Il Documento Programmatico sulla
Sicurezza dei dati
Ilaria Zerilli
nozione
Il DPS (Documento Programmatico sulla Sicurezza) è misura
“minima” di sicurezza, attualmente disciplinata dal Codice
Privacy, d. lgs. n. 196/2003, precisamente dagli artt. 33 ss. e
dall’allegato B.
Il DPS, in realtà, altro non è che un resoconto delle misure di
sicurezza adottate da chiunque (imprese, singoli ed istituzioni)
sia titolare di un trattamento di dati personali altrui per evitare
(o meglio per ridurre al minimo il verificarsi di) qualsiasi tipo
di evento dannoso o pericoloso a carico degli stessi dati
personali.
nozione
Il Dps (acronimo della sigla "Documento Programmatico per la
Sicurezza") è strumento specificativo del generale obbligo di
sicurezza posto dal Codice Privacy, e assume, per diretta volontà
legislativa, assieme alle altre misure di sicurezza, il ruolo di
ridurre al minimo, mediante l'adozione di idonee e preventive
misure di sicurezza, i rischi di distruzione o perdita di accesso
non autorizzato o di trattamento non consentito o non conforme
alle finalità della raccolta.
Fonti normative
l’art. 33 D.lgs 196/2003 stabilisce che:
“Nel quadro dei più generali obblighi di sicurezza di cui
all'articolo 31 […] i titolari del trattamento sono comunque
tenuti ad adottare le misure minime individuate nel presente
capo […] volte ad assicurare un livello minimo di protezione
dei dati personali.” È però l’art. art. 34 comma 1, lettera g)
del D.lg. 196/03 a prevedere la “tenuta di un aggiornato
documento programmatico sulla sicurezza”.
Fonti normative
Le misure minime, fra cui il Dps, ex art. 33 del Codice,
specificano, grazie al contenuto spesso prescrittivo, il detto
generale obbligo di sicurezza, e assumono, per diretta volontà
legislativa, il ruolo di “ridurre al minimo, mediante
l'adozione di idonee e preventive misure di sicurezza, i rischi
di distruzione o perdita […] di accesso non autorizzato o di
trattamento non consentito o non conforme alle finalità della
raccolta.”
Fonti normative
Va evidenziato che, proprio in quanto misura
“minima”,
la
mancata
predisposizione
o
l’inadeguato aggiornamento del Dps impedisce al
titolare un qualsiasi trattamento dei dati.
Fonti normative
L'art. 34 D.LGS 196/2003 prevede che Il trattamento di dati
personali effettuato con strumenti elettronici è consentito
solo se sono adottate, nei modi previsti dal disciplinare
tecnico contenuto nell'allegato B), le seguenti misure
minime:
...
g) tenuta di un aggiornato documento programmatico sulla
sicurezza;

