Come chiedere il risarcimento danni per violazione della privacy

La tutela della riservatezza dei dati personali si è imposta negli ultimi decenni come uno dei diritti fondamentali dell’individuo, riconosciuto non solo dalla normativa interna, ma anche dal diritto dell’Unione Europea, che ha trovato la sua massima espressione nel Regolamento (UE) 2016/679 (GDPR). Il legislatore europeo ha delineato un impianto normativo volto a garantire il controllo delle persone sui propri dati personali, imponendo ai soggetti pubblici e privati che li trattano obblighi stringenti, finalizzati a evitare abusi e indebite ingerenze nella sfera privata.

Tuttavia, la protezione della privacy non si traduce automaticamente in un diritto al risarcimento del danno ogniqualvolta si verifichi una violazione della normativa. L’idea, spesso diffusa tra i non addetti ai lavori, che il mero trattamento illecito dei dati personali determini un diritto immediato al ristoro economico, è stata ampiamente smentita sia dalla giurisprudenza italiana che dalla Corte di Giustizia dell’Unione Europea, la quale ha affermato con nettezza il principio secondo cui, per ottenere un risarcimento, occorre dimostrare non solo la violazione del GDPR, ma anche l’effettiva sussistenza di un danno e il nesso di causalità tra quest’ultimo e l’illecito commesso.

A tale proposito, la giurisprudenza ha avuto un ruolo cruciale nel definire i confini dell’azione risarcitoria, ponendo limiti precisi alle richieste di ristoro economico fondate su meri automatismi giuridici. La sentenza della Corte di Giustizia dell’Unione Europea del 4 maggio 2023, nella causa C-300/21, ha chiarito che la violazione della normativa sulla protezione dei dati personali non è sufficiente, da sola, a giustificare la richiesta di un risarcimento. È necessario, infatti, che la persona lesa provi il danno subito e dimostri il rapporto causale tra la condotta illecita e le conseguenze negative patite.

Questa impostazione è stata ribadita anche dalla più recente sentenza del 20 giugno 2024, C-590/22, che ha ulteriormente specificato come il danno possa essere di natura materiale o immateriale, ma non possa prescindere dalla sua dimostrabilità concreta.

Si tratta di un principio di assoluta rilevanza, che evita il rischio di un riconoscimento indiscriminato di risarcimenti, fondato solo sulla presunzione di un danno in re ipsa.

Il principio di gravità della lesione e serietà del danno: il ruolo della cassazione

Anche la giurisprudenza italiana ha seguito questa impostazione restrittiva, consolidando negli anni un orientamento che esclude la risarcibilità del danno non patrimoniale in assenza di un pregiudizio serio e concreto. La Corte di Cassazione si è pronunciata più volte sulla questione, riaffermando che la lesione del diritto alla privacy, pur costituendo una violazione di una norma primaria, non può automaticamente generare una pretesa risarcitoria se non si dimostra la serietà del danno subito.

Il principio, enunciato in più occasioni dalla Suprema Corte, è stato ribadito con particolare chiarezza nell’ordinanza n. 16402 del 10 giugno 2021 e nella sentenza n. 17383 del 20 agosto 2020, in cui i giudici di legittimità hanno sottolineato come la risarcibilità del danno derivante dalla lesione della normativa privacy debba essere subordinata alla verifica della gravità della lesione e della serietà del danno.

L’orientamento della Cassazione non si è limitato a escludere il risarcimento per danni bagatellari, ma ha anche precisato che il danno non patrimoniale non può ridursi a un semplice disagio soggettivo, a una generica preoccupazione o a una violazione meramente formale del diritto alla protezione dei dati. La tutela risarcitoria è ammessa solo laddove si dimostri che la violazione ha avuto un impatto rilevante sulla vita della persona, provocando conseguenze negative apprezzabili sotto il profilo morale, psicologico o sociale. Tale impostazione si collega alla più ampia disciplina del danno non patrimoniale nel nostro ordinamento, che, sulla base delle sentenze di San Martino del 2008, ha escluso il riconoscimento automatico del danno esistenziale, richiedendo la prova della serietà del pregiudizio subito.

