TRIB
Sentenza 5 maggio 2025
Sentenza 5 maggio 2025
Commentari • 0
Sul provvedimento
| Citazione : | Trib. Bari, sentenza 05/05/2025, n. 1780 |
|---|---|
| Giurisdizione : | Trib. Bari |
| Numero : | 1780 |
| Data del deposito : | 5 maggio 2025 |
Testo completo
R.G. N. 4619/2020
REPUBBLICA ITALIANA IN NOME DEL POPOLO ITALIANO Il Giudice del Lavoro del Tribunale di Bari -dott.ssa Luigia Lambriola- nella presente controversia individuale di lavoro tra
(avv. Massimo Sassanelli) Parte_1
e
“ (avv. Renato Controparte_1
Moccia)
MOTIVI DELLA DECISIONE La domanda giudiziale- finalizzata ad ottenere l'accertamento della violazione dei dati personali del ricorrente e conseguenziale risarcimento dei danni- è fondata e, pertanto, deve essere accolta per le ragioni di seguito esposte. In punto di fatto il ricorrente ha dedotto di essere stato destinatario nel novembre 2019 del provvedimento disciplinare di sospensione dal servizio per 10 giorni, comminato nei suoi confronti in data 15.07.2019. Ha evidenziato che il provvedimento sospensivo risultava dagli ordini di servizio giornalieri aziendali, contenenti le indicazioni dei turni di lavoro per ciascun dipendente, essendovi l'annotazione che egli era assente “per sospensione”. Ha lamentato, dunque, la violazione del combinato disposto dell'art. 5, par. 1 lett. a) e c) del Reg. UE 2016/1979 poiché sarebbe stata resa pubblica un'informazione personale e riservata, con conseguente violazione del suo diritto alla privacy. È opportuno premettere che il titolare del trattamento è la persona fisica o giuridica, l'autorità pubblica, il servizio
o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali (Articolo 4, comma 1, n. 7) del GDPR 2016/679. Tale definizione risulta fondamentale e nasce dall'esigenza di stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest'ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. In particolare, il titolare del trattamento è tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento,
1 compresa l'efficacia delle misure (Considerando n. 74 del GDPR 2016/679).
Il titolare del trattamento deve tenere conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche. Inoltre, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento europeo (Articolo 24, comma 1, del GDPR 2016/679). Pertanto, è compito del titolare del trattamento adottare misure tecniche e organizzative necessarie ad assicurare, per il trattamento dei dati personali, l'attuazione del regolamento. Il titolare del trattamento deve indicare, inoltre, le persone autorizzate al trattamento di dati personali (Considerando 29 del GDPR 2016/679). Dunque, il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate per garantire che il trattamento sia effettuato nel rispetto del Regolamento europeo per la protezione dei dati personali e che tali misure tengano conto anche del rischio per i diritti e le libertà delle persone fisiche. Il titolare del trattamento è tenuto a mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio. In secondo luogo, il titolare, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso, deve mettere in atto misure tecniche e organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di tutelare i diritti degli interessati. In considerazione di ciò, il titolare del trattamento deve valutare i rischi inerenti al trattamento e attuare misure per limitare tali rischi e assicurare un adeguato livello di sicurezza dei dati trattati (inclusa la riservatezza), tenuto conto dello stato dell'arte e dei costi di attuazione rispetto ai rischi che presentano i trattamenti e alla natura dei dati personali da proteggere. Nella specie, effettivamente dagli ordini di servizio prodotti dal ricorrente risulta che, nei giorni in cui questi è stato attinto dal provvedimento di sospensione, accanto al nominativo vi è la dicitura “assenza per sospensione” (cfr. all.ti n. 2 al ricorso). In corso di causa, all'esito dell'attività istruttoria, è emerso che i dipendenti che hanno avuto accesso alla bacheca
2 aziendale on-line hanno preso visione del motivo dell'assenza del ricorrente (cfr. dichiarazioni teste
