1. Introduzione

Dal 25 maggio 2018 – giorno nel quale è divenuto pienamente applicabile in tutti gli Stati membri dell’Unione europea il Reg. 2016/679 (d’ora in avanti: GDPR) – la materia della responsabilità civile da illecito trattamento dei dati personali è assoggettata al governo di un’unica regola continentale. Quella uniformemente enunziata dall’art. 82 GDPR che, rubricato sotto la dizione «Diritto al risarcimento e responsabilità», nella sua parte essenziale così recita: «Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento», salvo che questi ultimi non riescano a dimostrare che «l’evento dannoso non gli è in alcun modo imputabile».

In esordio, merita di essere segnalato che l’essenziale novità della disposizione appena riportata non risiede tanto nella sua formulazione letterale, quanto nel fatto di essere posta in via esclusiva da una fonte europea di tipo regolamentare; e quindi, da uno strumento giuridico di uniformazione che – come si sa – è self-executing: interamente vincolante e direttamente applicabile in ciascuno dei Paesi dell’Unione, senza alcuna mediazione dei diritti interni d’attuazione.

Siamo dunque al cospetto di una fattispecie d’illecito sovranazionale (essa non appartiene a questo o a quell’ordinamento statale), alla pietra di fondazione di un edificio normativo in larga misura da costruire, quello del diritto comune europeo della responsabilità civile.

Ora, la circostanza che l’art. 82 GDPR detta una regola di ‘vero e proprio’ diritto privato europeo, calata dall’alto (a mo’ di manto) da una fonte pervasiva qual è il regolamento, induce effetti sistemici degni di nota.

Innanzitutto, si registra un’importante ricaduta sul terreno dell’interpretazione. A tale proposito, infatti, una preziosa indicazione metodologica – una sorta di ‘bussola ermeneutica’ – si rinviene già nella prima pronuncia della Corte di giustizia sull’art. 82 (CGUE 4 maggio 2023, causa C-300/21). In particolare, là dove essa precisa che «i termini di una disposizione del diritto dell’Unione, la quale non contenga alcun rinvio espresso al diritto degli Stati membri al fine di determinare il suo significato e la sua portata, devono di norma dar luogo, in tutta l’Unione, ad un’interpretazione autonoma e uniforme». Ne consegue, quindi, che l’interprete è tenuto a confrontarsi direttamente con la norma sovranazionale, senza sentirsi vincolato da orientamenti giurisprudenziali e nozioni di diritto interno.

Diversamente opinando, pur muovendo dalla stessa linea di partenza (nella specie: la lettera dell’art. 82), i giudici dei singoli Stati membri verrebbero quasi inevitabilmente a tagliare traguardi differenti. All’unicità della disposizione scritta, finirebbe per corrispondere una pluralità di norme applicate; tante regole operative quante sono i Paesi dell’Unione. Con buona pace, s’intende, dell’uniformazione e delle sue finalità.

Nondimeno, occorre avvertirlo, ciò non significa che le soluzioni interpretative offerte dal diritto europeo non possano mai coincidere con quelle fornite dai singoli ordinamenti nazionali, ma che una verifica in questo senso si può fare soltanto ex post, ossia «a valle».

La natura regolamentare della regola di responsabilità sancita dall’art. 82 GDPR incide anche sul modo in cui si deve procedere all’integrazione del suo (lacunoso) dettato normativo.

L’intelligenza della questione ha bisogno di una premessa.

La disposizione in discorso realizza un’uniformazione soltanto parziale e non esaustiva: l’art. 82 tipizza una singola, specifica fattispecie di responsabilità, ma non disciplina l’intero istituto della responsabilità civile. Essa si presenta (passi l’immagine) come campata nel vuoto, è un testo senza contesto, giacché non investe tutti i possibili aspetti della responsabilità da illecito trattamento dei dati personali.

Anche qui, allora, si riscontrano i tratti tipici del diritto privato europeo, caratterizzato da incursioni normative puntiformi, il cui sviluppo procede «a spizzichi e bocconi», senza soverchie preoccupazioni d’ordine sistematico. Donde la necessità di rimediare all’endemico difetto di autosufficienza della regola scritta di fonte regolamentare e, quindi, accrescere la «densità» della disciplina continentale, senza remare contro gli obiettivi teleologici sottesi alla scelta di uno strumento giuridico di uniformazione.

Naturale domandarsi: ma come?

Ora, ad avviso di chi scrive, l’unico modo per rimediare al difetto di autosufficienza della fonte regolamentare è quello di sollecitare – per il medio del rinvio pregiudiziale – l’oramai riconosciuta opera creatrice ed integratrice della Corte di giustizia.

Le decisioni della Corte lussemburghese, per comune consenso munite di «autorità di cosa interpretata» ultra partes, sono le fonti di diritto complementare ideale per uno strumento legislativo di uniformazione, le sole idonee a disciplinare i profili trascutati dalla regola scritta (e a infittire la trama complessiva della normativa europea), senza innescare l’effetto «vestito di Arlecchino». In altri termini, i dicta resi in sede di rinvio pregiudiziale, vincolanti per tutti i giudici nazionali cui venga sottoposta un’analoga questione, introducono gocce di diritto uniforme che s’insinuano negli spazi lasciati vuoti dalla fonte regolamentare, colmandoli.

In altre parole, sia dai regolamenti sia dalla giurisprudenza della Corte di giustizia origina un diritto d’immediata applicazione, che sta sopra agli Stati membri dell’Unione. Un diritto «multicanale», ma non «multilivello», atteso che tanto le regole di fonte regolamentare quanto le decisioni della Corte di giustizia si collocano su un unico piano, quello del diritto uniforme europeo.

Apparentemente, una questione soltanto tecnica. Apparentemente. Perché in realtà la questione è anzitutto «politica». A ben riflettere, qui si gioca una partita decisiva sulla redistribuzione del potere; più nello specifico, sulla misura della partecipazione degli Stati membri al processo di creazione della normativa continentale; e, ancora più specificamente, sul ruolo dei singoli diritti nazionali quali fonte d’integrazione del diritto europeo uniforme.

Per concludere sul punto, si può dunque ben dire che l’adozione di uno strumento self-executing, quale il regolamento, non è affatto neutrale, ma corrisponde a una precisa scelta di accentramento della produzione giuridica. Da essa, infatti, consegue un avanzamento del diritto eurounitario e un arretramento – uguale e contrario – dei diritti nazionali. Le ragioni sono essenzialmente due: la prima è più evidente, la seconda meno. Anzitutto, l’impiego dello strumento regolamentare esclude in radice l’adozione di normative domestiche di recepimento. Ma non solo, l’obiettivo dell’uniformazione riduce al lumicino la rilevanza dei tre formanti (legislativo, giurisprudenziale e dottrinale) squisitamente nazionali.

2. La questione del «se»

Secondo il comune pensiero, alle regole sulla responsabilità civile si chiede di affrontare e risolvere tre questioni cruciali: la questione del «se», la questione del «chi», la questione del «quanto».

