Il quadro delle responsabilità da illecito trattamento di dati personali: l’apporto del Regolamento sullo Spazio Europeo dei Dati Sanitari (Reg. UE 2025/327)

Lo stato del dibattito intorno alla responsabilità da illecito trattamento di dati personali: cenni

La disciplina della responsabilità civile per trattamento illecito di dati personali ha conosciuto, nel corso degli ultimi decenni, un processo evolutivo di particolare intensità, i cui snodi fondamentali risultano ormai ampiamente acquisiti nel dibattito dottrinale. Il percorso muove dall’art. 23 della Direttiva 95/46/CE, trova una prima sistemazione nel diritto interno con l’art. 15 del d.lgs. n. 196/2003 – oggi non più vigente – e approda infine all’art. 82 del Regolamento (UE) 2016/679 (GDPR).

Tale norma è stata frequentemente interpretata come espressione della volontà del legislatore eurounitario di approntare – non a caso mediante un regolamento – una disciplina uniforme della responsabilità da illecito trattamento dei dati, da più parti concepita come embrione di un modello di responsabilità civile di matrice sovranazionale[ref]Per i termini del dibattito v. in particolare C. Scognamiglio, Danno e risarcimento nel sistema del Rgpd: un primo nucleo di disciplina eurounitaria della responsabilità civile?, in Nuova giur. civ. comm., 2023, II, p. 1150 ss.; Camardi, Illecito trattamento dei dati e danno non patrimoniale. Verso una dogmatica europea, ibidem, p. 1136 ss.; Salanitro, Illecito trattamento dei dati personali e risarcimento del danno nel prisma della Corte di Giustizia, in Riv. dir. civ., 2023, p. 430 ss.; Palmerini, Responsabilità da trattamento illecito dei dati personali, in Navarretta (a cura di), Codice della responsabilità civile, Giuffrè, Milano, 2021, p. 2480 ss.[/ref]. Secondo tale lettura, l’art. 82 GDPR si presenterebbe così come fattispecie autosufficiente, sottratta alle categorie tradizionali degli ordinamenti nazionali, cui la norma – significativamente, si sostiene – omette di fare riferimento[ref]Molto si è discusso, in Italia, soprattutto sulla possibilità o meno che il canone della “ingiustizia del danno” rivesta un qualche ruolo nella modulazione della responsabilità ex art. 82 GDPR. Sul tema cfr. in particolare Buset, Ingiustizia del danno e antigiuridicità del fatto nella responsabilità da trattamento di dati personali, in Riv. dir. civ., 2024, p. 1008 ss.[/ref], e strutturata intorno a tre elementi costitutivi:

a) l’illiceità del trattamento, da intendersi in senso ampio, e non soltanto quale violazione di una o più specifiche norme del GDPR;

b) la produzione di un danno, quale lesione di una posizione giuridica soggettiva tutelata dal Regolamento;

c) il rapporto di causalità tra la condotta illecita e il pregiudizio lamentato.

Intorno alla norma ruotano numerose questioni ancora controverse.

In primo luogo, si discute della natura giuridica della responsabilità configurata dall’art. 82 GDPR, oscillando tra ricostruzioni in chiave contrattuale, extracontrattuale, oggettiva o fondata su una presunzione di colpa[ref]Cfr. Faccioli, Criterio di imputazione e risarcimento del danno nella responsabilità civile per illecito trattamento di dati personali, in Accademia, 2025, p. 179 ss., nonché, ancora, Palmerini, Responsabilità, cit., p. 2466 ss. Nella giurisprudenza europea, v. in particolare CGUE 21 dicembre 2023, C-667/21, Krankenversicherung Nordrhein, e CGUE 11 aprile 2024, C-741/21, juris GmbH.[/ref]. 

Ulteriori incertezze attengono alla legittimazione attiva, posto che la norma fa riferimento a «chiunque subisca un danno», formula che parrebbe eccedere la cerchia dei soli “interessati” in senso stretto; nonché al contenuto e all’estensione della prova liberatoria gravante sul titolare e/o sul responsabile del trattamento, alla luce del riferimento alla “non imputabilità” dell’evento dannoso contenuto nel par. 3 dell’art. 82.

Il portato della norma è stato integrato da diverse pronunce della Corte di Giustizia, le quali hanno, in estrema sintesi:

• da un lato, escluso che la lesione del diritto alla protezione dei dati personali dia luogo, di per sé, a un danno risarcibile in re ipsa[ref]Cfr. soprattutto CGUE 4 maggio 2023, C-300/21, Österreichische Post.[/ref];
• dall’altro, riconosciuto la risarcibilità di danni (non patrimoniali) anche di modesta entità, quali quelli connessi a stati d’animo di disagio soggettivo derivante dalla perdita di controllo sui propri dati o il timore di un loro utilizzo futuro improprio, purché le conseguenze pregiudizievoli di tali condizioni siano adeguatamente provate[ref]Vedasi CGUE 4 maggio 2023, C-300/21, cit.; CGUE 14 dicembre 2023, C-340/21, Natsionalna agentsia za prihodite; CGUE 4 settembre 2025, C-655/23, Quirin Privatbank.[/ref]