autista operatore di esercizio in AMTAB: “Preciso Tes_1 che, noi dipendenti accediamo con delle nostre credenziali personali ad una “ bacheca” aziendale online dove giornalmente vengono pubblicati i turni di lavoro degli operatori di esercizio, addetti e coordinatori. Il Giorno 11 Novembre 2019 navigando nella bacheca on line mi accorgevo che al coordinatore avevano messo la dicitura Parte_1 che era stato sospeso. A.D.R. : A domanda dell'Avv. Moccia preciso che sulla bacheca on line in corrispondenza del cognome e nome del ricorrente era scritto “ sospensione”. Alla luce di tanto, pertanto, ciascun dipendente (operatore di esercizio, addetto e coordinatore) – accedendo alla bacheca on-line con le proprie credenziali- ha potuto prendere visione del provvedimento disciplinare che ha attinto il ricorrente. La condotta posta in essere dalla società datrice di lavoro sostanzia, dunque, una violazione della normativa in materia di protezione dei dati personali, alla luce anche di quanto evidenziato dall'Autorità Garante per la Protezione dei Dati Personali, con deliberazione N. 53 del 23.11.06 (“Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati”, laddove si legge:
- al capoverso del punto 5.3, che “non è di regola lecito dare diffusione a informazioni personali riferite a singoli lavoratori, anche attraverso la loro pubblicazione in bacheche aziendali o in comunicazioni interne destinate alla collettività dei lavoratori, specie se non correlate all'esecuzione di obblighi lavorativi. In tali casi la diffusione si pone anche in violazione dei principi di finalità e pertinenza (art. 11 del Codice), come nelle ipotesi di […] sanzioni disciplinari irrogate o informazioni relative a controversie giudiziarie […]”;
- al punto 5.5, che “il datore di lavoro deve utilizzare forme di comunicazione individualizzata con il lavoratore, adottando tutte le misure più opportune per prevenire un'indebita comunicazione di dati personali [...] (ad esempio, inoltrando le comunicazioni in plico chiuso e spillato;
invitando l'interessato a ritirare personalmente la documentazione presso l'ufficio competente;
ricorrendo a comunicazioni telematiche individuali). Analoghe cautele, tenendo conto delle circostanze di fatto, devono essere adottate in relazione ad altre forme di comunicazione indirizzate al lavoratore dalle quali possano
3 desumersi vicende personali”. (cfr. all. n. 3 al fascicolo di parte ricorrente). L'art. 5 del Regolamento generale sulla protezione dei dati (GDPR) prescrive che i dati personali debbano essere trattati
“in modo lecito, corretto e trasparente nei confronti dell'interessato”. Il trattamento, quindi, deve essere conforme alla legge e perseguire uno scopo legittimo. Il principio di liceità trova specificazione nell'art. 6 del Regolamento, il quale prevede che ogni trattamento deve trovare fondamento in un'idonea base giuridica, costituita o dal consenso dell'interessato o dalla la necessità del trattamento. L'ordinamento vigente prevede che il datore di lavoro può trattare le informazioni necessarie e pertinenti rispetto alla gestione del rapporto di lavoro in base a quanto previsto dalle leggi, dai regolamenti e dalle disposizioni dei contratti collettivi applicabili e/o del contratto di lavoro individuale (v. artt. 5, par. 1, lett. a) e c) e 6, par. 1, lett. b) e c), Regolamento (UE) 2016/679). Tra queste rientrano senza dubbio i dati necessari ad effettuare la valutazione sul corretto adempimento della prestazione lavorativa e/o ad esercitare il potere disciplinare nei modi e con i limiti previsti dalla disciplina di settore. Diversa valutazione riguarda invece la sistematica messa a disposizione delle medesime informazioni mediante affissione sulla bacheca all'interno dei locali della società a tutti gli altri dipendenti (e, in ipotesi, a terzi), considerato che tali soggetti non sono legittimati in base ai suesposti criteri a conoscere i dati personali riguardanti valutazioni e rilievi disciplinari (v., in senso conforme, Provv. GARANTE PER LA PROTEZIONE DEI DATI PERSONALI 3.7.2014, n. 341, doc. web n. 3325317 e Provv. 31.7.2014, n. 392, doc. web n. 3399423). Con riferimento al profilo risarcitorio, l'orientamento giurisprudenziale più recente, conforme agli indirizzi della Suprema Corte (da ultimo Sez.1, n.207 del 8/1/2019), riconduce l'illecito trattamento di dati personali ad un'ipotesi di responsabilità oggettiva. Pertanto, il danneggiato che lamenti la lesione dell'interesse non patrimoniale può limitarsi a dimostrare l'esistenza del danno e del nesso di causalità rispetto al trattamento illecito, mentre spetta al danneggiante titolare del trattamento, eventualmente in solido col responsabile, dimostrare di aver adottato tutte le misure idonee per evitare il danno. Questo schema è parzialmente confermato anche nel nuovo GDPR (art. 82.3 GDPR) che, sulla base del principio di responsabilizzazione (accountability) addossa