Ai fini della nostra particolare indagine, quindi, intorno al «se» il danno originato da un’attività di trattamento dei dati personali debba essere risarcito, al «chi» debba eventualmente risarcirlo e al «quanto» tale risarcimento ammonta, s’intende costruire la trattazione che verrà.

Interrogarsi sul «se» il danno subito da una persona fisica in conseguenza del trattamento di dati che la riguardano debba o no essere risarcito, equivale a chiedersi quale sia il criterio di selezione dei pregiudizi (materiali e/o immateriali) idonei ad attivare il rimedio risarcitorio.

In limine, si può allora rammentare che nell’ottica interna del diritto nazionale italiano tale «problema» viene correttamente affrontato adoperando il filtro dell’ingiustizia del danno, sulla cui efficienza selettiva non può tuttavia fare affidamento l’interprete della disciplina continentale uniforme dettata dall’art. 82 del GDPR; giacché – come già si è osservato – l’applicazione di una regola di responsabilità posta in via diretta ed esclusiva dalla fonte europea di tipo regolamentare non è condizionabile alla ricorrenza dei presupposti di risarcibilità prescritti dall’art. 2043 del codice civile italiano o dalla previsione domestica di un altro Stato dell’Unione.

Tanto premesso, muoviamo dalla formula d’apertura della disposizione in esame per poi registrare le impressioni che subito suscitano le parole di cui si compone: «Chiunque subisca un danno […] causato dalla violazione del presente regolamento ha il diritto di ottenere il risarcimento».

Balza evidente che il fuoco della previsione legale cade sull’espressione «violazione del presente regolamento». Cosicché, una spedita lettura dell’enunciato normativo induce a ritenere che il danno materiale o immateriale sia risarcibile se è eziologicamente riconducibile a un’attività di trattamento dei dati personali svolta in inosservanza del GDPR. La questione è tuttavia più complessa di quanto non risulti a un primo sguardo. Infatti, una disamina più approfondita di questo frammento di disposizione suscita almeno tre interrogativi interpretativi:

1) se la mera violazione di una prescrizione del GDPR sia (o no) sufficiente ad attribuire alla persona fisica cui i dati si riferiscono il diritto al risarcimento, oppure se sull’interessato grava l’onere di provare di aver subito un danno ulteriore, cioè una perdita di utilità materiali e/o immateriali conseguenti all’attività di trattamento;

2) se qualsiasi violazione del GDPR dà diritto di ottenere il risarcimento del danno conseguente all’attività di trattamento, o se sono idonee ad attivare il rimedio risarcitorio soltanto quelle violazioni che realizzano la lesione del diritto alla protezione dei dati personali dell’interessato;

3) se una «violazione del presente regolamento» rilevante sotto il profilo della responsabilità civile deve essere puntualmente provata, oppure solamente allegata da chi aziona il diritto al risarcimento del danno.

Sul primo dei tre quesiti la Corte di giustizia si è più volte pronunciata (CGUE 4 maggio 2023, C-300/21; 14 dicembre 2023, C-456/22; 25 gennaio 2024, C-687/21; 11 aprile 2024, C-741/21; 20 giugno 2024, C-590/22). L’orientamento, oramai consolidato, è il seguente: «l’articolo 82, paragrafo 1 del GDPR deve essere interpretato nel senso che la mera violazione delle disposizioni di tale regolamento non è sufficiente per conferire un diritto al risarcimento». Ergo, la semplice circostanza di porre in essere un’attività di trattamento in spregio di un precetto del regolamento europeo sulla protezione dei dati non comporta l’insorgere dell’obbligazione risarcitoria in favore dell’interessato ove quest’ultimo, in conseguenza di tale attività, non abbia subito una perdita di utilità.

Volendo adoperare un linguaggio familiare all’operatore del diritto italiano, si può dire che i dicta della Corte suonano come una repulsa della categoria del danno evento, consustanziale all’inosservanza delle regole dettate dal GDPR; nell’assunto che anche i pregiudizi extra-patrimoniali (diversi, cioè, dalla ricchezza perduta e/o preclusa a seguito dell’illecito trattamento dei dati) devono essere specificatamente allegati e provati da chi ne domanda il ristoro. Donde ne discende, a mo’ di corollario, che il c.d. «danno conseguenza» è da annoverarsi tra gli elementi costitutivi della fattispecie di responsabilità tipizza dall’art. 82 del GDPR.

Questa conclusione è sostenuta con due linee argomentative convergenti.

La prima di esse fa leva sulla formulazione letterale dell’art. 82 da cui «emerge […] che l’esistenza di un “danno” che sia stato “subito” costituisce una delle condizioni del diritto al risarcimento previsto da detta disposizione». D’altro canto, si aggiunge che la «menzione distinta di un “danno” e di una “violazione” […] sarebbe superflua se il legislatore dell’Unione avesse ritenuto che una violazione delle disposizioni del regolamento in parola possa essere sufficiente, da sola e in ogni caso, a dare fondamento a un diritto al risarcimento».

La seconda linea argomentativa ruota attorno alla diversità funzionale tra la tutela risarcitoria ex art. 82 e quella amministrativa ex artt. 83 e 84. Le due forme di tutela, rispettivamente di private e public enforcement, costituiscono un «incentivo a rispettare il GDPR [e] a scoraggiare la reiterazione di comportamenti illeciti». Tuttavia, mentre funzione eminente del risarcimento è quella di ristorare la vittima che abbia subito una perdita di utilità patrimoniali e/o extra-patrimoniali, la funzione essenziale delle sanzioni pecuniarie amministrative comminate dalle autorità di controllo nazionali (in Italia, il Garante per la protezione dei dati personali) è invece punitiva. Soltanto queste ultime, quindi, «non sono subordinate all’esistenza di un danno individuale».

Va semmai aggiunto che i giudici di Lussemburgo tendono a considerare assolto l’onere di provare l’esistenza del danno immateriale con una certa generosità. Come quando, in riferimento a un caso di diffusione non autorizzata di dati personali a seguito di un attacco hacker (c.d. data breach), hanno considerato sufficiente, a tal fine, la dimostrazione del mero «timore di un potenziale utilizzo abusivo dei dati da parte di terzi» (CGUE, 14 dicembre 2023, C-340/21); e, in un caso ancor più recentemente, quando hanno dichiarato che «il timore nutrito da una persona che i suoi dati personali […] siano stati divulgati a terzi, senza che si possa dimostrare che ciò sia effettivamente avvenuto, è sufficiente a dare fondamento a un diritto al risarcimento purché tale timore, con le sue conseguenze negative, sia debitamente provato» (CGUE, 20 giugno 2024, C-590/22).