Il tutto, in un quadro nel quale la stessa giurisprudenza ha altresì chiarito che la responsabilità civile in materia di protezione dei dati svolge una funzione residuale e di chiusura del sistema, collocandosi a valle dell’articolato apparato di obblighi preventivi predisposto dal legislatore eurounitario[ref]Cfr. CGUE 25 gennaio 2024, C-687/21, MediaMarkt Saturn; CGUE 4 ottobre 2024, C-507/23, PTAC.[/ref]. Essa non persegue dunque finalità punitive, ma esclusivamente compensative del pregiudizio (anche lieve) effettivamente sofferto, intervenendo solo per ristorare il danno che si sia verificato nonostante l’esistenza degli obblighi previsti ex ante.

Le responsabilità nel Regolamento sullo Spazio Europeo dei Dati Sanitari

Al mosaico delle responsabilità da illecito trattamento di dati personali si aggiunge ora un nuovo tassello, portato dal Regolamento (UE) 2025/327, dell’11 febbraio 2025, sullo Spazio Europeo dei Dati Sanitari (European Health Data Space – EHDS), le cui previsioni diverranno applicabili in larga parte dal 26 marzo 2027.

L’art. 100 del Regolamento riconosce a chiunque subisca un danno materiale o immateriale derivante da una violazione del Regolamento – ad esempio, per inosservanza del diritto di opt-out nel contesto dell’uso secondario dei dati, utilizzi per finalità secondarie non consentite, accesso ai dati da parte di soggetti non autorizzati o carenze nei processi di anonimizzazione – il diritto al risarcimento, «conformemente al diritto dell’Unione e nazionale»[ref]Sul tema della responsabilità nel Regolamento EHDS v. in particolare Faccioli, La responsabilità civile per violazione della disciplina sull’utilizzo dei dati sanitari elettronici nell’European Health Data Space (art. 100, Reg. 2025/327/UE), in Resp. civ. prev., 2025, p. 1450 ss.[/ref].

Quanto ai soggetti passivi di tale azione risarcitoria, il considerando 101 del medesimo Regolamento li individua, in particolare, nell’autorità di sanità digitale, nell’organismo responsabile dell’accesso ai dati, nel titolare o nell’utente dei dati sanitari, a seconda della violazione concretamente realizzata.

La disposizione presenta evidenti affinità strutturali con l’art. 82 GDPR[ref]Cfr. Corso, Lo spazio europeo dei dati sanitari. Prime riflessioni sul Regolamento UE 2025/327, in Nuove leggi civ. comm., 2025, p. 591 ss.[/ref], dal quale tuttavia si discosta per alcuni elementi significativi, primo fra tutti l’assenza di una espressa disciplina della prova liberatoria. Si dubita, tuttavia, che tale omissione possa essere interpretata come indice di una responsabilità particolarmente rigorosa, quasi prossima a una responsabilità “da evento”. Una siffatta lettura appare, infatti, difficilmente conciliabile con la ratio complessiva del Regolamento EHDS, che mira a favorire la circolazione e l’utilizzo dei dati sanitari. Una responsabilità di tal fatta rischierebbe, infatti, di produrre effetti dissuasivi incompatibili con tali obiettivi, generando un “chilling effect” specialmente sull’uso secondario dei dati.

Inoltre:

• da un lato, il richiamo al diritto dell’Unione suggerisce, comunque, la possibilità di estendere anche all’art. 100 del Regolamento EHDS gli orientamenti interpretativi elaborati dalla Corte di Giustizia in relazione all’art. 82 GDPR, che difficilmente potranno essere ignorati, sul piano sistematico, quale parametro di integrazione;
• dall’altro, l’esplicito rinvio operato dall’art. 100 anche al diritto nazionale introduce un elemento di discontinuità rispetto all’art. 82 GDPR; e potrebbe consentire – se non imporre – un maggiore coinvolgimento delle regole e dei principi propri dei singoli ordinamenti, anche in punto di prova liberatoria.

Osservazioni conclusive

In questa prospettiva, dunque, la fattispecie delineata dall’art. 100 del Regolamento EHDS non parrebbe potersi configurare come completamente autosufficiente, ma sembrerebbe richiedere, inter alia, un più elevato livello di integrazione con il diritto interno rispetto a quanto s’è detto, anche in dottrina, con riferimento al regime di cui all’art. 82 GDPR.

Pertanto, in attesa di verificare quale applicazione verrà fatta della norma in sede pretoria, pare, dunque, doversi aderire alle tesi di chi, tra i primi commentatori, ha evidenziato come il legislatore eurounitario sembri aver rinunciato a disciplinare in dettaglio le vicende di responsabilità civile suscettibili di emergere in relazione a violazioni del Regolamento EHDS, ritenendo preferibile effettuare un rinvio al diritto dell’Unione e degli ordinamenti nazionali, e così alle norme – eurounitarie e/o domestiche – che, di volta in volta, meglio s’attaglieranno al caso di specie[ref]Il riferimento è a Faccioli, La responsabilità, cit., p. 1463 ss.[/ref].