La c.d. legge sulla privacy (legge 31 dicembre 1996, n. 675 [1]) ha colmato una gravissima lacuna dell’ordinamento italiano, consistente nel mancato riconoscimento esplicito di un diritto fondamentale della persona, prima tutelato solo grazie all’elaborazione dottrinale e giurisprudenziale [2].
Questa legge è stata più volte modificata, già negli anni immediatamente successivi alla sua emanazione [3], con interventi che ne hanno parzialmente mutato l’originario impianto, ed il suo contenuto è stato in gran parte trasfuso nel d. lgs. 30 giugno 2003, n. 196, ossia il «Codice in materia di protezione dei dati personali», già detto «Codice della privacy» (d’ora in poi cod. priv.), entrato in vigore il 1° gennaio 2004 [4].
Il codice è diviso in tre parti: nella prima sono contenute le disposizioni generali, nella seconda quelle relative a specifici settori, mentre nella terza trovano posto le norme relative alle forme di tutela, alle sanzioni ed all’ufficio del Garante per la protezione dei dati personali (d’ora in poi Garante). In pochi anni la normativa in tema di diritto alla riservatezza ha dunque colmato una pluridecennale lacuna legislativa, partendo da una legge approvata con poca cura, per ottemperare agli obblighi internazionali dell’Italia, per giungere, oggi, ad un codice che “rappresenta il primo tentativo al mondo di conformare le innumerevoli disposizioni relative anche in via indiretta alla privacy”[5]. Esso costituisce, inoltre, il recepimento, oltre che di gran parte della legge n. 675/96 e delle direttive 96/45/CE e 2002/58/CE, anche delle pronunce emanate del Garante e dei pareri forniti dalla medesima authority, la cui attività è stata connotata da ragionevolezza e capacità di comprensione delle istanze avanzate da più parti nell’ambito dell’odierna società dell’informazione.
In un arco di tempo relativamente ristretto, l’opinione pubblica ha preso coscienza dell’importanza del rispetto del diritto alla riservatezza, che si caratterizza oggi per la sua complessità ed eterogeneità di valenze: non sembra corretto abbandonare totalmente la sua originaria concezione di right to be let alone, che costituisce una base a partire dalla quale svilupparne una nozione che ne esprima un primo carattere necessario, consistente nell’affermazione di una sfera di intimità che non può mai essere violata. Questo ambito è tuttavia variabile, in quanto la privacy è sì un diritto fondamentale, ma è suscettibile di limitazioni qualora entri in contrasto con diritti di rango pari o superiore. Ne consegue che il diritto alla riservatezza si configura oggi come una sorta di «clausola generale», anche perché appare impossibile cristallizzarne una definizione normativa che comprenda tutte quelle fattispecie che invece ne costituiscono solo alcuni aspetti.
Se è problematico fornire una nozione di privacy, ancor più difficile è approntarne una tutela effettiva. Al riguardo bisogna preliminarmente distinguere, in linea generale, fra mezzi di tutela preventivi e successivi, i primi tendenti ad evitare la lesione di un determinato diritto, i secondi finalizzati alla riparazione del danno già verificatosi. La responsabilità civile assolve alla seconda funzione, ma, se la disciplina legislativa consente al danneggiato di ottenere un celere ed effettivo risarcimento, allora si rafforza anche il suo ruolo di dissuasione al compimento di atti illeciti.
Le difficoltà che si pongono in subiecta materia, tuttavia, impongono notevoli sforzi sia al legislatore che all’interprete, poiché per giungere al risarcimento di danni che non consistono in diminuzioni patrimoniali bisogna superare obiettive difficoltà in tema, soprattutto, di prova e di quantificazione del danno. Diventa dunque necessario un ripensamento delle tradizionali categorie giuridiche in un ambito nel quale i nuovi problemi posti dalla società dell’informazione non possono sempre essere ricondotti nell’alveo di istituti oramai vetusti, pensati ed applicati in società ben differenti da quella odierna.
Il rispetto della privacy, infatti, è necessario per permettere a ciascun individuo di esercitare il diritto all’autodeterminazione esistenziale, in altri termini per consentire di effettuare le proprie scelte e di orientare la propria condotta in assoluta libertà, ma sempre e comunque con il limite del rispetto dei diritti altrui. Un corretto bilanciamento degli interessi, allora, costituisce la chiave di lettura delle norme preesistenti, in modo da consentire una concreta tutela dei diritti umani, senza consentire scelte aprioristiche di tutela di questo o di quel certo diritto, che non potrebbero cogliere tutte le sfumature della realtà fattuale.
2. Il dato personale
In una società nella quale lo sviluppo tecnologico e culturale non conosce soste, ma addirittura coglie impreparato l’uomo, che della società come oggi la conosciamo è il creatore, un diritto come la privacy, di emersione tanto recente, non può non seguire questo generale processo evolutivo.
Con precipuo riferimento a tale diritto, Stefano Rodotà individua i dati personali quali suo nucleo specifico ed il controllo su di essi quale elemento caratterizzante[6]. Il diritto alla protezione dei dati personali è sancito espressamente dall’art. 1 cod. priv., ai sensi del quale “chiunque ha diritto alla protezione dei dati personali che lo riguardano”. Nonostante l’importanza di questa disposizione, bisogna comunque tener presente che la normativa in esame tutela i diritti alla privacy ed all’identità personale solo in occasione del trattamento dei dati personali, non esistendo una legge generale di tutela di questi determinati diritti. Di conseguenza, non tutti gli illeciti civilmente rilevanti rientreranno nella disciplina da essa delineata, ma continueranno a generare responsabilità civile secondo le regole ordinarie dettate dall’art. 2043 cod. civ., poiché la legge 675/96, prima, e il cod. priv., poi, non costituiscono la fonte esclusiva di tutela del diritto alla privacy, come è stato ribadito anche di recente dalla Corte di Cassazione, in quanto il suo fondamento normativo “va ravvisato, al di là della sussistenza di altre e più specifiche previsioni, nell’art. 2 della Carta fondamentale”[7].