4 al titolare del trattamento dei dati - eventualmente in solido con il responsabile - il rischio tipico di impresa (2050 cod.civ.). Secondo la giurisprudenza della Suprema Corte, in tema di onere della prova, in caso di illecito trattamento dei dati personali, il pregiudizio non patrimoniale non è in re ipsa, ma deve essere allegato e provato da parte dell'attore, a pena di uno snaturamento delle funzioni della responsabilità aquiliana. La posizione attorea è tuttavia agevolata dal regime più favorevole dell'onere della prova, descritto all'art.2050 cod.civ., rispetto alla regola generale del danno aquiliano, nonché dalla possibilità di dimostrare il danno anche solo tramite presunzioni semplici e dal risarcimento secondo equità (Sez. 1, 08/01/2019, n. 207; Sez.1, 25/1/2017 n.1931; Sez. 1, n. 10638 del 23/05/2016). Per altro verso, il danno non patrimoniale risarcibile ai sensi dell'art. 15 del d.lgs. 30/6/2003, n. 196, pur determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli artt. 2 e 21 Cost. e dall'art. 8 della CEDU, non si sottrae alla verifica della gravità della lesione e della serietà del danno (quale perdita di natura personale effettivamente patita dall'interessato) alla stregua dei parametri generali scolpiti dalle sentenze gemelle delle Sezioni Unite n.26972-26975 dell'11/11/2008; infatti anche per tale diritto opera il bilanciamento con il principio di solidarietà ex art. 2 Cost., di cui la regola di tolleranza della lesione minima costituisce intrinseco precipitato, sicché determina una lesione ingiustificabile del diritto non la mera violazione delle prescrizioni poste dall'art. 11 del codice della privacy ma solo quella che ne offenda in modo sensibile la sua portata effettiva. Il relativo accertamento di fatto è tuttavia rimesso al giudice di merito e resta ancorato alla concretezza della vicenda materiale portata alla cognizione giudiziale ed al suo essere maturata in un dato contesto temporale e sociale (Sez. 3, n. 16133 del 15/07/2014, Rv. 632536 - 01; Sez. 3, n. 20615 del 13/10/2016, Rv. 642913 - 02; Sez.1, 8/1/2019 n.227). Il titolare del trattamento, per non incorrere in responsabilità deve dimostrare che l'evento dannoso non gli è in alcun modo imputabile e non può limitarsi alla prova negativa di non aver violato le norme (e quindi di essersi conformato ai precetti), ma occorre la prova positiva di aver valutato autonomamente il rischio di impresa, purché tipico, cioè prevedibile, e attuato le misure organizzative e di sicurezza tali da eliminare o ridurre il rischio connesso alla sua attività. In ogni caso, l'accertamento del
5 danno non patrimoniale è un accertamento di fatto, «rimesso al giudice di merito e resta ancorato alla concretezza della vicenda materiale portata alla cognizione giudiziale ed al suo essere maturata in un dato contesto temporale e sociale» (cfr. Cass. sent.16133/2014). Il profilo risarcitorio in questo caso richiede, dunque, l'allegazione e la prova da parte del danneggiato del danno- conseguenza, laddove il danno risarcibile non si identifica con la lesione dell'interesse tutelato dall'ordinamento ma con le sue conseguenze causali. Tenuto conto della massima di esperienza, secondo cui, dalla diffusione di valutazioni negative relative al proprio operato professionale normalmente scaturisce sofferenza morale dell'interessato, deve escludersi che vi sia una lesione minima e bagatellare dei diritti della personalità dell'interessato e di un pregiudizio irrisorio, da ritenersi tollerabile alla luce del principio di solidarietà sociale. Deve tuttavia circoscriversi l'entità in concreto sotto il profilo quantitativo considerando, da un lato, l'assenza di prova di elementi di personalizzazione specifici del pregiudizio e, dall'altro, il carattere limitato dell'ambito soggettivo di divulgazione ristretto al personale addetto