La linea ora è tracciata: se la richiesta di risarcimento avanzata dall’interessato verso l’amministratore è sorretta dalla prova della serietà della lesione e, quindi, non si rinviene la mera violazione delle prescrizioni formali in tema di trattamento del dato, il risarcimento viene riconosciuto.
Deve essere però comprovato che, concretamente, il trattamento illecito offenda la portata effettiva del diritto alla riservatezza, nel qual caso vige la regola della probatio diabolica, cioè sta all’amministratore di condominio provare di aver attuato tutte quelle misure atte ad evitare il verificarsi del danno.
Lo afferma l’ordinanza della Cassazione – sezione I – pubblicata il 12 maggio 2023, numero 13073, che si riferisce al caso di un Comune che aveva pubblicato sul proprio sito istituzionale una determina relativa al pignoramento per un certo importo dello stipendio di una dipendente comunale. Anche se nella determina era stata omessa la pubblicazione dei dati della debitrice, questi si rinvenivano dalla nota contabile allegata. La condanna era già stata espressa dal Tribunale di primo grado, in quanto il trattamento era comunque (oggettivamente) avvenuto in violazione del Gdpr, avendo quest’ultimo pubblicato i dati “reputazionali” (come ammesso dallo stesso ente), violando i principi di necessità e minimizzazione.
Secondo il giudice di prime cure, è irrilevante il fatto che l’illecito sia derivato da un errore umano, distrazione o altro, rispondendo il titolare del trattamento anche per il fatto colposo dei propri dipendenti. Questa presa di posizione ci riporta all’articolo 2049 Codice civile, che disciplina la materia della responsabilità civile.
Secondo il giudice di primo grado il danno non patrimoniale risarcibile si collega ad una lesione del diritto fondamentale alla protezione dei dati personali tutelato costituzionalmente (Costituzione articoli 2 e 21 e articolo 8 della Cedu – Corte europea per i diritti dell’uomo).
La casistica è perfettamente applicabile al caso dell’amministratore e del danno che il suo operato può causare ai condòmini amministrati.
L’articolo 82 Gdpr, infatti, stabilisce che chiunque subisca un danno materiale o immateriale causato da una violazione del regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.
Nello stesso tempo, il Considerando 146 del Gdpr, integra la disposizione stabilendo che il titolare del trattamento o il responsabile del trattamento dovrebbe risarcire i danni cagionati a una persona da un trattamento non conforme al regolamento, ma può esserne esonerato se è in grado di dimostrare che l’evento dannoso non gli è in alcun modo imputabile.
Dura, dunque, la vita per l’amministratore, posto che il concetto che ne deriva è che il soggetto danneggiato da un trattamento illecito può ottenere il risarcimento di qualunque danno occorsogli, «anche se la lesione è marginale».
L’orientamento pone come unico limite che il diritto al risarcimento «non si sottrae alla verifica della gravità della lesione e della serietà del danno perché anche per tale diritto opera il bilanciamento con il principio di solidarietà ex Costituzione, articolo 2, di cui quello di tolleranza della lesione minima è un precipitato».
Spetta dunque il risarcimento se la lesione «concretamente offenda la portata effettiva del diritto alla riservatezza del dato», indipendentemente dalla circostanza che il danno dipenda da un mero errore materiale o da un illecito trattamento che si sia configurato per un periodo limitato. Ad evitare la condanna poi, non basterebbe neppure un intervento del titolare o del responsabile effettuato appena si sia venuti a conoscenza dell’errore.
Non può quindi bastare per l’amministratore di condominio nemmeno difendersi asserendo che si è trattato di un mero errore oppure dell’errore di un suo dipendente. L’illecito trattamento, infatti, infatti, non è scusabile.
Un’ancora di salvezza però l’amministratore può trovarla nella circostanza che non necessariamente l’illecito deve comportare la sanzione amministrativa prevista dall’articolo 83 Gdpr, evitabile se lo studio di amministrazione ha attuato le procedure tecniche ed organizzative adeguate, tali da mitigare i rischi sulle libertà e i diritti delle persone fisiche.
Ma se l’errore porta ad un illecito tale da potersi configurare come “concreto”, anche laddove il danno non sia quantificabile in quanto di natura immateriale, il risarcimento è comunque dovuto.
L’amministratore di condominio, quindi, deve risultare “accountability” al punto da riuscire anche a prevenire eventuali errori, non semplicemente attivandosi appena questi emergono, ma anche ragionando secondo i dettami di cui all’articolo 25 Gdpr, che impone di predisporre le procedure tecniche ed organizzative a tutela dei dati personali degli interessati, in maniera preventiva rispetto all’esecuzione dei trattamenti, secondo i dettami della privacy by design e by default.
Non basta quindi operare come buon padre di famiglia, bensì si deve dimostrare di aver svolto l’attività come professionista attento e scrupoloso alla norma, attuando procedure che valutino con estrema attenzione il percorso dei dati all’interno dello studio, affrontando anche nei dettagli tutti i passaggi.
A cura di: Avv. Carlo PIKLER – Responsabile Centro Studi – A.T.P. Academy