Fonti normative
La regola 19 dell'allegato B “Disciplinare tecnico in materia
di misure minime di sicurezza” dispone che:
Entro il 31 marzo di ogni anno, il titolare di un trattamento
di dati sensibili o di dati giudiziari redige anche attraverso il
responsabile, se designato, un documento programmatico
sulla sicurezza.
Fonti normative
Il D.P.S. dovrà contenere idonee informazioni riguardo:
19.1.
l'elenco
dei
trattamenti
di
dati
personali;
19.2. la distribuzione dei compiti e delle responsabilità nell'ambito delle
strutture
preposte
al
trattamento
dei
dati;
19.3.
l'analisi
dei
rischi
che
incombono
sui
dati;
19.4. le misure da adottare per garantire l'integrità e la disponibilità dei
dati, nonchè la protezione delle aree e dei locali, rilevanti ai fini della
loro
custodia
e
accessibilità;
19.5. la descrizione dei criteri e delle modalità per il ripristino della
disponibilità dei dati in seguito a distruzione o danneggiamento di cui al
successivo
punto
23;
Fonti normative
19.6. la previsione di interventi formativi degli incaricati del
trattamento, per renderli edotti dei rischi che incombono sui dati, delle
misure disponibili per prevenire eventi dannosi, dei profili della
disciplina sulla protezione dei dati personali più rilevanti in rapporto
alle relative attività, delle responsabilità che ne derivano e delle
modalità per aggiornarsi sulle misure minime adottate dal titolare. La
formazione è programmata già al momento dell'ingresso in servizio,
nonchè in occasione di cambiamenti di mansioni, o di introduzione di
nuovi significativi strumenti, rilevanti rispetto al trattamento di dati
personali;
19.7. la descrizione dei criteri da adottare per garantire l'adozione delle
misure minime di sicurezza in caso di trattamenti di dati personali
affidati, in conformità al codice, all'esterno della struttura del titolare;
Fonti normative
19.8. per i dati personali idonei a rivelare lo stato di salute e la vita
sessuale di cui al punto 24, l'individuazione dei criteri da adottare per la
cifratura o per la separazione di tali dati dagli altri dati personali
dell'interessato.
Regole pratiche di redazione
Il Garante ha fornito una guida operativa
utile ai fini della redazione del documento.
Regole pratiche di redazione
Regola 19.1 Elenco dei trattamenti di dati personali.:
in questa sezione devono essere individuati i trattamenti
effettuati dal titolare, direttamente o attraverso
collaborazioni esterne, con l'indicazione della natura dei
dati e della struttura (uffici, area etc...) interna o esterna
operativamente preposta e degli strumenti elettronici
impiegati.
Regole pratiche di redazione
Per ciascun trattamento vanno individuati i seguenti contenutui
essenziali:
descrizione sintetica : menzionare il trattamento dei dati personali
attraverso l'indicazione della finalità perseguita o dell'attività
svolta e delle categorie di persone cui i dati si riferiscono;
natura dei dati trattati: indicare se tra i dati personali trattati vi
sono dati sensibili e giudiziari;
struttura di riferimento: indicare la struttura (ufficio, servizio,
area) all'interno della quale viene effettuato il trattamento. Nel
caso di strutture complesse, è possibile indicare la macro struttura
(direzione, dipartimento, area) oppure gli uffici specifici
all'interno della stessa (ufficio contratti, ufficio protocollo etc.);
Regole pratiche di redazione
Altre strutture che concorrono al trattamento: nel caso in cui un
trattamento per essere completato comporta l'attività di diverse strutture
è opportuno indicare, oltre quella che cura primariamente l'attività, le
altre principali strutture che concorrono al trattamento dall'esterno.
Descrizione degli strumenti elettronici utilizzati: deve essere indicata la
tipologia di strumenti elettronici utilizzata (elaboratori o pc portatili
collegati a rete locale etc..);
Banca dati: deve essere indicata la banca dati, con le relative
applicazioni,
in
cui
sono
contenuti
i
dati.
Regole pratiche di redazione

Regola 19.2 DISTRIBUZIONE DEI COMPITI E DELLE
RESPONSABILITA'