La Cassazione ha inoltre chiarito che il danno non può essere liquidato sulla base di un criterio puramente equitativo, ma deve essere quantificato sulla base di elementi concreti che dimostrino la sua effettiva incidenza sulla vita del soggetto leso.

Il principio di causalità e la posizione della corte di giustizia dell’unione europea

La Corte di Giustizia dell’Unione Europea, oltre ad escludere la risarcibilità automatica della violazione della privacy, ha posto l’accento sull’importanza del nesso causale tra la condotta illecita e il danno subito dall’interessato. In diverse sentenze, tra cui quella del 21 dicembre 2023, C-667/21, la Corte ha ribadito che il risarcimento non può essere riconosciuto sulla base di una semplice presunzione di danno, ma deve essere provato in modo specifico. L’articolo 82 del GDPR, che disciplina il diritto al risarcimento per le violazioni della normativa privacy, stabilisce infatti che il titolare del trattamento è responsabile del danno causato solo se la persona lesa dimostra l’esistenza di un danno effettivo e la sua derivazione causale dalla violazione commessa.

La giurisprudenza della Corte di Giustizia ha chiarito che il danno non patrimoniale può consistere anche nel timore di una divulgazione illecita dei dati personali, ma tale timore deve essere oggettivamente fondato e deve aver prodotto conseguenze negative nella sfera personale dell’interessato. Questo principio è stato affermato nella sentenza della Corte di Giustizia del 20 giugno 2024, che ha stabilito che il diritto al risarcimento del danno immateriale non è subordinato a una soglia minima di gravità, ma richiede comunque la prova dell’effettiva esistenza del pregiudizio. La Corte ha inoltre sottolineato che le autorità nazionali devono applicare criteri uniformi nella valutazione del danno, evitando disparità di trattamento tra i diversi Stati membri.

Risarcimento del danno non patrimoniale: orientamenti giurisprudenziali e criteri applicativi

Il tema del risarcimento del danno non patrimoniale per violazione della privacy è stato oggetto di numerosi interventi giurisprudenziali, sia a livello europeo che nazionale, che hanno contribuito a definire i criteri applicativi della disciplina risarcitoria. Secondo la Corte di Cassazione, il danno non patrimoniale derivante dalla violazione della privacy può essere risarcito solo se sussistono tre condizioni cumulative: la violazione di una norma del GDPR o del Codice Privacy, l’esistenza di un danno effettivo e il nesso di causalità tra la violazione e il pregiudizio subito. Questa impostazione è stata ribadita anche nella sentenza n. 222/2016, che ha escluso il risarcimento del danno morale in assenza di una dimostrazione concreta della lesione subita dall’interessato.

La privacy violata nell’era digitale: diffusione di chat private, social network e revenge porn

L’evoluzione tecnologica e la diffusione capillare di Internet hanno trasformato la violazione della privacy in una problematica sempre più complessa e insidiosa. Non si tratta più soltanto di una gestione illecita dei dati da parte di aziende o enti pubblici, ma anche di condotte individuali che, attraverso la condivisione non autorizzata di informazioni, possono arrecare danni significativi. Uno dei fenomeni più diffusi è la divulgazione non autorizzata di chat private, messaggi vocali e registrazioni di conversazioni, un comportamento che può verificarsi sia in ambito personale che professionale. La pubblicazione di conversazioni su WhatsApp, Telegram o Messenger, se avvenuta senza il consenso di tutte le parti coinvolte, può configurare diverse violazioni giuridiche, tra cui l’interferenza illecita nella vita privata (articolo 615-bis c.p.), la diffamazione (articolo 595 c.p.) o, in casi estremi, lo stalking (articolo 612-bis c.p.), laddove la diffusione reiterata di tali contenuti sia finalizzata a intimidire o a danneggiare la vittima.