Ciò premesso, si deve rilevare che il dato personale costituisce una esplicazione concreta dell’identità personale, la cui tutela può essere assicurata anche mediante il rispetto del diritto alla riservatezza. Pertanto, ai fini del presente scritto è necessario richiamare la nozione di dato personale fornita dall’art. 4 comma 1 lett. b) del cod. priv., che lo definisce come “qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”. Esso costituisce un “fenomeno rappresentativo di conoscenza su situazioni di vita di un soggetto”[8] e tende a qualificare una persona, producendone una rappresentazione e coinvolgendone dunque l’aspetto dell’identità personale[9].
In linea di principio, tali informazioni sono nella piena disponibilità del soggetto, che può disporne liberamente, sia in forma positiva (concedendoli) che negativa (tenendoli riservati): ovviamente non si può rinunciare al diritto alla privacy nella sua totalità, ma solamente alla riservatezza di fatti di vita particolari e determinati. Le scelte in materia sono insindacabili fin quando non vi è la possibilità concreta ed attuale di ledere un diritto di pari rango o superiore. In tal caso è necessario operare un bilanciamento dei diritti confliggenti, da effettuare avendo riguardo al caso specifico: la società in cui tutti viviamo non consente un isolamento totale, ma permette a ciascuno di «ritagliarsi» alcuni spazi.
È indiscutibile che le anzidette informazioni abbiano oggi un diretto risvolto patrimoniale: dunque il problema della quantificazione del danno potrebbe porsi con minor forza qualora si accettasse questa impostazione, che può trovare conferma anche in un altro elemento: dal combinato disposto degli artt. 1 e 4 comma 1 lett. b) cod. priv. si evince che anche il diritto alla riservatezza è di titolarità anche di soggetti diversi dalle persone fisiche[10], con la conseguenza di ammetterne una diretta valenza patrimoniale, poiché non può ritenersi che un soggetto come un ente od un’associazione possa subire danni esistenziali o da lesioni psichiatriche conseguenti al patema d’animo.
3. Il risarcimento del danno patrimoniale (art. 15 comma 1 cod. priv.)
Nella legge sulla privacy il risarcimento del danno era disciplinato da due distinte norme: il danno patrimoniale dall’art. 18, quello non patrimoniale dall’art. 29 comma 9. Nel cod. priv. tali norme sono state trasfuse nell’art. 15, il cui comma 1 dispone che “chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile”. La norma da ultimo citata prevede che “chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno”.
In dottrina si è discusso sul ruolo del rinvio di cui all’art. 18 legge n. 675/96, da un lato sostenendosi che il legislatore avesse qualificato il trattamento dei dati personali ipso iure in termini di attività pericolosa[11], dall’altro affermandosi che tramite il suddetto rinvio fosse stata sancita l’applicabilità del regime relativo alla prova liberatoria prevista in materia di attività pericolose[12]. Tali considerazioni, ovviamente, valgono anche per l’art. 15 comma 1 cod. priv., poiché il suo contenuto è identico a quello dell’art. 18 l. 675/96.
A sostegno della prima tesi è stato affermato che è possibile considerare pericolosa l’attività di trattamento dei dati personali per sua natura, “in relazione al rischio che essa presenta di ledere i diritti fondamentali dell’interessato”[13], ove si considerino le finalità della legge, consistenti “nel rispetto dei diritti, delle libertà fondamentali, nonché della dignità delle persone fisiche, con particolare riferimento alla riservatezza e all’identità personale”; pertanto, il rischio tipico dell’attività di trattamento di dati personali appare essere quello di ledere posizioni particolari, particolarmente qualificate, dell’interessato, rischio che sussiste anche al di fuori dell’ipotesi di trattamento concernente dati sensibili[14]. Nel caso in cui si propenda per questa tesi, la disciplina di cui all’art. 2050 cod. civ. risulterà applicabile solo in caso di lesione di diritti fondamentali dell’interessato, mentre per eventuali altri pregiudizi (come la perdita economica determinata dalla distruzione della banca dati) la norma invocabile sarà l’art. 2043 cod. civ.[15]; ciò in base alla regola secondo la quale si risponde in base alla disciplina speciale di responsabilità oggettiva per i danni cagionati a causa, e non in occasione, dell’attività pericolosa. Qualora si accetti la seconda teoria, il regime della prova liberatoria ex art. 2050 cod. civ. sarà sempre applicabile, anche quindi se il danno non sia collegato alla lesione di un diritto fondamentale[16]. In ogni caso, non si può assolutamente ritenere che la normativa configuri un’ipotesi di semplice inversione dell’onere della prova, poiché ciò comporterebbe la liberazione da responsabilità se colui sul quale grava il suddetto onere riuscisse a dimostrare la mancanza di colpa, ossia di aver agito con prudenza, diligenza, perizia.
La seconda teoria poggia invece sulla considerazione che, secondo la communis opinio, l’attività dovrebbe dirsi pericolosa in quanto ne possano derivare danni all’incolumità delle persone; orbene, qualificare l’attività di trattamento di dati personali in termini di pericolosità comporterebbe un’applicazione forse troppo ampia del suddetto attributo; inoltre, rileva giustamente Comandè, la stessa legge avrebbe classificato l’attività di trattamento di dati personali come attività pericolosa “senza l’inutile fictio del rinvio”[17].
La presunzione di responsabilità prevista dall’art. 2050 cod. civ. (e quindi anche dall’art. 15 comma 1 cod. priv.) può essere vinta solo con una prova alquanto rigorosa, dal momento che il danneggiante deve dimostrare di aver adottato tutte le misure idonee ad evitare il danno. Non è quindi sufficiente la prova negativa di non aver violato alcuna disposizione di legge o di regolamento o comunque le norme di comune prudenza: per liberarsi dalla responsabilità occorre la prova positiva di aver impiegato ogni cura o misura valida ad impedire l’evento dannoso[18], ragion per cui sovente solo la dimostrazione della dipendenza causale del danno da un caso fortuito (che consiste in un “elemento imprevisto ed imprevedibile che, inserendosi in un determinato processo causale e soverchiando ogni possibilità di resistenza da parte delle forza dell’uomo, rende inevitabile il compiersi dell’evento”[19]) o dal fatto esclusivo del danneggiato viene considerata quale prova liberatoria ai sensi dell’art. 2050 cod. civ.. In ogni caso, la giurisprudenza è molto rigorosa in questa operazione interpretativa e richiede che il caso fortuito abbia provocato un effetto interruttivo del nesso causale tra il danno e l’attività pericolosa[20].
