La notizia del riconoscimento di un risarcimento del danno da record (115 milioni di dollari) a favore di Hulk Hogan, famoso ex lottatore di wrestling fra gli anni Ottanta e Novanta, per la violazione della sua privacy da parte di Gawker, un popolare magazine online, che nel 2012 aveva diffuso in rete un breve video in cui Hogan faceva sesso con l"allora moglie di un suo amico, ci offre l"occasione per tornare sul tema della privacy e della sua tutela risarcitoria. 

 È opportuno premettere che non si può operare un confronto tra la normativa (frastagliata, settoriale e suddivisa tra livello federale/statale) che connota l"ordimento statunitense e quella europea o italiana, anche perchè la legislazione Usa persegue l"obiettivo di regolamentare il trattamento dei dati in ambiti specifici di attività economica, nella misura in cui vi possano essere rischi per il cittadino considerato nel suo status di consumatore. Cosicchè la privacy non si configura come un diritto fondamentale dell"individuo, ma come un diritto del consumatore, da bilanciare con le esigenze delle imprese.

Evoluzione del diritto alla riservatezza

Quando parliamo di privacy ci si riferisce a quel diritto che protegge la sfera intima degli individui dall"indebita curiosità altrui. Tale diritto si affermò inizialmente nell"esperienza giuridica angloamericana, tra i primi contributi sul tema il classico di Warren e Bradeis The right to privacy, nel quale i due giuristi, nel configurare tale diritto, ripresero uno schema consolidato della cultura giuridica, ovvero quello del diritto di proprietà come ius excendendi alias (diritto di escludere l"altro). La logica proprietaria, infatti, richiama l"idea delle chiusura degli steccati che impediscono agli altri di invadere gli spazi altrui.

L"intento di Warren e Brandeis è quello di offrire protezione, attraverso la tutela del diritto alla privacy, agli aspetti più intimi e spirituali dell"uomo. Si abbandonano le logiche materiali ed utilitaristiche e si tutela non soltanto il valore preminente della proprietà privata ma, anzitutto, quello supremo della inviolabilità personale

L"esigenza di intimità e riservatezza nasce allorché gli spazi comuni in cui si lavora o si fa vita sociale si separano da quelli privati.

Considerare però la privacy solo come il diritto di essere lasciati soli sarebbe molto riduttivo, in quanto l"originale right to be let alone si è evoluto nel tempo e ha preso le fattezze di numerose garanzie giuridiche.

Il concetto di privacy risulta ormai molto più esteso del concetto di riservatezza, inteso come diritto all"intimità privata: infatti i confini del diritto alla privacy tendono ad ampliarsi mutandone, contemporaneamente, il contenuto.

L"identificazione del diritto alla privacy con il diritto alla protezione dei dati personali è il punto di approdo di una lunga evoluzione concettuale che, nelle sue varie tappe, ha arricchito di implicazioni e significati nuovi e ulteriori un concetto – quello della privacy – che si è caratterizzato e che si caratterizza ancora oggi per la sua incessante mutevolezza contenutistica e per la capacità di racchiudere in sé una serie di esigenze multiformi

Se consideriamo la privacy come aspetto legato alla libertà personale, infatti, ne apprezziamo il doppio volto: da un lato come libertà negativa, che si definisce nella forma della non interferenza nel senso che tale libertà consiste nella garanzia che nessun altro possa intromettersi nella sfera privata del titolare della libertà stessa. In essa si riconduce l"aspetto negativo del diritto alla privacy, cioè la facoltà di custodire nella propria sfera privata determinate informazioni. Dall"altro come libertà positiva, che deve essere ricondotta ai concetti di potere e di controllo, ossia all"attribuzione al soggetto della piena autonomia che ne garantisce la possibilità di intervenire di fronte a comportamenti altrui atti a turbare, aggredire o falsificare la propria vita o immagine nella società. Ad essa si riconduce l"aspetto dinamico del diritto alla privacy, ossia il diritto di controllare nella vita di relazione, la rivelazione e l"uso pubblico di dati, notizie e informazioni che siano attinenti alla propria persona e risultino in grado di porre quest"ultima in una posizione deteriore o in una falsa luce agli occhi della gente.

La privacy e la sua protezione a livello normativo

La protezione della privacy garantisce a chiunque la tutela della propria riservatezza, intesa quale soglia a partire dalla quale la vita di ogni persona è libera dall"altrui ingerenza, consentendo di separare la vita privata dallo spazio pubblico.

