1

SPUNTI DI RIFLESSIONE SULLA

SENTENZA DELLA CORTE DI GIUSTIZIA DI

LUSSEMBURGO 6 OTTOBRE 2015

M. SCHREMS V. DATA PROTECTION COMMISSIONER

La sentenza della Corte di Giustizia 6 ottobre 2015, fornisce l’occasione

per una riflessione in tema di privacy e di risarcibilità dei danni non

patrimoniali derivanti da violazione della privacy.

1. PREMESSA.

La vicenda è nota. M. Schrems, cittadino austriaco, è un utente del social

network Facebook (di seguito "Facebook") dal 2008. Al momento della

registrazione ha sottoscritto un contratto con la società controllata

Facebook Irlanda in forza del quale i suoi dati personali sarebbero stati

trasferiti al server di proprietà di Facebook Inc. negli Stati Uniti, dove

sarebbero stati soggetti a trattamento. A seguito delle rivelazioni di

Edward Snowden sullo spionaggio condotto dalla Nsa, Schrems ha chiesto

al watchdog della privacy irlandese, paese in cui Facebook ha il suo

quartier generale nella Ue, di impedire il trasferimento verso gli Stati Uniti

dei dati personali degli utenti europei del social network, sostenendo che la

legge e la prassi di detto paese non garantivano un'adeguata protezione dei

dati personali da parte delle autorità. Il Commissario ha respinto la

richiesta non sussistendo prova che la NSA avesse avuto accesso ai dati di

carattere personale del richiedente ed affermando che proprio il

programma di “libero scambio di dati” approvato dalla stessa

Commissione Ue e negoziato con il dipartimento del Commercio

Americano, denominato “Safe Harbor”, garantiva una protezione adeguata

dei dati da parte degli Stati Uniti. Detto programma, infatti, al quale

hanno aderito 4.400 società, ha consentito fino ad oggi il trasferimento dei

dati dalla UE agli USA a società come Facebook, Google, Microsoft,

Yahoo, e Twitter1. Avverso detta decisione Schrems ha proposto un

ricorso dinanzi alla High Court (Alta Corte) secondo la quale la Decisione

della Commissione contrasta con gli Articoli 7 e 8 della Carta dei diritti

1 L’accordo tra UE e USA si basa sull’auto-certificazione delle aziende che vi hanno aderito, e sulla successiva notifica,

su base annua, al Dipartimento del Commercio degli Stati Uniti. L'iscrizione a tale accordo è volontaria, ma con regole vincolanti per chi si iscrive. Il Dipartimento del Commercio USA e la Federal Trade Commissiondegli Stati Uniti sono

responsabili per l'applicazione del regime di Safe Harbour negli Stati Uniti.

2

fondamentali dell'UE2 (rispetto della vita privata e la protezione dei dati

personali) integrata nel trattato di Lisbona che è giuridicamente vincolante

per le istituzioni e gli organi dell'Unione europea e gli Stati membri

quando attuano il diritto dell'Unione europea.

In questo contesto che la High Court (Alta Corte) ha deciso di sospendere

il procedimento e di sottoporre alla Corte le seguenti questioni:

"1) Se, alla luce di articoli 7, 8 e 47 della Carta e fatto salvo l'articolo 25,

comma 6 della direttiva 95/46, il Commissario indipendente responsabile

per l'attuazione della legislazione sulla protezione dei dati è vincolato dalla

decisione 2000/520 della Commissione

2) oppure se, in ipotesi di risposta negativa, il Commissario possa condurre

una propria indagine per verificare come la questione si sia evoluta dopo

la pubblicazione della predetta decisione della Commissione

La Corte di Giustizia ha risolto i quesiti in conformità alle conclusioni

assunte dall’Avvocato Generale francese Yves Bot secondo il quale la

decisione della Commissione del 26 luglio 2000 priva le autorità nazionali

di controllo dei loro poteri nel caso in cui una persona contesti la

compatibilità della decisione con la tutela della vita privata e delle libertà e

diritti fondamentali delle persone in violazione dei principi della Carta.

Pertanto la Corte ha dichiarato invalida la decisione della Commissione del

26 luglio 2000 con la conseguenza che spetterà all’autorità irlandese di

controllo esaminare la denuncia del sig. Schrems con tutta la diligenza

necessaria e che a essa spetta, al termine della sua indagine, decidere se, in

forza della direttiva, occorre sospendere il trasferimento dei dati degli

iscritti europei a Facebook verso gli Stati Uniti perché tale paese non offre

un livello di protezione dei dati personali adeguato.

