Cosa succede quando un interessato domanda ai magistrati ordinari il risarcimento dei danni non patrimoniali connessi a un data breach accertato? Nonostante l’intensificarsi dell’attività sanzionatoria delle Autorità di controllo, ottenere un indennizzo economico per la lesione della propria privacy si sta rivelando un percorso tutt’altro che scontato per gli interessati, che devono fare i conti con il rigoroso orientamento giurisprudenziale sull’onere della prova. 

Il principio del Tribunale di Cagliari: addio agli automatismi

Con una recente e significativa pronuncia, la sentenza n. 970 del 15 aprile 2026, il Tribunale di Cagliari ha messo un punto fermo. Non esiste alcun automatismo tra la sanzione amministrativa irrogata dall’Autorità Garante per la Protezione dei Dati Personali e il diritto al risarcimento del danno in sede civile, posto che alle decisioni del Garante Privacy non può essere riconosciuto alcun effetto preclusivo o vincolante nel giudizio civile: i due procedimenti si svolgono infatti su piani diversi e il danno civile deve essere sempre allegato e dimostrato.

Nel caso di specie, un’azienda sanitaria era stata sanzionata dal Garante Privacy per 8.000,00 euro per aver erroneamente consegnato i dati sanitari alla paziente sbagliata, la quale aveva trovato nella propria cartella sanitaria annotazioni su diari clinici e terapie farmacologiche psichiatriche riferite a una terza persona.

Se, da un lato, il Garante Privacy non ha potuto che accertare l’occorrenza di un data breach, dall’altro, il giudice civile ha rigettato la richiesta di indennizzo della paziente i cui dati erano stati violati, valutando che il danno allegato difettava dei requisiti di serietà, gravità ed effettività del pregiudizio.

Il fulcro del ragionamento giuridico risiede nella distinzione tra l’illecito amministrativo, volto a punire la violazione della normativa sulla privacy, e la responsabilità civile, che richiede la prova rigorosa di un pregiudizio effettivo e reale. Il Tribunale sardo, inserendosi nel solco tracciato dalle note sentenze di San Martino, ribadisce che il danno non patrimoniale ex articolo 2059 Codice Civile è comunque risarcibile solo se, cumulativamente:

• il diritto leso è di rango costituzionale,
• vi è prova di una lesione grave, che supera cioè la soglia minima di tolleranza,
• il danno allegato non è futile, ma serio,
• il pregiudizio è dimostrato, non potendo sussistere in re ipsa.

In sostanza, anche a valle dell’accertamento da parte del Garante Privacy di un data breach, che incide sul diritto alla riservatezza tutelato dagli articoli 2 e 21 della Costituzione e dall’articolo 8 della CEDU, è risarcibile solo il danno non patrimoniale che supera una soglia minima di gravità e serietà, con esclusione dei cosiddetti “danni bagatellari” o i semplici disagi che l’individuo deve tollerare nel contesto sociale odierno.

Nel caso in esame, il Garante privacy aveva rilevato che la violazione dei dati personali aveva coinvolto solo due persone (e non l’intera comunità, come l’attrice asseriva) e aveva riguardato un arco temporale esiguo (i documenti erano stati restituiti in giornata alla paziente). Sul versante civilistico, i magistrati non giudicavano provati né l’aggravarsi della condizione di ansia dedotta dell’interessata né il nesso causale tra il disagio psicologico allegato e il data breach. Sebbene infatti fosse stato pacificamente accertato il danno-evento, mancava la prova del danno-conseguenza (serio) e del nesso causale.

Il contrasto con la giurisprudenza europea

L’impostazione del Tribunale di Cagliari – e, in generale, della giurisprudenza italiana, si discosta dall’orientamento della Corte di Giustizia dell’Unione Europea (CGUE).

Con la sentenza del 4 settembre 2025 (causa C-655/23), i giudici europei hanno infatti ribadito il principio di diritto secondo il quale la violazione del GDPR non è sufficiente per conferire un diritto al risarcimento ai sensi dell’articolo 82, del Regolamento e che le condizioni cumulative che devono ricorrere perché l’interessato possa ottenere il risarcimento del danno sono tre:

• l’esistenza di un danno, materiale o immateriale, che sia stato subìto dall’interessato,
• la violazione delle disposizioni del GDPR,
• il nesso di causalità tra il danno e la violazione del Regolamento.

Anche alla luce della giurisprudenza comunitaria, pertanto, l’interessato che domanda il risarcimento di un danno immateriale per violazione della normativa privacy è tenuto a dimostrare non soltanto la violazione del Regolamento, ma anche che tale violazione gli ha effettivamente causato il danno del quale chiede ristoro.

Tuttavia, per la Corte, l’articolo 82 del GDPR non richiede una «soglia di rilevanza» per il risarcimento del danno. Nel concetto di «danno immateriale» devono ritenersi infatti inclusi, semplicemente, i sentimenti negativi provati dalla persona interessata a seguito di una trasmissione non autorizzata dei suoi dati personali, quali il timore o l’insoddisfazione, purché l’interessato provi sentimenti siffatti, con le loro conseguenze negative, e la loro connessione con la violazione.

Questo dualismo crea un’incertezza interpretativa rilevante:

– da un lato, la giurisprudenza interna, imponendo una soglia minima di gravità, scoraggia liti per danni bagatellari e, in caso di instaurazione del giudizio, a rigettare la richiesta di risarcimento;

– dall’altro, la giurisprudenza dell’Unione spinge per una tutela più estesa, in ragione della quale la semplice violazione della privacy può generare un danno risarcibile se l’interessato dimostra un impatto psicologico reale, seppur non “grave”.

Sanzioni e prospettive de iure condendo

Il sistema delle sanzioni connesse alla violazione della normativa privacy rimane un pilastro fondamentale per garantire l’accountability dei titolari del trattamento. Tuttavia, per superare l’attuale stallo e fornire certezze e tutele ai cittadini, emerge la necessità di un cambiamento di matrice europea, ad esempio con l’introduzione di meccanismi di indennizzo forfettario, simili a quelli già previsti nella tutela dei consumatori.

Dando maggior peso processuale ai provvedimenti delle Autorità di controllo, si potrà evitare che la tutela della privacy resti un diritto teorico, limitato nel suo esercizio dal rischio di soccombenza.

In conclusione, la tutela della privacy in sede civile – al pari di ogni altra richiesta di risarcimento – richiede oggi una valutazione caso per caso, in cui la qualità della prova diventa il vero spartiacque tra il semplice fastidio e il danno ingiusto.