Il diritto alla privacy e il danno da violazione
La privacy – intesa come diritto alla riservatezza e alla protezione dei propri dati personali – è tutelata da norme nazionali (come il Codice Privacy, D.lgs. 196/2003) ed europee (Regolamento UE 2016/679, noto come GDPR). Quando qualcuno subisce un trattamento illecito dei propri dati (ad esempio diffusione non autorizzata di informazioni personali sensibili, uso indebito di immagini private, divulgazione di dati sanitari riservati), può derivarne un danno non patrimoniale: si tratta di un pregiudizio di natura morale o esistenziale, fatto di sofferenza interiore, ansia, vergogna, lesione della reputazione o della vita di relazione.
Non sempre però è immediato quantificare e dimostrare questo tipo di danno. A differenza del danno patrimoniale (una perdita economica concreta, facilmente documentabile con ricevute o fatture), il danno non patrimoniale da violazione della privacy riguarda la sfera intangibile della persona. Per sua natura è meno tangibile e deve essere valutato caso per caso. Ad esempio, la semplice violazione formale di una norma sulla protezione dei dati (come conservare male un documento o inviare un’email in copia visibile a tutti i destinatari) può rappresentare una infrazione alle regole privacy, ma non necessariamente provoca un turbamento effettivo nella persona coinvolta. Al contrario, la pubblicazione online del proprio stato di salute o di dettagli intimi può causare un grave impatto emotivo e sociale, configurando un danno reale.
Risarcimento del danno: non ogni violazione è indennizzabile
In base al nostro ordinamento, chi subisce un illecito trattamento dei propri dati personali ha diritto al risarcimento dei danni subiti (art. 82 GDPR e art. 2050 c.c. in materia di attività pericolose applicato al trattamento dati). Ma attenzione: le ultime pronunce giudiziarie confermano che non ogni violazione della privacy comporta automaticamente un risarcimento. In altre parole, il danno non patrimoniale da lesione della privacy non è “in re ipsa”, ovvero non si presume in via automatica dalla semplice violazione della norma.
La Corte di Cassazione ha chiarito che il pregiudizio deve essere concreto e dimostrabile. Ad esempio, Cass. civ., Sez. III, ord. n. 26992/2024 ha ribadito che chi richiede il risarcimento deve fornire prova rigorosa sia dell’effettivo danno subito, sia del nesso causale tra la violazione della normativa privacy e il pregiudizio lamentato. Questo significa che occorre dimostrare, con elementi anche presuntivi ma seri, come l’illecito trattamento dei dati abbia inciso negativamente sulla propria vita (causando stress psico-fisico, depressione, imbarazzo pubblico, perdita di opportunità lavorative o relazionali, etc.).
Il principio è in linea con un orientamento già affermato dalla Cassazione negli ultimi anni. Già con Cass. civ. sent. n. 17383/2020, la Suprema Corte aveva escluso che la lesione della privacy generi di per sé un diritto al risarcimento: serve valutare la gravità della lesione e la serietà del danno in concreto. Le violazioni bagatellari o di scarsa importanza, che non ledono in modo apprezzabile la dignità o la tranquillità della persona, non danno luogo a risarcimento. Questa posizione evita il rischio di risarcimenti simbolici per mere irregolarità formali e focalizza l’attenzione sui casi in cui la persona abbia davvero sofferto un vulnus significativo alla propria sfera personale.
Criteri per riconoscere il danno non patrimoniale da privacy
Come si valuta dunque la risarcibilità? I giudici applicano al campo della privacy i principi generali elaborati per il danno non patrimoniale (art. 2059 c.c.). In pratica, vengono considerati:
La gravità della lesione: più il diritto alla riservatezza è stato violato in modo serio (ad esempio diffondendo informazioni molto intime o causando un’ampia divulgazione dei dati), più è probabile che sussista un danno risarcibile. La divulgazione di dati supersensibili (come quelli sanitari, orientamento sessuale, credo religioso) è considerata particolarmente lesiva.
La serietà delle conseguenze: occorre valutare se la violazione ha avuto conseguenze concrete sulla vita della vittima. Per esempio, l’ansia e il turbamento provati, l’eventuale trattamento terapeutico resosi necessario, l’alterazione delle abitudini di vita, i problemi di relazione ou di immagine sociale derivati dal fatto.
