(ASI) Il 25 maggio 2018 è entrato in vigore il nuovo Regolamento della Privacy. Tante le novità rispetto al Codice Privacy del 2003 e, tra queste la disciplina del risarcimento del danno. In primis, la nuova legge, questa volta di origine Europea e non nazionale, come il precedente Codice, restringe la platea dei soggetti tenuti a risarcire.

Non più chiunque, ma soltanto il Titolare ed il Responsabile. Il centro della normativa diventa il soggetto danneggiato, il cosiddetto Interessato. La fonte del danno non è più il semplice trattamento ma la violazione al Regolamento. Per ottenere il ristoro del pregiudizio sarà indispensabile dimostrare che la legge sul trattamento dei dati è stata violata.  Chi lamenta un danno dovrà provare che non sia bagatellare, in ossequio ai dettami della Corte di Cassazione sanciti con le famose sentenze del 2008 e che il Titolare o il Responsabile non hanno rispettato le indicazioni del Nuovo GDPR, l’acronimo inglese del regolamento.

Per quanto riguarda la prova liberatoria dei danneggianti, il panorama risulta alquanto mutato, rispetto la vecchio Codice Privacy del 2003. In realtà gli interpreti e i commentatori della prima ora non sembra abbiano sottolineato adeguatamente l’intervenuta modifica legislativa. L’unanimità dei pareri sembra convergere sull’applicazione dell’art. 2050 del codice civile, che disciplina il risarcimento del danno da attività pericolosa. Siamo in presenza, probabilmente, di un’interpretazione inquinata dal riferimento esplicito che la vecchia norma operava al suddetto articolo, dato che l’art. 15 Codice Privacy, dichiarava, apertis verbis, che la responsabilità da trattamento dati, andava risolta in base all’art. 2050. In parole povere il danneggiato doveva dimostrare che il danno era avvenuto in seguito a trattamento ed il danneggiante si liberava dimostrando che aveva messo in atto tutte le cautele necessarie per evitarlo. La dottrina vorrebbe applicare lo stesso modus operandi anche alla nuova normativa privacy senza, però, tener conto dell’intervenuta modifica legislativa.

Il nuovo Regolamento, infatti, in aperto contrasto con quello precedente, prevede che il Titolare ed il Responsabile si liberano dalla responsabilità solo se dimostrano che l’evento dannoso non è a loro imputabile. Ecco che, a ben vedere, i criteri son radicalmente cambiati.

Facciamo un passo indietro. L’art. 2050 fa parte del codice civile. Per il legislatore dell’epoca, l’impianto assiologico ruotava intorno al patrimonio. Anche la parte del codice relativo alla famiglia aveva al centro il patrimonio, la sua origine, la sua conservazione, il suo accrescimento e la sua trasmissione. In questo clima patrimonialista, nella stesura dell’articolo in questione, il codificatore si trovò a dover bilanciare due opposti interessi: da una parte quello dell’imprenditore che svolgeva attività pericolosa, importante per la crescita economica della nazione e, dall’altra, i legittimi interessi del danneggiato che si vedeva diminuito il suo patrimonio dal danno prodotto nell’esercizio dell’attività d’impresa pericolosa. Prevedere la risarcibilità piena del danno per qualunque motivo voleva dire rendere impossibile la previsione dei costi all’imprenditore, mentre limitare il danno a chi lo avesse subito, significava sacrificare un patrimonio rispetto ad un altro. Il frutto di questo contemperamento fu, appunto l’art. 2050, che consentiva all’esercente attività pericolosa di prevedere il costo di tutte le misure idonee ad evitare il danno, vedendosi liberato dal risarcimento delle ingiurie prodotte e garantendo un regime probatorio alleggerito alla persona che risultava danneggiata dall’attività.

Il vecchio Codice della Privacy, senza dichiarare che il trattamento dati sia attività pericolosa, obbligava gli interpreti a risolvere le controversie relative ai danni applicando l’art. 2050.

Il nuovo Regolamento, invece, afferma esplicitamente che il Titolare ed il Responsabile si liberano se dimostrano che l’evento dannoso non è loro imputabile. Cosa ben diversa dalla prima. Nella nuova disciplina il discrimen è l’imputabilità, la qual cosa rende inapplicabile l’art. 2050, in quanto nel suddetto articolo l’imputabilità è pacifica, l’esercente l’attività pericolosa è responsabile dell’evento dannoso e la legge gli consente semplicemente di non pagarlo se ha apprestato tutte le misure idonee ad evitarlo.

La nuova normativa europea impone all’interprete di cercare, nell’ordinamento nazionale, lo strumento adeguato per applicare i nuovi criteri di collegamento tra danno e risarcimento, verificando, innanzitutto, se siano già presenti nel corpus normativo. Ad una prima e veloce analisi è dato osservare che gli artt. 1218 e 2051 offrono già una possibile ipotesi risolutiva.

Nel primo, infatti, troviamo la liberazione del debitore dall’inadempimento e dal ritardo per cause a lui non imputabili mentre, nel secondo, particolarmente adatto all’argomento che trattiamo anche per il riferimento alle cose in custodia, troviamo la possibilità per il debitore i liberarsi dimostrando il caso fortuito. Per antica tradizione giurisprudenziale e dottrinale, risalente ininterrottamente al diritto romano, il caso fortuito consiste in tre elementi che consentono di spezzare il nesso causale che lega il danno con il comportamento del presunto responsabile: l’evento imprevedibile ed ingovernabile, il fatto doloso o colposo del terzo ed il fatto doloso o colposo dello stesso danneggiato.

Concludendo, potremmo affermare che, in base al nuovo GDPR, non sarà possibile applicare l’art. 2050 c.c. per risolvere questioni attinenti alla responsabilità civile da violazione della normativa Privacy, perché i responsabili si potranno liberare solo dimostrando che l’evento dannoso non dipende da loro e dovranno fornire prova positiva di quell’elemento che l’ha causato, non bastando la dimostrazione di aver approntato tutte le misure idonee ad evitarlo.

Francesco Maiorca – Agenzia Stampa Italia