La questione e il rinvio pregiudiziale alla Corte UE
La Corte di giustizia con la sentenza del 4 maggio 2023 C-300/21 ha avuto occasione di fissare presupposti e criteri in tema di risarcimento del danno “immateriale” derivante da un trattamento illecito (ai sensi del Reg. UE 2016/679, GDPR) di dati personali.
Posto che i dati sanitari risultano capaci di rivelare dettagli attinenti alla salute fisica o mentale di una persona e pertanto sono da ricomprendersi nella più ampia categoria dei dati assoggettati a trattamento speciale e tutela rafforzata ai sensi dell’art. 9 del GDPR, la decisione della Corte di giustizia assume rilevanza anche in ambito sanitario, quantomeno quando non possa prescindersi dal consenso del titolare (ad esempio per finalità di diagnosi o di cura ex art. 9 lett. h) GDPR) o il trattamento dei dati esuli dal consenso prestato.
Si tratta di una decisione da molti ritenuta la “pietra angolare” del processo di edificazione di una dogmatica europea in tema di risarcimento del danno non patrimoniale (Camardi, NGCC 2023,1136; Scognamiglio, ivi, 1150).
La decisione riguarda una richiesta di risarcimento del danno ex art. 82 RGPD da parte di un cittadino austriaco per il trattamento non autorizzato dei suoi dati personali effettuato dal principale operatore postale austriaco. Investito della questione l’Oberster Gerichtshof ha sottoposto alla Corte di giustizia le seguenti questioni pregiudiziali:
- (i) se la mera violazione del GDPR sia sufficiente a determinare il risarcimento del danno
- (ii) se il risarcimento possa essere condizionato al riscontro di un determinato grado di gravità del danno subito
- (iii) se, oltre ai principi di equivalenza ed effettività, il diritto UE contempli altri criteri ai fini della commisurazione del risarcimento.
Ai quesiti sollevati dal giudice del rinvio, dopo aver argomentato le ragioni per cui l’art. 82 del Regolamento rappresenterebbe una fattispecie di risarcimento denazionalizzata e così affermato la primazia del diritto UE, la Corte ha risposto:
- (sub i) che la violazione del GDPR non determina di per sé sola un diritto al risarcimento occorrendo, invece, la sussistenza di tre condizioni cumulative: a) la violazione di una norma del GDPR; b) il verificarsi di un danno materiale o immateriale derivante dalla violazione; e quindi c) un nesso di causalità tra il danno e la violazione
- (sub ii) che, in ragione del principio di effettività, il diritto al risarcimento non può essere riservato ai soli danni immateriali che raggiungono una certa soglia di gravità
- (sub iii) che spetta all’ordinamento del singolo Stato membro stabilire i criteri che consentono di calcolare l’entità del risarcimento.
Architettura dei rimedi previsti dal GDPR nel prisma delle funzioni
Per trarre la conclusione secondo cui l’art. 82 deve interpretarsi nel senso che la violazione delle disposizioni del GDPR sia condizione necessaria ma non sufficiente al sorgere del diritto al risarcimento senza che rilevi alcuna soglia di gravità minima del danno patito, la Corte ha percorso il sentiero dell’esegesi letterale e sistematico-funzionale.
Precisamente, dall’esegesi dell’art. 82 la Corte rileva che la menzione distinta di un “danno” e di una “violazione” sarebbe superflua se il legislatore UE avesse ritenuto sufficiente la violazione delle disposizioni del regolamento per dare fondamento al risarcimento.
Muovendo dall’argomento sistematico-funzionale la Corte mostra il carattere multilivello degli strumenti predisposti a protezione della persona dal GDPR, osservando che gli artt. 77 e 78 prevedono dei mezzi di ricorso nei confronti di un’autorità di controllo designata in caso di violazione del regolamento, così come gli artt. 83 e 84 prevedono ammende amministrative e sanzioni per gli autori di una violazione delle norme di cui al Regolamento, strumenti questi tutti che prescindono dalla sussistenza di un effettivo pregiudizio. Dal che si rivela, per differentiam, il genus dello strumento risarcitorio per il quale, invece, un danno è preteso.
La Corte delinea così i confini tra i rimedi previsti dal GDPR nel prisma delle funzioni, rivelando come nell’architettura giuridica dei rimedi contenuti nel Regolamento non possano assegnarsi a un rimedio le funzioni di un altro. Pertanto, là dove la violazione del GDPR non portasse a un danno sarebbe illogico concedere accesso al risarcimento ex art. 82 che, connotato da una funzione compensativa, pretende sempre un nocumento effettivo.