al settore movimento e non già all'intera platea dei dipendenti AMTAB. A nulla rileva che la vicenda che vede coinvolto il lavoratore sia stata ampiamente pubblicizzata e fosse nota ai colleghi. In mancanza di ulteriori elementi comprovanti il danno patito dalla parte ricorrente, questo giudicante ritiene di poter liquidare il danno per via equitativa. Il potere di liquidare il danno in via equitativa, conferito al giudice dagli artt. 1226 e 2056 c.c., costituisce espressione del più generale potere di cui all'art. 115 c.p.c. ed il suo esercizio rientra nella discrezionalità del giudice di merito, senza necessità della richiesta di parte, dando luogo ad un giudizio di diritto caratterizzato dalla cosiddetta equità giudiziale correttiva od integrativa, con l'unico limite di non potere surrogare il mancato accertamento della prova della responsabilità del debitore o la mancata individuazione della prova del danno nella sua esistenza, dovendosi, peraltro, intendere l'impossibilità di provare l'ammontare preciso del danno in senso relativo e ritenendosi sufficiente anche una difficoltà solo di un certo rilievo. In tali casi, non è, invero, consentita al giudice del merito una decisione di "non liquet", risolvendosi tale pronuncia nella negazione di quanto, invece, già definitivamente accertato in termini di esistenza di una
6 condotta generatrice di danno ingiusto e di conseguente legittimità della relativa richiesta risarcitoria. Il danno può ritenersi quantificabile nella misura di Euro 2.000,00 Euro. Le spese processuali -liquidate e distratte come da infrascritto dispositivo in misura pari ai minimi attesa la non complessità della controversia- seguono la soccombenza.
P.Q.M.
disattesa ogni diversa istanza, deduzione ed eccezione, così definitivamente provvede:
-accoglie la domanda, accerta e dichiara il diritto della parte ricorrente al risarcimento del danno per violazione della privacy e , per l'effetto, condanna la parte resistente al pagamento in favore della parte ricorrente della complessiva somma di Euro 2.000,00 allo stesso titolo, oltre al maggior importo tra interessi legali e rivalutazione monetaria dalla maturazione dei crediti all'effettivo soddisfo;
-condanna la parte resistente al pagamento in favore della parte ricorrente delle spese del presente giudizio che liquida in complessivi Euro 1.314,00 oltre Iva, Cpa e spese forfettarie pari al 15% del compenso integrale, da distrarre. Bari, 5.05.2025 Il Giudice del Lavoro
(dott.ssa Luigia Lambriola)
7
REPUBBLICA ITALIANA IN NOME DEL POPOLO ITALIANO Il Giudice del Lavoro del Tribunale di Bari -dott.ssa Luigia Lambriola- nella presente controversia individuale di lavoro tra
(avv. Massimo Sassanelli) Parte_1
e
“ (avv. Renato Controparte_1
Moccia)
MOTIVI DELLA DECISIONE La domanda giudiziale- finalizzata ad ottenere l'accertamento della violazione dei dati personali del ricorrente e conseguenziale risarcimento dei danni- è fondata e, pertanto, deve essere accolta per le ragioni di seguito esposte. In punto di fatto il ricorrente ha dedotto di essere stato destinatario nel novembre 2019 del provvedimento disciplinare di sospensione dal servizio per 10 giorni, comminato nei suoi confronti in data 15.07.2019. Ha evidenziato che il provvedimento sospensivo risultava dagli ordini di servizio giornalieri aziendali, contenenti le indicazioni dei turni di lavoro per ciascun dipendente, essendovi l'annotazione che egli era assente “per sospensione”. Ha lamentato, dunque, la violazione del combinato disposto dell'art. 5, par. 1 lett. a) e c) del Reg. UE 2016/1979 poiché sarebbe stata resa pubblica un'informazione personale e riservata, con conseguente violazione del suo diritto alla privacy. È opportuno premettere che il titolare del trattamento è la persona fisica o giuridica, l'autorità pubblica, il servizio
o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali (Articolo 4, comma 1, n. 7) del GDPR 2016/679. Tale definizione risulta fondamentale e nasce dall'esigenza di stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest'ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. In particolare, il titolare del trattamento è tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento,
1 compresa l'efficacia delle misure (Considerando n. 74 del GDPR 2016/679).