In tale sezione devono essere descritte sinteticamente
l'organizzazione della struttura di riferimento, i compiti, e
le relative responsabilità in relazione ai trattamenti
effettuati.
Regole pratiche di redazione
le informazioni essenziali da riportare in tale sezione sono
struttura: riportare le indicazioni relative alle strutture indicate
nella
precedente
sezione;
trattamenti
effettuati
dalla
struttura
compiti e responsabilità della struttura: descrizione dei compiti
e delle responsabilità della struttura rispetto ai trattamenti di
competenza. Es. Acquisizione e caricamento dei dati,
consultazione, comunicazione a terzi,
Regole pratiche di redazione
Regola 19.3 Analisi dei rischi che incombono sui dati
in questa sezione vengono descritti i principali eventi
potenzialmente dannosi per la sicurezza e la valutazione
circa le possibili conseguenze e la gravità in relazione al
contesto fisico – ambientale di riferimento e agli strumenti
elettronici utilizzati.
Regole pratiche di redazione
Le informazioni essenziali relative a questa sezione sono:
elenco degli eventi: individuare ed elencare gli eventi che
possono generare danni e che comportano, quindi, rischi per la
sicurezza dei dati personali.
Ad esempio vanno indicati:
1) gli eventuali comportamenti degli operatori:
- sottrazione di credenziali dia utenticazione;
- carenza di consapevolezza, disattenzione o incuria;
- comportamenti sleali o fraudolenti;
- errore materiale
Regole pratiche di redazione
2) eventi relativi agli strumenti:
- azione di virus informatici o di programmi suscettibili di recare
danno;
- spamming o tecniche di sabotaggio,
- malfunzionamento, indisponibilità o degrado degli strumenti;
- accessi esterni non autorizzati;
- intercettazione di informazioni in rete.
Regole pratiche di redazione
3) eventi relativi al contesto fisico ambientale:
- ingressi non autorizzati a locali/aree ad accesso ristretto;
- sottrazione di strumenti contenneti dati;
- eventi distruttivi, naturali o artificiali (movimenti tellurici,
scariche atmosferiche, incendi, allagamenti, condizioni
ambientali...);
- guasto a sistemi complementari (impianto elettrico etc..);
- errori umani nella gestione della sicurezza fisica;
Regole pratiche di redazione
Deve essere indicato in questa sezione anche l'impatto sulla
sicurezza
devono essere descritte le principali conseguenze individuate per la
sicurezza dei dati in relazione a ciascun evento, e valutare la loro
gravità anche in trelazione alla rilevanza e alla probabilità stimata
dell'evento (es alta media bassa). In questo modo è possibile
formulare un primo indicatore omogeneo per i diversi rischi da
contrastare.
Regole pratiche di redazione
regola
19,.4
Misure
in
essere
e
da
adottare
In questa sezione vanno riportate le misure in essere e da
adottare
per
contratsare
i
rischi
individuati.
Deve essere indicato lo specifico intevento tecnico od
organizzativo posto in essere per prevenire, contrastare o
ridurre gli effetti relativi ad una specifica minaccia come pure
quelle attività di controllo e verifica nel tempo essenzilai per
assicurarne l'efficacia.
Regole pratiche di redazione
I contenuti essenziali di questa sezione sono:
misure
descrizione dei rischi da contrastare
trattamenti interessati
struttura o pesrone addette all'adozione
Regole pratiche di redazione
Criteri e modalità di ripristino della disponibilità dei dati – regola 19.5
in questa sezione vengono descritti i criteri e le procedure adotati per il
ripristino dei dati in caso di loro danneggiamento o di inaffidabilità
della base dati.
Regole pratiche di redazione
Le informazioni essenziali relative al ripristino dei dati da
indicare in questa sezione sono:
- banca dati/data base/archivio;
- criteri e procedure per il salvataggio e il rispristino dei
dati
- pianificazione delle prove di ripristino
Regole pratiche di redazione
Pianificazione degli interventi formativi – regola 19.6
in questa sezione vengono riportate le informazioni necessarie
per individuare il quadro sintetico degli interventi formativi
che si prevede di svolgere.
Regole pratiche di redazione
Le informazioni essenziali di questa sezione sono:
descrizione sintetica degli interventi formativi: descrizione degli
obiettivi e delle modalità dell'interventio formativo in relazione
ad eventuali prese di servizio, mutamento di mansioni,
introduzione di nuovi programmi informatici etc..)
classi di incarico o tipologie di incaricati interessati: individuazione
delle classi omogenee di incarico cui l'intervento è destinato e/o
le tipologie di incaricati interessati anche in riferimento alle
strutture di appartenenza;
tempi previsti: indicare i tempi previsti per lo svolgimento degli
interventi formativi
Regole pratiche di redazione
Trattamenti affidati all'esterno – regola 19.7
In tale sezione deve essere indicato un quadro sintetico delle
attività affidate a terzi che comportano il trattamento di dati,
con l’indicazione sintetica del quadro giuridico o
contrattuale (nonché organizzativo e tecnico) in cui tale
trasferimento si inserisce, in riferimento agli impegni
assunti, anche all’esterno, per garantire la protezione dei
dati stessi.
Regole pratiche di redazione
I contenuti essenziali di tale sezione sono:

Descrizione dell’attività “esternalizzata”: indicare
sinteticamente l’attività affidata all’esterno.


Trattamenti di dati interessati: indicare i trattamenti di dati,
sensibili o giudiziari, effettuati nell’ambito della predetta
attività.
Soggetto esterno : indicare la società, l’ente o il consulente
cui è stata affidata l’attività, e il ruolo ricoperto agli effetti
della disciplina sulla protezione dei dati personali (titolare o
responsabile del trattamento).
Regole pratiche di redazione

Descrizione dei criteri: perché sia garantito un adeguato trattamento dei
dati è necessario che la società a cui viene affidato il trattamento rilasci
specifiche dichiarazioni o documenti, oppure assuma alcuni impegni
anche su base contrattuale, con particolare riferimento, ad esempio, a:

1. trattamento di dati ai soli fini dell’espletamento dell’incarico
ricevuto;

2. adempimento degli obblighi previsti dal Codice per la
protezione dei dati personali;