Il dato letterale della norma induce a ritenere che il titolare[21] della banca dati debba far uso di tutti gli strumenti che la tecnologia offre in tema di protezione dei dati; questo criterio si dimostra tuttavia più gravoso rispetto a quanto è disposto dall’art. 17 della direttiva 95/46/CE, il cui comma 2 dispone che le misure di sicurezza “devono garantire, tenuto conto delle attuali conoscenze in materia e dei costi dell’applicazione, un livello di sicurezza appropriato rispetto ai rischi presentati dal trattamento e alla natura dei dati da proteggere”. L’art. 17 prevede dunque un criterio di proporzionalità fra costi delle misure di sicurezza, pericoli del trattamento e dati trattati, mentre la legge italiana dà vita ad un oneroso regime di responsabilità, non facendo riferimento, neanche implicitamente, all’aspetto dei costi delle suddette misure.
La disposizione si discosta anche dall’art. 31 cod. priv., il quale afferma che i “dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta”.
Si tenga presente, inoltre, che, ai sensi dell’art. 17 comma 2 cod. priv., il Garante può prescrivere la predisposizione “di misure ed accorgimenti a tutela dell’interessato” per “il trattamento dei dati diversi da quelli sensibili e giudiziari che presenta rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare” (art. 17 comma 1 cod. priv.). La suddetta prescrizione può riguardare anche determinate categorie di titolari o di trattamenti.
Da una lettura globale del cod. priv., pertanto, è possibile evincere un disfavore nei confronti dell’attività di trattamento dei dati personali ed una forte tutela dell’interessato, ossia “la persona fisica, la persona giuridica, l’ente o l’associazione cui si riferiscono i dati personali” (art. 4 comma 1 lett. i), ragion per cui dovrebbe propendersi per la contemporanea presenza di due criteri distinti: il primo è relativo alla responsabilità civile e si applica solo nell’eventualità in cui si verifichi un danno ad un soggetto terzo; il secondo sta su un piano differente, perché si riferisce al rispetto delle disposizioni legislative, le quali rilevano ai fini dell’applicabilità dell’art. 169 cod. priv., che disciplina le sanzioni da irrogarsi nel caso di omessa adozione di misure necessarie alla sicurezza dei dati[22].
4. La legittimazione attiva e passiva
Dall’esame delle disposizioni del cod. priv. sinora citate è possibile individuare quali soggetti sono legittimati attivi e passivi ai fini della responsabilità civile, risultando palese la volontà del legislatore di non limitare in alcun modo l’ambito soggettivo da entrambe le prospettive.
Infatti, sotto il primo aspetto, qualsiasi persona fisica o giuridica, ente od associazione, può essere leso nel corso di un trattamento di dati personali e può dunque chiedere il risarcimento del danno ai sensi dell’art. 15 cod. priv., rivolgendosi all’autorità giudiziaria ordinaria, che ha competenza esclusiva per tale materia. Nulla vieta, comunque, di ricorrere ex art. 145 comma 1 cod. priv. al Garante per ottenere la cessazione del comportamento illegittimo, anche in via cautelare (art. 150 comma 1 cod. priv.), e successivamente di intraprendere innanzi all’a.g.o. un’azione risarcitoria nei confronti del danneggiante.
La legittimazione passiva nel cod. priv. è regolata dall’art. 15 comma 1, il quale sancisce la responsabilità di chiunque cagiona danno ad altri per effetto del trattamento dei dati personali: è evidente l’ampia portata di questa norma. Secondo parte della dottrina essa non limita il novero dei soggetti responsabili al titolare[23] od al responsabile[24] della banca dati, ben potendo investirne altri, come, ad esempio, il semplice utilizzatore delle informazioni personali contenute in una banca dati, dal momento che anche l’utilizzo costituisce trattamento[25], o comunque qualunque soggetto che si trovi ad aver accesso alla banca dati o che sia in grado di diffondere questi dati e di darne conoscenza[26]; inoltre, nell’ipotesi di cessione di dati personali, dal momento che anche la cessione è un trattamento, il cedente è tenuto a risarcire i danni scaturenti dalla cessione non conforme alle prescrizioni legislative, e si configura (in virtù del “chiunque” di cui all’art. 15) una responsabilità solidale del cessionario; ancora, “l’interessato potrà agire nei confronti di questi soggetti per il risarcimento del pregiudizio a lui cagionato nel periodo in cui i dati siano stati trattati a seguito della cessione nulla”[27]; infine, si è sostenuta la responsabilità, oltre che dei soggetti da ultimo nominati, anche degli incaricati del trattamento[28].
Tale interpretazione appare condivisibile: anzitutto, se si esamina il testo normativo nella sua interezza, risulta palese il ruolo di deterrence che viene assegnato alla responsabilità civile e pertanto non sembra che limitare il numero dei soggetti responsabili sia stata l’intenzione del legislatore. In tal senso milita anche il dato letterale: usare un’espressione indeterminata come “chiunque” dimostra che non è necessaria un determinato status per essere obbligati al risarcimento del danno nelle ipotesi delineate dalla legge. Vi è di più: dall’analisi della direttiva comunitaria n. 95/46/CE, si nota come il legislatore comunitario abbia fatto riferimento esplicito, nello stabilire il soggetto responsabile per i danni cagionati dal trattamento di dati personali, al “responsabile”, che, nella terminologia della legge italiana, è il “titolare”; questo stesso riferimento non compare tuttavia nel cod. priv., nella quale si utilizza, invece, come si è detto, il termine “chiunque”, con ciò indicando la volontà del legislatore di estendere il novero dei soggetti civilmente responsabili ai sensi della normativa speciale prevista dalla stessa legge.