Il titolare del trattamento deve tenere conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche. Inoltre, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento europeo (Articolo 24, comma 1, del GDPR 2016/679). Pertanto, è compito del titolare del trattamento adottare misure tecniche e organizzative necessarie ad assicurare, per il trattamento dei dati personali, l'attuazione del regolamento. Il titolare del trattamento deve indicare, inoltre, le persone autorizzate al trattamento di dati personali (Considerando 29 del GDPR 2016/679). Dunque, il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate per garantire che il trattamento sia effettuato nel rispetto del Regolamento europeo per la protezione dei dati personali e che tali misure tengano conto anche del rischio per i diritti e le libertà delle persone fisiche. Il titolare del trattamento è tenuto a mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio. In secondo luogo, il titolare, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso, deve mettere in atto misure tecniche e organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di tutelare i diritti degli interessati. In considerazione di ciò, il titolare del trattamento deve valutare i rischi inerenti al trattamento e attuare misure per limitare tali rischi e assicurare un adeguato livello di sicurezza dei dati trattati (inclusa la riservatezza), tenuto conto dello stato dell'arte e dei costi di attuazione rispetto ai rischi che presentano i trattamenti e alla natura dei dati personali da proteggere. Nella specie, effettivamente dagli ordini di servizio prodotti dal ricorrente risulta che, nei giorni in cui questi è stato attinto dal provvedimento di sospensione, accanto al nominativo vi è la dicitura “assenza per sospensione” (cfr. all.ti n. 2 al ricorso). In corso di causa, all'esito dell'attività istruttoria, è emerso che i dipendenti che hanno avuto accesso alla bacheca
2 aziendale on-line hanno preso visione del motivo dell'assenza del ricorrente (cfr. dichiarazioni teste
autista operatore di esercizio in AMTAB: “Preciso Tes_1 che, noi dipendenti accediamo con delle nostre credenziali personali ad una “ bacheca” aziendale online dove giornalmente vengono pubblicati i turni di lavoro degli operatori di esercizio, addetti e coordinatori. Il Giorno 11 Novembre 2019 navigando nella bacheca on line mi accorgevo che al coordinatore avevano messo la dicitura Parte_1 che era stato sospeso. A.D.R. : A domanda dell'Avv. Moccia preciso che sulla bacheca on line in corrispondenza del cognome e nome del ricorrente era scritto “ sospensione”. Alla luce di tanto, pertanto, ciascun dipendente (operatore di esercizio, addetto e coordinatore) – accedendo alla bacheca on-line con le proprie credenziali- ha potuto prendere visione del provvedimento disciplinare che ha attinto il ricorrente. La condotta posta in essere dalla società datrice di lavoro sostanzia, dunque, una violazione della normativa in materia di protezione dei dati personali, alla luce anche di quanto evidenziato dall'Autorità Garante per la Protezione dei Dati Personali, con deliberazione N. 53 del 23.11.06 (“Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati”, laddove si legge:
- al capoverso del punto 5.3, che “non è di regola lecito dare diffusione a informazioni personali riferite a singoli lavoratori, anche attraverso la loro pubblicazione in bacheche aziendali o in comunicazioni interne destinate alla collettività dei lavoratori, specie se non correlate all'esecuzione di obblighi lavorativi. In tali casi la diffusione si pone anche in violazione dei principi di finalità e pertinenza (art. 11 del Codice), come nelle ipotesi di […] sanzioni disciplinari irrogate o informazioni relative a controversie giudiziarie […]”;
- al punto 5.5, che “il datore di lavoro deve utilizzare forme di comunicazione individualizzata con il lavoratore, adottando tutte le misure più opportune per prevenire un'indebita comunicazione di dati personali [...] (ad esempio, inoltrando le comunicazioni in plico chiuso e spillato;
invitando l'interessato a ritirare personalmente la documentazione presso l'ufficio competente;
ricorrendo a comunicazioni telematiche individuali). Analoghe cautele, tenendo conto delle circostanze di fatto, devono essere adottate in relazione ad altre forme di comunicazione indirizzate al lavoratore dalle quali possano