Le implicazioni giuridiche della diffusione di conversazioni private sono state oggetto di crescente attenzione da parte della giurisprudenza, che ha stabilito che la lesione della riservatezza deve essere valutata alla luce della gravità del danno provocato. In diverse pronunce, la Corte di Cassazione ha ribadito che la pubblicazione illecita di conversazioni private può generare un diritto al risarcimento del danno non patrimoniale solo se la diffusione ha prodotto effetti negativi tangibili sulla sfera personale, sociale o lavorativa della vittima. Un caso emblematico è rappresentato dalle sentenze che hanno riguardato la diffusione di registrazioni private all’interno di contesti aziendali o pubblici, con conseguenti danni alla reputazione o alla carriera delle persone coinvolte. La Suprema Corte, richiamando il principio di proporzionalità già espresso nelle sentenze n. 17383/2020 e n. 16402/2021, ha precisato che la semplice divulgazione di un messaggio privato, se non accompagnata da un effettivo pregiudizio per l’interessato, non è sufficiente a giustificare un risarcimento economico.

Un altro ambito di crescente rilevanza è quello legato alla pubblicazione non autorizzata di immagini e contenuti privati sui social network. L’uso massivo di piattaforme come Facebook, Instagram, TikTok e Twitter ha moltiplicato i casi in cui fotografie o video vengono condivisi senza il consenso del soggetto ritratto. Questo fenomeno, oltre a costituire una violazione del GDPR, può dar luogo a gravi conseguenze sotto il profilo civile e penale, soprattutto se l’immagine diffusa è idonea a ledere la dignità o la reputazione della persona interessata.

La Corte di Cassazione ha stabilito che la pubblicazione di fotografie o video senza il consenso dell’interessato può configurare una violazione del diritto all’immagine tutelato dall’articolo 10 c.c. e dagli articoli 96 e 97 della legge sul diritto d’autore (L. 633/1941), con conseguente diritto al risarcimento del danno, anche di natura non patrimoniale, laddove venga provata una compromissione dell’onore, della reputazione o della vita privata.

Particolarmente rilevante in questo contesto è il fenomeno del revenge porn, ossia la diffusione illecita di immagini o video a contenuto sessuale senza il consenso della persona interessata. La legge n. 69/2019, nota come “Codice Rosso”, ha introdotto nel codice penale l’articolo 612-ter, che punisce la diffusione illecita di immagini o video sessualmente espliciti con pene che possono arrivare fino a sei anni di reclusione. Oltre alla responsabilità penale, la vittima ha diritto a un risarcimento del danno, che, secondo la giurisprudenza, può essere riconosciuto anche in assenza di un pregiudizio patrimoniale diretto, purché si dimostri che la pubblicazione del materiale abbia provocato un danno psicologico, reputazionale o sociale significativo.

Risarcimento danni per violazione privacy: 3 link utili per te

• Risarcimento danni – Garante per la Protezione dei Dati Personali: Questo documento chiarisce che il Garante non è competente a decidere sulle richieste di risarcimento danni derivanti da violazioni della privacy; tali richieste devono essere presentate all’autorità giudiziaria competente. ​Garante Privacy

• Modello di reclamo – Garante per la Protezione dei Dati Personali: Questo modulo può essere utilizzato per presentare un reclamo al Garante in caso di presunte violazioni della normativa sulla protezione dei dati personali. ​Garante Privacy

• Data Breach – Violazioni di dati personali – Garante per la Protezione dei Dati Personali: Questa sezione fornisce informazioni sulle violazioni dei dati personali (data breach), le misure correttive che il Garante può prescrivere e le sanzioni pecuniarie previste in caso di inadempienze. ​Garante Privacy

Dati bancari, videosorveglianza e violazioni nelle relazioni condominiali

Un altro ambito particolarmente delicato riguarda la violazione della privacy nel settore bancario e finanziario, dove il trattamento dei dati personali è regolato da norme rigorose per garantire la riservatezza delle informazioni dei clienti. Le banche e gli istituti finanziari, in qualità di titolari del trattamento, sono soggetti agli obblighi imposti dal GDPR e dal Testo Unico Bancario (D.lgs. 385/1993), che impongono loro di adottare misure idonee a proteggere i dati dei correntisti. La divulgazione indebita di informazioni bancarie può dar luogo a una richiesta di risarcimento, come accaduto in diverse pronunce giurisprudenziali in cui è stato riconosciuto il diritto al ristoro economico per la diffusione non autorizzata di dati relativi a conti correnti, mutui o investimenti. Tuttavia, anche in questo caso, la giurisprudenza ha chiarito che la violazione della privacy bancaria non si traduce automaticamente in un danno risarcibile, essendo necessaria la prova concreta del pregiudizio subito.

