giurista risponde

Violazione del diritto alla riservatezza e risarcimento del danno Quali sono le condizioni e i criteri per il risarcimento del danno da violazione del diritto alla riservatezza?

Quesito con risposta a cura di Manuel Mazzamurro e Incoronata Monopoli

 

Il danno da violazione del diritto alla riservatezza, dovendo necessariamente consistere in un profilo consequenziale rispetto al fatto dannoso denunciato, dev’essere essere oggetto di specifica allegazione e di prova, anche tramite il ricorso al valore rappresentativo di presunzioni semplici, ossia anche attraverso l’indicazione degli elementi costitutivi e delle specifiche circostanze di fatto da cui desumerne, sebbene in via presuntiva, l’esistenza. – Cass., sez. III, ord. 16 aprile 2024, n. 10155.

 Nel caso di specie, la Suprema Corte è chiamata a valutare se il danno da violazione del diritto alla riservatezza sia soltanto patrimoniale o anche morale ed esistenziale.

Il Tribunale adito, in parziale accoglimento dei ricorsi proposti dai danneggiati, condannava l’azienda sanitaria a rifondere i predetti; tenuto conto, altresì, che quest’ultima aveva proceduto ad oscurare i dati sensibili dei medesimi.

Viene proposto, quindi, ricorso, ex art. 380bis, per Cassazione, lamentando i ricorrenti che il danno da violazione del diritto alla riservatezza non sia soltanto patrimoniale, ma anche morale ed esistenziale; e che l’art. 15 del codice della protezione dei dati personali statuisca un generale principio di “indemnisation” integrale del danno non patrimoniale da trattamento dei dati personali; che la danneggiata abbia subito un danno alla vita di coppia ed alla sfera sessuale, un danno alla vita di relazione, all’immagine, al nome, all’onore; in ordine alla quantificazione del danno, che si richiami la definizione del danno non patrimoniale come prevista dall’art. 138 del codice delle assicurazioni (Cass., sez. III, 27 dicembre 2014, n. 1608).

La Suprema Corte ha ricordato quanto stabilito dalla pronunzia della Corte cost. 6 ottobre 2014, n. 235 e dell’entrata in vigore della L. 124/2017 (che all’art. 1, comma 17, ha modificato l’art. 138 cod. ass., richiamato dai ricorrenti), secondo cui il giudice del merito sia tenuto “a valutare tanto le conseguenze subite dal danneggiato nella sua sfera morale (che si collocano nella dimensione del rapporto del soggetto con se’ stesso), quanto quelle incidenti sul piano dinamico-relazionale della sua vita (che si dipanano nell’ambito della relazione del soggetto con la realtà esterna, con tutto ciò che, in altri termini, costituisce “altro da sé”)” (Cass., sez. III, 31 gennaio 2019, n. 2788; Cass., sez. III, 21 luglio 2017, n. 21939).

Di talché, è necessario che il danno preteso sia oggetto di specifica allegazione e di prova, dovendo necessariamente consistere in un profilo consequenziale rispetto al fatto dannoso denunciato (non potendo esaurirsi nella figura del c.d. danno-evento, ossia in re ipsa) (Cass., sez. III, ord. 10 luglio 2023, n. 19551; Cass., sez. III, 13 ottobre 2016, n. 20643; Cass., sez. III, ord. 18 novembre 2022, n. 34026).

Nel caso all’esame, sul punto, giova sottolineare come nella specie il Tribunale ha avuto cura di evidenziare che la divulgazione di informazioni in violazione degli obblighi di riservatezza e di privacy avvenuta in modo illegittimo (in particolare, circa gli aspetti inerenti allo stato di salute e alla vita sessuale della odierna parte ricorrente, nonché alle prestazioni sanitarie cui era stata sottoposta, e alle coordinate bancarie del coniuge su cui accreditare il rimborso ottenuto) determinò l’odierna azienda controricorrente a provvedere in un tempo brevissimo (nelle ore immediatamente successive alla pubblicazione) ad oscurare i dati sensibili presenti nel testo diffuso.

Di conseguenza, il Tribunale ha correttamente considerato il complesso degli elementi istruttori documentali e testimoniali acquisiti ed è pervenuto alla quantificazione e liquidazione del danno in via equitativa, in modo unitario e omnicomprensivo e proporzionato al danno di natura non patrimoniale subìto in concreto dalla parte ricorrente.

Per tale motivo, il ricorso è inammissibile.