3 desumersi vicende personali”. (cfr. all. n. 3 al fascicolo di parte ricorrente). L'art. 5 del Regolamento generale sulla protezione dei dati (GDPR) prescrive che i dati personali debbano essere trattati
“in modo lecito, corretto e trasparente nei confronti dell'interessato”. Il trattamento, quindi, deve essere conforme alla legge e perseguire uno scopo legittimo. Il principio di liceità trova specificazione nell'art. 6 del Regolamento, il quale prevede che ogni trattamento deve trovare fondamento in un'idonea base giuridica, costituita o dal consenso dell'interessato o dalla la necessità del trattamento. L'ordinamento vigente prevede che il datore di lavoro può trattare le informazioni necessarie e pertinenti rispetto alla gestione del rapporto di lavoro in base a quanto previsto dalle leggi, dai regolamenti e dalle disposizioni dei contratti collettivi applicabili e/o del contratto di lavoro individuale (v. artt. 5, par. 1, lett. a) e c) e 6, par. 1, lett. b) e c), Regolamento (UE) 2016/679). Tra queste rientrano senza dubbio i dati necessari ad effettuare la valutazione sul corretto adempimento della prestazione lavorativa e/o ad esercitare il potere disciplinare nei modi e con i limiti previsti dalla disciplina di settore. Diversa valutazione riguarda invece la sistematica messa a disposizione delle medesime informazioni mediante affissione sulla bacheca all'interno dei locali della società a tutti gli altri dipendenti (e, in ipotesi, a terzi), considerato che tali soggetti non sono legittimati in base ai suesposti criteri a conoscere i dati personali riguardanti valutazioni e rilievi disciplinari (v., in senso conforme, Provv. GARANTE PER LA PROTEZIONE DEI DATI PERSONALI 3.7.2014, n. 341, doc. web n. 3325317 e Provv. 31.7.2014, n. 392, doc. web n. 3399423). Con riferimento al profilo risarcitorio, l'orientamento giurisprudenziale più recente, conforme agli indirizzi della Suprema Corte (da ultimo Sez.1, n.207 del 8/1/2019), riconduce l'illecito trattamento di dati personali ad un'ipotesi di responsabilità oggettiva. Pertanto, il danneggiato che lamenti la lesione dell'interesse non patrimoniale può limitarsi a dimostrare l'esistenza del danno e del nesso di causalità rispetto al trattamento illecito, mentre spetta al danneggiante titolare del trattamento, eventualmente in solido col responsabile, dimostrare di aver adottato tutte le misure idonee per evitare il danno. Questo schema è parzialmente confermato anche nel nuovo GDPR (art. 82.3 GDPR) che, sulla base del principio di responsabilizzazione (accountability) addossa
4 al titolare del trattamento dei dati - eventualmente in solido con il responsabile - il rischio tipico di impresa (2050 cod.civ.). Secondo la giurisprudenza della Suprema Corte, in tema di onere della prova, in caso di illecito trattamento dei dati personali, il pregiudizio non patrimoniale non è in re ipsa, ma deve essere allegato e provato da parte dell'attore, a pena di uno snaturamento delle funzioni della responsabilità aquiliana. La posizione attorea è tuttavia agevolata dal regime più favorevole dell'onere della prova, descritto all'art.2050 cod.civ., rispetto alla regola generale del danno aquiliano, nonché dalla possibilità di dimostrare il danno anche solo tramite presunzioni semplici e dal risarcimento secondo equità (Sez. 1, 08/01/2019, n. 207; Sez.1, 25/1/2017 n.1931; Sez. 1, n. 10638 del 23/05/2016). Per altro verso, il danno non patrimoniale risarcibile ai sensi dell'art. 15 del d.lgs. 30/6/2003, n. 196, pur determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli artt. 2 e 21 Cost. e dall'art. 8 della CEDU, non si sottrae alla verifica della gravità della lesione e della serietà del danno (quale perdita di natura personale effettivamente patita dall'interessato) alla stregua dei parametri generali scolpiti dalle sentenze gemelle delle Sezioni Unite n.26972-26975 dell'11/11/2008; infatti anche per tale diritto opera il bilanciamento con il principio di solidarietà ex art. 2 Cost., di cui la regola di tolleranza della lesione minima costituisce intrinseco precipitato, sicché determina una lesione ingiustificabile del diritto non la mera violazione delle prescrizioni poste dall'art. 11 del codice della privacy ma solo quella che ne offenda in modo sensibile la sua portata effettiva. Il relativo accertamento di fatto è tuttavia rimesso al giudice di merito e resta ancorato alla concretezza della vicenda materiale portata alla cognizione giudiziale ed al suo essere