Tale diritto è riconosciuto nell"ordinamento europeo nell"art. 7 della Carta dei diritti secondo cui «ogni individuo ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle sue comunicazioni».

Nel nostro ordinamento il d.lgs. 30 giugno 2003, n. 196 denominato Codice in materia di protezione dei dati personali – che ha abrogato la legge 31 dicembre 1996, n. 675 sul trattamento dei dati personali (attuazione della ispirata dalla direttiva n. 95/46/CE) – definisce il quadro normativo che non solo si propone di proteggere l"individuo da intrusioni nella propria sfera privata e da rappresentazioni parziali e distorte della propria identità personale, ma configura anche un quadro di regole che rappresentano il punto di equilibrio tra l"interesse individuale al controllo dei dati e l"interesse collettivo alla circolazione delle informazioni.

«Il presente testo unico, di seguito denominato codice, garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell'interessato, con particolare riferimento alla riservatezza, all"identità personale e al diritto alla protezione dei dati personali.

Il trattamento dei dati personali è disciplinato assicurando un elevato livello di tutela dei diritti e delle libertà di cui al comma 1 nel rispetto dei principi di semplificazione, armonizzazione ed efficacia delle modalità previste per il loro esercizio da parte degli interessati, nonché per l'adempimento degli obblighi da parte dei titolari del trattamento»

(art. 2, d.lgs. n. 196/2003).

La disciplina posta dal Codice è molto complessa e la relativa analisi non può essere oggetto della presente trattazione, ci si limiterà quindi ai profili strettamente attinenti alla materia della responsabilità civile. In caso di trattamento di dati non conforme a quanto prescritto dal Codice, al di là delle misure che possono essere adottate dal Garante per la protezione dei dati personali ai sensi degli artt. 143 ss. e delle violazioni amministrative e penali previste dagli artt. 161 ss. del d.lgs. n. 196/2003, l"art. 15 del Codice prevede che:

 «Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell"articolo 2050 del codice civile.

Il danno non patrimoniale è risarcibile anche in caso di violazione dell"articolo 11 [relativo alle modalità di trattamento dei dati]»

E in giurisprudenza si ribadisce che:

«In tema di trattamento e di diffusione dei dati personali, la valutazione del comportamento tenuto dal gestore di tali dati deve essere svolta alla stregua dei principi ricavabili dall"art. 2050 c.c., richiamato dall"art. 15 del Codice della privacy»

(Trib. Milano, sez. I, 26 settembre 2012).

Il rinvio di tale disposizione all"art. 2050 c.c. continua a suscitare dubbi circa la qualificazione del trattamento dei dati personali quale attività pericolosa o meno, in quanto, in caso negativo, l"art. 2050 c.c. rileverebbe ai soli fini dell"inversione dell"onere della prova.

L"attributo «pericolosa» riferito all"attività non può ricollegarsi ad una generica probabilità di danno, che è di per sé insita in ogni condotta, ma ad una specifica, e più intensa probabilità, che discenda – secondo la precisazione codicistica – dalla natura dell"attività medesima o dai mezzi adoperati.

In questo senso la giurisprudenza consolidata ritiene che:

 «L"art. 2050 c.c., partendo dal presupposto logico che tutte le attività umane contengono in sé un grado più o meno elevato di pericolosità per coloro che le esercitano, prende in considerazione solo quelle di per sé potenzialmente dannose per l"alta percentuale di danni che possono provocare, in ragione della loro natura o per la natura dei mezzi adoperati, assoggettandole al giudizio di responsabilità indicato dalla norma»

(Cass. civ., 21 ottobre 2005, n. 20359).

Pertanto la pericolosità deve consistere in una potenzialità lesiva di grado superiore al normale e tale valutazione va fatta, secondo dottrina e giurisprudenza, mediante un criterio quantitativo, che tenga conto del numero di pregiudizi abitualmente causati da quella particolare attività, utilizzando allo scopo dati statistici ed elementi tecnici e di comune esperienza.

Va peraltro osservato che la pericolosità dell"attività non può essere aprioristicamente esclusa per il solo fatto che gli strumenti adottati (software, firewall ecc.) e i beni tutelati in materia di privacy siano connotati da immaterialità. Il fatto che i dati personali, così come le misure minime di sicurezza di cui all"art. 33 ss. del Codice, non siano caratterizzati dalla fisicità propria di altri beni non può considerarsi elemento che esclude la pericolosità del loro uso: anzi la natura personalissima dei diritti protetti, la loro indubbia rilevanza nell"attuale realtà economico-sociale, la difficoltà gestionale degli stessi, gli strumenti per la raccolta, il controllo e la gestione confermano il carattere "rischioso" dell"attività relativa.