2. LA PORTATA DELLA SENTENZA DELLA CORTE.

La sentenza della Corte si inserisce in un contesto in cui il problema dei

2 Articolo 7 - Rispetto della vita privata e della vita familiare : Ogni individuo ha diritto al rispetto della propria vita

privata e familiare, del proprio domicilio e delle sue comunicazioni.

Articolo 8 - Protezione dei dati di carattere personale : 1. Ogni individuo ha diritto alla protezione dei dati di carattere

personale che lo riguardano. 2. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della

persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati

raccolti che lo riguardano e di ottenerne la rettifica. 3. Il rispetto di tali regole è soggetto al controllo di un'autorità indipendente .

3

trasferimento dei dati UE – USA e della loro sicurezza era già al centro

dell’attenzione della Commissione Europea e del Parlamento Europeo.

In particolare, già alla fine del 2013 la Commissione Europea aveva

proposto 13 raccomandazioni per migliorare il funzionamento del regime

di Safe Harbour. La Commissione aveva altresì invitato le autorità

statunitensi a identificare eventuali rimedi entro l'estate 20143. Il

Parlamento in data 12 marzo 2014 ha adottato una risoluzione sul

programma di sorveglianza NSA degli Stati Uniti chiedendo dopo sei mesi

di indagine la sospensione dei principi di privacy Safe Harbor.

Tuttavia la situazione è precipitata per l’iniziativa giudiziaria di Schrems

che, peraltro, in Austria ha promosso una class action contro Facebook

chiedendo a un Tribunale austriaco di riconoscere un indennizzo di 500

euro per partecipante (per un totale di 12,5 milioni di euro) dopo aver

accertato che la privacy policy dell’azienda viola i diritti dei ricorrenti. e di

alcuni garanti europei nei confronti di Facebook4.

A ciò si aggiunga che, in Belgio, il garante privacy (Commission de la

protection de la vie privée, o CPVP o Commission Vie Privée) in

coordinamento con altre quattro autorità – francese, olandese, tedesca e

3 Queste 13 raccomandazioni:

Nell’ambito della trasparenza:

1. Le imprese auto-certificate devono rendere pubbliche le loro politiche sulla privacy.

2. I siti web di imprese autocertificate dovrebbero sempre includere, nella pagina relativa alla politica sulla privacy, un link al sito web del Safe Harbour del Dipartimento del Commercio che ne elenca tutti gli attuali membri.

3. Le imprese auto-certificate devono pubblicare le condizioni di privacy di tutti i contratti conclusi con i

subappaltatori, ad esempio, servizi di cloud computing. 4. Dovranno essere chiaramente segnalate nel sito web del Dipartimento del Commercio tutte le società che non

hanno sottoscritto l’accordo.

Nell’ambito del risarcimento: 5. Nella pagina relativa alla politica sulla privacy sui siti Web aziendali ci dovrebbe essere un link ai soggetti

competenti per la risoluzione alternativa delle controversie (ADR). 6. Tali soggetti ADR devono essere sempre disponibili.

7. Il Dipartimento del Commercio dovrebbe monitorare in modo più sistematico i “fornitori” di ADR in materia di

trasparenza e accessibilità delle informazioni fornite in merito alla procedura che usano e alle soluzioni presentate ai vari reclami.

Nell’ambito dell’applicazione:

8. A seguito della certificazione o ricertificazione delle società nel Safe Harbour, una certa percentuale di queste società dovrebbe essere soggetta a indagini specifiche con riferimento al rispetto effettivo delle politiche sulla

privacy (che vadano oltre il controllo del rispetto dei requisiti formali).

9. Una volta accertata la non conformità a seguito di una denuncia o di un'indagine, la società dovrebbe essere oggetto di un'indagine specifica dopo 1 anno.

10. In caso di dubbi sulla conformità o di denunce pendenti su una società, il Dipartimento del Commercio USA deve

informare l'autorità di protezione dei dati competente dell'UE. 11. False dichiarazioni di adesione al Safe Harbour dovrebbero essere oggetto di continue indagini.

Nell’ambito dell’accesso da parte delle autorità statunitensi:

12. Le politiche sulla privacy di imprese autocertificate dovrebbero includere informazioni sulla misura in cui la legge statunitense consente alle autorità pubbliche di raccogliere ed elaborare i dati trasferiti con l’accordo di Safe

Harbour. In particolare, le imprese dovrebbero indicare nelle loro politiche sulla privacy in quali casi vengono

applicate delle eccezioni per questioni di sicurezza nazionale, interesse pubblico o esigenze derivanti dall'applicazione della legge statunitense.