Ciò posto, un ulteriore passo verso la negazione de facto della separazione fra violazione e danno è stato compiuto con la sentenza CGUE 4 ottobre 2024, C-200/23. In questa occasione, la Corte di giustizia si è spinta ad affermare che la perdita di controllo, anche temporanea, sui dati personali a seguito della loro indebita pubblicazione online (nello specifico, sull’equivalente bulgaro del nostro registro delle imprese) «può essere sufficiente a cagionare un “danno immateriale” […] senza che tale nozione di danno […] richieda la dimostrazione che sussistono ulteriori conseguenze negative tangibili». In altre parole, e a dispetto delle rassicuranti proclamazioni di fedeltà al principio di separazione tra violazione e danno, siamo qui al cospetto di una soluzione che strizza l’occhio (pur senza maio nominarla) alla controversa categoria del danno in re ipsa. Infatti, affermare che la perdita di controllo dei dati costituisce, in sé e per sé, un danno immateriale significa abbracciare – forse senza troppa consapevolezza teorica – un modello di responsabilità civile in cui il danno non s’identifica più con la perdita di utilità, bensì con la lesione di una particolare situazione soggettiva: il diritto all’autodeterminazione informativa (da intendersi, a sua volta, come una particolare declinazione del più ampio diritto alla protezione dei dati personali).

Il secondo e il terzo degli interrogativi interpretativi sopra riportati, per la loro importanza, meriterebbero di formare oggetto di future domande di pronuncia pregiudiziale. Per entrambi, ad avviso di chi scrive, la ratio legis e l’interpretazione sistematica cospirano in senso antagonista rispetto a una lettura rigidamente letterale della disposizione.

Riguardo al secondo quesito (ossia se è vero o no che la violazione di una qualsiasi prescrizione del «presente regolamento» può far sorgere il diritto al risarcimento), infatti, è di tutta evidenza che l’art. 82 proclama risarcibile il danno conseguente a un’attività di trattamento svolta in spregio alle regole del GDPR, senza fare alcun riferimento testuale alla necessaria lesione di una situazione giuridica soggettiva, qual è – per l’appunto – il diritto alla protezione dei dati personali. Tanto da indurre a pensare, prima facie, di trovarsi al cospetto di una fattispecie di responsabilità civile senza filtri, in ‘presa diretta’ cioè con la trasgressione di una prescrizione (quale che sia) del regolamento europeo. A rifletterci, tuttavia, è ragionevole dubitare che la benché minima imprecisione, la più piccola irregolarità formale o procedurale possa essere davvero sufficiente a giustificare la pretesa risarcitoria dell’interessato.

A tale proposito, si può anzitutto osservare che nel sistema europeo l’intera disciplina è edificata a presidio di una particolare situazione giuridica soggettiva. Il GDPR, si legge eloquentemente nell’intitolazione, è il «Regolamento […] relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali».

Ancora oltre, sempre nella stessa direzione, sospinge la constatazione che nel GDPR esistono regole organizzative o meramente procedurali la cui inosservanza non è idonea a ledere alcuna situazione soggettiva dell’interessato. Si pensi, per limitarci a qualche esempio, alla mancata designazione del responsabile della protezione dei dati nei casi in cui essa è obbligatoria (art. 37); all’omessa o incompleta tenuta del registro delle attività di trattamento (art. 30); all’assenza di un accordo interno tra contitolari del trattamento (art. 26). Tutte infrazioni atte a giustificare l’irrogazione di una sanzione pecuniaria amministrativa, ma non sufficienti a rendere illeciti – di per sé solo – ogni trattamento eseguito dal titolare che abbia commesso tali violazioni.

Per concludere sul punto, l’art. 82, par. 1, del GDPR deve allora essere interpretato nel senso che sono idonee ad attivare il rimedio risarcitorio soltanto quelle violazioni che realizzano la lesione del diritto alla protezione dei dati personali.

Come già anticipato, il terzo e ultimo dei nostri interrogativi può essere sintetizzato nella domanda se l’esistenza di una violazione del regolamento europeo (rilevante ai fini della responsabilità civile) debba o non debba essere provata da chi aspira al risarcimento del danno materiale e/o immateriale.

Orbene, la considerazione isolata della disposizione in esame instrada verso una piana risposta affermativa. A tutta prima, l’antigiuridicità – identificabile nel contrasto tra il fatto causativo del danno (trattamento dei dati) e i dettami «del presente regolamento» – appare come un elemento che integra in positivo la fattispecie di responsabilità tipizzata dall’art. 82 del GDPR. In quanto elemento costitutivo, quindi, l’antigiuridicità dovrebbe essere provata dall’interessato che avanza la pretesa risarcitoria. Senonché, la lettura congiunta degli artt. 82 e 24 orienta verso una diversa conclusione.

Valga, in proposito, rilevare che la pietra d’angolo su cui poggia tutta la disciplina eurounitaria è costituita dal principio di accountability il quale – inter alia – onera il titolare a «dimostrare che il trattamento è effettuato conformemente al presente regolamento».

In limpida coerenza con il principio di accountability, è allora persuasivo sostenere che non sia l’antigiuridicità elemento costitutivo della fattispecie di responsabilità in parola, ma piuttosto la non antigiuridicità (dovuta, ad esempio, alla presenza di un’idonea «base giuridica» e al rispetto dei «principi» di cui all’art. 5 GDPR) a essere elemento impeditivo dell’insorgere della responsabilità civile in capo al titolare del trattamento.

Donde, l’art. 82, par. 1, del GDPR va interpretato nel senso che una «violazione del presente regolamento» dev’essere solamente allegata – non anche provata – da chi aziona il diritto al risarcimento.

In conclusione: il «chiunque» (persona fisica) che agisce in giudizio per ottenere il ristoro del danno materiale e/o immateriale ex art. 82 ha solo l’onere di provare l’esistenza di un’attività di trattamento – riferibile al candidato responsabile – avente a oggetto dati personali che lo riguardano, una perdita di utilità patrimoniali e/o extra-patrimoniali (id est: il danno), e il nesso di causalità tra l’attività di trattamento e la perdita di utilità, limitandosi invece alla mera allegazione di una violazione del regolamento europeo idonea a ledere il diritto alla protezione dei dati personali.

3. Segue. Il «se» del danno immateriale non è subordinato al raggiungimento di una certa soglia di gravità.

In risposta a una pluralità di domande pregiudiziali, la Corte di giustizia si è pronunciata sul seguente interrogativo: se, ai sensi dell’art. 82 GDPR, l’an debeatur del danno immateriale possa essere subordinato al raggiungimento di una soglia minima di gravità (CGUE, 4 maggio 2023, C-300/21; CGUE, 14 dicembre 2023, C-456/22; CGUE, 20 giugno 2024, C-590/22).

Alla vigilia di tali pronunciamenti, l’art. 82 si presentava – passi l’immagine – come una casa semivuota, quasi tutta d’arredare secondo il gusto, se non addirittura l’arbitrio, dei giudici di Lussemburgo. A costoro è stato affidato il compito d’infittire le maglie della disciplina continentale, di accrescerne la «densità», senza poter contare sul conforto di una definizione legale di «danno» (e ancor meno di «danno immateriale»), né sulla guida di una pregressa giurisprudenza a riguardo.