Verso il (surrettizio) riconoscimento della risarcibilità del danno in re ipsa?
La Corte nella decisione in parola distingue nettamente il private dal public enforcement. Il riconoscimento di un diritto al risarcimento in favore del soggetto leso da un trattamento illecito non si legittima, quindi, in ragione dell’esigenza di rafforzare l’effetto utile delle regole di condotta previste dal GDPR, ma nella considerazione per cui: dato che l’attività di raccolta e gestione di dati implica dei rischi per i diritti e le libertà delle persone fisiche, allora, quando tali rischi si concretizzano in un danno conseguente al trattamento illecito si innesca il diritto al risarcimento.
Un’opinione ha osservato che la decisione in esame peccherebbe di un eccesso di schematismo, posto che i presupposti del diritto al risarcimento stabiliti dalla Corte (la violazione del GDPR; il verificarsi di un danno; e un nesso causale) non consentono di distinguere tra le possibili violazioni quelle che ammettono il sorgere dell’obbligazione risarcitoria (Camardi).
Nella giurisprudenza della Corte non si riscontra un criterio selettivo dei diritti la cui lesione può produrre il diritto al risarcimento in capo al danneggiato; criterio che in Italia è rappresentato, in primis, dall’ingiustizia del danno. Nel ragionamento dei giudici lussemburghesi non si rinviene, cioè, un criterio selettivo dei pregiudizi risarcibili, al di là di quello causale. Inoltre, in ragione del principio di effettività, la Corte estende il perimetro del risarcimento anche al cd. “danno bagatellare”, seppur sempre attraverso il filtro dell’effettiva dimostrazione di un danno-conseguenza.
Dall’interpretazione del dato positivo effettuata dalla Corte, l’art. 82 rimetterebbe al giudice, di volta in volta, l’apprezzamento se dalla violazione del GDPR derivi un danno effettivo, senza però concedergli poi la possibilità di vagliare se quel danno-conseguenza leda una situazione giuridicamente protetta. Per ovviare al problema si potrebbe pensare di ritenere necessaria e sufficiente per l’insorgere di un danno non patrimoniale risarcibile la lesione di un diritto della persona mediante violazione di una regola posta dal GDPR (a presidio di interferenze o offese altrui) senza che occorra, per il soggetto leso, fornirne prova. Ciò che, nel nostro lessico giuridico, rappresenta il risarcimento del “danno in re ipsa”.
La soluzione suggerita, secondo i suoi sostenitori, non comprometterebbe la logica compensativa del rimedio risarcitorio posto che la condotta illecita, che produce lesione del diritto della persona, è danno evento e al tempo stesso danno conseguenza (Camardi). Inoltre, la risarcibilità del danno in re ipsa consentirebbe di superare due ipocrisie in cui incorre la giurisprudenza:
- nella prima la Corte di giustizia, là dove afferma la risarcibilità del danno bagatellare, atteso che, si osserva, nel riconoscere l’iscrizione del danno bagatellare all’art. 82 si refluisce nella teorica del danno in re ipsa (Pagliantini, Foro it. 2023, 288)
- nella seconda cascherebbe, invece, la Cassazione che, ammettendo il ricorso alla prova presuntiva del danno non patrimoniale, consente il risarcimento di conseguenze dannose che in realtà non esistono.
La decisione nega però espressamente la risarcibilità del danno in re ipsa posto che questo assumerebbe una finalità punitiva, come, sul piano interno, la Cassazione a più riprese (Cass., 25 maggio 2021, n. 14268; Cass., 24 aprile 2019, n. 11203). Sul punto può rilevarsi una sostanziale coincidenza tra le due giurisprudenze (Patti, NGCC 2023, 1146).
Tali opinioni, a ben guardare, seguono e reagiscono alle riflessioni della sentenza e delle conclusioni dell’avvocato generale che lasciano trasparire il seguente ragionamento: il danno-conseguenza non può mai essere un danno normativo, giacché il danno normativo riveste giocoforza valenza punitiva. Tuttavia, come rileva altra dottrina «nel caso del danno morale, l’asse della sanzione civile si sposta innegabilmente sul momento della lesione della situazione oggettiva tutelata, ma c’è un aspetto che ha a che fare con la causalità generale che impedisce alla sanzione di prendere la via della retribuzione, tenendola ancorata alla dimensione riparatoria: la forte correlazione eziologica tra lesione di un diritto inviolabile e la sofferenza individuale patita dal soggetto che la subisce spiegabile sulla base della scienza che studia questi fenomeni e, prima ancora, percepita nel sentire comune tanto da essere oggetto di una massima di esperienza» (Rizzo, Persona, moneta, proprietà: causalità, presunzioni, danno, in Storia Metodo Cultura nella Scienza giuridica, Napoli, 2023, 242).
