L’ente pubblico in questione aveva pubblicato un documento, sul proprio sito istituzionale, relativo al pignoramento dello stipendio di una dipendente, tale per cui l’amministrazione si era assunta l’impegno di versare il quinto dello stipendio a favore della società creditrice. Nella nota contabile era stata mantenuta l’indicazione dei dati della debitrice che erano finiti, seppure per un solo giorno, sull’albo online dell’ente coinvolto. L’ente pubblico aveva fatto ricorso poiché sosteneva che la pubblicazione online dei dati della sua dipendente era avvenuta per un mero incidente, una semplice distrazione. A tale incidente era stato posto subito rimedio, in meno di 24 ore. Inoltre non era stata portata alcuna prova del danno subito che dimostrasse la pubblicazione online dei suoi dati personali.
Secondo la Corte di Cassazione non ha alcuna rilevanza la circostanza che il fatto sia avvenuto per errore umano, distrazione o altro, per l’elementare ragione che il titolare del trattamento dei dati risponde anche per il fatto colposo dei propri dipendenti. La rilevanza del rimedio risarcitorio è confermata dalla disciplina eurounitaria in tema di privacy secondo cui chiunque subisce un danno materiale o immateriale causato da una violazione del Regolamento generale sulla protezione dei dati ha diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. Dato che sono state violate le norme del GDPR e nazionali di recepimento, può ottenere risarcimento anche se la lesione è marginale.
Secondo la Corte Suprema qualsiasi giustificazione fornita dall’ente non può essere considerata rilevante, dato che l’illiceità del trattamento imputabile al titolare non è in alcun modo ragionevolmente contestabile.
S.B.
