TUTELA DEI DATI PERSONALI
Corte Suprema di Cassazione: non basta attivarsi per rimuovere il dato illecitamente esposto per essere esonerati da responsabilità.
Il titolare del trattamento dei dati personali, che è sempre tenuto a risarcire il danno derivate da un trattamento non conforme al GDPR, può essere esonerato dalla responsabilità solo se dimostra che l'evento dannoso non gli è in alcun modo imputabile.
Il fatto.
Un Comune presenta ricorso in Cassazione contro la sentenza del Tribunale che lo ha condannato a risarcire i danni cagionati ad una propria dipendente per trattamento illecito di dati personali. In particolare, all'Ente locale è stato contestato di aver pubblicato sul proprio sito istituzionale una determina relativa pignoramento per un certo importo dello stipendio della lavoratrice, omettendo, tuttavia, di oscurare i suoi dati nella nota contabile allegata, poi finiti nell'albo pretorio.
Con più motivi di ricorso, il Comune evidenzia che si sarebbe trattato di un incidente, distrazione o errore umano, imprevedibile e inevitabile, riconducibile all'operatore incaricato; errore a cui, tra l'altro, è stato posto rimedio nel giro di 24 ore. Inoltre, lamenta il ricorrente che il danno non può essere considerato in re ipsa per il solo fatto di esser stati divulgati dati personali in violazione dei principi per il trattamento, bensì spetta all'interessato fornire la relativa prova.
Con ordinanza n. 13073 del 12 maggio, la Corte Suprema respinge il ricorso enunciando due nuovi principi di diritto:
Venendo poi al caso di specie, gli Ermellini osservano che il Tribunale ha correttamente accertato la presenza di un danno conseguente al trattamento illecito contestato al Comune, integrato dall'ostensione del dato per tipologia e contesto, sebbene solo per un tempo ridotto.
(Fonte: SEAC All-In Giuridica - Titolarità dei contenuti: Gruppo SEAC).
Il fatto.
Un Comune presenta ricorso in Cassazione contro la sentenza del Tribunale che lo ha condannato a risarcire i danni cagionati ad una propria dipendente per trattamento illecito di dati personali. In particolare, all'Ente locale è stato contestato di aver pubblicato sul proprio sito istituzionale una determina relativa pignoramento per un certo importo dello stipendio della lavoratrice, omettendo, tuttavia, di oscurare i suoi dati nella nota contabile allegata, poi finiti nell'albo pretorio.
Con più motivi di ricorso, il Comune evidenzia che si sarebbe trattato di un incidente, distrazione o errore umano, imprevedibile e inevitabile, riconducibile all'operatore incaricato; errore a cui, tra l'altro, è stato posto rimedio nel giro di 24 ore. Inoltre, lamenta il ricorrente che il danno non può essere considerato in re ipsa per il solo fatto di esser stati divulgati dati personali in violazione dei principi per il trattamento, bensì spetta all'interessato fornire la relativa prova.
Con ordinanza n. 13073 del 12 maggio, la Corte Suprema respinge il ricorso enunciando due nuovi principi di diritto:
- «in base alla disciplina generale del Regolamento (UE) 2016/679, cd. GDPR, il titolare del trattamento dei dati personali è sempre tenuto a risarcire il danno cagionato a una persona da un trattamento non conforme al regolamento stesso, e può essere esonerato dalla responsabilità non semplicemente se si è attivato (come suo dovere) per rimuovere il dato illecitamente esposto, ma solo “se dimostra che l'evento dannoso non gli è in alcun modo imputabile”»;
- «l'esclusione del principio del danno in re ipsa presuppone, in questi casi, la prova della serietà della lesione conseguente al trattamento; ciò vuol dire che può non determinare il danno la mera violazione delle prescrizioni formali in tema di trattamento del dato, mentre induce sempre al risarcimento quella violazione che concretamente offenda la portata effettiva del diritto alla riservatezza».
Venendo poi al caso di specie, gli Ermellini osservano che il Tribunale ha correttamente accertato la presenza di un danno conseguente al trattamento illecito contestato al Comune, integrato dall'ostensione del dato per tipologia e contesto, sebbene solo per un tempo ridotto.
(Fonte: SEAC All-In Giuridica - Titolarità dei contenuti: Gruppo SEAC).