Per la verità, anche dal dettato del d.lgs. n. 196/2003 sembra si possa desumere che si tratta di attività pericolosa. In tal senso il trattamento dei dati viene disciplinato «assicurando un elevato livello di tutela dei diritti e delle libertà di cui al comma 1» (art. 2), «riducendo al minimo l"utilizzazione dei dati personali» (art. 3), nonché «i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta» (art. 31): ciò predisponendo una serie di misure idonee e preventive (art. 31) o minime (artt. 33 ss.) di sicurezza e una serie di procedure tese alla corretta utilizzazione dei dati medesimi (artt. 11 ss.) o al controllo da parte del titolare (artt. 7-10) o del Garante (artt. 37-41).

Sul piano pratico, la risoluzione del problema se il trattamento dei dati disciplinato nel Codice possa o meno considerarsi pericoloso, non esclude l"applicazione della regolamentazione restrittiva dettata, in tema di prova, dall"art. 2050 c.c., il quale viene richiamato, a prescindere, dall"art. 15 d.lgs. n. 196/2003.

In entrambi i casi, dunque, il danneggiante potrà esimersi da responsabilità solo provando di aver adottato tutte le misure idonee a evitare il danno.

In giurisprudenza la prova liberatoria appare particolarmente rigorosa, venendo nella sostanza equiparata al caso fortuito. Non andando esente da responsabilità l"esercente diligente, non è sufficiente quindi la dimostrazione di essersi attenuti alle disposizioni di legge o di regolamento, ma è invece necessario dimostrare di aver adottato tutte le misure offerte dalla tecnica per prevenire i danni.

 «In tema di trattamento dei dati personali, l"onere della prova per la mancata custodia degli stessi incombe al danneggiante, come disposto dall"art. 2050 c.c., richiamato dall"art. 15 del d.lgs. n. 196/2003, salvo che le notizie siano note già prima della loro diffusione da parte di questo, poiché, in tal caso, il danneggiato non è esentato dall"onere di dimostrare o, quanto meno, di indicare elementi presuntivi idonei a motivare la convinzione che la divulgazione sia riconducibile a chi possiede tali dati e non a chi abbia in precedenza pubblicato le medesime informazioni. Né può configurarsi un diritto al risarcimento quando il custode abbia divulgato i dati a salvaguardia della correttezza del proprio comportamento, perché i principi in tema di riservatezza vanno coordinati, oltre che con quelli che attengono all"interesse pubblico e al diritto della collettività all"informazione, con le esigenze di salvaguardia di interessi, pubblici e privati, all"onorabilità delle proprie frequentazioni nonché alla correttezza ed al rigore dei propri comportamenti»

(Cass. civ., sez. III, 26 giugno 2012, n. 10646).

 Così chi scorra la casistica giurisprudenziale non potrà che convincersi che la giurisprudenza applica un vero standard di responsabilità oggettiva, finendo per richiedere come liberatoria la sola interruzione del nesso causale, anche perché in svariate ipotesi il realizzarsi del danno viene assunto dai giudici come prova dell"insufficienza delle misure adottate.

In tal senso la prova liberatoria, integrata dalla interruzione del nesso causale, può essere qualificata come dimostrazione indiretta del caso fortuito, nel senso che esclude sul piano causale la rilevanza dell"attività pericolosa rispetto all"evento dannoso. In tal senso, di fatto, i giudici si mostrano particolarmente rigidi sul punto, finendo per ammettere quella prova liberatoria in pratica equivalente al caso fortuito.

Quanto al connesso profilo della qualificazione della responsabilità, la giurisprudenza – per formale ossequio alla tradizione – continua a individuare nella colpa, in particolare nella colpa presunta, il fondamento della responsabilità di cui all"art. 2050 c.c. attraverso formule di carattere tralatizio (Cass. civ., sez. III, 7 novembre 2013, n. 25058).

