Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 

 Tutela dei dati personali - Legge 675/96

Prime valutazioni sulla responsabilità civile nella legge 675/96
di Daniele Coliva(*) - 24.04.97

1. Premesse generali

Nell'ordinamento giuridico la responsabilità è argomento, per così dire, di chiusura, nel senso che, analizzata e sezionata la singola fattispecie quale fenomeno isolato, le norme sulla responsabilità incidono sui rapporti tra i soggetti giuridici ed in particolare sui conflitti tra situazioni soggettive che vengono in contatto / contrasto tra loro, non per effetto immediato e diretto di una espressa manifestazione di volontà dei singoli.
È evidente che stiamo parlando della c.d. responsabilità extra-contrattuale, cioè di quella che non trova la sua fonte appunto in un contratto o in un negozio giuridico.
La disposizione centrale e fondamentale è il ben noto art. 2043 c.c., in base al quale "Qualunque fatto doloso o colposo che cagiona ad altri un danno ingiusto obbliga chi ha commesso il fatto a risarcire il danno". Formulazione apparentemente semplice e lineare, ma in realtà matrice di elaboratissime discussioni dottrinali e giurisprudenziali.
Per l'argomento che qui interessa è sufficiente dare conto della più recente evoluzione della ricostruzione dell'istituto ed in particolare della sua funzione nell'ordinamento. Abbandonata infatti la tesi sanzionatoria, oggi la funzione prevalentemente attribuita al "sistema" della responsabilità civile (1) è quella risarcitoria: "le norme sulla responsabilità civile sono interpretate al fine di estendere quanto più è possibile il risarcimento a tutte le vittime" (2).
La disamina della interpretazione e dell'applicazione della norma in questione dimostra come l'adozione di una formula tanto ampia (c.d. clausola generale di responsabilità) ha consentito un progressivo adeguamento dell'ordinamento ai mutamenti delle situazioni economiche ed alle istanze sociali (3).
Il principio contenuto nell'art. 2043 c.c., "nessuna responsabilità senza colpa", ha subito un'erosione della sua portata generale, attraverso l'introduzione già nello stesso codice di ipotesi, non più marginali, di responsabilità senza colpa, nelle quali, cioè, il criterio di imputazione della responsabilità non è più basato sulla colpa stessa, ma su altri presupposti (proprietà, custodia, organizzazione dell'impresa) 4.
Semplificando i termini del problema, può affermarsi che oggi la responsabilità per colpa ha un ruolo residuale e non definitorio di un carattere generale di tutte le ipotesi. Gli interventi legislativi che disciplinano nuove attività (o nuove fattispecie) propendono quasi sempre per la scelta di un modello nel quale la colpa è irrilevante, ovvero, mediante il ricorso a presunzioni più o meno difficilmente superabili, la tutela del danneggiato è approntata con la massima intensità possibile.
È il caso della legge sui dati personali, della quale ci occupiamo in questa sede.