13. È importante che si faccia ricorso all'eccezione per la salvaguardia della sicurezza nazionale solo in misura

strettamente necessaria e proporzionata. 4 Per le iniziative nei confronti di Facebook si veda : http://europe-v-facebook.org/EN/en.html

4

spagnola – ha chiesto - oltre ad una pronuncia che sancisca l’illiceità della

profilazione effettuata dal social network su utenti e non utenti del suo

servizio, attraverso i cookies e i suoi social plugins - anche il

riconoscimento del principio che qualsiasi authority nazionale possa

esercitare i propri poteri regolatori sulle multinazionali digitali, a

prescindere dal radicamento territoriale di queste ultime in Europa5.

Pertanto la sentenza della Corte di Giustizia, oltre ad avere un effetto

immediato sulla validità del Safe Harbor quale piattaforma per il

trasferimento dei dati, con conseguente necessità di approntare in tempi

brevi – entro il 31 dicembre 2015 – una soluzione6, sollecitata anche dal

Gruppo art. 29, potrebbe determinare un incremento del contenzioso se il

consumatore volesse chiedere, come accaduto a Vienna, anche il

risarcimento del danno per violazione della normativa della privacy. La

questione è tanto più attuale di quello che si possa immaginare se si

considera che, anche all’interno della UE, sono state introdotte discipline

che legittimano la sorveglianza di massa a fini di sicurezza, come come la

Loi relative au renseignement7 in Francia, sulla quale la CNIL –

(Commission nationale de l'informatique et des libertés) ha espresso forti

critiche.

3. IL RISARCIMENTO DEL DANNO DA PRIVACY.

Il risarcimento del danno da violazione della normativa della privacy è

disciplinato dall’art. 2050 c.c. in quanto il trattamento dei dati personali è

considerato dal legislatore come attività pericolosa (art. 15 del Codice

della Privacy D. Lgs. n. 196 del 2003).

Pertanto, ai sensi della norma anzidetta spetterà al professionista o alla

società, in presenza di un danno, provare di aver adottato le misure idonee

ad evitare il danno (Cass. Civ., Sez.III, 2468/09).

Quanto al danno non patrimoniale sarà risarcibile nel caso in cui il

trattamento dei dati personali costituisca reato (art. 167 D. Lgs. 196/2003)

oppure, come previsto dall’art. 15 cit. 2° comma, anche nei casi previsti

dall’art. 11 del Codice della Privacy ossia violazione dei principi di liceità

5 http://www.privacycommission.be/fr

6 https://www.slideshare.net/slideshow/embed_code/key/icuYW6N9hnwyCZ e

https://www.slideshare.net/slideshow/embed_code/key/rwmZPdKGT8gUhB 7 http://www.legifrance.gouv.fr/eli/loi/2015/7/24/PRMX1504410L/jo/texte

5

e correttezza del trattamento; di finalità; di qualità ed esattezza dei dati

trattati; di pertinenza dei dati rispetto al trattamento; della giusta durata del

periodo di conservazione dei dati.

Ne consegue che le condotte illecite foriere di danno non patrimoniale

sono ampie e possono riguardare sia i dati personali che il loro trattamento

e consistere nella distruzione, perdita, accesso non autorizzato ai dati o nel

trattamento non consentito o non conforme alla finalità della raccolta.

Tuttavia anche il danno non patrimoniale derivante da un illecito

trattamento dei dati personali sensibili, non può essere risarcito in re ipsa,

dovendosi sempre provare, secondo le regole ordinarie, quale ne sia l'entità

ed a prescindere anche dalla difficoltà della relativa prova.

In questo senso infatti si è espressa la Corte di Cassazione civ. Sez. III,

Sent., 03-07-2014, n. 15240.

Non solo : la Suprema Corte, con sentenza 15 luglio 2014 n. 16133

ribadendo l’impossibilità di ravvisare un danno non patrimoniale in re

ipsa, anche nel caso di lesione dei diritti inviolabili come quello alla

privacy, ha altresì affermato la necessità di stabilire una soglia per

l’accesso alla tutela risarcitoria, invocando il criterio introdotto dalla

giurisprudenza della Corte Europea dei Diritti dell’Uomo, in applicazione

del paragrafo 3 b) dell'articolo 35 della Convenzione (Cusan e Fazzo c.