Il nesso causale: bisogna collegare direttamente l’azione illecita (es. pubblicazione non autorizzata di una notizia privata) al danno lamentato (es. stato depressivo o perdita di amicizie derivata da quella pubblicazione). Se fattori estranei o preesistenti hanno causato il disagio, il risarcimento può essere negato.
Il principio di solidarietà: la valutazione tiene conto anche del bilanciamento tra la tutela del singolo e la tolleranza delle piccole lesioni nella convivenza civile. Solo le offese che superano una soglia minima di serietà meritano un indennizzo, per evitare di inflazionare il risarcimento del danno non patrimoniale.
Su quest’ultimo punto, la Cassazione ha precisato che non esiste una “soglia di tolleranza” predeterminata in astratto: qualunque violazione della privacy può dar luogo a risarcimento se provoca un pregiudizio serio; viceversa, anche un’infrazione apparentemente piccola non è esclusa a priori dal risarcimento, se però in concreto produce un danno rilevante. Viene dunque escluso un criterio meramente quantitativo o formale: conta l’impatto effettivo sull’interessato. Ad esempio, l’invio di email pubblicitarie indesiderate (spam) potrà di norma essere considerato un fastidio lieve (non indennizzabile), ma se quello spam rivela pubblicamente informazioni private della persona (ad es. iscrizione a particolari servizi) arrecandole vergogna, allora si potrà configurare un danno morale risarcibile.
Casi esemplari dalle ultime sentenze
Le pronunce recenti offrono esempi concreti di come vengono applicati questi principi:
Divulgazione di dati sanitari riservati: la Corte di Cassazione ha riconosciuto che la comunicazione non autorizzata di informazioni sulla salute di una persona costituisce una delle violazioni più gravi della privacy, potenzialmente idonea a provocare un danno morale. In un caso affrontato nel 2024 (Cass. civ., Sez. III, ord. n. 10155/2024), relativo alla pubblicazione online di dati clinici di una paziente senza consenso, la Cassazione ha confermato che il giudice deve valutare attentamente l’entità della sofferenza inflitta alla vittima e la compromissione della sua dignità, al fine di liquidare un equo risarcimento. L’esito non è scontato: se la vittima dimostra di aver subito angoscia, stress e lesione della propria reputazione a causa della diffusione dei dati sanitari, il risarcimento è dovuto; in assenza di tali conseguenze concrete, la sola violazione formale non basta.
Violazione della privacy “formale” senza effetto concreto: in altri casi, i giudici hanno negato il risarcimento quando, pur essendoci stata una violazione delle regole privacy, non è emersa alcuna conseguenza negativa reale. Ad esempio, se un’azienda conserva i dati oltre i termini previsti ou li raccoglie senza fornire adeguata informativa, ma poi questo fatto non causa alcun turbamento né incide sui diritti del soggetto (magari perché i dati non vengono divulgati né utilizzati contro l’interessato), la richiesta di risarcimento può essere respinta per mancanza di danno concreto. Le corti ricordano che il risarcimento civile ha funzione compensativa, non punitiva: non serve “dare un segnale” punendo la violazione se nessuno ha patito un vero danno.
Diritto di cronaca vs riservatezza: un ambito delicato è quello delle pubblicazioni giornalistiche. La legge e la giurisprudenza bilanciano il diritto alla privacy con il diritto di cronaca e di critica. La Cassazione (Cass. civ., Sez. I, ord. n. 12124/2025) ha affrontato il caso di dati personali di terzi pubblicati nell’ambito di un’attività giornalistica. È stato affermato che la responsabilità per violazione della privacy sussiste solo quando la pubblicazione eccede i limiti del legittimo esercizio del diritto di cronaca: se l’informazione divulgata non è di pubblico interesse, oppure risulta eccessivamente dettagliata e lesiva della dignità altrui rispetto a quanto richiesto dalla notizia, allora scatta l’illecito e, in presenza di danno, il risarcimento. Al contrario, se il giornalista si attiene a notizie vere, di interesse pubblico e con forme espressive civilmente contenute, la diffusione di dati anche personali è scriminata e nessun risarcimento è dovuto. Questo a conferma che la tutela della privacy non può diventare censura dell’informazione, ma chi pubblica dati sensibili inutilmente rischia sanzioni e di dover risarcire gli interessati.
