BREACH OF PRIVACY AND RIGHT TO REPUTATION: DAMAGE CAN BE COMPENSATED

  • Posted By Pierangela Rodilosso
  • |
  • 29 January 2021
  • |
  • 0 comments
BREACH OF PRIVACY AND RIGHT TO REPUTATION: DAMAGE CAN BE COMPENSATED

Sharing is caring!

Article 82 of Regulation (EU) 2016/679 (hereinafter only the “Regulation” or the “GDPR”), in deference to the cardinal principle of the “protection of individuals”, provides that material or immaterial damage caused by a breach of the legislation on the protection of personal data must be compensated by the data controller or processor.

In particular, while the owner of the data processing is obliged to compensate the damage deriving from the processing activities carried out, the person in charge of the processing has this obligation only when he has violated the provisions of the Regulation addressed to the persons in charge, or in the case of non-compliance with the instructions given to him by the owner. Well, if, on the one hand, the provision in question would seem to limit the obligations of compensation incumbent on the data controllers, on the other hand, it is also true that the latter, by virtue of their general duty to notify the controller in the event of instructions not complying with the GDPR, may find themselves constantly exposed to joint and several liabilities (for failure to notify) with the person on whose behalf they process the data.

Article 82 of the Regulation would seem, therefore, to be based on a criterion of the imputation of responsibility of an objective nature or, according to part of the doctrine, semi-objective, “inherited” first from Article 18 of Law no. 675/1996 and, subsequently, from Article 15 (now repealed) of Legislative Decree no. 196 of 30 June 2003 (hereinafter only the “Privacy Code”). This is because – as specified in recital 146 of the GDPR – the person against whom the data subject brings an action to obtain compensation will be exempt from liability only if he can prove that the damaging event is in no way attributable to him. In essence, the data controller or data processor will only be exempt from liability if the damage is not their fault.

The inversion of the burden of proof is based on the fact that data processing is regarded as an activity characterised by socially accepted risk: on the one hand, it is inevitable that the processing of the personal data of others exposes the persons concerned to a risk; on the other hand, such activity is nevertheless regarded as practicable, by virtue of the general usefulness derived from it. Of course, the data controller, in order to guarantee the rights of the data subjects, will have to prove that he has put in place adequate technical and organisational security measures, in compliance with the provisions of the Regulation.

As for the damage that can be compensated, it can be both material (financial) and immaterial (non-financial). The latter must be interpreted in a broad sense, including any injury to a value inherent to the person, including damage to reputation, and not only subjective moral damage understood as physical or psychological suffering caused to the person concerned as a result of the unlawful processing of his data.

In any event, the unlawful processing of personal data does not give rise ex se to a right to compensation for the damage (Court of Cassation no. 22100/2013), “since the moral and/or pecuniary damage must be proved in accordance with ordinary rules, whatever its extent and whatever the difficulty in discharging the burden of proof, since it is a damage-consequence and not a damage-event” (Court of Cassation no. 15240/2014). Therefore, the mere violation of the rules of the Regulation will be suitable, in the absence of proof of a concrete injury, to establish an administrative sanction, where the conditions are met, but no compensation for damage. In essence, the damage cannot be considered in re ipsa, i.e. existing merely because the (dangerous) processing activity was carried out.

The causal link and the damage suffered can be proved by ordinary means of proof and, in particular, also by simple presumptions. The Court of Cassation, with reference to the compensability of non-asset damage, has held that evidence by witnesses is also admissible, considering that the damage “cannot be considered in re ipsa, but must be attached and proved, even if through recourse to simple presumptions, and, therefore, a fortiori, through witnesses attesting to a state of physical and psychic suffering” (Court of Cassation, no. 17974/2014; Court of Cassation, no. 22100/2013).

From what has been stated above, therefore, derives the need to prove the injury actually suffered: in particular, as stated by the Supreme Court with the recent order no. 17383/2020, the assessment of non-asset damage, determined by the violation of the right to protection of personal data protected also by Articles 2 and 21 of the Constitution and by art. 8 of the ECHR, cannot disregard the “verification of the injury” and “the seriousness of the damage”. Such verification, which is left to the judge of merit, must be based on the concrete nature of the event and on the temporal and social context in which the damage occurred.

****

VIOLAZIONE DELLA PRIVACY E DIRITTO ALLA REPUTAZIONE: IL DANNO PUO’ ESSERE RISARCITO

 

L’art. 82 del Regolamento (UE) 2016/679 (di seguito solo il “Regolamento” o il “GDPR”), in ossequio al principio cardine della “protezione delle persone”, stabilisce che il danno materiale o immateriale cagionato dalla violazione della normativa sulla protezione dei dati personali debba essere risarcito dal titolare o dal responsabile del trattamento.