L"art. 15 d.lgs. n. 196/2003, nel postulare che «chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento», rinvia esplicitamente per rintracciare le condotte lesive alle altre disposizioni del Codice: da un lato, vengono in rilievo le regole generali per tutti i trattamenti e le regole integrative per i soggetti pubblici e privati, mentre, nella seconda parte del Codice, vengono dettate disposizioni relative a specifici ambiti, quali, ad esempio, il settore giudiziario, la difesa e la sicurezza dello Stato, il settore sanitario, l"istruzione ed il marketing.

Come già più volte sottolineato, la responsabilità sussiste comunque, si tratti o meno di attività pericolosa, salvo che il danneggiante provi «di avere adottato tutte le misure idonee ad evitare il danno»; cioè, di aver ottemperato scrupolosamente (diligenza professionale) a tutte le disposizioni normative. La mancata osservanza di tutte le misure di sicurezza escluderà la prova liberatoria e, di conseguenza, farà sorgere l"obbligazione risarcitoria.

Risulta evincibile con chiarezza che mediante un trattamento di dati personali altrui è possibile arrecare ad un soggetto sia danni di carattere patrimoniale che danni di carattere non patrimoniale; ed, anzi, in relazione alla peculiare natura degli interessi coinvolti nella vicenda de quo (diritti qualificabili "della personalità"), sovente accade che l'evento lesivo si manifesti unicamente nella sua componente non patrimoniale.

 Privacy e giornalismo

 Un regime speciale è dettato dal Codice della privacy per l"attività giornalistica, prevedendosi, in particolare al capo XII, che esclude ai trattamenti svolti per finalità giornalistiche: a) la necessaria autorizzazione del Garante in caso di trattamento di dati sensibili (art. 26); b) le garanzie particolari, quali l"autorizzazione di legge o del Garante dettate per il trattamento dei dati giudiziari (art. 27); c) i casi particolari in cui è consentito il trasferimento dei dati all"estero; il necessario consenso dell"interessato.

Il giornalista è comunque tenuto «al rispetto di alcuni principi generali, applicabili a qualunque tipo di trattamento di dati e che si traducono, tra gli altri, nel dovere di trattare i dati personali in modo corretto, verificando innanzitutto la loro esattezza (art. 11, 1° co., d.lgs. n. 196/2003)» (Autorità privacy, 6 maggio 2009).

Quindi, nell"ambito dell"attività giornalistica, si realizza una semplificazione del trattamento dei dati, pur salvaguardando i limiti del diritto di cronaca a tutela dei diritti della persona, e, in particolare, quello dell"essenzialità dell"informazione riguardo a fatti di interesse pubblico (art. 137, 3° co., d.lgs. n. 196/2003).

D"altra parte, l"art. 139, 5° co., del d.lgs. 196 del 2003 dispone espressamente che, nei casi di violazione del codice di deontologia, il Garante può vietare il trattamento ai sensi dell"art. 143, 1° co., lett. c); e, in forza di tale norma, «detta Autorità dispone il blocco o vieta, in tutto o in parte, il trattamento che risulta illecito o non corretto anche per effetto della mancata adozione delle misure necessarie di cui alla lettera b), oppure quando, in considerazione della natura dei dati o, comunque, delle modalità del trattamento o degli effetti che esso può determinare, vi è il concreto rischio del verificarsi di un pregiudizio rilevante per uno o più interessati».

L"attività giornalistica - pur oggetto di disciplina meno rigorosa - è comunque illecita se esercitata in violazione del d.lgs. n. 196/2003 e del Codice di deontologia relativo al trattamento dei dati personali nell"esercizio dell"attività giornalistica (Provvedimento del Garante del 29 luglio 1998), le cui norme sono volte a contemperare i diritti fondamentali della persona con il diritto dei cittadini all"informazione e con la libertà di stampa (art. 1), diritti fondamentali pure costituzionalmente protetti.

Così si è sostenuto che, in tema di privacy i limiti dell"essenzialità dell"informazione riguardo a fatti di interesse pubblico, che circoscrivono la possibilità di diffusione dei dati personali nell"esercizio dell"attività giornalistica, comportano il dovere di evitare riferimenti a congiunti del personaggio pubblico, non potendo la notorietà di quest"ultimo affievolire i diritti dei primi e, in particolare, dei minori. Nel caso di specie un settimanale, riprendendo una notizia sul supposto legame sentimentale extraconiugale di un personaggio pubblico, conteneva dati ed immagini dei figli minori, del coniuge e della madre di questa, nonché del luogo di residenza e della palazzina di abitazione (Cass. civ., sez. I, 6 dicembre 2013, n. 27381).