maturata in un dato contesto temporale e sociale (Sez. 3, n. 16133 del 15/07/2014, Rv. 632536 - 01; Sez. 3, n. 20615 del 13/10/2016, Rv. 642913 - 02; Sez.1, 8/1/2019 n.227). Il titolare del trattamento, per non incorrere in responsabilità deve dimostrare che l'evento dannoso non gli è in alcun modo imputabile e non può limitarsi alla prova negativa di non aver violato le norme (e quindi di essersi conformato ai precetti), ma occorre la prova positiva di aver valutato autonomamente il rischio di impresa, purché tipico, cioè prevedibile, e attuato le misure organizzative e di sicurezza tali da eliminare o ridurre il rischio connesso alla sua attività. In ogni caso, l'accertamento del
5 danno non patrimoniale è un accertamento di fatto, «rimesso al giudice di merito e resta ancorato alla concretezza della vicenda materiale portata alla cognizione giudiziale ed al suo essere maturata in un dato contesto temporale e sociale» (cfr. Cass. sent.16133/2014). Il profilo risarcitorio in questo caso richiede, dunque, l'allegazione e la prova da parte del danneggiato del danno- conseguenza, laddove il danno risarcibile non si identifica con la lesione dell'interesse tutelato dall'ordinamento ma con le sue conseguenze causali. Tenuto conto della massima di esperienza, secondo cui, dalla diffusione di valutazioni negative relative al proprio operato professionale normalmente scaturisce sofferenza morale dell'interessato, deve escludersi che vi sia una lesione minima e bagatellare dei diritti della personalità dell'interessato e di un pregiudizio irrisorio, da ritenersi tollerabile alla luce del principio di solidarietà sociale. Deve tuttavia circoscriversi l'entità in concreto sotto il profilo quantitativo considerando, da un lato, l'assenza di prova di elementi di personalizzazione specifici del pregiudizio e, dall'altro, il carattere limitato dell'ambito soggettivo di divulgazione ristretto al personale addetto al settore movimento e non già all'intera platea dei dipendenti AMTAB. A nulla rileva che la vicenda che vede coinvolto il lavoratore sia stata ampiamente pubblicizzata e fosse nota ai colleghi. In mancanza di ulteriori elementi comprovanti il danno patito dalla parte ricorrente, questo giudicante ritiene di poter liquidare il danno per via equitativa. Il potere di liquidare il danno in via equitativa, conferito al giudice dagli artt. 1226 e 2056 c.c., costituisce espressione del più generale potere di cui all'art. 115 c.p.c. ed il suo esercizio rientra nella discrezionalità del giudice di merito, senza necessità della richiesta di parte, dando luogo ad un giudizio di diritto caratterizzato dalla cosiddetta equità giudiziale correttiva od integrativa, con l'unico limite di non potere surrogare il mancato accertamento della prova della responsabilità del debitore o la mancata individuazione della prova del danno nella sua esistenza, dovendosi, peraltro, intendere l'impossibilità di provare l'ammontare preciso del danno in senso relativo e ritenendosi sufficiente anche una difficoltà solo di un certo rilievo. In tali casi, non è, invero, consentita al giudice del merito una decisione di "non liquet", risolvendosi tale pronuncia nella negazione di quanto, invece, già definitivamente accertato in termini di esistenza di una
6 condotta generatrice di danno ingiusto e di conseguente legittimità della relativa richiesta risarcitoria. Il danno può ritenersi quantificabile nella misura di Euro 2.000,00 Euro. Le spese processuali -liquidate e distratte come da infrascritto dispositivo in misura pari ai minimi attesa la non complessità della controversia- seguono la soccombenza.
P.Q.M.
disattesa ogni diversa istanza, deduzione ed eccezione, così definitivamente provvede:
-accoglie la domanda, accerta e dichiara il diritto della parte ricorrente al risarcimento del danno per violazione della privacy e , per l'effetto, condanna la parte resistente al pagamento in favore della parte ricorrente della complessiva somma di Euro 2.000,00 allo stesso titolo, oltre al maggior importo tra interessi legali e rivalutazione monetaria dalla maturazione dei crediti all'effettivo soddisfo;
-condanna la parte resistente al pagamento in favore della parte ricorrente delle spese del presente giudizio che liquida in complessivi Euro 1.314,00 oltre Iva, Cpa e spese forfettarie pari al 15% del compenso integrale, da distrarre. Bari, 5.05.2025 Il Giudice del Lavoro
(dott.ssa Luigia Lambriola)
7