In particolare, mentre il titolare del trattamento è obbligato a risarcire il danno derivante dalle attività di trattamento svolte, sul responsabile del trattamento incombe tale obbligo solo laddove abbia violato le previsioni del Regolamento rivolte ai responsabili, o in caso di mancato rispetto delle istruzioni impartitegli dal titolare. Ebbene, se da una parte la disposizione in commento parrebbe limitare gli obblighi risarcitori gravanti sui responsabili del trattamento, dall’altra è pur vero che questi ultimi, in virtù del loro generale dovere di avvisare il titolare in caso di istruzioni non conformi al GDPR, possono trovarsi costantemente esposti a responsabilità in solido (per omesso avviso) con il soggetto per conto del quale trattano i dati.

L’art. 82 del Regolamento parrebbe, quindi, impostato su un criterio di imputazione della responsabilità di carattere oggettivo o, secondo parte della dottrina, semi-oggettivo, “ereditato” prima dall’art. 18 della L. n. 675/1996 e, successivamente, dall’art. 15 (oggi abrogato) del D.Lgs. 30 giugno 2003, n. 196 (di seguito solo il “Codice Privacy”). Ciò in quanto – come precisato dal considerando 146 del GDPR – il soggetto nei cui confronti l’interessato agisce per ottenere il risarcimento andrà esente da responsabilità solo laddove dimostri che l’evento dannoso non sia in alcun modo a lui imputabile. In buona sostanza, il titolare o il responsabile saranno esonerati dalla responsabilità solo se il danno risulterà di fonte estranea ad essi.

L’inversione dell’onere probatorio trova fondamento nella circostanza per cui il trattamento dei dati è ritenuto un’attività caratterizzata da rischio socialmente accettato: da un lato, infatti, è inevitabile che il trattamento di dati personali altrui esponga gli interessati ad un rischio; dall’altro, tale attività è ritenuta comunque praticabile, in virtù dell’utilità generale che ne deriva. Naturalmente, il titolare del trattamento, a garanzia dei diritti degli interessati, dovrà dimostrare di aver posto in essere adeguate misure di sicurezza tecniche ed organizzative, in ottemperanza alle previsioni del Regolamento.

Quanto al danno risarcibile, può essere tanto materiale (di natura patrimoniale), quanto immateriale (di natura non patrimoniale). Quest’ultimo deve essere interpretato in un’accezione ampia, comprendente ogni ipotesi di lesione di un valore inerente alla persona, ivi incluso il pregiudizio alla reputazione, e non unicamente il danno morale soggettivo, inteso come sofferenza fisica o psichica cagionata all’interessato in conseguenza dell’illecito trattamento dei propri dati.

In ogni caso, l’illegittimo trattamento dei dati personali non determina ex se un diritto al risarcimento del danno (Cass. n. 22100/2013), “dovendo il pregiudizio morale e/o patrimoniale essere provato secondo le regole ordinarie, quale ne sia l’entità e quale che sia la difficoltà di assolvere l’onere probatorio, trattandosi di un danno-conseguenza e non di un danno-evento” (Cass. n. 15240/2014). Quindi, la mera violazione delle norme del Regolamento sarà idonea, in assenza di dimostrazione di una lesione concreta, a fondare una sanzione amministrativa, laddove ne ricorrano presupposti, ma non un risarcimento del danno. In buona sostanza, il danno non può ritenersi in re ipsa, ossia sussistente per il solo fatto dello svolgimento dell’attività (pericolosa) di trattamento.

Il nesso di causalità e il danno subito possono essere provati con i mezzi ordinari di prova e, in particolare, anche per mezzo di presunzioni semplici. La Corte di Cassazione, con riferimento alla risarcibilità del danno non patrimoniale, ha ritenuto ammissibile anche la prova per testimoni, considerato che il danno “non può ritenersi in re ipsa, ma va allegato e provato, sia pure attraverso il ricorso a presunzioni semplici, e, quindi, a maggior ragione, tramite testimonianze, che attestino uno stato di sofferenza fisica e psichica” (Cass. n. 17974/2014; Cass. n. 22100/2013).

Da quanto sopra esposto deriva, dunque, la necessità di provare la lesione concretamente subita: in particolare, come statuito dalla Suprema Corte con la recente ordinanza n. 17383/2020, l’accertamento del danno non patrimoniale risarcibile, determinato dalla lesione del diritto alla protezione dei dati personali tutelato anche dagli artt. 2 e 21 Cost. e dall’art.8 della CEDU, non  può prescindere dalla “verifica della lesione” e “della serietà del danno”. Tale verifica, rimessa al giudice di merito, dovrà fondarsi sulla concretezza della vicenda e sul contesto temporale e sociale in cui il danno si è verificato.

 

 

Leave a Comment

shares