Altrettanto rilevante è la questione della videosorveglianza nei condomini, un tema che ha generato un ampio dibattito giuridico a causa del possibile contrasto tra il diritto alla sicurezza e il diritto alla privacy dei condomini. L’installazione di telecamere negli spazi comuni è disciplinata dall’articolo 1122-ter c.c., introdotto dalla riforma del condominio (L. 220/2012), che consente l’installazione di impianti di videosorveglianza purché vengano rispettati i principi stabiliti dal GDPR, tra cui l’informativa preventiva e la limitazione dell’uso delle immagini per finalità strettamente legate alla sicurezza. La giurisprudenza ha chiarito che la registrazione indebita di immagini all’interno di spazi privati, o l’uso delle telecamere per finalità diverse da quelle di sicurezza, può costituire una violazione del diritto alla riservatezza e dare luogo a una richiesta di risarcimento del danno.

Sanzioni amministrative, reati e responsabilità delle piattaforme digitali

Le violazioni della privacy possono comportare non solo conseguenze di natura civile, ma anche sanzioni amministrative e, nei casi più gravi, responsabilità penali. Il GDPR prevede sanzioni pecuniarie particolarmente elevate per le imprese che non rispettano le norme sulla protezione dei dati, con multe che possono arrivare fino a 20 milioni di euro o al 4% del fatturato annuo globale. Il Garante per la protezione dei dati personali ha il potere di irrogare tali sanzioni nei confronti di soggetti che effettuano trattamenti illeciti di dati, come accaduto in numerosi casi recenti riguardanti la profilazione degli utenti senza consenso o la gestione impropria delle informazioni sensibili.

Un tema di particolare interesse riguarda la responsabilità delle piattaforme digitali, che, pur non essendo direttamente responsabili per i contenuti pubblicati dagli utenti, sono tenute a intervenire in caso di segnalazioni relative a violazioni della privacy. La giurisprudenza ha stabilito che, se una piattaforma come Facebook o Instagram non rimuove contenuti illeciti dopo una segnalazione, può essere considerata corresponsabile della violazione e quindi obbligata al risarcimento del danno.

L’analisi della giurisprudenza e della normativa in materia di privacy evidenzia la necessità di un bilanciamento tra la tutela della riservatezza e le esigenze di certezza giuridica. Mentre il GDPR ha rafforzato le tutele per i cittadini, la giurisprudenza ha chiarito che il risarcimento del danno non può essere automatico e richiede la prova di un pregiudizio effettivo.

Questo equilibrio è essenziale per garantire una protezione efficace della privacy senza creare un sistema risarcitorio indiscriminato e privo di fondamento giuridico.

Risarcimento danni per violazione della privacy: 12 domande frequenti che ti potrebbero interessare

1. Quanto ammonta il risarcimento per violazione della privacy?
Il risarcimento per violazione della privacy non ha un importo fisso, ma dipende dalla gravità della lesione subita. La giurisprudenza ha stabilito che il danno deve essere concreto e dimostrabile, evitando risarcimenti automatici. In alcuni casi di diffusione illecita di dati sensibili, come quelli sanitari o bancari, il risarcimento può arrivare anche a decine di migliaia di euro.

2. La sola violazione del GDPR mi dà diritto a un risarcimento?
No, la Corte di Giustizia dell’Unione Europea (C-300/21) ha stabilito che la violazione del GDPR non basta per ottenere un risarcimento. È necessario dimostrare di aver subito un danno reale, che può essere patrimoniale o non patrimoniale, e provare il nesso causale tra la violazione e il pregiudizio subito.