3. rispetto delle istruzioni specifiche eventualmente ricevute per il
trattamento dei dati personali o integrazione delle procedure già in
essere;

4. impegno a relazionare periodicamente sulle misure di sicurezza
adottate –anche mediante eventuali questionari e liste di controlloe ad informare immediatamente il titolare del trattamento in caso
di situazioni anomale o di emergenze.
Regole pratiche di redazione
Cifratura dei dati o separazione dei dati identificativi (regola
19.8)
In questa sezione vanno rappresentate le modalità di protezione
adottate in relazione ai dati per cui è richiesta la cifratura -o la
separazione fra dati identificativi e dati sensibili-, nonché i criteri e
le modalità con cui viene assicurata la sicurezza di tali trattamenti.
Questo punto riguarda solo organismi sanitari e esercenti
professioni sanitarie (regola 24).
Regole pratiche di redazione
i contenuti essenziali di questa sezione sono:
Trattamenti di dati: descrivere i trattamenti (le banche o le
basi di) dati oggetto della protezione

Protezione scelta: riportare la tipologia di protezione
adottata, scelta fra quelle indicate dal Codice o in base a
considerazioni specifiche del titolare.

Tecnica adottata: descrivere sinteticamente, in termini
tecnici ed eventualmente organizzativi, la misura adottata.
Ad esempio, in caso di utilizzo di cifratura, le modalità di
conservazione delle chiavi e le procedure di utilizzo.

sanzioni
Sono previste due tipologie di sanzioni:
1.
Ammnistrativa
2.
Penale
sanzioni
Sanzione di natura amministrativa:
Art. 162 d.lgs 196/2003:
In caso di trattamento di dati personali
effettuato in violazione delle misure indicate
nell'articolo 33 … è altresì applicata in sede
amministrativa, in ogni caso, la sanzione del
pagamento di una somma da diecimila euro a
centoventimila euro.
Nei casi di cui all'articolo 33 è escluso il
pagamento in misura ridotta.
sanzioni
Art. 169 D.lgs 196/2003
Chiunque, essendovi tenuto, omette di
adottare le misure minime previste
dall'articolo 33 è punito con l'arresto sino a
due anni.
• a leggerle formalmente e senza possedere
una cultura della sicurezza, queste
disposizioni
sembrano
essere
un’accozzaglia di formalità burocratiche
ma
certamente
utilizzare
questo
documento ci permeterà di capire come
funziona la nostra “università”, quali
trattamenti effettua, quanto investiamo
per difendere noi stessi e i nostri utenti e
soprattutto ci permetterà di tutelare noi
stessi da sanzioni penali e da pretestuose
richieste di risarcimento danni provenienti
da chi ritiene che abbiamo in qualche
modo violato la sua privacy e non è
poco…
Competenze e ruoli
I soggetti del trattamento
Nozioni generali
Il titolo IV del codice privacy contiene la
disciplina che regola l’attività dei soggetti che
effettuano il trattamento.
In particolare, i soggetti che effettuano il
trattamento si dividono in tre categorie:
il titolare, il responsabile e l’incaricato.
Soggetti del trattamento
Titolare
Responsabili
Incaricati
I soggetti del trattamento
Questa struttura si fonda su un chiaro
rapporto di subordinazione gerarchica che
lega rispettivamente, il responsabile al titolare
e l’incaricato al titolare ed, eventualmente, al
responsabile.
Il Titolare
L’art. 4 lett. f) del D.lgs 196/2003dispone che debba
intendersi per titolare:
la persona fisica, la persona giuridica, la pubblica
amministrazione e qualsiasi altro ente, associazione
od organismo cui competono, anche unitamente ad
