La responsabilità civile derivante dal trattamento dei dati personali:
natura giuridica, conseguenze, oneri probatori

La legge 31 dicembre 1996 n. 675 impone una serie di obblighi ai soggetti che trattano dati personali altrui (i c.d. titolari del trattamento), la cui violazione, in alcuni casi, è punita con sanzioni penali.
Molto si è discusso a proposito delle responsabilità di tipo penalistico e della distribuzione delle stesse, venendo in rilevo, nella maggior parte dei casi, fattispecie a carattere omissivo.
Poco si è detto, invece, delle conseguenze di una responsabilità di tipo civilistico, malgrado le stesse possano assumere contorni piuttosto gravi per il bilancio di un’azienda.
Compito del giurista è, in questa sede, chiarire cosa debba intendersi per "danno", che tipo di responsabilità sia stata delineata dal legislatore e quali prove debbano essere addotte in giudizio per liberarsi da questo tipo di responsabilità.

1. L’art. 18 della legge 675/96 si limita ad imporre a "chiunque" cagioni danno ad altri per effetto del trattamento di dati personali, di risarcirlo, ai sensi dell’art. 2050 cod. civ. Seppur breve e sintetico, l’articolo citato impone una serie di riflessioni.
Innanzi tutto, sul soggetto dell’illecito: la norma si riferisce a "chiunque" cagioni un danno. E’ evidente che la responsabilità civile ricadrà, anche nel caso in cui titolare sia una persona giuridica, sul soggetto che supervisiona l’attività di trattamento e che ha poteri di decisione sulla stessa, in virtù dell’art. 2049 cod. civ., che impone ai padroni e ai committenti (rectius, preponenti) l’obbligo di risarcire il danno causato da dipendenti e preposti.
Differente sarà invece l’ipotesi in cui titolare del trattamento sia una persona giuridica pubblica. Si dovrà, in questi casi, far ricorso alla norma che regola la responsabilità dei pubblici dipendenti. L’art. 28 Cost. dispone, per il caso di responsabilità civile, che dipendenti e funzionari siano responsabili in solido con lo Stato o gli enti pubblici; lo statuto degli impiegati civili dello Stato (d.P.R. 10 gennaio 1957, n. 3, art. 23), precisa, però, che l’impiegato civile è personalmente tenuto a risarcire il danno cagionato a terzi solo ove lo stesso derivi da comportamento doloso o gravemente colposo. Laddove, pertanto, si rientri nell’ambito della mera colpa, tenuta al risarcimento del danno sarà solo la pubblica amministrazione.
Da altro punto di vista, è opportuno precisare che cosa comprenda il danno cui l’art. 18 della legge fa genericamente riferimento.
Senza dubbio, vi sarà incluso il danno patrimoniale (nelle forme del danno emergente e del lucro cessante, laddove questi siano conseguenza immediata e diretta della violazione). Al danno patrimoniale, però, si aggiunge il danno non patrimoniale, come si desume dall’art. 29, comma 9, della legge, laddove si dice che "il danno non patrimoniale è risarcibile anche nei casi di violazione di cui all’art. 9". Argomentando a ritroso, sembra ragionevole ritenere che il danno non patrimoniale sia risarcibile pure quando ricorrano violazioni differenti¹.