3. Cosa si rischia con una denuncia per violazione della privacy?
Chi viola la privacy può subire conseguenze civili, amministrative e, in alcuni casi, anche penali. Il GDPR prevede sanzioni fino a 20 milioni di euro o al 4% del fatturato annuo per le imprese. In caso di violazioni gravi, come la diffusione di immagini intime senza consenso (revenge porn), il responsabile può essere perseguito penalmente con pene fino a 6 anni di reclusione.

4. È possibile chiedere un risarcimento per la diffusione di chat private?
Sì, se la diffusione di chat private è avvenuta senza il consenso degli interessati e ha arrecato un danno concreto, si può chiedere un risarcimento. La Cassazione ha chiarito che il risarcimento è possibile solo se il danno è serio e dimostrabile, ad esempio se la diffusione ha comportato un danno alla reputazione o alla vita personale e lavorativa.

5. Cosa fare se vengono pubblicate mie foto senza autorizzazione sui social?
Puoi chiedere immediatamente la rimozione della foto alla piattaforma social, segnalando la violazione della privacy. Se il contenuto non viene rimosso, puoi inviare una diffida formale e, se necessario, sporgere denuncia al Garante Privacy o alla polizia postale. Se la pubblicazione ha arrecato un danno morale o reputazionale, è possibile chiedere un risarcimento in sede civile.

6. Un vicino può installare telecamere che riprendono il mio ingresso di casa?
No, la videosorveglianza privata deve rispettare il principio di minimizzazione del trattamento dei dati. Se una telecamera riprende spazi di proprietà altrui o parti comuni senza consenso condominiale, può configurare una violazione della privacy. In tal caso, puoi segnalare il fatto al Garante Privacy o agire in sede civile per far rimuovere la telecamera e chiedere un eventuale risarcimento.

7. Come si dimostra il danno non patrimoniale per violazione della privacy?
Il danno non patrimoniale deve essere provato con documenti, testimonianze o perizie che dimostrino il turbamento psicologico, la sofferenza morale o l’impatto negativo sulla vita sociale e lavorativa. Non basta il semplice disagio o fastidio: la Cassazione ha chiarito che il danno deve essere grave e concreto.

8. Qual è il termine di prescrizione per chiedere un risarcimento?
Il termine di prescrizione per chiedere il risarcimento per violazione della privacy è di 5 anni, ai sensi dell’art. 2947 c.c. Il termine decorre dal momento in cui la persona offesa ha conoscenza del danno e della sua ingiustizia.

9. Se una banca comunica i miei dati a terzi senza il mio consenso, posso chiedere un risarcimento?
Sì, la comunicazione illecita di dati bancari a terzi senza il consenso del titolare configura una violazione della privacy e può dar luogo a un risarcimento. Tuttavia, anche in questo caso, è necessario dimostrare un danno concreto, come un pregiudizio economico o una lesione della reputazione.

10. Cosa fare se una piattaforma online non rimuove contenuti che violano la mia privacy?
Puoi inviare una segnalazione formale alla piattaforma, citando il GDPR e il diritto all’oblio. Se non ottieni risposta, puoi presentare un reclamo al Garante Privacy o avviare un’azione legale per ottenere la rimozione del contenuto e un risarcimento per il danno subito.

11. La violazione della privacy può essere punita anche penalmente?
Sì, alcune violazioni della privacy costituiscono reati. Ad esempio, l’accesso abusivo a sistemi informatici (art. 615-ter c.p.), la diffamazione online (art. 595 c.p.), il revenge porn (art. 612-ter c.p.) e la diffusione illecita di dati sensibili possono comportare responsabilità penale oltre che civile.

12. In caso di violazione della privacy, è meglio una diffida o una denuncia?
Dipende dalla gravità della violazione. Se si tratta di una diffusione illecita di dati senza gravi conseguenze, si può iniziare con una diffida per richiedere la cessazione dell’illecito e un risarcimento. Se invece la violazione è grave, come nel caso di revenge porn o accesso abusivo a dati sensibili, è opportuno sporgere denuncia presso la polizia postale o le autorità competenti.