Violazione GDPR: il Titolare del trattamento è tenuto a risarcire il danno anche se è trascurabile

In base alla disciplina generale del Regolamento (UE) 2016/679, cd. GDPR, il titolare del trattamento dei dati personali è sempre tenuto a risarcire il danno cagionato a una persona da un trattamento non conforme al regolamento stesso, e può essere esonerato dalla responsabilità non semplicemente se si è attivato (come suo dovere) per rimuovere il dato illecitamente esposto, ma solo “se dimostra che l’evento dannoso non gli è in alcun modo imputabile”. L’esclusione del principio del danno in re ipsa presuppone, in questi casi, la prova della serietà della lesione conseguente al trattamento; ciò vuol dire che può non determinare il danno la mera violazione delle prescrizioni formali in tema di trattamento del dato, mentre induce sempre al risarcimento quella violazione che concretamente offenda la portata effettiva del diritto alla riservatezza (nel caso in esame un Ente aveva erroneamente pubblicato sull’albo pretorio online i dati contabili relativi ad un pignoramento di una propria dipendente).

(Cassazione Civile, ordinanza, 12 maggio 2023, n. 13073)