Tanto considerato, il risultato dell’opera creatrice/integratrice della Corte UE è stato il seguente: l’art. 82, par. 1, del GDPR deve essere interpretato nel senso che il risarcimento del danno immateriale non è subordinato «alla condizione che il danno subito dall’interessato abbia raggiunto un certo grado di gravità».

Nessuna franchigia risarcitoria, quindi, è compatibile con l’autonoma categoria eurounitaria del danno immateriale, fermo restando che questa apertura al ristoro di disutilità non patrimoniali minime non significa che «una persona […] che abbia subito conseguenze negative» a seguito di un illecito trattamento dei propri dati «sia dispensata dal dimostrare che tali conseguenze costituiscono un danno immateriale, ai sensi dell’art. 82»; occorre comunque dimostrare «di aver effettivamente subito tale danno, per quanto minimo».

A tale approdo si giunge adducendo ad argomento princeps il rilievo che «l’articolo 82 […] si limita ad enunciare in modo esplicito che può dare diritto a un risarcimento non solo un “danno materiale”, ma anche un “danno immateriale”, senza che venga menzionata una qualsivoglia soglia di gravità». Dietro queste parole, è difficile non scorgere l’impiego di una classica tecnica di costruzione di norme inespresse. Più precisamente, della tecnica dell’argomento a contrario in funzione costruttiva. Nella specie, infatti, si assume che il legislatore europeo ha detto esattamente ciò che intendeva dire (ubi lex voluit dixit, ubi tacuit noluit), sicché ciò che non ha detto, evidentemente, non intendeva dirlo, giacché, se avesse voluto dirlo, l’avrebbe detto.

A puntello di tale ragionamento, la Corte aggiunge un argomento di natura teleologica. L’interpretazione secondo cui «il diritto al risarcimento non è subordinato al fatto che il danno di cui trattasi raggiunga una certa soglia di gravità» è in linea con quanto indicato nel centoquarantaseiesimo «considerando» del GDPR che invita a interpretare il «concetto di danno […] in senso lato [e] in modo […] da rispecchiare pienamente gli obiettivi del presente regolamento»; mentre «tale concezione ampia della nozione di “danno”, privilegiata dal legislatore dell’Unione, sarebbe contraddetta se detta nozione fosse circoscritta ai danni di una certa gravità», così come «subordinare il risarcimento di un danno immateriale a una certa soglia di gravità rischierebbe di nuocere alla coerenza del regime istituito dal GDPR, poiché la gradazione di siffatta soglia, da cui dipenderebbe la possibilità o meno di ottenere detto risarcimento, potrebbe variare in funzione della valutazione dei giudici aditi».

Ora, al di là della persuasività di queste contorsioni verbali, balza evidente la preoccupazione di accreditare l’opzione interpretativa reputata più idonea ad assicurare l’uniforme applicazione dell’art. 82 all’interno dell’Unione. Ma vi è di più, questo modo di leggere la previsione regolamentare amplia l’operatività delle tecniche di tutela collettiva, poiché consente di coagulare tante piccole pretese risarcitorie omogenee; bagatellari se le si considera singolarmente, ma (non di rado) d’ingente valore economico se si ha riguardo alla loro somma.

In questa sede, tuttavia, quel che più interessa sottolineare è la coesistenza attuale di un duplice statuto normativo del danno extra-patrimoniale: da un lato, quello del danno immateriale, disciplinato in via esclusiva dal formante legislativo europeo di fonte regolamentare, così come interpretato/integrato dalla Corte di giustizia; dall’altro lato, quello domestico del danno non patrimoniale al quale – almeno in Italia – continua ad applicarsi il doppio filtro della «gravità della lesione» della situazione giuridica protetta e della «serietà del pregiudizio» patito dalla vittima in conseguenza di tale lesione. Di talché, l’espressione «danno immateriale», sebbene sia il frutto di una traduzione (persino troppo) letterale della locuzione inglese non-material damage, si sta comunque rivelando utile. Col senno di poi, possiamo considerarla come il prodotto di una felix culpa del traduttore, in quanto vale a rendere d’immediata percezione la matrice squisitamente europea di tale tipologia di danno e a segnalarne l’autonomia.

Segni eloquenti di una crescente consapevolezza della specificità del danno immateriale si rinvengono nelle primissime decisioni dei giudici nazionali in argomento. A cominciare dalla prima pronuncia sull’art. 82 della nostra Corte di Cassazione. Quest’ultima, nel confermare la sentenza di merito (con cui era stato condannato al risarcimento del danno immateriale un Comune il quale – per sole 24 ore – aveva indebitamente pubblicato sul proprio sito istituzionale i dati identificativi di una lavoratrice che aveva subito il pignoramento del quinto dello stipendio), ha significativamente affermato che «il soggetto danneggiato a seguito di un trattamento dei suoi dati in violazione delle norme del GDPR […] può ottenere il risarcimento di qualunque danno occorsogli, anche se la lesione sia marginale» (Cass. ord., 15 maggio 2023, n. 13073).

Analogamente, sempre ai sensi dell’art. 82, un Tribunale tedesco ha recentemente liquidato la cifra simbolica di venticinque euro a chi aveva ricevuto due mail pubblicitarie indesiderate (Tribunale regionale di Heidelberg il 16 marzo 2022, LG Heidelberg – 4S 1/21).

Nell’accordare questo modesto risarcimento, il Tribunale ha quindi tenuto conto di alcune piccolissime ‘disutilità’ extra-patrimoniali consistenti nel tempo sprecato a occuparsi delle mail indesiderate, individuare il loro mittente, redigere e inviare una comunicazione scritta per chiedere la cancellazione dei dati, rimuovere i messaggi dalla casella di posta elettronica. Per inciso, una particolare sottolineatura merita la circostanza che la decisione sia stata assunta da un giudice tedesco. Anche in Germania, così come in Austria e Italia, si era infatti consolidata la contrapposta regola giurisprudenziale dell’irrilevanza ai fini risarcitori dei danni non patrimoniali di minima entità.

Tutto ciò detto, rimane da chiedersi se questa convivenza tra differenti statuti normativi (quello squisitamente europeo del danno immateriale da illecito trattamento dei dati personali e quelli nazionali degli altri danni non patrimoniali) sia davvero priva di punti d’attrito e di possibilità di contagio.

Infatti, è lecito dubitare che l’anzidetto passaggio «dal danno non patrimoniale ai danni non patrimoniali» possa passare indenne al vaglio dei giudici delle leggi dei vari Paesi UE. A riguardo, con specifico riferimento alla situazione italiana, si è già utilmente rilevato che un sistema del danno non patrimoniale calibrato su due velocità, con la sottoclasse del danno immateriale ex art. 82 GDPR, che fa da sé, giustapposta alla categoria domestica del danno non patrimoniale ex art. 2059 c.c. nel quale il superamento di soglia minima di gravità continua invece a essere richiesta, finirà per alimentare le voci propense a denunziare un’illegittimità costituzionale derivante da una disparità di trattamento patita dagli altri diritti fondamentali di rilevanza costituzionale.

