Dati sanitari e GDPR: la violazione non basta, serve il danno
Massima
In materia di trattamento illecito dei dati personali relativi alla salute, la mera violazione delle disposizioni del Regolamento (UE) 2016/679 non comporta automaticamente il diritto al risarcimento del danno non patrimoniale. Ai fini della liquidazione ex art. 82 GDPR, è necessaria la prova del danno-conseguenza e del nesso causale tra la condotta illecita e il pregiudizio concretamente subito.
Il caso
La controversia trae origine dalla diffusione non autorizzata della fotografia di una provetta contenente un tampone diagnostico. L’attrice ha agito in giudizio per ottenere il risarcimento dei danni derivanti dall’illecito trattamento dei propri dati sanitari, chiamando in causa il convenuto quale titolare del trattamento e datore di lavoro ai sensi degli artt. 2043, 2049 e 2050 c.c. e dell’art. 82 GDPR.
Il quadro normativo di riferimento
Il Tribunale ha richiamato il sistema multilivello di tutela dei dati personali, fondato sul Regolamento (UE) 2016/679 e sul D.lgs. 10 agosto 2018, n. 101, di adeguamento dell’ordinamento interno.
Il danno da trattamento illecito dei dati personali
Ai sensi dell’art. 82 GDPR, chiunque subisca un danno materiale o immateriale causato da una violazione del Regolamento ha diritto al risarcimento. Tuttavia, secondo l’orientamento giurisprudenziale consolidato, il danno non è in re ipsa, ma deve essere allegato e provato.
Onere della prova e giurisprudenza
Il danneggiato è tenuto a dimostrare l’esistenza del danno e il nesso causale con il trattamento illecito. Il titolare del trattamento deve invece provare di aver adottato tutte le misure idonee a evitare il danno.
La decisione del Tribunale di Vicenza
Nel caso di specie, il Tribunale ha escluso il diritto al risarcimento rilevando l’assenza di un danno concreto, anche in considerazione del fatto che l’informazione essenziale era già stata divulgata dall’attrice stessa.
Principio di diritto
Il risarcimento del danno da trattamento illecito di dati sanitari richiede la prova del danno-conseguenza, non essendo sufficiente la mera violazione delle disposizioni del GDPR.
- La violazione del GDPR comporta sempre il risarcimento del danno?
No. Secondo la giurisprudenza consolidata, la mera violazione delle disposizioni del GDPR non determina automaticamente il diritto al risarcimento. È necessaria la prova di un danno concreto ed effettivo.
- Il danno da trattamento illecito dei dati personali è in re ipsa?
No. Il danno non può ritenersi in re ipsa. Deve essere allegato e provato dal danneggiato, anche mediante presunzioni, prova testimoniale o altri elementi idonei a dimostrare la serietà della lesione.
- Qual è il danno risarcibile ex art. 82 GDPR?
È risarcibile solo il danno-conseguenza, materiale o immateriale, che derivi causalmente dalla violazione del GDPR e che superi la soglia della mera tollerabilità.
- Chi ha l’onere della prova nel risarcimento da illecito trattamento dei dati?
Il danneggiato deve provare il danno e il nesso causale con il trattamento illecito. Il titolare o responsabile del trattamento deve invece dimostrare di aver adottato tutte le misure idonee a evitare il danno.
- La diffusione di dati sanitari è sempre illecita?
Sì, in linea di principio, salvo che ricorra una delle condizioni di liceità previste dagli artt. 6 e 9 GDPR. Tuttavia, l’illiceità del trattamento non implica automaticamente il diritto al risarcimento.
- La precedente diffusione del dato da parte dell’interessato incide sul risarcimento?
Sì. Se l’informazione essenziale è già stata divulgata dall’interessato, può venir meno il nesso causale tra la condotta illecita e il danno lamentato.
