Finanziamenti – AgevolazioniServizi e consulenze

Esegui una nuova ricerca

More results...

Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
Filter by Categories
#adessonews
#Finsubito
News_1
News_2
News_3
News_4
News_5
Video News


Con pronunce assai recenti, la Corte di Giustizia dell’Unione Europea (EU:C:2023/370, C-300/21 del 4 maggio 2023) e la Corte di Cassazione (Sez. I civ., ordinanza n. 13073 del 12.05.2023) sono intervenute in tema di risarcimento del danno non patrimoniale derivante dalla violazione della normativa dettata in materia di protezione dati personali, segnatamente Regolamento UE 2016/679 e codice privacy (aggiornato dal D.Lgs. n. 101/2018) delineando con maggiore precisione le caratteristiche del danno risarcibile e le sue condizioni. La giurisprudenza citata detta principi potenzialmente dirompenti destinati, con ogni probabilità, ad avere ricadute pratiche di particolare rilievo.

La vicenda della ASL1 Abruzzo

Si pensi, a titolo di esempio, a quanto avvenuto alla Azienda Sanitaria Locale n. 1 Avezzano, Sulmona, L’Aquila lo scorso mese di maggio. A far data dal 03.05.2023, gli organi di stampa rendevano noto che la detta A.S.L. subiva un c.d. attacco hacker con sottrazione anche di dati genetici, biometrici e sulla salute degli assistiti e minaccia di loro diffusione online in caso di omesso versamento di un riscatto. In data 09.05.2023 veniva divulgata dalla stampa la notizia dell’intervenuta diffusione in rete di 10 Gb di dati e poi di altri, fino alla dimensione di complessivi 500 Gb. In data 18.05.2023 sul sito istituzionale dell’Azienda veniva pubblicata una comunicazione ex art. 34 G.D.P.R. con la quale il Titolare del trattamento, rivolgendosi alla generalità degli Interessati, confermava la sottrazione e diffusione sul dark web dei detti dati.

Tralasciando l’analisi dei diritti degli interessati (soggetti a cui fanno capo i dati trattati) e delle modalità concrete di loro esercizio, ci si domanda se e a quali condizioni la vicenda della ASL 1 sommariamente descritta, possa dare vita ad un danno risarcibile. Occorre, quindi, al fine di rispondere al quesito, analizzare brevemente la sopra citata giurisprudenza.

GDPR e Normativa Privacy Commentario, A cura di: Belisario Ernesto, Riccio Giovanni M., Scorza Guido, Ed. IPSOA, 2022. Il volume offre il commento dei singoli articoli del Regolamento n. 2016/679/UE, integrato con le norme del decreto di adeguamento della normativa nazionale.
Scarica gratuitamente l’estratto

Corte UE sentenza 4 maggio 2023 (causa C-300/21)

La pronuncia in commento trae origine dalla vicenda di un cittadino austriaco i cui dati venivano raccolti e trattati dalla Osterreichische Post la quale, per estrapolazione statistica, deduceva un’elevata affinità politica del ricorrente con un determinato partito politico. I dati così raccolti, in assenza di consenso e non trasmessi a terzi, suscitavano nell’interessato “grave contrarietà”, “perdita di fiducia” e un “sentimento di umiliazione” che lo inducevano, tra l’altro, a domandare il ristoro del danno non patrimoniale lamentato quantificato in Euro 1.000,00.

La Corte, passata in rassegna la normativa privacy, il G.D.P.R. e i suoi considerando, enuncia tre fondamentali principi di diritto: l’articolo 82, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, deve essere interpretato nel senso che

1) la mera violazione delle disposizioni di tale regolamento non è sufficiente per conferire un diritto al risarcimento;

2) esso osta a una norma o una prassi nazionale che subordini il risarcimento di un danno immateriale, ai sensi di tale disposizione, alla condizione che il danno subito dall’interessato abbia raggiunto un certo grado di gravità;

3) ai fini della determinazione dell’importo del risarcimento dovuto, i giudici nazionali devono applicare le norme interne di ciascuno Stato membro relative all’entità del risarcimento pecuniario.

La Corte, quindi, ribadita la propria giurisprudenza secondo cui la mera violazione della normativa dettata in materia di protezione dei dati personali non potrebbe da sola integrare un danno immateriale risarcibile, evidenzia come il GDPR non operi alcun rinvio al diritto interno degli Stati membri per la determinazione del significato e della portata delle nozioni di “danno materiale o immateriale” e di “risarcimento del danno” rinvenibili nell’art. 82 GDPR stesso che devono essere considerate come “nozioni autonome del diritto dell’Unione, che devono essere interpretate in modo uniforme in tutti gli Stati membri”. Individua, quindi, le condizioni il cui cumulativo verificarsi determina la risarcibilità del danno: (i) la violazione del GDPR, (ii) il danno subito, (iii) il nesso causale tra dette violazione e danno.