2. L'informatica è attività pericolosa?

La legge 31 dicembre 1996, n. 675, prevede all'art. 18 che l'obbligazione risarcitoria del danno provocato dal trattamento di dati personali sia disciplinata dall'art. 2050 c.c.(5). Questa disposizione prevede che l'esercente un'attività pericolosa sia tenuto al risarcimento del danno "se non prova di avere adottato tutte le misure idonee ad evitare il danno".
Tecnicamente siamo dunque di fronte ad una inversione dell'onere della prova, in base alla quale l'imprenditore per andare esente da responsabilità deve fornire una prova liberatoria dal contenuto veramente diabolico. Secondo l'opinione ormai consolidata di dottrina e giurisprudenza la prova è raggiunta allorché si sia dimostrato di avere utilizzato tutte le cautele che la miglior scienza e tecnica ponga a disposizione. In pratica siamo di fronte ad una responsabilità oggettiva, cioè senza colpa, nella quale anche il caso fortuito o il fatto del terzo sono a carico dell'imprenditore.
L'art. 18 della legge 675/96 costituisce la consacrazione normativa di un'opinione risalente ad oltre dieci anni or sono.
Le prime affermazioni in tal senso risalgono al 1946, e da subito incontrarono il favore dei commentatori (7), soprattutto in relazione al pericolo per il diritto del singolo alla riservatezza. La banca dati viene infatti vista, per le sue caratteristiche intrinseche di facilità nella manipolazione, elaborazione e circolazione dei dati, come uno strumento idoneo ad interferire in misura mai vista sino a quel momento con posizioni soggettive tutelate anche costituzionalmente.
La pericolosità, dunque, sarebbe insita nel valore aggiunto dato dallo strumento informatico. Il dato "informatizzato" è qualitativamente diverso da quello contenuto in un archivio tradizionale, proprio in considerazione della sua idoneità non solo ad essere ampiamente conosciuto, ma anche a consentire l'acquisizione di ulteriori informazioni. In altri termini, non è solo informazione di per sé considerato, ma è pure strumento di informazione. Basti pensare per esempio ai dati di una ricerca di mercato sul consumo di dolci, dai quali può inferirsi la predisposizione dei soggetti a contrarre malattie dell'apparato dentario o endocrino.
Lo sforzo, in ipotesi lodevole, del legislatore, di tutelare il soggetto fornitore dei dati, è tuttavia andato oltre, ponendosi in contraddizione con le premesse implicite. Se infatti la "pericolosità" dell'informatica era l'ispiratrice del richiamo alla disciplina della responsabilità da attività appunto pericolosa, non si comprende allora per quale motivo l'art. 18 abbia portata generalmente riferita a qualsiasi trattamento dei dati personali, anche se effettuato a scopo esclusivamente personale (per il quale trovano tra l'altro applicazione gli obblighi in tema di misure di sicurezza, art. 3, comma 2), ovvero su supporto cartaceo (art. 5).
Deve dunque concludersi che la pericolosità è attributo del dato personale e non del mezzo di trattamento.
Le conseguenze sono facilmente intuibili. Se da un lato, infatti, le ipotesi di illecito penale trovano un contemperamento nella loro natura dolosa (ad eccezione dell'art. 36, unica fattispecie colposa, che desta peraltro notevoli perplessità) e nel principio costituzionale della personalità della responsabilità penale (art. 27 cost.), dall'altro sarà in pratica impossibile evitare la condanna - civile - al risarcimento del danno, per l'impossibilità concreta di fornire la prova liberatoria prescritta.
Il rischio d'impresa si è dunque ampliato. L'imprenditore 8 dovrà avere riguardo anche a questa ulteriore possibilità di perdite patrimoniali, dalla quale si dovrà cautelare con adeguata copertura assicurativa, il cui onere si ripercuoterà in ultima analisi sul costo dei beni e/o servizi prodotti.
Sono scelte sovrane di politica legislativa ed all'interprete non rimane che prenderne atto. Non può tuttavia essere sottaciuto il possibile chilling effect nei confronti delle attività professionali e d'impresa (9), al punto da dubitare dell'equilibrio della decisione sul bilanciamento degli interessi costituzionali in gioco. Pare a chi scrive che si sia eccessivamente dilatato il limite alla libertà di iniziativa economica (art. 41, comma 2, cost.), con un eccessivo e formalistico rilievo attribuito alle situazioni soggettive dei singoli, senza tenere conto dei costi complessivi dell'opzione di eccessiva tutela, che si poteva approntare mediante una inversione dell'onere della prova che comunque lasciasse spazio ad una vera e propria prova liberatoria.
Il testo della direttiva consentiva ampio margine di manovra in tal senso. All'art. 23 della direttiva 43/95 la responsabilità è posta a carico del responsabile del trattamento (l'equivalente del titolare), quale conseguenza di un trattamento illecito o comunque in violazione della normativa di attuazione, con la possibilità per il titolare di esimersi da responsabilità dimostrando la non imputabilità dell'evento dannoso (10).
Il rischio, poi, di un conflitto tra l'interessato e diritti costituzionali di libertà (penso all'art. 21 cost.) è quanto mai attuale. Nell'ipotesi di interferenza i diritti dell'interessato da una parte e il diritto di libertà di espressione e/o di informazione originata dal trattamento di dati personali dall'altra (che non dia ovviamente luogo a diffamazione o ad altre fattispecie penalmente rilevanti) l'eventuale danno conseguente sarebbe comunque risarcibile, dal momento che: a) è risarcibile il danno in quanto tale, e non il danno ingiusto di cui all'art. 2043 c.c.; b) la sola esimente è la prova liberatoria prevista dall'art. 2050 c.c. L'esercizio di un diritto garantito dalla costituzione non esimerebbe in ogni caso dall'obbligo di risarcire il danno in ipotesi provocato.
La tesi è forse azzardata e provocatoria, tuttavia mi sembra coerente con la struttura dell'art. 18.
Lo squilibrio tra la tutela civilistica e l'impianto complessivo della legge è desumibile inoltre dal tipo di tutela giustiziale / giurisdizionale prevista. Quest'ultima è di tipo essenzialmente procedimentale (11), la sola concretamente ipotizzabile ed attuabile nella soggetta materia, mentre la prima appare ancorata ad una logica "proprietaria", nel senso che qualsiasi lesione (12) della situazione soggettiva assoluta facente capo all'interessato dà luogo a risarcimento, indipendentemente dal fatto che l'autore del trattamento abbia rispettato le norme procedimentali previste nella legge, ovvero abbia esercitato una libertà costituzionale.
È auspicabile che la giurisprudenza recuperi la nozione di danno ingiusto, della quale si sente la mancanza in questa sede.