altro titolare, le decisioni in ordine alle finalita', alle
modalita' del trattamento di dati personali e agli
strumenti utilizzati, ivi compreso il profilo della
sicurezza.
Il Titolare
L’art. 1 del Regolamento d’Ateneo in materia
di trattamento dei dati personali stabilisce che
Titolare del trattamento è l’UNIVERSITA’ nel
suo complesso.
Il Titolare
L’art. 28 del codice dispone che:
Quando il trattamento e' effettuato da una
persona giuridica, da una pubblica
amministrazione o da un qualsiasi altro ente,
associazione od organismo, titolare del
trattamento e' l'entita' nel suo complesso o
l'unita' od organismo periferico che esercita
un potere decisionale del tutto autonomo
sulle finalita' e sulle modalita' del
trattamento, ivi compreso il profilo della
sicurezza.
Il Titolare
Il titolare ha il compito di scegliere, laddove
lo ritenga necessario, il responsabile e di
vigilare sull’operato di quest’ultimo e degli
incaricati del trattamento.
Il Titolare
La responsabilità del titolare per eventuali violazioni
della normativa in materia di trattamento dei dati,
persiste anche se si serve di questi altri soggetti ed
anche se costoro sono esterni rispetto alla struttura
dell’ente.
Ciò significa che egli dovrà vigilare sull’operato
di questi soggetti, rispondendo degli eventuali
illeciti, laddove responsabili ed incaricati si siano
attenuti alle disposizioni loro impartite.
Di contro, saranno ritenuti colpevoli gli incaricati
o i responsabili che abbiano commesso violazioni
della normativa in materia di privacy
discostandosi dalle direttive che siano state loro
impartite dal titolare.
Il Responsabile
Ai sensi dell’art. 4 lett. g) del D.lgs 196/2003 si intende per
responsabile:
la persona fisica, la persona giuridica, la pubblica
amministrazione e qualsiasi altro ente, associazione od
organismo preposti dal titolare al trattamento di dati
personali;
Il Responsabile
Le funzioni e le regole che disciplinano l’attività del
responsabile sono contenute nell’art. 29 del codice, il quale
dispone che:
1. Il responsabile e' designato dal titolare facoltativamente.
2. Se designato, il responsabile e' individuato tra soggetti che
per esperienza, capacita' ed affidabilita' forniscano idonea
garanzia del pieno rispetto delle vigenti disposizioni in
materia di trattamento, ivi compreso il profilo relativo alla
sicurezza.
3. Ove necessario per esigenze organizzative, possono essere
designati responsabili piu' soggetti, anche mediante
suddivisione di compiti.
4. I compiti affidati al responsabile sono analiticamente
specificati per iscritto dal titolare.
5. Il responsabile effettua il trattamento attenendosi alle
istruzioni impartite dal titolare il quale, anche tramite
verifiche periodiche, vigila sulla puntuale osservanza delle
disposizioni di cui al comma 2 e delle proprie istruzioni.
Il Responsabile
Il responsabile verrà nominato con atto
scritto del titolare, il quale sarà tenuto,
altresì, ad individuare in modo analitico le
competenze che intende attribuirgli.
La forma scritta sia della delega che della
attribuzione dei compiti è richiesta dal
legislatore non a pena di nullità ma a titolo
probatorio.
Il Responsabile
I responsabili saranno, quindi, sottoposti a
verifiche periodiche, da parte del titolare,
volte ad accertare la correttezza e conformità
del loro operato alla normativa in materia di
trattamento dei dati.
I Responsabili
Il Regolamento D’Ateneo dispone che sono
soggetti responsabili:

Il Rettore per i dati trattati da Segreteria del
Rettorato, Servizio di Prevenzione e
Protezione, Ufficio di collegamento
Università Impresa Industrial Liason Office,
Servizio
Stampa
e
Servizio
di
Radioprotezione;

Il Direttore Amministrativo relativamente ai
dati trattati dallo staff di direzione;
I Responsabili







I Dirigenti di Dipartimenti e Aree;
Il Direttore del SIA;
I Presidi di Facoltà;
I Direttori di Dipartimento;
Il Direttore della Sissis;
Il direttore del Centro di Orientamento e
tutorato;
I Direttori dei centri interdipartimentali.
I Responsabili
I responsabili del trattamento individuano con
proprio provvedimento formale gli incaricati
con indicazione nominativa della persona
fisica, del ruolo ricoperto e dell’ambito del
trattamento consentito.
Gli Incaricati
L’art. 4 lett. h) del d.lgs 196/2003 stabilisce
che sono da intendersi quali incaricati, le
persone fisiche autorizzate a compiere
operazioni di trattamento dal titolare o dal
responsabile.
Gli Incaricati
L’art. 30 del codice, poi, dispone che:
1. Le operazioni di trattamento possono essere effettuate solo
da incaricati che operano sotto la diretta autorita' del
titolare o del responsabile, attenendosi alle istruzioni
impartite.
2. La designazione e' effettuata per iscritto e individua
puntualmente l'ambito del trattamento consentito. Si
considera tale anche la documentata preposizione della
persona fisica ad una unita' per la quale e' individuato, per
iscritto, l'ambito del trattamento consentito agli addetti
all'unita' medesima.
Gli incaricati
L’incaricato costituisce la base della struttura
piramidale sopra indicata.
Esso è il soggetto che materialmente effettua
il trattamento.
Gli incaricati
Tra incaricato e titolare esiste un rapporto di
stretta dipendenza poiché il primo agisce
sotto la diretta autorità del secondo ed
attenendosi alle istruzioni impartitegli.
Gli Incaricati
la designazione e l’individuazione dei compiti
da attribuire agli incaricati devono essere
effettuate per per atto scritto.
Gli Incaricati
Non è ammissibile che siano preposti alle
operazioni di trattamento soggetti diversi da
quelli designati.
Nel caso in cui i dati personali vengano
trattati da soggetti che non siano stati
appositamente nominati quali incaricati o
responsabili, quest’ultimi risponderanno
personalmente per gli eventuali danni prodotti
al cosiddetto interessato.
La responsabilità dei soggetti
del trattamento
L’art. 15 del codice, rubricato Danni
cagionati per effetto del trattamento,
prescrive che:
1. Chiunque cagiona danno ad altri per effetto
del trattamento di dati personali e' tenuto al
risarcimento ai sensi dell'articolo 2050 del
codice civile.
2. Il danno non patrimoniale e' risarcibile
anche in caso di violazione dell'articolo 11.
La responsabilità dei soggetti
del trattamento
l’art. 2050 c.c. (Responsabilità per l'esercizio
di attività pericolose) dispone che:
chiunque cagiona danno ad altri nello
svolgimento di un'attività pericolosa, per sua
natura o per la natura dei mezzi adoperati, e’
tenuto al risarcimento, se non prova di avere
adottato tutte le misure idonee a evitare il
danno.
La responsabilità dei soggetti
del trattamento
La scelta operata dal legislatore è quella di
disciplinare l’attività di trattamento dei dati personali
come attività pericolosa ed in quanto tale
potenzialmente idonea a cagionare un danno nei
confronti del soggetto per il quale è posta in essere.
La responsabilità dei soggetti
del trattamento
Il richiamo espresso all’art. 2050 c.c. collega il
risarcimento del danno allo schema codicistico sia
per quanto riguarda l’an che il quantum.
Ed infatti, sul piano processuale dell’accertamento
dell’an il titolare o il responsabile del trattamento
saranno tenuti a provare non solo di avere adottato
tutte le misure minime per evitare il danno ma anche
che quest’ultimo si è verificato per cause a loro non
imputabili.
La responsabilità dei soggetti
del trattamento
Il giudizio in ordine alla responsabilità del
soggetto che, trattando i dati, abbia arrecato
pregiudizio all’interessato dovrà vertere sulla
circostanza secondo cui, se le misure adottate
fossero state idonee, il danno non si sarebbe
prodotto.
La responsabilità dei soggetti
del trattamento
La disposizione normativa è, poi, generica
nell’individuare i soggetti che potenzialmente
possano essere ritenuti come responsabili (si
parla di “chiunque”).
La responsabilità dei soggetti
del trattamento
All’obbligo risarcitorio non sarà tenuto
soltanto chi è a contatto diretto con i dati
dell’interessato ovvero il titolare, il
responsabile o l’incaricato del trattamento ma
anche soggetti che, eventualmente od anche
occasionalmente, si trovino a trattare dati
personali
a
prescindere
dalla
loro
riconducibilità ad una delle qualifiche
tipizzate dal codice.
La responsabilità dei soggetti
del trattamento
La sussistenza del danno, quindi, si configura
automaticamente per il solo fatto della
violazione degli obblighi di “correttezza e
liceità” sanciti in materia di trattamento dei
dati personali.
La responsabilità dei soggetti
del trattamento
Per quanto, invece, riguarda la quantificazione del danno
subito soccorrono i principi ausiliari di liquidazione di cui al
combinato disposto degli artt. 1226 e 2056 c.c.
Art. 1226 Valutazione equitativa del danno
Se il danno non può essere provato nel suo preciso
ammontare, è liquidato dal giudice con valutazione equitativa
(2056 e seguenti).
Art. 2056 Valutazione dei danni
Il risarcimento dovuto al danneggiato si deve determinare
secondo le disposizioni degli artt. 1223, 1226 e 1227.
Il lucro cessante è valutato dal giudice con equo
apprezzamento delle circostanze del caso.
BUON APPETITO