Aggiunge, poi, la decisione in commento come l’art. 82 GDPR, anche alla luce del considerando 146, non subordini la risarcibilità del danno al superamento di una determinata soglia di gravità e che una tale subordinazione “…rischierebbe di nuocere alla coerenza del regime istituito dal RGPD, poiché la graduazione di una siffatta soglia, da cui dipenderebbe la possibilità o meno di ottenere detto risarcimento, potrebbe variare in funzione della valutazione dei giudici aditi…”. La Corte Europea, quindi, stigmatizza quegli orientamenti nazionali, in parte sino ad oggi seguiti anche dalla Giurisprudenza Italiana, secondo cui il risarcimento del danno in discorso dovrebbe essere bilanciato col principio di solidarietà che implica di verificare, ai fini della risarcibilità, il superamento di un non meglio identificato limite di tollerabilità della lesione.

Infine il Giudice Europeo, sul quantum risarcibile, vista l’assenza di norme Unionali sul punto, ne rimanda all’ordinamento giuridico di ciascuno Stato membro l’individuazione nel rispetto dei principi di equivalenza e di effettività del diritto dell’Unione. Dunque, in base all’art. 82 GDPR e al considerando 146, deve essere garantito un “…pieno ed effettivo risarcimento per il danno subito…” che “tenuto conto della funzione compensativa del diritto al risarcimento previsto dall’art. 82 del RGPD…” valga a “compensare integralmente il danno concretamente subito a causa della violazione di tale regolamento…”.

Cassazione civile, Ordinanza n. 13073 del 12.05.2023

La recentissima ordinanza n. 13073/2023 si pone in linea con la sopra richiamata decisione della Corte Europea, configurando il superamento dell’orientamento più restrittivo in punto di risarcimento del danno non patrimoniale da violazione della normativa privacy.

La vicenda vede coinvolto un dipendente comunale che lamenta l’illecito trattamento dei propri dati personali da parte del Comune che, per mero errore umano, pubblicava sul proprio albo pretorio, per circa 24 ore, una determina, debitamente anonimizzata, relativa al pignoramento di quota parte del suo stipendio, con conseguente impegno dell’Ente di versamento diretto in favore del creditore; assieme al detto atto, tuttavia, l’Ente pubblicava il visto di regolarità contabile con espressa indicazione dei dati del debitore.

Partendo da tale vicenda, la Cassazione puntualizza alcuni principi cardine della risarcibilità del danno non patrimoniale derivante dalla violazione della normativa privacy affermando, innanzitutto, che esso è “…determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato costituzionalmente (Cost., artt. 2 e 21 e art. 8 della CEDU)…”. Afferma, poi, che chi sia danneggiato dalla violazione delle norme del GDPR e di quelle nazionali di recepimento, può ottenere il risarcimento di qualunque danno occorsoglianche se la lesione sia marginale”.

Partendo da tali assunti, la Corte specifica il significato di proprie pregresse posizioni circa interpretazione e applicazione dell’art. 15 del codice privacy, segnatamente nella parte in cui affermava che, vigente il detto art. 15, il danno in commento non poteva dirsi in re ipsa. Secondo la Corte tale ultima asserzione deve essere intesa nel senso che il diritto al risarcimento “…non si sottrae alla verifica della gravità della lesione e della serietà del danno” operando, anche in subiecta materia “…il bilanciamento con il principio di solidarietà ex Cost., art. 2, di cui quello di tolleranza della lesione minima è un precipitato…”.

Sebbene tali asserzioni sembrino porsi in linea con l’orientamento giurisprudenziale restrittivo in materia di risarcimento del danno in commento, in realtà dall’ordinanza se ne coglie il superamento, in linea con la sopra richiamata decisione della Corte Europea. Difatti la Cassazione precisa che il richiamato bilanciamento e la tolleranza della lesione minima, devono essere intesi nel senso che “…non è tale da determinare una lesione effettiva del diritto la mera violazione delle prescrizioni poste in tema di trattamento…” (così adeguandosi pienamente alla Giurisprudenza unionale citata), “…ma lo è invece quella violazione che concretamente offenda la portata effettiva del diritto alla riservatezza del dato…”.

In sostanza, secondo la Corte, il semplice trattamento dei dati personali in violazione della normativa privacy in sé considerato, non determina un danno risarcibile a meno che tale trattamento illegittimo non sia accompagnato dalla lesione effettiva della riservatezza, che sembra verificarsi con l’ostensione dei dati dell’interessato.

