La Corte di Cassazione ha emesso una pronuncia in merito alla responsabilità di un Comune per il trattamento illecito dei dati personali di un dipendente, che ha condotto al risarcimento dei danni. Il Comune ha proposto ricorso per Cassazione, affermando la violazione del GDPR e la erronea valutazione del danno da parte del tribunale.
La vicenda riguardava la pubblicazione, sull’albo pretorio del Comune, di dati personali della dipendente relativi a un pignoramento dello stipendio. Il Comune ha sostenuto che tale pubblicazione era dovuta a un incidente, un errore umano non prevedibile né evitabile, da parte dell’operatore autorizzato al trattamento dei dati. L’incidente era stato prontamente corretto in poco più di 24 ore, e il Comune sosteneva che non si sarebbe verificato alcun danno a causa della pubblicazione accidentale.
Tuttavia, la Corte di Cassazione ha respinto il ricorso del Comune. La pronuncia sottolinea che il titolare del trattamento dei dati è responsabile anche per il comportamento colposo dei propri dipendenti, come stabilito dall’art. 2049 del codice civile. Inoltre, viene ribadito che il danno non patrimoniale risarcibile è determinato dalla lesione del diritto fondamentale alla protezione dei dati personali, tutelato costituzionalmente.
Il GDPR conferma l’importanza del risarcimento per chi subisce un danno a causa di una violazione del regolamento. Pertanto, il soggetto danneggiato può richiedere il risarcimento per qualsiasi tipo di danno subito, anche se la lesione è marginale, e il titolare del trattamento è responsabile del danno causato dalla violazione del regolamento, indipendentemente dal concorso di un responsabile specifico.
Riguardo alla questione della sussistenza del danno, la pronuncia sottolinea che il diritto al risarcimento deve essere bilanciato con il principio di solidarietà e richiede una valutazione della gravità della lesione e della serietà del danno. Non è sufficiente la mera violazione delle norme sul trattamento dei dati, ma è necessaria una violazione concreta che offenda effettivamente il diritto alla riservatezza del dato. Questa valutazione è rimessa al giudice di merito, che nel caso in esame è stato correttamente condotto.
In conclusione, le giustificazioni addotte dal Comune sono state ritenute irrilevanti e prive di decisività. Il ricorso è stato respinto poiché mirava a sovvertire il giudizio di fatto.
Per approfondimenti:
Cass. civ., sez. I^, ord., 12 maggio 2023, n. 13073
Daniele Giordano
Ultimi post di Daniele Giordano (vedi tutti)
- Intelligenza artificiale e protezione dei dati personali: valutazione dei bias e attuazione dei diritti degli interessati - 24 Gennaio 2025
- Pseudonimizzazione dei dati personali: nuove linee guida dell’ EDPB - 17 Gennaio 2025
- Sinergie tra protezione dei dati e diritto della concorrenza: la nuova direzione dell’EDPB - 17 Gennaio 2025
- Pubblicato in Gazzetta Ufficiale Il Regolamento sulla cibersolidarietà - 16 Gennaio 2025
- Sulla tempestività della richiesta di rimessione in termini in caso di mancato perfezionamento del deposito telematico - 7 Gennaio 2025