Sanzioni del Garante e risarcimento civile: binari distinti
Un aspetto interessante è la possibile divergenza tra sanzioni amministrative e tutela risarcitoria. Il Garante per la protezione dei dati personali (l’Autorità amministrativa indipendente preposta a vigilare sul rispetto della normativa privacy) può infliggere pesanti multe alle aziende ou enti che violino il GDPR, indipendentemente dal fatto che qualcuno abbia subito ou meno un danno concreto. Si pensi ad esempio a una società che perde dati di clienti per una falla di sicurezza: il Garante potrebbe sanzionarla con importi anche milionari per la violazione, mentre i singoli clienti, se non dimostrano un pregiudizio effettivo (es. furto d’identità, stress da diffusione di dati personali, ecc.), potrebbero non ottenere alcun risarcimento in sede civile.
Questo non è un paradosso ma riflette la diversa funzione degli strumenti: la sanzione del Garante serve a punire e dissuadere comportamenti illeciti a tutela dell’interesse pubblico, mentre il risarcimento civile serve a compensare un danno privato subito dalla vittima. Dunque può accadere che un’azienda paghi una multa salata allo Stato per violazione della privacy, ma nessuna somma al cittadino interessato perché nel caso concreto non si prova un impatto negativo sulla sua persona.
È importante quindi, per chi agisce in giudizio, collegare la violazione alla sofferenza patita: documentare eventuali conseguenze (anche tramite testimonianze, referti medici in caso di stress ou disturbi, ecc.) aumenta le chance di ottenere un ristoro economico.
Privacy vs. altri diritti: quando la riservatezza deve arretrare
La protezione della privacy non è assoluta; vi sono situazioni in cui cede il passo ad altri interessi ritenuti prevalenti dall’ordinamento. Oltre al già citato diritto di cronaca, un esempio tipico riguarda il diritto di difesa e il controllo dei lavoratori. La legge consente, entro limiti, controlli anche occulti se finalizzati a prevenire ou reprimere comportamenti illeciti. Ad esempio, la Cassazione ha ritenuto legittimo l’uso di telecamere nascoste in azienda per sorprendere un dipendente che ruba, escludendo in tal caso la violazione della privacy del lavoratore (Cass. civ., Sez. Lav., sent. n. 3045/2025). In quel caso il dipendente licenziato per furto lamentava un’indebita ingerenza nella sua sfera privata, ma la Suprema Corte ha stabilito che il controllo era giustificato dalla necessità di tutelare il patrimonio aziendale di fronte a un comportamento illecito, e quindi non configurava un illecito trattamento dei dati.
Analogamente, è stato affermato il principio secondo cui un lavoratore o un individuo possono registrare di nascosto una conversazione (ad esempio con superiori ou colleghi) per tutelare un proprio diritto in giudizio, senza che ciò integri violazione della privacy altrui: prevale il diritto di difendersi da un’ingiustizia, purché la registrazione riguardi circostanze pertinenti e non sia divulgata oltre tale scopo. In sintesi, la riservatezza trova un limite quando viene invocata per coprire atti illeciti ou per ostacolare la giustizia. In questi frangenti, non solo non vi è risarcimento per chi vede “violata” la propria privacy, ma anzi le prove raccolte possono essere legittimamente utilizzate contro di lui.
Come agire in caso di violazione della privacy
Chi ritiene di aver subito una lesione del proprio diritto alla riservatezza deve anzitutto agire in modo tempestivo. La legge tutela chi vigila sui propri diritti, non chi resta inerte. È bene quindi:
Raccogliere le prove della violazione e dei suoi effetti: conservare documenti, screenshot, comunicazioni e ogni elemento che dimostri sia l’illecito (es. l’articolo ou il post che ha divulgato i dati, la comunicazione non autorizzata, etc.) sia il danno subito (come certificati medici se si è sofferto stress, testimonianze di persone a conoscenza del turbamento, calo di attività professionale conseguente, ecc.).