2. L’aspetto più interessante all’interno del testo dell’art. 18 è però rappresentato dal rinvio all’art. 2050 cod. civ., che regola la responsabilità civile derivante dal danno causato nell’esercizio di attività pericolose. L’art. 2050 contempla un’ipotesi di responsabilità aggravata, con relativa inversione dell’onere probatorio. Contrariamente a quanto disposto dall’ordinamento nelle ipotesi comuni di responsabilità aquiliana, infatti, nel caso di esercizio di attività pericolosa è il gestore dell’attività a dover dimostrare di aver adottato tutte le misure idonee ad evitare il danno, sempre che il danneggiato abbia a sua volta preventivamente fornito la prova del danno stesso e del nesso di causalità tra il comportamento (attivo o omissivo) dell’esercente l’attività ed il danno subito.
I problemi che si pongono, a questo punto, sono più d’uno.
Innanzi tutto, è interessante procedere all’individuazione di fatti che occorre produrre come prova. In cosa consiste, infatti, la dimostrazione di aver adottato "tutte le misure idonee ad evitare il danno"?
Difficile da chiarire in concreto.
La dottrina maggioritaria ritiene che la prova liberatoria consista essenzialmente nella prova dell’intervento di un fortuito. Anche buona parte della giurisprudenza argomenta parimenti: solo un fortuito consentirebbe di superare l’obbligo di risarcire il danno. Si è affermato, ad esempio, che "il giudice, qualora esista un rapporto di causalità materiale tra l’attività e l’evento dannoso, deve accertare che un fattore successivamente intervenuto abbia avuto di per sé efficienza causale esclusiva, non essendo sufficiente che la causa preesistente abbia avuto minima o trascurabile efficienza causale, per escludere la responsabilità"². In questo modo, il fatto del danneggiato o del terzo può produrre effetti liberatori solo se per la sua incidenza o rilevanza sia "tale da escludere, in modo certo, in nesso causale tra attività pericolosa ed evento e non già quando costituisce elemento concorrente nella produzione del danno, inserendosi in una situazione di pericolo che ne abbia reso possibile l’insorgenza a causa dell’inidoneità delle misure preventive adottate"³.
Ma non è forse questo il caso in cui verrebbe meno il nesso causale, la cui dimostrazione è a carico del danneggiato? Argomentare in questa maniera significherebbe accollare all’esercente l’attività pericolosa la prova del fortuito.
Sembra opportuno notare, però, che quando il legislatore ha inteso disporre in questo senso, lo ha fatto espressamente (si veda l’art. 2051 cod. civ.).
Appare invece più aderente al dettato legislativo interpretare l’art. 2050 come un’ipotesi di responsabilità aggravata, come fa autorevole dottrina⁴, che, richiamando un diverso orientamento giurisprudenziale, sia pure minoritario, sostiene si debba far riferimento all’ordinaria diligenza ed alla comune prudenza nella scelta e nell’adozione delle misure di sicurezza.
Si veda, a sostegno di questa tesi, il caso dell’imprenditore edile che è stato dichiarato non responsabile per i danni arrecati a terzi, essendo il cantiere stato recintato e segnalato con appositi cartelli vietanti l’ingresso.⁵
Diversamente argomentando, si porrebbe a carico dell’esercente l’attività pericolosa la prova del fortuito, la quale, sebbene talvolta più semplice da fornire rispetto alla prova dell’adozione delle misure di sicurezza, potrebbe risultare paradossalmente insufficiente, essendo in certi casi a carico dello stesso l’adozione delle misure idonee ad evitare anche il fortuito. Si pensi all’ipotesi di un danno ai sistemi informativi aziendali cagionato da un fulmine, laddove lo stesso poteva essere evitato dall’installazione di un parafulmine.

3. Il criterio distintivo tra la responsabilità aggravata configurata dall’art. 2050 cod. civ. e la responsabilità oggettiva sarebbe, allora, da individuare nel fatto che l’art. 2050 è fondato sulla comune prudenza e sull’ordinaria diligenza; quest’ultima sarebbe certamente da valutare sotto il profilo della diligenza professionale.
Nel caso portato ad esempio, il parafulmine potrà apparire come una misura di sicurezza la cui adozione era ragionevolmente esigibile; allo stesso modo, potrà configurarsi come "misura idonea" la costruzione di un edificio secondo criteri antisismici in una zona nota per la propria esposizione ad eventi di questo tipo.
La prova da predisporre dovrà allora riguardare l’adozione delle misure che appaiono ragionevoli nel caso concreto, in relazione all’attività svolta, alle dimensioni dell’azienda, al luogo ove la stessa si trova.
L’evento sarà non addebitabile all’esercente l’attività pericolosa qualora non sia prevedibile, né superabile, con l’adozione dell’ordinaria diligenza: il criterio di imputazione della responsabilità appare, dunque, fondato sulla colpa.
Non sembra pertanto condivisibile la tesi secondo cui la dimostrazione del caso fortuito dovrebbe essere addebitata al titolare dell’azienda, poiché questo secondo tipo di responsabilità (responsabilità oggettiva) è fondato su criteri diversi, vale a dire sul criterio dell’interruzione del nesso causale, ed esclude che il titolare dell’attività pericolosa possa fornire una prova dell’assenza di colpa nell’adozione delle misure di sicurezza.
Prestando attenzione in maniera più diretta alla responsabilità civile legata al trattamento dei dati personali, sembra opportuno fare alcune ulteriori riflessioni.
Vero è che l’art. 18 della legge 675/96 richiama espressamente l’art. 2050 cod. civ.
E’ stato autorevolmente sostenuto, però, che tale richiamo non implicasse necessariamente l’automatica applicazione del criterio d’imputazione delle responsabilità previsto per le attività pericolose, ma che potrebbe anche essere inteso come un richiamo volto a trasferire, nell’ambito del trattamento dei dati personali, solo il diverso criterio di distribuzione dell’onere probatorio.
Il problema, però, manterrebbe comunque la sua portata: cosa debba effettivamente essere dimostrato in sede giudiziaria.
L’art. 15 della legge 675/96, titolato "Sicurezza dei dati", dispone un duplice livello di misure di sicurezza: le misure "minime", l’onere della cui individuazione è stato assegnato ad un regolamento (adottato con il d.P.R. 318/99); e le misure, che chiameremo "idonee", indicate dal primo comma dello stesso articolo.
Per comodità, se ne riporta per intero il testo: "I dati personali oggetto di trattamento devono essere custoditi e controllati, anche in relazione alle conoscenze acquisite ed in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito".
Sembrerebbe, a prima vista, che il legislatore abbia voluto addebitare al titolare del trattamento anche il rischio derivante dal fortuito, laddove parla di rischi di distruzione o perdita "anche accidentale" dei dati. Non sarebbe, in questo senso, ammessa neanche la prova del fortuito.
E’ opportuno però notare che il legislatore ha mostrato una certa consapevolezza dell’impossibilità di evitare il danno, dettando una norma che si discosta parzialmente da quanto previsto dall’art. 2050 cod. civ.: qui si parla, infatti, di misure di sicurezza preventive, idonee a "ridurre al minimo" i rischi descritti.