È ben possibile, tuttavia, che le predette questioni d’illegittimità siano prevenute dai giudici nazionali, allineando l’interpretazione delle norme interne ai canoni ermeneutici dettati dalla Corte di Lussemburgo per l’art. 82. E, se così sarà, la specie del danno immateriale produrrà una sorta di coattail effect, un effetto di trascinamento di grandissimo rilievo: l’uniformazione europea «dal basso», cioè in via giurisprudenziale, dell’intero genere del danno non patrimoniale.

4. La questione del «chi»

La questione del «chi» si apre sul presupposto che a quella sul «se» sia stata data una risposta affermativa. Quindi, una volta appurato che il danno è risarcibile, occorre procedere all’individuazione del soggetto obbligato al risarcimento. A tale fondamentale funzione provvedono le regole sui criteri di imputazione/attribuzione della responsabilità. A esse, infatti, è commesso il compito d’identificare la ragione per cui il costo di un danno deve essere posto a carico di un soggetto diverso da colui (la vittima) che storicamente lo ha subito.

Con specifico riferimento al tema che ci occupa, è da osservare che, nella fattispecie di responsabilità delineata dall’art. 82, il criterio d’imputazione dell’obbligo risarcitorio è incentrato sulla particolare natura dell’attività esercitata dal presunto responsabile. Nei suoi elementi costitutivi, tale fattispecie ricollega l’attribuzione della responsabilità al fatto oggettivo dello svolgimento di un’attività qualificabile – ai sensi dell’art. 4, n. 2 del GDPR – come «trattamento»: vale a dire, «qualsiasi operazione o insieme di operazioni […] applicate a dati personali […], come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione».

Con una precisazione, dal momento che il regolamento europeo «non si applica ai trattamenti di dati personali […] effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico» (art. 2, par. 2, lett. c del GDPR), sono esclusi dall’arco di applicazione dell’art. 82 i danni conseguenti a trattamenti eseguiti – volendo riproporre le stesse parole impiegate nel diciottesimo «considerando» – «senza una connessione con un’attività commerciale o professionale».

Ne viene, pertanto, che, nell’economia dell’art. 82, il coinvolgimento in un’operazione di trattamento di dati personali svolta nel quadro di attività lato sensu professionali costituisce ragione sufficiente, indipendentemente dalla colpa del candidato responsabile, per l’imputazione della responsabilità.

Siamo qui al cospetto di una fattispecie di responsabilità presunta (più che «di responsabilità per colpa accompagnata da un’inversione dell’onere della prova», come impropriamente sostenuto dalla Corte di giustizia nella sentenza 21 dicembre 2023, causa C-667/21), caratterizzata dalla previa canalizzazione dell’obbligazione risarcitoria verso soggetti predeterminati, ossia coloro ai quali risulta riferibile l’attività di trattamento dei dati che ha costituito il fattore causale del «danno conseguenza».

Si vuol quindi ripetere che tra i fatti costitutivi, quelli che condizionano il sorgere dell’effetto risarcitorio, la previsione dell’art. 82 non contempla il criterio d’imputazione soggettivo della colpa, ma attribuisce la responsabilità in relazione al fatto oggettivo dello svolgimento di una peculiare attività.

Merita considerare, tuttavia, chi esercita professionalmente un’attività di trattamento dei dati personali non è affatto privo di possibilità di difesa. Infatti, trattandosi di una presunzione relativa di responsabilità, il terzo paragrafo della disposizione in esame stabilisce che «Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità […] se dimostra che l’evento dannoso non gli è in alcun modo imputabile».

Senonché, né il tenore letterale della formula impiegata dal legislatore europeo, né il «considerando» (il centoquarantaseiesimo) che a essa fa fugacemente riferimento, offrono sufficienti indicazioni riguardo al contenuto della prova liberatoria. Ampio, perciò, è il ventaglio delle soluzioni interpretative possibili.

Così, ad esempio, lo si potrebbe intendere in senso restrittivo, assumendo che la prova dell’evento dannoso in alcun modo imputabile coincide con quella del caso fortuito che – nella sua accezione oggettiva – si riferisce a circostanze esterne al (presunto) destinatario dell’imputazione, tali da escludere in radice la rilevanza di qualsiasi giudizio valutativo della condotta dell’agente in chiave di assenza di colpa. Tuttavia, la centralità che il principio di accountability riveste nell’architettura normativa complessiva del GDPR e – come si vedrà tra breve – la giurisprudenza della Corte di giustizia non orientano in questa direzione.

Diversamente, a noi sembra più convincente ritenere che il contenuto privilegiato della prova liberatoria concessa al presunto responsabile consista nella dimostrazione dell’insussistenza della violazione del regolamento europeo (idonea a integrare la lesione del diritto alla protezione dei dati personali) allegata – ma non provata – dalla controparte.

In altri termini, è la non antigiuridicità a essere elemento impeditivo dell’insorgere dell’obbligazione risarcitoria in capo al titolare e/o al responsabile del trattamento.

Più in generale, qui vale la pena di ricordare che il trattamento di dati personali altrui è lecito/non antigiuridico se ricorrono due condizioni: 1) l’attività di trattamento deve poggiare su una delle «basi giuridiche» indicate all’articolo 6 cui si aggiunge l’applicazione dell’art. 9 GDPR per le categorie particolari di dati personali (v. cap. La disciplina dell’attività di trattamento, sez. I); 2) deve svolgersi, altresì, nel rispetto dei principi sanciti all’art. 5 del GDPR (trasparenza, limitazione delle finalità e dei tempi di conservazione, minimizzazione, integrità, e così via enumerando). Il giudizio sulla liceità del trattamento si configura quindi come una valutazione complessa, scandita da due momenti successivi: è necessario che sussista almeno una base giuridica; e che, ciò appurato, l’operazione di trattamento sia svolta in conformità dei «principi applicabili al trattamento dei dati personali».

La presenza di una valida base giuridica non garantisce, di per sé sola, la liceità del trattamento. Si pensi, in via esemplificativa, al caso di un Comune che, in esecuzione di un preciso obbligo legale (nella specie, quello prescritto dall’art. 15 del d. lgs. n. 33 del 2013), pubblichi nell’apposita sezione del proprio sito istituzionale il curriculum del titolare di un incarico di consulenza. Ebbene, tale trattamento, pur poggiando su una solida base giuridica (vd. art. 6, par. 1, lett. c del GDPR), sarebbe comunque illecito se il documento diffuso online contenesse informazioni personali eccedenti rispetto alle finalità di trasparenza amministrativa, in spregio del principio di «minimizzazione dei dati» (ai sensi art. 5, par. 1, lett. c del GDPR).