Un dato rimane comunque fermo: nella maggioranza dei casi, obbligati al risarcimento saranno il titolare o il responsabile[29], mentre difficilmente l’incaricato del trattamento sarà chiamato a rispondere del danno. Questi soggetti, inoltre, possono essere anche pubblici: la pubblica amministrazione può infatti dar vita ad un trattamento in base ad una norma di legge o di regolamento che la legittimi allo svolgimento di tale attività, ma nulla fa ritenere che non sia applicabile l’ordinaria disciplina del cod. priv. relativamente al risarcimento; dunque, nel caso in cui un soggetto pubblico violi le disposizioni contenute nella stessa legge, dovrà risponderne ai sensi dell’art. 2050 cod. civ. (a causa del rinvio di cui all’art. 15 comma 1 cod. priv.), e, ove sia stato cagionato un danno non patrimoniale, ai sensi dell’art. 15 comma 2 cod. priv.[30].
5. Il risarcimento del danno non patrimoniale (art. 15 comma 2 cod. priv.)
Il quadro delle norme del cod. priv. in tema di responsabilità civile si completa con il comma 2 dell’art. 15, ai sensi del quale “il danno non patrimoniale è risarcibile anche nei casi di violazione dell’articolo 11”[31], il quale, a sua volta, detta i principi qualitativi circa la raccolta ed i requisiti dei dati personali[32], disponendo che i dati personali oggetto di trattamento devono essere:
a) trattati in modo lecito e secondo correttezza;
b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;
c) esatti e, se necessario, aggiornati;
d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati;
e) conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.
Risulta evidente l’importanza di questa norma, poiché i principi da essa dettati, se non rispettati, comportano l’obbligo di risarcire il danno. Bisogna, pertanto, operare un’approfondita disamina di essa.
Innanzitutto, la lettera a) del comma 1 esprime una clausola generale: lawfulness and correctness; in concreto, la liceità del trattamento, di cui al comma 1 lett. a), consiste nella conformità sia alle prescrizioni dello stesso cod. priv., che ad altre norme eventualmente rilevanti; rinveniamo questi altri precetti, ad esempio, nell’art. 8 dello Statuto dei lavoratori, negli artt. 2105, 2407 e 2622 cod. civ., nonché nei codici deontologici di cui all’art. 12 cod. priv.. Su un piano diverso sta il requisito del trattamento secondo correttezza dei dati: in tal caso il riferimento è da intendersi fatto a regole di condotta extragiuridiche, quali, ad esempio, consuetudini relative alle modalità di gestione delle banche dati; queste ultime sono pertanto da valutare necessariamente caso per caso, data la genericità del concetto. Questo riferimento alla liceità e alla correttezza può essere letto come espressione di un atteggiamento di apertura ed interesse nei confronti di una realtà bisognosa di regolamentazione[33], con ciò investendo il profilo della liceità o illiceità dell’attività di trattamento di dati personali.
Proseguendo nell’esegesi dell’art. 11, il comma 1 si occupa, alla lettera b), di un altro aspetto fondamentale: le finalità della raccolta, quest’ultima tenuta distinta dalla registrazione. In primo luogo, è quindi necessario valutare le differenze fra questi due momenti: al riguardo non aiutano le definizioni contenute nell’art. 4, visto che la raccolta e la registrazione vengono nominate (ma non definite) nel comma 1 lett. a). Si può ritenere che i due termini possano coincidere, ai fini del cod. priv.: difatti, il caso normale è che i dati vengano raccolti e registrati nello stesso momento, con ciò rendendo superflua la distinzione, e in tal senso depone anche l’art. 2 lett. c) della Convenzione di Strasburgo, che, trattando delle attività in cui consiste l’elaborazione dei dati, espressamente nomina la registrazione. Non sembra comunque opportuno indugiare oltre su questo argomento, ben altra importanza rivestendo invece i requisiti degli scopi del trattamento; anzitutto questi devono essere determinati: un certo margine di generalità è da ammettersi per conferire flessibilità alla banca dati, purchè in tal modo non si ingeneri incertezza da parte dell’interessato[34]; nondimeno, più i dati toccano aspetti fondamentali del soggetto cui si riferiscono, più la specificazione delle finalità deve essere precisa[35]. Ai fini di questa indicazione, nel caso in cui sia un ente pubblico a dar vita al trattamento, le norme che istituiscono e regolamentano l’ente possono stabilire gli scopi di esso; ciò nonostante, non è sufficiente, ai fini della presente normativa, che esse norme prescrivano all’ente un determinato compito il quale presuppone la conoscenza di dati personali: in realtà, è necessaria l’esatta ed esplicita determinazione delle finalità del trattamento. In altri termini, l’implicita definizione degli scopi non basta a legittimare al trattamento, anche se può rappresentare un contributo alla documentazione della legittimità dello scopo[36]. Ciò non si ricava per via interpretativa, ma è stabilito dallo stesso art. 11 comma 1 lett. b), quando afferma che gli scopi devono essere espliciti: non è pertanto possibile stabilirli per relationem[37], magari con altre norme; non significa neanche che sia ammissibile una dizione molto generica, sia perché contrasterebbe con la determinazione degli scopi, e sia perché impedirebbe una reale esplicitazione di essi.
Su un piano diverso sta il requisito della legittimità del trattamento di dati personali: per stabilirla è necessario far riferimento alle norme legislative che si occupano della materia; certamente, il primo pensiero va al cod. priv., ma esso non costituisce l’unico elemento in base al quale valutare la legittimità del trattamento, basti pensare al citato art. 8 st. lav.; in dottrina è stato fatto un riferimento generale anche alla non contrarietà a norme imperative, all’ordine pubblico e al buon costume[38]. Con riguardo specifico al cod. priv., fra le altre norme, può venire in considerazione il trattamento attuato in assenze delle misure di sicurezza di cui all’art. 36.
La lett. b) del comma 1 dell’art. 11 procede poi occupandosi dell’utilizzabilità dei dati in altre operazioni del trattamento: è quindi un’estensione delle finalità, che consiste in un “ampliamento nell’ambito di una finalità che resta sostanzialmente invariata, ma che può richiedere una raccolta di dati più estesa di quella originariamente utilizzata”[39]; la questione, inevitabilmente da considerare singolarmente nel caso concreto, sarà decidere quando ci si trovi dinanzi ad un’estensione e quando dinanzi ad un mutamento, visto che i confini possono essere alquanto labili.
