A seguito dell’entrata in vigore del GDPR, gli enti e le società sono chiamati ad istruire adeguatamente il personale in materia di protezione dei dati personali e verificare il rispetto della normativa da parte di quest’ultimo. Diversamente, vi è il rischio che l’impresa sia chiamata a rispondere dei danni derivanti dalla violazione della normativa privacy determinata da errore umano, distrazione o altro comportamento del dipendente.
Sul punto, si è recentemente espressa la Corte di Cassazione (ordinanza n. 13073 del 12 maggio 2023), condannando un Comune al risarcimento del danno in favore dell’interessato, i cui dati personali erano stati pubblicati sull’albo pretorio online a causa di un errore di un dipendente, con conseguente violazione del diritto alla riservatezza.
La Suprema Corte, facendo eco alla recente pronuncia della Corte di Giustizia dell’Unione Europea del 4 maggio 2023 (emessa nella causa C-300/21), ha sancito che il Titolare del trattamento (ossia il soggetto chiamato gestire il dato personale) è tenuto a risarcire il danno cagionato dal trattamento non conforme al Regolamento, anche laddove la lesione risulti marginale ed anche nel caso in cui la società si sia immediatamente attivata per porre rimedio alla violazione.
La pronuncia in commento attesta l’importanza per le società di predisporre un adeguato programma di formazione del personale, affinché quest’ultimo sia edotto degli adempimenti e degli obblighi gravanti sulla società in materia di protezione dei dati personali, la cui violazione può determinare ingenti ripercussioni economiche.
Corte di Cassazione, ordinanza n. 13073/2023, pubblicata il 12 maggio 2023