Quindi, per restare all’esempio delineato, il consulente che voglia agire per il risarcimento del danno materiale e/o immateriale ex art. 82 GDPR avrà l’onere di provare l’avvenuta pubblicazione del proprio curriculum nella sezione «Amministrazione trasparente» del sito web dell’ente convenuto, di aver subito una perdita di utilità patrimoniali e/o extrapatrimoniali e il nesso di causalità tra la pubblicazione e la perdita di utilità, mentre dovrà solo allegare la violazione del principio di minimizzazione. Il Comune, invece, per andare esente da responsabilità, dovrà dimostrare che i dati personali divulgati sono «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati». Mentre, ove non gli riuscisse di fornire siffatta dimostrazione, resterà obbligato al risarcimento in ragione della presunzione iuris tantum di responsabilità.

Riguardo al contenuto della prova liberatoria, è da sottolineare che a essa non è estranea una valutazione del comportamento tenuto dal presunto responsabile. Difatti, se la «violazione del presente regolamento» integra gli estremi della colpa specifica in termini d’inosservanza di discipline, la prova della conformità del trattamento alle regole che vi presiedono (id est: della «non antigiuridicità») si sostanzia nella dimostrazione dell’assenza di colpa.

L’esattezza di questa conclusione emerge con particolare nitore nelle ipotesi in cui l’interessato lamenta di aver subito un danno a seguito di una violazione di dati personali (c.d. data breach), ossia un incidente di sicurezza «che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati» (art. 4, n. 12 GDPR). Ipotesi, queste, in cui la responsabilità civile da illecito trattamento s’intreccia in maniera vistosa con il principio di accountability.

Ma procediamo con ordine e cominciamo col dire che tra i «principi» enunciati all’art. 5 GDPR spicca, per importanza, quello di «integrità e riservatezza» che impone di trattare i dati personali «in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali» (§ 1, lett. f) (v. cap. La disciplina dell’attività di trattamento, sez. II). Non solo, in più luoghi del regolamento europeo si aggiunge che l’esercente attività di trattamento deve essere in grado di dimostrare di aver adottato misure di sicurezza adeguate a garantire un elevato livello di protezione dei diritti delle persone fisiche cui i dati si riferiscono, tenendo conto dello stato dell’arte, dei costi di attuazione delle predette misure, della natura dei dati, delle finalità del trattamento, nonché dei rischi e dei danni potenziali (cfr. artt. 5, par. 2, 24, par. 1, 25 e 32 del GDPR). In essenza, quindi, l’accountability (espressione che con molte difficoltà e qualche insoddisfazione è stata tradotta in italiano con il sostantivo «responsabilizzazione») si riduce al duplice obbligo di adottare misure di sicurezza adeguate e di provare di averle adottate.

Sicché, nell’evenienza di un attacco hacker – incidente di sicurezza per eccellenza – alla persona fisica dell’interessato spetterà dimostrare (ad esempio) che la propria cartella clinica è stata divulgata da pirati informatici e di aver subito un danno in conseguenza di tale divulgazione, mentre dovrà limitarsi ad allegare che il presunto responsabile ha violato il principio di «integrità e riservatezza». Il convenuto, invece, per liberarsi dalla responsabilità, avrà l’onere di provare di aver adottato misure tecniche e organizzative adeguate.

A questo proposito, la Corte di giustizia ha ulteriormente precisato che «una divulgazione non autorizzata di dati personali o un accesso non autorizzato a tali dati da parte di “terzi” […] non sono sufficienti, di per sé, per ritenere che le misure tecniche e organizzative attuate dal titolare del trattamento in questione non fossero “adeguate”», «senza neppure consentire a quest’ultimo di fornire prova contraria»; e che «l’adeguatezza delle misure […] attuate dal titolare del trattamento […] deve essere valutata dai giudici nazionali in concreto, tenendo conto dei rischi connessi al trattamento di cui trattasi e valutando se la natura, il contenuto e l’attuazione di tali misure siano adeguate a tali rischi» (sentenza 14 dicembre 2023, causa C-340/21).

Tanto vale a dire che l’adeguatezza delle misure adottate è da accertarsi mediante una valutazione ex ante, riferita al momento precedente all’incidente di sicurezza, anteriore cioè a quello in cui – per usare un’espressione invalsa nel gergo degli informatici – «i buoi sono scappati dalla stalla». Tale valutazione, inoltre, deve essere operata tenendo conto dei diversi criteri di giudizio dettati dall’art. 32 par. 1 GDPR: stato dell’arte della tecnologia, costi di attuazione, natura dei dati, finalità del trattamento ed entità del rischio. Cosicché, sempre nell’ipotesi di divulgazione non autorizzata di documentazione sanitaria a opera di pirati informatici, le stesse misure tecniche e organizzative potrebbero essere considerate adeguate se il titolare del trattamento è un medico di base e, al contempo, inadeguate se a rivestire la qualità giuridica di titolare è una grande azienda ospedaliera.

In ogni caso, anche per la Corte di giustizia, può dirsi acquisito che «nell’ambito di un’azione di risarcimento fondata sull’art. 82 […], al titolare del trattamento di cui trattasi incombe l’onere di dimostrare l’adeguatezza delle misure di sicurezza da esso attuate».

Va semmai soggiunto che il contenuto della prova liberatoria è sensibilmente più ampio per chi, in forza di un titolo formale di designazione (contratto o altro atto giuridico scritto ex art. 28, par. 9 GDPR), dimostra di aver agito in qualità di responsabile del trattamento. Infatti, «la persona fisica o giuridica […] che tratta dati per conto del titolare del trattamento» (art. 4, n. 9 GDPR) va esente da responsabilità se prova che la violazione del regolamento europeo contestatagli dall’interessato si riferisce a un obbligo che incombe esclusivamente sul titolare; come quello, per esempio, di astenersi dall’eseguire un’attività di trattamento in difetto di un’idonea base giuridica.

A nostro avviso, questo è il senso dell’involuta locuzione normativa secondo la quale il «responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto agli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento» (art. 82, par. 2 GDPR).

In chiusa di paragrafo, traendo le fila da quanto sin qui osservato, pare di poter dire che l’art. 82 configura una fattispecie di responsabilità presunta, nella quale l’obbligazione risarcitoria è imputata oggettivamente, in considerazione della peculiare natura dell’attività esercitata dal titolare e/o dal responsabile del trattamento. Diversamente, la prova liberatoria, implicando una valutazione del comportamento assunto dal presunto responsabile (circa l’insussistenza della violazione del regolamento europeo allegata dalla controparte), si risolve nella dimostrazione dell’assenza di colpa. Sicché, facendo tesoro dell’insegnamento della dottrina che più e meglio ha studiato la materia delle responsabilità presunte, la fattispecie in esame si colloca «nell’ambito di un sistema intermedio o di un tertium genus fra il sistema della responsabilità soggettiva e quello di responsabilità oggettiva», tenendosi appunto conto che tale fattispecie nel fatto costitutivo prescinde dal criterio d’imputazione della colpa, prevede il fatto impeditivo dell’assenza di colpa come prova liberatoria e attribuisce il rischio della mancata prova del fatto impeditivo al soggetto presunto responsabile (Comporti, 2000).