Analizzate le finalità del trattamento, bisogna ora occuparsi dei requisiti dei dati personali che ne costituiscono l’oggetto, delineati nelle lettere c) e d) del comma 1 dell’art. 11: i dati in questione devono essere esatti, aggiornati, pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti e successivamente trattati. Il primo requisito che viene in considerazione è quindi quello dell’esattezza dei dati, il quale è collegato all’aggiornamento degli stessi: l’utilità e la necessità di una siffatta previsione risulta di per sé evidente, assumendo ancor più importanza ove si consideri che “il singolo dato, rispetto all’identità personale, è come la tessera di un complesso mosaico, la cui costruzione […] può facilmente sfuggire allo specchio della realtà. L’autonomo potere di associazione fra i dati, che di per sé caratterizza l’attività di trattamento, rende dunque l’errore sulla singola informazione capace di un potere distorsivo assai maggiore della rilevanza di per sé dell’errore stesso, che peraltro potrebbe combinarsi con altre inesattezze”[40].
Da quanto è stato sin qui detto emerge l’ampiezza di contenuti dell’art. 11, il quale assume pertanto valenza centrale nell’ambito del risarcimento del danno cagionato per effetto del trattamento di dati personali: soprattutto la clausola generale della liceità e correttezza del trattamento ben si presta a sopperire ad eventuali carenze delle lettere b) – e) del medesimo articolo[41]. Dunque la sfera di responsabilità appare tanto vasta, che risulterebbe possibile, in ipotesi, chiedere il risarcimento del danno anche al di fuori di una specifica violazione di legge, purché il trattamento sia avvenuto infrangendo le regole della lawfulness and correctness[42]; inoltre questa sorta di clausola generale, assumendo una valenza che permea ogni fase del trattamento, permette di superare la tesi che ritiene configurabile il risarcimento del danno non patrimoniale solo in caso di atti pregiudizievoli commessi durante le operazioni di raccolta e conservazione dei dati personali, non anche nell’ipotesi di danni non patrimoniali verificatisi nel corso della diffusione e della comunicazione di questi[43].
6. Conclusioni e prospettive de jure condendo
L’evoluzione della società ed il progresso tecnologico impongono un adeguamento alle problematiche attuali, quanto meno a livello interpretativo, delle norme sulla responsabilità civile, affinché essa rispondano all’esigenza di esplicitazione concreta dell’art. 2 Cost., il quale dispone che “la Repubblica garantisce e tutela i diritti inviolabili dell’uomo”. Orbene, negare o limitare la tutela risarcitoria nei casi di violazione del diritto alla privacy non rientranti nella previsione di cui all’art. 15 comma 2 cod. priv. quando i danni cagionati non siano patrimoniali, equivarrebbe a non garantire, di fatto, un diritto fondamentale della persona qualora il comportamento lesivo non abbia un disvalore tale da rientrare nell’ambito penalistico, eventualità nella quale trova applicazione l’art. 185 cod. pen.[44]. Il diritto penale costituisce tuttavia una extrema ratio, ragion per cui tutti quei fatti lesivi che non abbiano una eccezionale gravità né assumerebbero rilevanza civilistica né tantomeno sarebbero puniti dal diritto penale, affermando tra l’altro un carattere di sussidiarietà del diritto civile nei confronti del diritto penale che porterebbe ad una non punibilità di determinati illeciti.
Ancora, se si considera l’odierna tendenza generale alla depenalizzazione delle fattispecie meno gravi, allora si comprende perché bisogna slegare l’applicazione dell’art. 2059 cod. civ. dall’accertamento del reato, in quanto la progressiva erosione delle aree di competenza del diritto penale limiterebbe enormemente la tutela di diritti la cui lesione si concretizza in danni che non solo sfuggono agli ordinari criteri di valutazione, ma che comunque non sono tanto gravi da provocare un intervento punitivo statuale che si concretizzerebbe nella limitazione della libertà individuale.
L’evoluzione giurisprudenziale in tema di danno esistenziale ha parso confermare una siffatta impostazione della problematica, che tuttora costituisce un punto di rottura nella tradizionale concezione della responsabilità civile. Basti pensare alla sentenza della Corte di cassazione 7 giugno 2000, n. 7713, nella quale, riprendendo la sentenza n. 184/86 della Corte Costituzionale, si afferma che dell’art. 2043 cod. civ. va data una lettura costituzionalmente orientata, nel senso che questa norma sia intesa come idonea a compensare il sacrificio che i valori personali subiscono a causa dell’illecito, attraverso il risarcimento del danno che è sanzione esecutiva del precetto primario ed è la minima delle sanzioni che l’ordinamento appresta per la tutela di un interesse. “Il citato articolo 2043 cod. civ., correlato agli artt. 2 e ss. Costituzione,” – afferma la Suprema Corte – “va così necessariamente esteso fino a ricomprendere il risarcimento non solo dei danni in senso stretto patrimoniali ma di tutti i danni che almeno potenzialmente ostacolano le attività realizzatrici della persona umana. Per cui, quindi – essendo le norme costituzionali di garanzia operanti anche nei rapporti tra privati (cd. drittwirkung) – non è ipotizzabile limite alla risarcibilità, della correlativa lesione, per se considerata, ai sensi dell’art. 2043 cod. civ.”; infine, il Supremo collegio ritiene che il contenuto stesso di un danno siffatto comporti naturaliter la liquidazione equitativa, ex artt. 2056 e 1226 cod. civ..
Più di recente, inoltre, si registrano due fondamentali pronunce del giudice di legittimità[45], poi seguite dalla sentenza 11 luglio 2003, n. 233 della Corte costituzionale[46]. Nonostante in questa sede non sia possibile affrontare compiutamente i molteplici spunti che sorgono dall’esame dei suddetti provvedimenti, bisogna quanto meno accennare a quegli aspetti che rilevano ai fini del presente scritto.
