibile, deducendo come la violazione delle norme sulla protezione dei dati di per sé non generi un danno risarcibile.

Al termine dell’istruttoria, il Tribunale ha accertato che ÖPAG aveva elaborato dati relativi alle preferenze politiche dell’interessato, quindi dati appartenenti alla categoria particolare ex art. 9 GDPR, senza consenso o altra base giuridica legittima: in forza di dichiarazioni rese dalle persone in precedenti sondaggi anonimizzati, ÖPAG aveva, infatti, creato dei veri e propri gruppi di marketing, utilizzando algoritmi per calcolare la probabilità delle affinità politiche delle persone sottoposte a sondaggio con determinati background socioeconomici e regionali (criteri demografici, sociali, luogo di residenza, età, tipo di abitazione, istruzione, numero e tipo di spedizioni ricevute ecc.), e formare così delle anagrafiche specifiche.

Il Tribunale ha ritenuto che l’interessato non avesse mai dato il consenso per il trattamento dei suoi dati personali, in particolare per quanto riguarda le categorie particolari di dati di cui all’art. 9 GDPR, né, tantomeno, all’archiviazione dei predetti dati aventi ad oggetto le sue preferenze politiche.
Il Tribunale ha stabilito che: “Il concetto di danno deve essere interpretato in modo ampio e autonomo secondo il GDPR. Include danni fisici, materiali e immateriali – ai sensi del Considerando 75, discriminazione, furto o frode di identità, perdita finanziaria, danno alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione o qualsiasi altro danno economico o sociale significativo. Secondo il Considerando 75, il danno può anche essere causato laddove gli interessati possano essere privati ​​dei loro diritti e delle loro libertà o impediti dall’esercizio dei loro dati personali (…)”; “Il GDPR non standardizza alcuna soglia per il risarcimento di danni non materiali. Tuttavia, non tutti i sentimenti di disagio, che sono collegati a una violazione, sono indennizzabili, ma la perdita di interessi deve avere un certo peso (…). Il metodo di valutazione dei danni non pecuniari non è stabilito dal DSGVO (GDPR, ndr) nè dalla legge sulla protezione dei dati. Poiché la determinazione dell’entità del danno immateriale causa notevoli difficoltà, si procederà all’indagine del danno secondo la determinazione giudiziaria gratuita ai sensi del § 273 della legge sulla procedura civile austriaca e vi sarà una valutazione globale basata sulle circostanze del caso individuale. I criteri di valutazione pertinenti sono, in particolare, l’impatto sulla persona lesa, le categorie di dati interessate, la gravità e la durata dell’infrazione e se i dati sono stati trasmessi a terzi (Schweiger in Knyrim, DatKomm Art 82 GDPR Recitals 30 et seq.) (…);”“I fatti che giustificano la responsabilità devono essere fatti valere e provati dalla parte lesa, quindi il verificarsi di un danno (materiale o immateriale), la violazione delle norme legali, ovvero l’illegittimità (obiettiva), nonché la natura co-causale del comportamento del danneggiante nel danno occorso. Il danneggiante ha la possibilità di dimostrare di non essere in alcun modo responsabile per il danno subito, ovvero che la causa del danno si trova al di fuori dell’area di responsabilità del danneggiante o che non ha avuto l’opportunità di prevenire il verificarsi del danno (Schweiger in Knyrim, DatKomm Art 82 GDPR Recitals 92 et seq.) (…)”.

Il Tribunale ha rilevato che i dati trattati (“preferenze di partito“) sono dati conformi all’Articolo 9, par. 1, GDPR (“opinione politica”) e che nessuna delle esenzioni dell’articolo 9, par. 2 GDPR, può essere invocata da ÖPAG per l’elaborazione della preferenza politica di parte dell’interessato: “In considerazione del fatto che il convenuto (ÖPAG, ndr) abbia raccolto e archiviato le preferenze di partito dell’attore senza il suo consenso e le dovute informazioni, giustifica danni immateriali; in considerazione del fatto che, da un lato, l’opinione politica di una persona merita particolare protezione ed è un dato “sensibile” e, dall’altro, il fatto che le preferenze politiche dell’attore non sono state comunicate a terzi, un importo di Euro 800,00 è ritenuto appropriato per porre rimedio ai danni immateriali subiti dal richiedente”.

La sentenza – che è stata, comunque, impugnata in appello avanti al Tribunale regionale superiore di Innsbruck – è una delle primissime pronunce in tal senso, ed è quindi certamente meritevole di attenzione e analisi, posto che potrebbe concretamente costituire un valido precedente giurisprudenziale anche nel panorama italiano.

 

Articolo a cura di Jacopo Giunta e Matteo Chiavassa

Profilo Autore

Avvocato presso Ambrosio e Commodo Studio Legale Associato, presta attività di consulenza legale e tecnica per la predisposizione di sistemi di gestione della Privacy alla luce del Regolamento UE 2016/679 e della normativa nazionale di riferimento, svolge la funzione di DPO per aziende operanti nel settore medico e IT. Accreditato per il corso di formazione manageriale come DPO presso il CNR di Pisa, docente a contratto presso il MADAB "Master in Data Science for Business Intelligence" organizzato dall'Università di Torino e relatore presso il "Corso teorico pratico per la formazione del Data Protection Officer" organizzato dall'Ordine degli Avvocati di Torino, socio IISFA, DFA e Tech & Law Center, certificato CIFI, socio fondatore e vicepresidente dell'associazione "Persone & Privacy".

Profilo Autore

Avvocato del Foro di Asti, Certificato TUV Italia “Privacy Officer e Consulente della Privacy” - Schema CDP n. 344, socio Federprivacy, titolare dell’Attestato di Competenza Federprivacy - “Master Privacy Officer e Consulente della Privacy”, accreditato per il corso di formazione manageriale come DPO presso il CNR di Pisa, Tutor presso il "Master in Data Science for Business Intelligence" organizzato dall'Università di Torino, svolge la funzione di DPO per aziende operanti nel settore medico e IT e si occupa di assistenza legale in materia di protezione dei dati personali e degli aspetti giuridici connessi alla data governance e al trattamento dei dati personali, socio fondatore e segretario generale dell'associazione "Persone & Privacy".

Condividi sui Social Network:

Articoli simili