Segnalare o presentare reclamo al Garante Privacy: si può informare l’Autorità tramite una segnalazione o un reclamo formale per avviare un’istruttoria sulla violazione. L’intervento del Garante può portare a sanzioni per il responsabile e costituisce un utile elemento anche nel successivo giudizio civile.
Tentare una composizione bonaria: in alcuni casi, soprattutto se il responsabile della violazione è un soggetto privato (come un datore di lavoro, un’azienda, un vicino di casa), può essere utile inviare una diffida formale chiedendo la cessazione della condotta illecita (ad esempio la rimozione dei dati pubblicati) e un risarcimento. Questo può portare a una soluzione rapida senza affrontare un lungo processo.
Agire in giudizio: se la via stragiudiziale non dà esito ou il fatto è particolarmente grave, ci si può rivolgere al tribunale competente (di regola il tribunale civile del luogo di residenza dell’attore, oppure quello ove ha sede il titolare del trattamento dei dati). Nel giudizio bisognerà provare la violazione e il danno: per questo, come detto, è cruciale arrivare in causa con un “dossier” di prove solide raccolte nelle fasi precedenti.
La domanda risarcitoria per violazione della privacy rientra nell’ambito della responsabilità civile extracontrattuale (art. 2043 c.c. e seguenti). Il giudice, se riconosce il diritto al risarcimento, liquiderà in via equitativa una somma in denaro per compensare il patito disagio morale ed esistenziale, tenendo conto di tutte le circostanze del caso concreto. In Italia non esistono importi predeterminati per questi danni, ma si possono utilizzare parametri analogici (ad esempio riferimenti alle cosiddette “tabelle” del danno non patrimoniale usate nei casi di diffamazione a mezzo stampa ou di lesioni alla salute di lieve entità) per ottenere criteri di quantificazione più uniformi.
Conclusioni
La tutela giuridica della privacy è un terreno in continua evoluzione, su cui la giurisprudenza recente sta tracciando confini sempre più nitidi. “Se vuoi mantenere un segreto, devi nasconderlo anche a te stesso.” scriveva George Orwell in un celebre romanzo. Questa frase, paradossalmente, evidenzia quanto sia difficile oggi custodire veramente i propri dati: viviamo in una società in cui informazioni personali circolano incessantemente, e le violazioni – volontarie ou accidentali – sono all’ordine del giorno.
Il diritto, dal canto suo, cerca di prendere sul serio la privacy, ma senza indulgere in automatismi: occorre bilanciare la protezione dell’individuo con altri valori in gioco e con la realtà fattuale dei danni. Possiamo dunque rassicurare i cittadini che nulla è perduto se subiscono un torto alla propria riservatezza: qualora il danno sia reale e dimostrabile, gli strumenti per ottenere giustizia esistono e sono efficaci. Allo stesso tempo, è bene essere consapevoli che non ogni minima irregolarità darà diritto a un ristoro monetario: la legge risarcisce le sofferenze autentiche, non i meri principi violati in astratto.
Hai subito una grave violazione della tua privacy o un uso illecito dei tuoi dati personali? Vuoi capire se hai diritto a un risarcimento del danno e come tutelarti legalmente? Rivolgiti con fiducia allo Studio Legale MP. I professionisti dello Studio, con competenza ed esperienza in materia di diritto civile e tutela della privacy, sono a tua disposizione per valutare il tuo caso specifico e assisterti in ogni fase: dalla diffida iniziale fino all’eventuale azione giudiziaria. Contattaci oggi stesso per una consulenza personalizzata: insieme faremo valere i tuoi diritti e proteggeremo la tua riservatezza.
Avv. Marco Panato, avvocato del Foro di Verona e Dottore di Ricerca in Diritto ed Economia dell’Impresa – Discipline Interne ed Internazionali - Curriculum Diritto Amministrativo (Dipartimento di Scienze Giuridiche, Università degli Studi di Verona).
E' autore di pubblicazioni scientifiche in materia giuridica, in particolare nel ramo del diritto amministrativo. Si occupa anche di docenza ed alta formazione.