In particolare, la Corte di Cassazione ha affermato che “la tradizionale restrittiva lettura dell’art. 2059, in relazione all’art. 185 c.p., come diretto ad assicurare tutela soltanto al danno morale soggettivo, alla sofferenza contigente, al turbamento dell’animo transeunte determinati da fatto illecito costituente reato (interpretazione fondata sui lavori preparatori del codice del 1942 e largamente seguita dalla giurisprudenza), non può essere ulteriormente condivisa. Nel vigente assetto dell’ordinamento, nel quale assume posizione preminente la Costituzione – che, all’art. 2, riconosce e garantisce i diritti inviolabili dell’uomo – , il danno non patrimoniale deve essere inteso come categoria ampia, comprensiva di ogni ipotesi in cui sia leso un valore inerente alla persona”[47].
Correttamente, la Suprema Corte sostiene che “il rinvio ai casi in cui la legge consente la riparazione del danno non patrimoniale ben può essere riferito, dopo l’entrata in vigore della Costituzione, anche alle previsioni della legge fondamentale, atteso che il riconoscimento nella Costituzione dei diritti inerenti alla persona non aventi natura economica implicitamente, ma necessariamente, ne esige la tutela, ed in tal modo configura una caso determinato dalla legge, al massimo livello, di riparazione del danno non patrimoniale”[48].
Queste pronunce, tuttavia, costituiscono un deciso mutamento di rotta rispetto alla citata sentenza n. 7713/00, poiché la Cassazione rifiuta esplicitamente “l’assunto secondo cui il danno sarebbe in re ipsa, nel senso che sarebbe coincidente con la lesione dell’interesse. […] Il danno in questione deve quindi essere allegato e provato”[49].
Ovviamente una simile prospettiva ha conseguenze solo parziali per il diritto alla riservatezza, atteso che l’ampia nozione di dato personale nonché l’art. 15 comma 2 cod. priv. forniscono adeguati strumenti di tutela al soggetto leso e ciò sembra sia stato ben recepito dalla giurisprudenza di merito[50]. Per tutte le violazioni del diritto alla privacy che rientrano nella più generale previsione dell’art. 2 Cost. bisogna tenere in debito conto questo orientamento della Cassazione, che ha ricevuto anche l’autorevole avallo della Corte Costituzionale. Nella citata sentenza n. 233/03, infatti, si legge che le suddette pronunce della Suprema Corte “hanno l’indubbio pregio di ricondurre a razionalità e coerenza il tormentato capitolo della tutela risarcitoria del danno alla persona” e prospettano un’interpretazione costituzionalmente orientata dell’art. 2059 cod. civ., “tesa a ricomprendere nell’astratta previsione della norma ogni danno di natura non patrimoniale derivante da lesione di valori inerenti alla persona”[51].
Fra tali valori, ovviamente, non può che farsi rientrare la privacy, secondo un indirizzo giurisprudenziale e dottrinale oramai pienamente consolidato. L’evoluzione del diritto alla privacy deve però continuare e deve coinvolgere la normativa comunitaria ed interna, la giurisprudenza ordinaria e del Garante, e la dottrina, in uno sforzo propositivo ed interpretativo che tenga conto di categorie «nuove», a tratti «eversive», le quali “necessitano di sistemazione finalizzata all’effettiva salvaguardia degli interessi prevalenti in gioco”[52].
Su questo specifico problema non si può comunque tacere del ruolo svolto dalla stessa società, indipendentemente dall’apporto degli operatori giuridici: la presa di coscienza dei propri diritti consente di orientare liberamente le proprie scelte e le proprie idee, in quanto tutelate dalla legge. Non si può dunque slegare la quotidiana realtà fattuale dall’apporto degli esperti della materia, i quali devono partire dalla società dell’informazione così come si evolve, senza soffocarne il progresso, ma recependo le istanze della collettività. Ogni pretesa di disciplina «forte», che non trovi rispondenza nel consenso sociale, rischia di produrre soli effetti deleteri, perché l’ambito della materia che ci occupa coincide con la sfera della libertà personale e dell’autodeterminazione esistenziale.
In particolare, bisogna evidenziare il ruolo che la responsabilità civile potrebbe svolgere nella dissuasione al compimento di fatti illeciti, con la conseguenza di aumentare il grado di tutela del diritto alla privacy. Il processo italiano, per com’è oggi strutturato, non consente, tuttavia, di ottenere giustizia in tempi rapidi, e ciò porta a problemi ulteriori: se la lesione della privacy può impedire l’autodeterminazione esistenziale della persona, ma questa o non ottiene giustizia o la ottiene dopo tempi lunghi, allora, da un lato viene meno l’effetto dissuasivo della responsabilità civile, dall’altro un diritto fondamentale viene leso anche dallo Stato, in contrasto con l’art. 2 della Costituzione.
Da quanto detto risulta che, se ad un ripensamento delle tradizionali categorie giuridiche non segue una riforma che consenta un iter processuale degno di un moderno stato democratico, allora le istanze di tutela avanzate dalla società civile restano disattese, e sorge spontaneo chiedersi cosa possa fare un cittadino dinanzi alla violazione di un suo diritto «inviolabile». Nella (eterna?) attesa di una seria riforma legislativa in materia, sarebbe utile una maggiore attenzione nei confronti della tutela preventiva, perché in ogni caso il ripristino della situazione preesistente non è mai possibile quando si verifica una lesione del diritto alla riservatezza.
NB: Articolo già pubblicato in "Teoria del diritto e dello stato", 2004, 2, pp. 261-280
* www.informaticagiuridica.com
[1] La legge in oggetto è stata emanata per ottemperare all’Accordo di Schengen del 14 giugno 1985 e alla direttiva della Comunità Europea 24 ottobre 1995, n. 46. Il primo, ratificato dall’Italia con la legge 30 settembre 1993, n. 388, istituisce un sistema informativo collegato telematicamente ai ministeri dei paesi aderenti, purché questi assicurino un livello di tutela dei dati personali almeno pari a quello previsto dalla Convenzione di Strasburgo (relativa alla protezione delle persone rispetto al trattamento automatizzato di dati carattere personale ed adottata il 28 gennaio 1981). La seconda è invece relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati.