PRECEDENTI GIURISPRUDENZIALI:

-Conformi:  Cass., sez. III, 31 gennaio 2019, n. 2788; Cass., sez. III, 21 luglio 2017, n. 21939; Cass., sez. III, ord. 10 luglio 2023, n. 19551; Cass., sez. III, 13 ottobre 2016, n. 20643; Cass., sez. III, ord. 18 novembre 2022, n. 34026

-Difformi:   Cass., sez. III, 27 dicembre 2014, n. 1608

*Contributo in tema di “Violazione del diritto alla riservatezza e risarcimento del danno”, a cura di Manuel Mazzamurro e Incoronata Monopoli, estratto da Obiettivo Magistrato n. 75 / Giugno 2024 – La guida per affrontare il concorso – Dike Giuridica

metadati mail lavoratori garante

Mail lavoratori: le indicazioni del Garante Il Garante Privacy aggiorna il documento sul trattamento dei metadati degli account e-mail utilizzati dei dipendenti

Metadati e-mail lavoratori: il provvedimento del Garante Privacy

Con il provvedimento n. 364 del 6 giugno 2024 il Garante Privacy ha provveduto ad aggiornare il documento “programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”. Questo documento, che costituisce l’allegato 1 del provvedimento 3634, ne costituisce parte integrante.

Definizione e tempi conservazione metadati

Il provvedimento si occupa in particolare della definizione dei meta dati e della durata di conservazione dei meta dati degli account di posta elettronica utilizzati dei dipendenti. Questo perché c’è il rischio che i programmi di servizi informatici per la gestione della posta elettronica, anche in modalità cloud, possano procedere alla raccolta preventiva e generalizzata, per impostazione predefinita, dei meta dati degli account.

Cosa sono i metadati

I metadati a cui si riferisce il provvedimento sono informazioni registrate nei log che vengono generati dai sistemi server che gestiscono lo smistamento della posta elettronica e delle postazioni relative alle interazioni tra i server interagenti e tra questi ultimi e i client. Ne costituiscono un esempio gli indirizzi email di mittente e destinatario, gli indirizzi IP dei server o dei client, gli orari  di invio, di trasmissione, ritrasmissione e ricezione, la dimensione dei messaggi e gli allegati.

I metadati di cui si occupa il provvedimento non vanno confusi con il contenuto del messaggio di posta elettronica. Questi dati infatti restano a disposizione dell’utente lavoratore. In relazione al contenuto testuale della e-mail pertanto non sono previsti nuovi adempimenti o responsabilità a carico del titolare del trattamento.

Conservazione dei metadati

Detto questo, il Garante della Privacy fornisce le informazioni necessarie ai datori di lavoro per consentire il funzionamento corretto e l’utilizzo regolare della posta elettronica, comprese le garanzie necessarie di sicurezza informatica.

In particolare,  quanto riguarda la disciplina dei controlli a distanza precisa il Garante precisa che lattività di raccolta e conservazione dei soli mercati/log necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, allesito di valutazioni tecniche nel rispetto del principio di responsabilizzazione, si ritiene che possa essere effettuata, di norma, per un periodo limitato a pochi giorni; a titolo orientativo, tale conservazione non dovrebbe comunque superare i 21 giorni… Eventuale conservazione per un termine ancora più ampio e sì potrà essere effettuata, solo in presenza di particolari condizioni che ne rendano necessario lestensione, comprovando adeguatamente (…) le specificità della realtà tecnica e organizzativa del titolare. Spetta in ogni caso il titolare adottare tutte le misure tecniche organizzative per assicurare il rispetto del principio di limitazione della finalità, laccessibilità selettiva da parte dei soli soggetti autorizzati e adeguatamente istruiti e la tracciatura degli accessi effettuati”.  

Responsabilità dei datori di lavoro

Sulle eventuali responsabilità dei datori di lavoro  il Garante ricorda che la raccolta generalizzata e la conservazione dei meta dati che si riferiscono all’utilizzo della posta elettronica da parte dei dipendenti, per lunghi periodi di tempo, in mancanza di idonei requisiti giuridici, può consentire al datore di lavoro di acquisire informazioni personali e relativi alle opinioni del dipendente che non rilevano per valutarne l’attitudine professionale.

I titolari dei trattamenti sono tenuti ad effettuare la raccolta e la conservazione dei log nel rispetto dei principi di correttezza e di trasparenza. I lavoratori pertanto devono essere adeguatamente informati sul trattamento dei loro dati se si riferiscono a comunicazione elettroniche che li riguardano. A tal fine gli stessi devono essere resi edotti delle caratteristiche del trattamento, con particolare riguardo alla durata della conservazione dei dati e ad eventuali controlli.

I tempi di conservazione dei meta dati devono essere proporzionati alle finalità da perseguire. La mancata definizione in misura proporzionale dei tempi di conservazione comportano la violazione del principio di limitazione della conservazione, contemplato dall’articolo 5 del GDPR.

I datori di lavoro pubblici e privati per evitare responsabilità amministrative e penali devono quindi adottare tutti gli accorgimenti necessari per conformare i trattamento dei dati dei dipendenti alla disciplina di protezione dei dati e a quella di settore. Il datore di lavoro è tenuto quindi, in relazione ai servizi forniti in modalità cloud o as a service, a rispettare la normativa di protezione dei dati personali anche con riferimento al periodo di conservazione dei metadati.

Allegati