Quanto osservato trova riscontro mediante il ricorso ad una presunzione giurisprudenziale circa la sussistenza di un pregiudizio derivante dalla lesione che discende dalla violazione di una norma. Si tratta di una presunzione mediante la quale però non si ricava il fatto ignoto (cioè il danno-conseguenza) attraverso un ragionamento inferenziale che muove da un fatto noto provato dal danneggiato, bensì da una massima d’esperienza che rivela una “regolarità causale”, che così diviene la base di una regola che disciplina la fattispecie, residuando per il danneggiante, comunque, la possibilità di offrire la prova contraria. Ne risulta che il risarcimento mira sempre alle conseguenze della lesione, sebbene, elevando la regolarità causale a regola giuridica si trasforma il danno normale in danno normativo senza che ciò implichi nella specola funzionale che il risarcimento non mantenga la dimensione riparatoria.
Le frontiere del risarcimento del danno immateriale
Resta il problema dell’adeguatezza del criterio causale a delimitare lo spazio della tutela apprestata dalla responsabilità civile, atteso che nel ragionamento della Corte di giustizia manca l’aggancio a un criterio selettivo delle situazioni giuridicamente rilevanti.
La questione assume rilievo in vista della necessaria applicazione da parte del giudice interno della fattispecie ex art. 82 GDPR. Occorre quindi interrogarsi circa le ricadute che la sentenza può portare al nostro sistema di responsabilità civile. Si aprono due vie:
- la prima conduce a limitare lo spettro operativo della decisione in parola alla sola esegesi dell’art. 82 GDPR, quindi, esclusivamente con riguardo al danno discendente dalla violazione del GDPR
- la seconda, al contrario, giunge ad estenderne l’efficacia oltre il danno per trattamento illecito dei dati personali e, quindi, all’intero perimetro del danno non patrimoniale.
La prima opzione trova sostegno negli stessi argomenti della Corte, là dove evidenzia che in assenza di un rinvio espresso al diritto degli Stati membri, il significato dell’art. 82 deve essere ricavato alla luce del solo diritto dell’UE. Si delineerebbe, quindi, un sottosistema autonomo di responsabilità civile, per cui quando la richiesta di risarcimento di un danno deriva dall’applicazione dell’art. 82 il giudice interno, nel perimetrare l’area del risarcimento, non potrebbe fare ricorso né al criterio dell’ingiustizia del danno, né a quello della gravità della lesione, ma limitarsi alla verifica della sussistenza dei tre criteri cumulativi indicati dalla Corte. Mentre per tutte le domande di risarcimento di un danno governate da regole diverse dall’art. 82 il giudice interno, nel delimitare l’area dell’obbligazione risarcitoria, sarebbe chiamato ad applicare i consueti canoni di cui agli artt. 2043 e 2059 c.c.
Seppur “plausibile”, non meno “credibile” risulta la lettura opposta, per cui deve riconoscersi un effetto espansivo della decisione in commento sull’intera gamma delle ipotesi di risarcimento di danni non patrimoniali. Se così non fosse, alternativamente, si assisterebbe ad «una disparità di trattamento nella prospettiva del risarcimento, tra ipotesi di danno non patrimoniale discendenti dalla violazione di norme diverse, o dalla lesione di situazioni giuridiche soggettive differenti, che potrebbe forse attingere la soglia del dubbio di legittimità costituzionale» (Scognamiglio, 1156).
Da questa specola la ricostruzione offerta dalla Corte nella decisione in commento potrebbe presentare ricadute di non poco momento sul sistema interno di responsabilità civile, in particolare in punto di danno non patrimoniale: e ciò per l’assenza tanto del filtro dell’iniuria (o di un altro filtro selettivo), quanto di quello della serietà della lesione.
Assenza di un criterio selettivo del danno risarcibile
Sul piano interno la risarcibilità del danno non patrimoniale è assoggettata al cd. principio di tipicità progressiva. Il danno non patrimoniale è assoggettato al criterio dell’iniuria qualificata ex art. 2059, sicché o si prevede espressamente la risarcibilità del danno non patrimoniale, oppure al di fuori delle previsioni tipizzate dal legislatore si richiede l’offesa agli interessi protetti dall’art. 2 Cost.