[2] La sentenza della Corte di Cassazione n. 2129 del 27 maggio 1975 (il c.d. «caso Soraya», in Foro It., 1976, I, c. 2895) costituisce infatti il formale riconoscimento dell’esistenza del diritto alla riservatezza nell’ordinamento italiano: il caso era stato provocato dalla pubblicazione sul n. 29 del 1968 del periodico «Gente» di un servizio fotografico, realizzato con teleobbiettivo, da cui risultavano ripresi in vari atteggiamenti, anche molto intimi, il regista Franco Indovina e la principessa Soraya Esfandiari, nell’interno della villa di quest’ultima. La Esfandiari lamentava la violazione del suo domicilio, della sua riservatezza e della sua immagine, con pregiudizio del decoro, dell’onore e della reputazione. Il fatto aveva anche un diretto risvolto economico, dal momento che alla principessa era stato attribuito un appannaggio a condizione che mantenesse una vita integra ed illibata.
Successivamente a questa pronuncia non si riscontrano interventi legislativi degni di nota sino all’approvazione della legge 675/96.
[3] Prima dell’emanazione del codice della privacy, la legge n. 675/96 è stata modificata dai seguenti decreti legislativi: n. 467 del 28 dicembre 2001; n. 282 del 30 luglio 1999; n. 281 del 30 luglio 1999; n. 135 dell’11 maggio 1999; n. 51 del 26 febbraio 1999; n. 389 del 6 novembre 1998; n. 171 del 13 maggio 1998; n. 135 dell’8 maggio 1998; n. 255 del 28 luglio 1997; n. 123 del 9 maggio 1997.
[4] Per una trattazione d’insieme del cod. priv. sia consentito rinviare a G. Fioriglio, Elementi di informatica giuridica, Roma, 2004.
[5] Così si legge nella Newsletter n. 176 del Garante per la protezione dei dati personali. Nel cod. priv., del resto, trovano posto disposizioni che toccano tematiche e settori importanti e delicati, come il lavoro e la previdenza sociale, i sistemi bancari, finanziari ed assicurativi, le comunicazioni elettroniche, e così via.
[6] Cfr. S. Rodotà, Tecnologie e diritti, 1995, p. 108, e Persona, riservatezza, identità. Prime note sistematiche sulla protezione dei dati personali, in Riv. crit. dir. priv., 1997, 4, p. 589.
[7] Cass. 25 marzo 2003, n. 4366, in Dir. inf., 2003, 3, p. 521.
[8] F. Olivo, Dati personali e situazioni giuridiche soggettive, in Giust. civ., 2002, 4, p. 162.
[9] F. Olivo, ibidem.
[10] In questo senso anche M. Castellaneta, In Europa l’Italia diventa «campione» di tutela, in Guida dir. – Doss. mens., 2003, 8, p. 105.
[11] M. Bin, Privacy e trattamento dei dati personali: entriamo in Europa, in Contr. impr./Europa, 1997, 2, p. 475; G. Buttarelli, Banche dati e tutela della riservatezza. La privacy nella Società dell’Informazione, Milano, 1997, p. 350; G. De Nova, Trattamento dei dati personali: responsabilità degli intermediari bancari e finanziari, in Danno resp., 1997, 4, p. 401; S. Sica, Art. 18, in E. Giannantonio – M. G. Losano – V. Zeno-Zencovich, Commentario alla legge 31 dicembre 1996, n. 675, Padova, 1997; P. Ziviz, Trattamento dei dati personali e responsabilità civile: il regime previsto dalla l. 675/96, in Resp. civ., 1997, p. 1300.
[12] F. D. Busnelli, Il “trattamento dei dati personali” nella vicenda dei diritti alla persona: la tutela risarcitoria, in V. Cuffaro – V. Ricciuto – V. Zeno-Zencovich (a cura di), Trattamento dei dati e tutela della persona, Milano, 1998, p. 185; G. Comandè, Art. 18, in C. M. Bianca – F. D. Busnelli (a cura di), Tutela della privacy, cit., p. 488; V. Franceschelli, La tutela della privacy informatica. Problemi e prospettive, Milano, 1998, p. 54; M. Franzoni, Dati personali e responsabilità civile, in Resp. civ., 1988, 4-5, p. 903; M. Granieri, Una proposta di lettura sulla tutela risarcitoria nella vicenda del trattamento di dati personali, in Danno resp., 1998, 3, p. 222; G. Visintini, Trattato breve della responsabilità civile, Padova, 1999, p. 404. In questo senso anche Trib. Orvieto 23 novembre 2002, in Dir. inf., 2003, 2, p. 337.
[13] P. Ziviz, ibidem.
[14] P. Ziviz, ibidem; inoltre, l’omesso riferimento dell’art. 18 all’ingiustizia del danno (di cui all’art. 2043 cod. civ.) e la riduzione del criterio di imputazione al mero rapporto causale, potrebbero far ritenere che l’attività di gestione di una banca dati sia un’attività vista con sfavore dal legislatore.
[15] P. Ziviz, ivi, p. 1301.
[16] P. Ziviz, ibidem.
[17] G. Comandè, op. cit., p. 488.
[18] Cass. 29 aprile 1991, n. 4710, in Mass. Foro It., 1991, c. 397.
[19] S. Merz, Manuale pratico della liquidazione del danno, Padova, 1999, p. 5.
[20] Cass. 21 novembre 1984, n. 5960, in Mass. Foro It., 1984, c. 1176.
[21] Ossia “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza” (art. 4 comma 1 lett. f) cod. priv.).
[22] La norma così dispone: “1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall’articolo 33 è punito con l’arresto sino a due anni o con l’ammenda da diecimila euro a cinquantamila euro. 2. All’autore del reato, all’atto dell’accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l’oggettiva difficoltà dell’adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l’adempimento alla prescrizione, l’autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo dell’ammenda stabilita per la contravvenzione. L’adempimento e il pagamento estinguono il reato. L’organo che impartisce la prescrizione e il pubblico ministero provvedono nei modi di cui agli articoli 21, 22, 23 e 24 del decreto legislativo 19 dicembre 1994, n. 758, e successive modificazioni, in quanto applicabili”.