Italia, n. 77/07, 7 gennaio 2014). In particolare la Cassazione ha ritenuto

che il danno non patrimoniale risarcibile ai sensi del D.Lgs. 30 giugno

2003, n. 196, art. 15, (c.d. codice della privacy) non si sottrae alla verifica

di "gravità della lesione" e di "serietà del danno" ciò in quanto, anche

nella fattispecie di danno non patrimoniale di cui al citato art. 15, opera il

bilanciamento del diritto tutelato da detta disposizione con il principio di

solidarietà - di cui il principio di tolleranza è intrinseco precipitato -, il

quale, nella sua immanente configurazione, costituisce il punto di

mediazione che permette all'ordinamento di salvaguardare il diritto del

singolo nell'ambito di una concreta comunità di persone che deve

affrontare i costi di una esistenza collettiva.

Ora, “la "gravità della lesione" attiene al momento determinativo

dell'evento dannoso, quale incidenza pregiudizievole sul diritto/interesse

selezionato (dal legislatore o dall'interprete) come meritevole di tutela

6

aquiliana e la sua portata è destinata a riflettersi sull'ingiustizia del

danno, che non potrà più predicarsi tale in presenza di una minima

offensività della lesione stessa….La "serietà del danno" riguarda, invece,

il piano delle conseguenze della lesione e cioè l'area dell'obbligazione

risarcitoria, che si appunta sulla effettività della perdita subita (il c.d.

danno- conseguenza); il pregiudizio "non serio" esclude che vi sia una

perdita di utilità derivante da una lesione che pur abbia superato la soglia

di offensività”.

Per l'accertamento di entrambi i requisiti, il parametro è costituito dalla

coscienza sociale in un determinato momento storico.

Il principio anzidetto aveva già trovato applicazione in una sentenza della

Suprema Corte relativa alla diffusione giornalistica della notizia

dell'adozione di una delibera comunale riguardante l'assistenza da prestarsi

ad una persona disabile minore d'età, (Cass. Civ., Sez. 25 novembre 2014

n. 24986) ed è stato nuovamente applicato anche nella successiva sentenza

29/05/2015 n. 11223 relativa al corretto trattamento dei dati personali da

parte del datore di lavoro.

4. CONCLUSIONI.

Quale soluzione allora per accertare l’an ed il quantum del danno non

patrimoniale da lesione risarcibile ai sensi del D.Lgs. 30 giugno 2003, n.

196?

De iure condendo, suggerisce la Corte, “il legislatore potrebbe

tipizzazione le ipotesi di danno non patrimoniale concentrandosi soltanto

nella selezione dell'interesse giuridicamente meritevole di tale tutela

risarcitoria e lasciare interamente al momento applicativo della legge

l'indagine sull'ingiustizia del danno e sulla sua serietà” ovvero potrebbe

“attrarre nell'orbita della operata selezione anche la gravità della lesione,

attraverso un bilanciamento effettuato a priori, in ragione di esigenze

complessive che non attengano di per sè alla preminenza del

diritto/interesse tutelato bensì alla interazione tra il principio di

solidarietà ed il tipo di rapporti che tali diritti innestano” oppure

“potrebbe confezionare misure rimediali ancor più intense, in ipotesi

derogando anche al principio di effettività della perdita subita e, in

un'ottica (diversa da quella attuale) privilegiante piuttosto una funzione

7

meramente sanzionatoria della responsabilità civile, ipotizzare un danno

in re ipsa, che prescinda dalla stessa effettività della perdita subita,

magari valutando che lo stesso vincolo di solidarietà imponga, in quel

dato contesto, una assoluta preminenza di salvaguarda dei diritti

implicati”.

De iure condito, invece, “se può ritenersi che il giudizio sulla gravità della

lesione (ma non quello sulla serietà del danno) sia già definitivamente

espresso dal legislatore nella stessa scelta di politica criminale di punire,

per il particolare disvalore che lo caratterizza, un fatto come reato, la

stessa gravità della lesione, oltre che la serietà del danno, è delibazione

che la L. 24 marzo 2001, n. 89, art. 2, comma 2, (c.d. legge Pinto), nella

sua attuale formulazione, sembra affidare complessivamente

all'apprezzamento del giudice, talune ipotesi in cui la pur esistente

violazione della durata ragionevole del processo non da luogo ad alcun

indennizzo.”

E’ questa dunque una delle sfide che l’Osservatorio deve raccogliere ai fini

della costruzione di una tabella del danno non patrimoniale che individui

delle linee guida per verificare, in concreto la gravità della lesione e la

serietà del danno da violazione del diritto alla privacy.

Milano 26 ottobre 2015

(Avv. Gigliola Pirotta)

Osservatorio sulla Giustizia Civile di Milano – Gruppo Europa