In base alla disciplina generale del Regolamento (UE) 2016.679, c.d. GDPR, in materia di illecito
trattamento dei dati, il titolare del trattamento dei dati personali è sempre tenuto a risarcire il danno
cagionato a una persona da un trattamento non conforme al regolamento stesso, e può essere
esonerato dalla responsabilità non semplicemente se si è attivato (come suo dovere) per rimuovere
il dato illecitamente esposto, ma solo se dimostra che l’evento dannoso non gli è in alcun modo
imputabile. L’esclusione del principio del danno in re ipsa presuppone, in questi casi, la prova della
serietà della lesione conseguente al trattamento. Ciò vuol dire che può non determinare il danno la
mera violazione delle prescrizioni formali in tema di trattamento del dato, mentre induce sempre al
risarcimento quella violazione che concretamente offenda la portata effettiva del diritto alla
riservatezza.