4. Le misure da adottare, allora, non sono quelle idonee ad evitare il danno, dato che potrebbero anche non esistere; ma quelle che consentano di abbassare fino al livello minimo la soglia del rischio.
Il rinvio all’art. 2050 rappresenterebbe, dunque, uno strumento per trasferire anche all’ipotesi di trattamento di dati personali l’inversione dell’onere probatorio; ma il criterio di imputazione della responsabilità sarebbe parzialmente differente.
Al titolare del trattamento verrà richiesta la dimostrazione di aver predisposto quelle misure che apparivano ragionevolmente idonee a ridurre al minimo il rischio del verificarsi del danno; ma la scelta e la valutazione dell’idoneità delle misure potrà essere vagliato solo in base al criterio dell’ordinaria diligenza e della comune prudenza.
Alla luce di quanto disposto dall’art. 15, primo comma, sembra del tutto inadeguata l’applicazione del criterio dell’interruzione del nesso causale, legato ad una responsabilità di tipo oggettivo.
Come spiegare altrimenti il tenore della norma, che impone di adottare tutte le misure idonee a "ridurre al minimo" il rischio di distruzione o perdita "anche accidentale" dei dati personali?
Non solo: si chiede che le misure di sicurezza siano scelte in relazione alle "conoscenze acquisite in base al progresso tecnico, alla natura dei dati ed alle specifiche caratteristiche del trattamento". Non esiste una sola ragione per cui indicare questi parametri nella scelta delle misure di sicurezza, se poi ogni danno fosse comunque imputabile al titolare del trattamento.
Sulla base di quanto detto, sembra evidente che il criterio di imputazione della responsabilità non possa non basarsi sulla colpa.
Il titolare del trattamento, comportandosi con la diligenza dovuta, dovrà adottare tutte quelle misure che appaiono idonee a fronteggiare il rischio, ed eventualmente anche solo a ridurlo.
La sicurezza, pertanto, non potrà mai avere i caratteri dell’assolutezza e della staticità: in quanto processo essenzialmente dinamico (perché così è stato concepito dal legislatore, che lo ha ancorato al criterio estremamente variabile del progresso tecnico), la sicurezza impone una continua ponderazione degli interessi in gioco, tra il costo dell’adozione di tutte le misure ed il costo potenziale derivante da una sicurezza inadeguata.
La prova positiva da fornire è necessariamente una prova critica, di carattere organizzativo, sull’esistenza delle misure più opportune in base al progresso tecnico, alla natura dei dati ed alle specifiche caratteristiche del trattamento. Tale valutazione andrà fatta con riferimento al momento in cui il danno si è verificato: non è ammissibile, infatti, che un titolare del trattamento possa liberarsi dalla responsabilità civile di cui si tratta dimostrando che le misure disposte avevano il carattere della "idoneità" al momento della loro adozione.

5. Tutto il discorso tracciato sinora è applicabile, naturalmente, nel caso in cui il danno collegato alla mancata adozione di misure di sicurezza.
Diversa ipotesi è invece quella in cui il danno derivi dalla violazione delle regole dettate dalla legge 675/96 a tutela della liceità del trattamento dei dati.
In tutti questi casi, quando risulti violata un’espressa previsione di legge, nessuna prova liberatoria potrà essere fornita dal titolare del trattamento ed il danno (dimostrato, patrimoniale e non) sarà risarcibile come diretta conseguenza della violazione.
Infine, una nota su un aspetto connesso: fino a poco tempo fa, si discuteva in dottrina sull’applicabilità dell’art. 2050 cod. civ. anche alle pubbliche amministrazioni.
La legge 675/96 non sembra lasciare ancora margine di dubbio su questo problema. La tutela dei dati personali, infatti, dal punto di vista delle garanzie offerte al cittadino, ha sempre le medesime caratteristiche, a prescindere dalla natura privatistica o pubblicistica del titolare del trattamento. Nulla dispone la legge 675/96 riguardo alla responsabilità delle pubbliche amministrazioni titolari del trattamento; sembra pertanto logico applicare la regola generale.
Anzi, la legge per la tutela dei dati personali sembra poter essere usata come esempio tipico di responsabilità per esercizio di attività pericolose da parte dei soggetti pubblici, al fine di estendere questo tipo di responsabilità a casi sinora dubbi.

Roma, giugno 2001