5. La questione del «quanto»

Tra i nostri giuristi è diffusa la constatazione che, nel momento attuale, il problema più annoso della responsabilità civile sia quello della liquidazione del danno.

Questo vale per il danno per il danno in generale, sia patrimoniale sia non patrimoniale («materiale» e «immateriale» nel lessico eurounitario dell’art. 82 GDPR); ma è vieppiù accentuato per quello non patrimoniale che – tradotto in essenza – si sostanzia nella perdita di utilità areddituali, alle quali, in un determinato momento storico, non è possibile accedere attraverso la mediazione del denaro; o, in altre parole, nell’ammanco di utilità non conseguibili mediante l’acquisto di beni o di servizi offerti sul mercato e che, quindi, molto in sintesi (e con un certo margine d’ineliminabile approssimazione), «non si possono comprare».

Il risarcimento del danno patrimoniale presuppone, per la vittima che lo subisce, una perdita economica; il risarcimento del danno non patrimoniale, invece, vi prescinde completamente.

Da questa semplice constatazione discende che il rimedio risarcitorio svolge per l’uno e per l’altro funzioni necessariamente diverse.

Più in dettaglio, il risarcimento del danno patrimoniale svolge una funzione eminentemente «compensativa»: mira alla reintegrazione della ricchezza perduta e/o preclusa a seguito del fatto illecito attraverso l’azzeramento del saldo negativo che si è venuto a creare nel patrimonio della vittima in conseguenza del fatto illecito, ma – si aggiunge – senza «esuberi». Per cui s’insegna, tradizionalmente, che il suo ammontare è uguale al delta tra due termini monetari. Alla differenza aritmetica, cioè, tra il valore che il patrimonio del danneggiato avrebbe avuto qualora l’illecito non si fosse verificato (minuendo) e quello suo effettivo a seguito del verificarsi dell’illecito (sottraendo). E, così facendo, si dà attuazione al principio della riparazione integrale: il quantum del risarcimento deve corrispondere all’entità della perdita economica subita, nulla di più e nulla di meno.

Diversamente è a dirsi, invece, per il risarcimento del danno non patrimoniale che – si vuol ripetere – prescinde dall’esistenza di un’alterazione in peius del patrimonio della vittima; per cui, non venendo qui in questione la reintegrazione di un damnum emergens e/o di un lucrum cessans, la sua funzione appare ontologicamente incompatibile con quella di compensare ammanchi di ricchezza verificatisi a seguito dell’illecito.

La corresponsione di una somma di denaro a titolo di ristoro del danno non patrimoniale svolge quindi, sempre e di necessità, un’altra prioritaria funzione. Più precisamente, una funzione «satisfattiva». Suo tramite, infatti, si tende a confortare la vittima procurandole utilità economiche sostitutive di utilità areddituali oramai irrimediabilmente perdute, perché non recuperabili sul mercato.

In diverse parole, si «consola» la vittima arricchendola in termini monetari (esito normalmente precluso, come si è già osservato, alle regole che governano il risarcimento del danno patrimoniale), ma senza pretesa di realizzare un’illusoria equivalenza tra le sofferenze patite e le soddisfazioni che il denaro può arrecare. A fronte di «disutilità» non patrimoniali, questo è quello che finora il diritto civile è riuscito a fare: attribuire una somma di denaro che non pretende di cancellare il dolore né di essergli equivalente.

Ne discende come corollario che il risarcimento del danno non patrimoniale (a cui è del tutto estranea la funzione di compensazione di una perdita economica) non può essere governato dal principio della «riparazione integrale».

Tanto acquisito, torniamo al nostro tema, quello della liquidazione dei pregiudizi materiali e/o immateriali conseguenti a un trattamento di dati personali di cui l’interessato allega l’illiceità.

A riguardo, la prima delle decisioni rese dalla Corte di giustizia sull’art. 82 GDPR (4 maggio 2023, C-300/21) si è pronunciata sulla seguente questione pregiudiziale: se la disposizione in parola debba essere interpretata «nel senso che, ai fini della determinazione dell’importo del risarcimento dovuto in base al diritto al risarcimento sancito in tale articolo, i giudici nazionali devono applicare le norme interne di ciascuno Stato membro relative all’entità del risarcimento pecuniario».

Ad avviso di chi scrive, la ‘bussola’ dell’autonomia del diritto europeo di fonte regolamentare e la considerazione degli obiettivi teleologici sottesi alla scelta di uno strumento giuridico di uniformazione avrebbero dovuto orientare la Corte verso una sicura risposta negativa. Infatti, posto che l’art. 82 non contiene indicazioni riguardo alla stima del danno immateriale, né, su questo specifico aspetto, rinvia espressamente al diritto degli Stati membri, il conseguente vuoto di disciplina avrebbe dovuto essere colmato attraverso l’innesto creativo/integrativo della Corte di giustizia: i dicta resi in sede di rinvio pregiudiziale, vincolanti per tutti i giudici nazionali cui venga sottoposta un’analoga questione, sono i soli idonei a rimediare al difetto di autosufficienza del formante legislativo europeo, senza innescare l’effetto ‘vestito di Arlecchino’, ossia un esito di frammentazione regolatoria opposto all’obiettivo dell’uniformazione.

Diversamente (e sorprendentemente), i giudici di Lussemburgo hanno risposto al quesito in discorso così: «l’articolo 82 del GDPR deve essere interpretato nel senso che, ai fini della determinazione dell’importo del risarcimento dovuto in base al diritto al risarcimento sancito da tale articolo, i giudici nazionali devono applicare le norme interne di ciascuno Stato membro relative all’entità del risarcimento pecuniario, purché siano rispettati i principi di equivalenza e di effettività del diritto dell’Unione».

Nel tentativo di puntellare questa conclusione, la motivazione chiama a supporto il principio di autonomia processuale, secondo il quale «in mancanza di norme dell’Unione in materia, spetta all’ordinamento giuridico interno di ciascuno Stato membro stabilire le modalità procedurali dei ricorsi giurisdizionali». Principio implicitamente richiamato dallo stesso art. 82 che, al sesto e ultimo paragrafo, rinvia al «diritto dello Stato membro» per quanto attiene all’individuazione dell’autorità giurisdizionale competente a conoscere della domanda risarcitoria e, più in generale, riguardo alle regole di carattere processuale.

Senonché, è agevole osservare che il principio di autonomia processuale è qui richiamato dalla Corte UE del tutto a sproposito, poiché nulla c’entra con le regole che presiedono alla quantificazione dell’obbligazione risarcitoria. La liquidazione monetaria del danno è una questione spinosa, scivolosa come una lastra di ghiaccio, sì, ma di diritto sostanziale.