3. I soggetti

Contrapposto all'interessato (13) dalla parte della banca dati troviamo tre soggetti:
* il titolare (la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento di dati personali, ivi compreso il profilo della sicurezza, art. 1, lett. d)
* il responsabile (la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali, art. 1, lett. e)
* gli incaricati (le persone incaricate per iscritto di compiere le operazioni del trattamento dal titolare o dal responsabile, e che operano sotto la loro diretta autorità, art. 19).
Questa sequenza è strutturata gerarchicamente: il titolare nomina il responsabile tra i soggetti dotati dei requisiti di professionalità previsti dall'art. 8, comma 1. L'atto di preposizione (obbligatoriamente in forma scritta) non esaurisce però gli obblighi del titolare, il quale non solo deve fornire al responsabile le istruzioni per il trattamento, ma è altresì tenuto ad una periodica e penetrante verifica dell'osservanza della legge e delle istruzioni impartite (art. 8, comma 2). Gli incaricati a loro volta operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle loro istruzioni.
Assistiamo dunque ad una cascata di obblighi di direzione e di controllo che assume particolare rilevanza in sede penale (colposa), laddove è essenziale la individuazione delle condotte singolarmente esigibili. Il quesito principale è difatti se la delega al responsabile possa tranquillizzare il titolare, ponendolo al riparo da rischi di incriminazione. La soluzione passa necessariamente attraverso l'interpretazione dell'estensione degli obblighi di vigilanza previsti dall'art. 8, comma 2.
Una prima opinione esclude qualsiasi esenzione (14), in considerazione appunto della continuità necessaria del controllo. La disposizione citata, infatti, prevede che il titolare vigili anche mediante verifiche periodiche, il che presuppone altre modalità di ispezione, più penetranti. Le verifiche periodiche sarebbero dunque un quid pluris che non esaurisce l'obbligo del titolare.
A mio avviso la dimostrazione del puntuale assolvimento di quest'ultimo, con riferimento al contenuto della delega ed alle modalità concrete di controllo ha efficacia esimente dalla responsabilità penale.
Sotto il profilo della responsabilità civile la questione dell'imputabilità dell'illecito e delle sue conseguenze è risolta pacificamente dall'art. 2049 c.c., in forza del quale il titolare sarà sempre oggettivamente responsabile nei confronti del terzo in virtù del rapporto di preposizione che lo lega al responsabile ed agli incaricati. (15).