Il GDPR presenta un catalogo di fattispecie illecite e all’art. 82 una norma “sanzionatoria”, in senso lato, che ricollega al perfezionamento di quelle fattispecie la risarcibilità del danno non patrimoniale; quindi, dalla prospettiva del nostro ordinamento, l’art. 82 pare integrare la riserva di legge ex art. 2059 c.c. in maniera non dissimile da quanto avviene mediante il richiamo all’art. 185 c.p., il quale, analogamente, ammette la risarcibilità del danno non patrimoniale a fronte della realizzazione di fatti illeciti, sia pure integranti ipotesi di reato.
Si comprende così che non è necessario alcun filtro selettivo delle lesioni risarcibili, posto che, nel sistema del GDPR la meritevolezza della tutela è già oggetto di valutazione legale, a patto di non ritenere necessaria la lesione di un diritto soggettivo inviolabile per considerare fondata una domanda di risarcimento del danno non patrimoniale da violazione del GDPR. Difatti, non tutte le norme del GDPR presidiano diritti inviolabili. La Corte nella decisione in esame prevede che la nozione di “danno immateriale” ex art. 82, deve ricevere una definizione autonoma eurounitaria, soggiungendo che il «regolamento invita espressamente a interpretare il concetto di danno in modo tale da rispecchiare “pienamente gli obiettivi del regolamento”». L’art.1 GDPR prevede che «il regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali», ma che «la libera circolazione di dati personali nell’Unione non può essere limitata né vietata per motivi attinenti alla protezione dei dati personali».
Ne risulta che il GDPR contempla due ordini di disciplina: uno posto a tutela dei diritti fondamentali tendenzialmente inviolabili; l’altro a presidio della circolazione dei dati e del relativo mercato. Per questo secondo ordine di regole opera l’accountability principle al fine di calmierare il rischio che l’attività di raccolta ed elaborazione di dati pone per i diritti delle persone ma, al contempo, incentivare l’attività di trattamento dei dati e quindi la formazione del relativo mercato interno assicurando l’esonero della responsabilità degli operatori conformi alle regole di condotta fissate dal GDPR.
Da questa ricostruzione il problema dell’assenza di filtro risulta sterilizzato, posto che il regolamento considera sussistente la violazione solo all’esito di un bilanciamento tra i due obiettivi sottesi ai due ordini di disciplina: di incentivo alla circolazione dei dati da un lato, e di presidio dei diritti inviolabili dall’altro. Dall’angolo visuale interno, condizionare la risarcibilità del danno non patrimoniale alla necessaria lesione di un diritto inviolabile si risolverebbe in un’autentica eterogenesi dei fini. L’aggancio tra l’art. 2059 c.c. e l’art. 2 Cost. è diretto ad estendere l’area del risarcimento del danno non patrimoniale oltre le ipotesi tipiche predeterminate dal legislatore, non per limitarla a solo quelle tra queste che determinano una lesione di diritti inviolabili.
Superamento del limite del danno bagatellare
Secondo la Corte, non è condizione di risarcibilità del danno immateriale il raggiungimento di una soglia minima di gravità della lesione.
La decisione della Corte appare sorprendente. Sul terreno della responsabilità civile per danni non patrimoniali il necessario raggiungimento di una soglia minima di gravità della lesione può dirsi un principio condiviso in tutte le esperienze dei principali ordinamenti europei. Tuttavia, l’affermazione della Corte è forse assai meno dirompente di quanto possa apparire. Difatti, là dove essa afferma che l’art. 82 RGPD osta a una norma (o prassi) nazionale che subordina il risarcimento di un danno immateriale alla condizione che il danno subito dall’interessato abbia raggiunto un certo grado di gravità, pare significare che non può colorarsi di valenza positiva il giudizio di gravità dell’offesa già intrinseco alla valutazione dell’effettiva lesione di un diritto inviolabile.
Detto altrimenti, se per un verso, non deve ritenersi incompatibile con il diritto UE la condizione di risarcibilità del danno non patrimoniale per cui la lesione raggiunga una certa soglia, per converso, nulla ne esclude la valenza negativa per via della quale deve escludersi l’offesa irrisoria. Tale giudizio negativo è volto solo ad escludere che offese di rilevanza irrisoria siano capaci di determinare una lesione di valori particolarmente elevati quali sono quelli inviolabili, ciò che pretende un accertamento (non positivo, ma) negativo della gravità. Ne risulta che il filtro selettivo, che nel nostro ordinamento si ricava dal principio di tolleranza e dalla nozione stessa di inviolabilità, porta solo all’esclusione dal perimetro del risarcimento di offese irrisorie incapaci di ledere valori inviolabili.