Con la stessa ordinanza, la Corte ha sancito che il danno deve essere reale e concreto, non solo ipotetico o potenziale e che, dunque il danneggiato ha comunque l'onere di provare il danno stesso nella sua sussistenza e nell sua entità; non rileva, dunque, la mera violazione delle prescrizioni formali in tema di trattamento del dato.
Ecco il testo dell'ordinanza:
"In tema di illecito trattamento dei dati personali reputazionali, in base alla disciplina generale del Regolamento (UE) n.679 del 2016, cd. GDPR, il titolare del trattamento dei dati personali è sempre tenuto a risarcire il danno cagionato a una persona da un trattamento non conforme al regolamento stesso e può essere esonerato dalla responsabilità non semplicemente se si è attivato (come suo dovere) per rimuovere il dato illecitamente esposto, ma solo se dimostra che l'evento dannoso non gli è in alcun modo imputabile. (Nella specie, la S.C. ha confermato la sentenza di merito che aveva ravvisato la violazione del GDPR nella condotta del Comune che aveva pubblicato nell'albo pretorio on line, sia pure per un giorno, la nota contabile contenente i dati della dipendente destinataria del pignoramento del proprio stipendio e rispetto alla quale l'ente aveva assunto l'impegno di versarne il quinto alla società creditrice, non essendo all'uopo rilevante la riconducibilità del fatto a errore umano ed essendo l'ente responsabile anche del fatto colposo dei suoi dipendenti)".
"In tema di illecito trattamento dei dati personali, l'esclusione del principio del danno "in re ipsa" presuppone la prova della serietà della lesione conseguente al trattamento. Ne consegue che può non determinare il danno la mera violazione delle prescrizioni formali in tema di trattamento del dato, mentre induce sempre al risarcimento quella violazione che, concretamente, offenda la portata effettiva del diritto alla riservatezza. (Nella specie, la S.C. ha confermato la sentenza di merito che, pur menzionando il danno "in re ipsa", aveva accertato l'offesa arrecata dalla violazione e il relativo danno, derivate dall'ostensione del dato per tipologia e contesto, ossia in uno specifico ambito temporale e socio-lavorativo, sebbene per un tempo ridotto)"