Prestito senza busta pagaPrestito immediato

In ultimo giova evidenziare come l’ordinanza in commento sia particolarmente chiara nell’affermare che il titolare del trattamento potrebbe liberarsi dalla responsabilità risarcitoria solo “…se dimostra che l’evento dannoso non gli è in alcun modo imputabile…”.

Conclusioni

Tralasciando aspetti che non sono oggetto del presente contributo, come ad esempio la prova dell’ostensione effettiva dei dati degli interessati, dall’esame che precede, sembra potersi inferire che la ASL1 Abruzzo, quale titolare del trattamento nella vicenda in esame, potrebbe essere esonerata da responsabilità risarcitoria, a fronte di eventuali future richieste, solo fornendo la specifica prova della non imputabilità alla stessa della illegittima sottrazione e diffusione dei dati degli assistiti. Prova che dovrebbe essere necessariamente fornita dimostrando il rispetto pedissequo della normativa in materia di trattamento e adeguata protezione dei dati degli assistiti. In mancanza di detta prova, potrebbe configurarsi un danno risarcibile in favore di quanti lamentino la illegittima diffusione online dei propri dati personali (rientranti nella categoria dei dati c.d. “particolari” involgendo informazionigenetiche, biometriche e sulla salute degli interessati) giacché risulterebbe superata la “lesione minima” in conseguenza della “offesa concreta” del diritto alla riservatezza.

In ultimo si nota come la natura del dato eventualmente diffuso (idoneo, ad esempio, a rivelare semplicemente i “valori” di analisi ematiche, piuttosto che patologie di particolare gravità che potrebbero portare, in ipotesi, a emarginazione sociale) potrebbe influire sul quantum risarcibile da determinare, così come ribadito dalla Corte Europea, alla luce del diritto interno.

One LEGALE | Experta Privacy Tutta la normativa in tema di privacy, gli orientamenti di organi giudicanti e Autorità garante, tanti strumenti per garantire di essere in regola con tutti gli adempimenti: guide pratiche, commentari, riviste, action plan, check list, formule, news.



Source link

Finanziamenti – AgevolazioniServizi e consulenze

La rete #dessonews è un aggregatore di news e replica gli articoli senza fini di lucro ma con finalità di critica, discussione od insegnamento,
come previsto dall’art. 70 legge sul diritto d’autore e art. 41 della costituzione italiana. Al termine di ciascun articolo è indicata la provenienza dell’articolo.
Il presente sito contiene link ad altri siti Internet, che non sono sotto il controllo di #adessonews; la pubblicazione dei suddetti link sul presente sito non comporta l’approvazione o l’avallo da parte di #adessonews dei relativi siti e dei loro contenuti; né implica alcuna forma di garanzia da parte di quest’ultima.
L’utente, quindi, riconosce che #adessonews non è responsabile, a titolo meramente esemplificativo, della veridicità, correttezza, completezza, del rispetto dei diritti di proprietà intellettuale e/o industriale, della legalità e/o di alcun altro aspetto dei suddetti siti Internet, né risponde della loro eventuale contrarietà all’ordine pubblico, al buon costume e/o comunque alla morale. #adessonews, pertanto, non si assume alcuna responsabilità per i link ad altri siti Internet e/o per i contenuti presenti sul sito e/o nei suddetti siti.

Per richiedere la rimozione dell’articolo clicca qui

Come sostituire il mutuo

 

Verifica i vantaggi

La rete #dessonews è un aggregatore di news e replica gli articoli senza fini di lucro ma con finalità di critica, discussione od insegnamento,
come previsto dall’art. 70 legge sul diritto d’autore e art. 41 della costituzione italiana. Al termine di ciascun articolo è indicata la provenienza dell’articolo.
Il presente sito contiene link ad altri siti Internet, che non sono sotto il controllo di #adessonews; la pubblicazione dei suddetti link sul presente sito non comporta l’approvazione o l’avallo da parte di #adessonews dei relativi siti e dei loro contenuti; né implica alcuna forma di garanzia da parte di quest’ultima.
L’utente, quindi, riconosce che #adessonews non è responsabile, a titolo meramente esemplificativo, della veridicità, correttezza, completezza, del rispetto dei diritti di proprietà intellettuale e/o industriale, della legalità e/o di alcun altro aspetto dei suddetti siti Internet, né risponde della loro eventuale contrarietà all’ordine pubblico, al buon costume e/o comunque alla morale. #adessonews, pertanto, non si assume alcuna responsabilità per i link ad altri siti Internet e/o per i contenuti presenti sul sito e/o nei suddetti siti.

Per richiedere la rimozione dell’articolo clicca qui

Finanziamenti – AgevolazioniServizi e consulenze