4. Il danno

Benché si tratti di argomento tipico della lite giudiziaria, la cui individuazione è rimessa al giudice, previa dimostrazione della sua esistenza e del suo ammontare da parte di colui che lo reclami, mette conto segnalare una disposizione particolare della legge in esame.
All'art. 29, comma 9, è previsto testualmente che "il danno non patrimoniale è risarcibile anche nei casi di violazione dell'art. 9".
La disposizione generale in tema di danno non patrimoniale (più comunemente conosciuto, ma impropriamente, quale danno morale) è l'art. 2059 c.c., che ne limita la risarcibilità ai soli casi previsti dalla legge. La ipotesi più frequente e solitamente indicata come unica è il reato (16), in forza dell'art. 185 c.p.
Vi sono tuttavia nell'ordinamento altre ipotesi di danno che non rientrano nella categoria propriamente detta del danno patrimoniale, dal momento che non comportano diminuzioni patrimoniali, ma che costituiscono indubitabilmente un pregiudizio per il soggetto, consistendo in una lesione di un diritto primario. Va ricordato in primo luogo in proposito il c.d. danno biologico, inteso quale pregiudizio al diritto alla salute, all'integrità fisica (C. cost. n. 184/86); vi è poi il danno all'immagine e all'identità personale. In queste ultime ipotesi è agevole supporre che il pregiudizio subito non frequentemente si concretizzerà esclusivamente in una lesione al patrimonio, quanto piuttosto in fastidi, patemi, sofferenze (lato sensu psichiche), che in assenza della norma citata ben difficilmente troverebbero ristoro secondo i principi generali dell'ordinamento.
Ma vi è di più. L'art. 29, comma 9, nel prevedere la generale risarcibilità del danno non patrimoniale per le violazioni (non costituenti reato, è sottinteso) della legge sui dati personali, ne consente il riconoscimento anche nell'ipotesi di responsabilità presunta di cui all'art. 2050 c.c.

Note

1) Per una ricostruzione del sistema, cfr. M. FRANZONI, Fatti illeciti, in Comm. del cod. civ., a cura di A. Scialoja e G. Branca, Bologna - Roma, 1993.
2) G. ALPA, Istituzioni di diritto privato, Torino, 1995, p 1099.
3) Si possono citare gli esempi ormai classici della tutela aquiliana del credito (il caso Meroni) e delle prime affermazioni della responsabilità del produttore.
4) G. ALPA, op. cit., p. 1108 e le due opere fondamentali in tal senso: P. TRIMARCHI, Rischio e responsabilità oggettiva, Milano, 1961; S. RODOTÀ, Il problema della responsabilità civile, Milano, 1964.
5) Non ci si può tuttavia esimere dal rilevare l'impropria formulazione della disposizione, costruita mediante il richiamo tout court ad altra norma al di fuori del contesto di quest'ultima. È legittimo il dubbio in proposito che il richiamo sia inteso alla sola presunzione e non alla fattispecie di responsabilità di cui all'art. 2050 c.c.
6) Al Convegno di studi del Centro Elettronico della Corte di Cassazione del 1984 in Roma.
7) G. GIACOBBE, Problemi civilistici dell'era informatica, in Banche dati e diritti della persona, Atti del Convegno in Sciacca del 9-10 dicembre 1984, a cura di O. Fanelli, Milano, 1986, p. 38. Si veda inoltre la relazione introduttiva di G. MIRABELLI, ivi, p. 2 ss., spec. p. 9. R. BORRUSO, Per una disciplina delle banche dei dati personali, in "Banche di dati" e diritti della persona, Padova, 1985, p. 92.
8) Non solo, anche il professionista ed il privato in genere, stante la citata portata generale dell'art. 18.
9) Si pensi alle imprese il cui "prodotto" è costituito da dati personali, quali p. es. le società che si occupano di ricerche di mercato.
10) Nel considerando n. 55 della direttiva il legislatore comunitario esemplifica quali casi di non imputabilità l'errore della persona interessata e la forza maggiore, ipotesi irrilevanti nello schema dell'art. 2050 c.c. adottato nella l. 675/96.
11) Si vedano le considerazioni di E. ROPPO, Informatica, tutela della privacy e diritti di libertà, in Computers e responsabilità civile, a cura di G. Alpa, Milano, 1985, p. 23.
12) Vedremo infra i problemi determinati dall'individuazione del danno risarcibile.
13) "La persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali", art. 1, lett. f.
14) RI. IMPERIALI - RO. IMPERIALI, La tutela dei dati personali, Milano, 1997, p. 163.
15) Ciò anche nell'ipotesi di trattamento eseguito in appalto da imprese terze. Il dettato normativo non consente al titolare di trasferire ad altro imprenditore, secondo lo schema tipico del contratto di appalto, gli obblighi di controllo. In tal senso RI. IMPERIALI - RO. IMPERIALI, La tutela dei dati personali, Milano, 1997, p. 163 s. In sostanza saremmo sempre di fronte ad appalti c.d. a regia.
16) Anche accertato incidentalmente dal giudice civile nel giudizio di risarcimento.

(*) Avvocato - Studio Legale Coliva