Tra parentesi, se all’errore appena denunciato sarà data acriticamente continuità, l’effetto sarà quello di escludere indebitamente una fase centrale del giudizio di responsabilità, quella che attiene alla determinazione del quantum debeautur, dal processo di costruzione del diritto comune europeo della responsabilità civile.

Ad ogni modo, dopo la sentenza ‘apripista’, altre decisioni hanno riguardato il profilo della commisurazione del danno (CGUE, 21 dicembre 2023 C-667/21; CGUE, 25 gennaio 2024, C-687/21; CGUE, 11 aprile 2024, C-741/21; CGUE, 20 giugno 2024, C-182/22 e C-189/22). Queste sentenze, pur non rinnegando la soluzione sovranistica propugnata dalla Österreichische Post AG, si sono comunque sforzate di delineare regole uniformi per la liquidazione. Là dove, in particolare, esse impongono a tutti i giudici dell’Unione di interpretare l’art. 82 GDPR nel senso che «il diritto al risarcimento previsto da tale disposizione svolge una funzione esclusivamente compensativa, in quanto il risarcimento pecuniario fondato su detta disposizione deve consentire di compensare integralmente il danno concretamente subito […], e non una funzione punitiva». Aggiungendo, in linea di coerenza con questa affermazione di principio, che ai fini della commisurazione dell’entità della prestazione risarcitoria non devono essere presi in considerazione elementi che prescindono dalla dimensione della perdita economica effettivamente determinatasi nella sfera giuridica della persona fisica cui i dati si riferiscono. Quali, invece, sarebbero quelli che attengono al grado di riprovevolezza della condotta assunta dal danneggiante: «il livello di gravità della violazione del regolamento» commessa dal titolare o dal responsabile del trattamento, l’intensità della loro colpa o «l’eventuale carattere doloso della violazione».

Nella medesima lunghezza d’onda si colloca l’ulteriore precisazione dei giudici di Lussemburgo secondo cui «per determinare l’importo dovuto a titolo di risarcimento […] non si devono applicare mutatis mutandis i criteri di fissazione dell’importo delle sanzioni amministrative pecuniarie previsti dall’art. 83» del GDPR. Infatti, per espressa previsione del legislatore europeo, «le sanzioni amministrative inflitte» ai sensi della suddetta disposizione devono essere «dissuasive», cioè svolgere una funzione punitivo/deterrente. Tant’è che ai fini della fissazione del loro ammontare le autorità nazionali di controllo devono tener conto – tra l’altro – della «gravità […] della violazione», del «carattere doloso o colposo della violazione», del «grado di responsabilità del titolare del trattamento o del responsabile del trattamento», di «precedenti violazioni», nonché di «eventuali […] benefici finanziari conseguiti o le perdite evitate, indirettamente o indirettamente, quale conseguenza della violazione».

A nostro avviso il ragionamento svolto dalla Corte di giustizia è parzialmente emendabile, nella misura in cui esso pretende di valere, indistintamente, sia per il danno materiale/patrimoniale sia per quello immateriale/non patrimoniale.

Ora, questo modo di argomentare – che spesso si rinviene anche nelle motivazioni della Cassazione italiana – sconta un’evidente difficoltà culturale, che deriva anzitutto dall’insufficiente comprensione dell’ontologica diversità funzionale tra le due tipologie di danno. Infatti, come già sopra si è detto, al risarcimento del danno extra-patrimoniale è del tutto estranea la funzione di compensazione. Esso, pertanto, non può essere governato dal principio della «riparazione integrale».

Cadono acconce, a riguardo, le parole di una delle voci più autorevoli della nostra dottrina specialistica secondo cui il «principio del risarcimento integrale ha un preciso significato giuridico per il danno patrimoniale, dove […] esprime […] la regola per la quale la somma dovuta a titolo di risarcimento va calcolata in modo da corrispondere all’entità della perdita economica subita dalla vittima», ma che «parlare di risarcimento integrale per il danno non patrimoniale [è] formulazione priva di significato» e che – di conseguenza – sarebbe «una missione impossibile proporsi di determinare i criteri di quantificazione del danno non patrimoniale attraverso l’applicazione di quel principio» (Salvi 2014).

D’altro canto, la controprova empirica dell’inapplicabilità del principio della «riparazione integrale» al risarcimento dei danni extra-patrimoniali è data dalla circostanza che il suo inappropriato richiamo è insuscettibile di tradursi in regole operative che aiutino il giudice al momento del «dunque». Quando, cioè, questi è concretamente chiamato a determinare la misura dell’arricchimento monetario da accordare a chi ha subito la privazione di un quid che non ha valore di scambio.

Riferimenti bibliografici

Buset, Giacomo. 2024. “Ingiustizia del danno e antigiuridicità del fatto nella responsabilità da trattamento dei dati personali.” Rivista di diritto civile 5: 1008-32.

Camardi, Carmelita. 2023. “Illecito trattamento dei dati e danno non patrimoniale. Verso una dogmatica europea.” La nuova giurisprudenza civile commentata 5: 1136-45.

Comporti, Marco. 2000. “Le presunzioni di responsabilità.” Rivista di diritto civile 5 – Parte prima: 615-61.

Episcopo, Francesca. 2024. “UI v. Österreichische Post – A First Brick in the Wall for a European Interpretation of Art. 82 GDPR. 9. Case note on: CJEU, 4/05/23 (C-300/21 UI v. Österreichische Post AG).” EuCML 87, 2.

Faccioli, Mirko. 2025. “Criterio di imputazione e risarcimento del danno nella responsabilità civile per illecito trattamento di dati personali.” Accademia 7: 167-95.

Navone, Gianluca. 2022. “Ieri, oggi e domani della responsabilità civile da illecito trattamento dei dati personali” Nuove leggi civili commentate 1: 132-62.

Pagliantini, Stefano. 2023. “Un altro palcoscenico della «guerra» tra le corti: il danno (immateriale) bagatellare dell’art. 82 Gdpr”. Il foro italiano 6 – Parte quarta: 285-93.

Palmieri, Alessandro, e Roberto Pardolesi. 2023. “Mai futile il danno non patrimoniale da violazione della privacy (purché lo si provi).” Il foro italiano 6 – Parte quarte: 278-84.

Salanitro, Ugo. 2023. “Illecito trattamento dei dati personali e risarcimento del danno nel prisma della Corte di giustizia.” Rivista di diritto civile 3: 426-57.

Salvi, Cesare. 2014. “Il risarcimento integrale del danno non patrimoniale, una missione impossibile. Osservazione sui criteri per la liquidazione del danno non patrimoniale.” Europa e diritto privato 3: 217-31.

Scognamiglio, Claudio. 2023. “Danno e risarcimento nel sistema del Rgpd: un primo nucleo di disciplina eurounitaria della responsabilità civile?” La Nuova Giurisprudenza Civile Commentata 5: 1150-59.