[23] M. Ambrosoli, “La tutela dei dati personali e la responsabilità civile”, in Riv. dir. priv., 1988, 2, p. 306; R. Clarizia, Legge 675/96 e responsabilità civile, in Dir. inf., 1998,1, p. 252; V. Colonna, Il danno da lesione della privacy, in Danno resp., 1999, 1, p. 22; S. Fadda, Art. 8, in E. Giannantonio – M. G. Losano – V. Zeno-Zencovich, La tutela dei dati personali. Commentario alla L. 675/1996, Padova, 1999, p. 93; G. Visintini, Trattato breve della responsabilità civile, Padova, 1999, p. 404; P. Ziviz, op. cit., p. 1308.
[24] Il responsabile è “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali” (art. 4 comma 1 lett. g) cod. priv.).
[25] Anche G. Vettori, Privacy e diritti dell’interessato, in Resp. civ., 1998, 4-5, p. 885, ritiene che la nozione di trattamento comprenda, senza dubbio, anche il solo «utilizzo» di un’informazione relativa anche ad un «numero di identificazione personale».
[26] G. Visintini, op. cit., p. 404.
[27] A. Palmieri, L’illecita cessione dei dati personali: il mosaico delle sanzioni e dei rimedi, in Danno resp., 1999, 5, p. 514.
[28] G. Buttarelli, op. cit., p. 351; D. Carusi, La responsabilità, in V. Cuffaro –V. Ricciuto, La disciplina del trattamento dei dati personali, Torino, 1997, p. 377.
[29] G. Comandè, op.. cit., p. 494, afferma che “se, quindi, in linea di principio, la fattispecie prevista dall’art. 18 si applica a «chiunque cagiona un danno per effetto del trattamento di dati personali», è intuitivo che assai di frequente saranno i soggetti specificamente individuati dalla legge a rispondere per danni connessi all’attività di trattamento”.
[30] G. P. Cirillo, Trattamento pubblico dei dati personali e responsabilità civile della p.a., in Dir. inf., 1999, p. 853.
[31] Questa norma costituisce la «fotocopia» dell’art. 29 comma 9 della legge 675/96. Tale disposizione trovava spazio in un articolo dedicato alla tutela giurisdizionale: sarebbe stato molto più ovvio inserirla quale secondo comma dell’art. 18 della medesima legge (l’attuale art. 15 comma 1 cod. priv.), ma tale aspetto conferma la scarsa qualità redazionale della legge n. 675/96, considerando, oltretutto, la grande importanza di questa norma.
[32] S. Sica, Danno morale e legge sulla privacy informatica, in Danno resp., 1997, 3, p. 283.
[33] V. Colonna, op. cit., p. 22.
[34] E. Navarretta, op. cit., p. 332.
[35] Così anche M. G. Losano, Art. 9, in E. Giannantonio – M. G. Losano – V. Zeno-Zencovich, La tutela dei dati personali. Commentario alla L. 675/1996, cit., p. 99.
[36] M. G.Losano, op. cit., p. 99.
[37] Contra E. Navarretta, op. cit., p. 332, la quale sostiene che “può ammettersi una determinabilità per relationem laddove il rinvio operi rispetto a fonti certe, ben determinate e facilmente conoscibili dall’interessato, viceversa, deve escludersi sia una determinabilità affidata all’eventuale incarico di un terzo sia una determinabilità per relationem che imponga un onere di accertamento non agevole per l’interessato”.
[38] E. Navarretta, op. cit., p. 333.
[39] M. G. Losano, op. cit., p. 99.
[40] E. Navarretta, op. cit., p. 336.
[41] S. Sica, op. cit., p. 283.
[42] G. Vettori, op. cit., p. 898.
[43] Così G. Comandè, op. cit., p. 147.
[44] Art. 185 comma 2 cod. pen.: “Ogni reato, che abbia cagionato un danno patrimoniale o non patrimoniale, obbliga al risarcimento il colpevole e le persone che, a norma delle leggi civili, debbono rispondere per il fatto di lui”.
[45] Cass. 31 maggio 2003, nn. 8827 e 8828, in Corr. giur., 2003, 8, pp. 1017 ss., con nota di M. Franzoni, Il danno non patrimoniale, il danno morale: una svolta per il danno alla persona, e in Danno resp., 2003, 8-9, pp. 816 ss., con note di F. D. Busnelli, Chiaroscuri d’estate, la Corte di cassazione e il danno alla persona, di G. Ponzanelli, Ricomposizione dell’universo non patrimoniale: le scelte della Corte di cassazione, e di A. Procida Mirabelli di Lauro, L’art. 2059 c.c. va in paradiso.
[46] In: Corr. giur., 2003, 8, p. 1028; Giur. it., 2003, 10, p. 1777, con nota di P. Cendon – P. Ziviz, Vincitori e vinti (…dopo la sentenza n. 233/2003 della Corte costituzionale); Danno resp., 2003, 10, p. 939, con note di M. Bona, Il danno esistenziale bussa alla porta e la Corte costituzionale apre (verso il “nuovo art. 2059 c.c.), e di G. Cricenti, Una diversa lettura dell’art. 2059 c.c..
[47] Cass. 31 maggio 2003, n. 8827, cit., p. 1019.
[48] Ivi, p. 1020.
[49] Cass. 31 maggio 2003, n. 8828, cit., p. 1028.
[50] Con riferimento alla legge n. 675/96, cfr., fra gli altri, Trib. Roma 28 febbraio 2003 e Trib. Biella 29 marzo 2003, entrambe in Dir. inf., 2003, 3, pp.534 ss..
[51] Corte cost. 11 luglio 2003, n. 233, in Danno resp., cit., p. 941. I problemi maggiori, tuttavia, sorgono in tema di prova e di quantificazione del danno, atteso che, come si è accennato, “la parte che chiede il risarcimento del danno prodotto [… dalla lesione del diritto alla riservatezza] deve provare il pregiudizio alla sua sfera patrimoniale o personale, quale ne sia l’entità e quale che sia la difficoltà di provare tale entità” (Cass. 25 marzo 2003, n. 4366, in Dir. inf., 2003, 3, p. 523).
[52] S. Sica, D. Lgs 467/01 e «riforma» della privacy: un vulnus al «sistema» della riservatezza, in Dir.inf., 2002, 2, p. 293.
