;)
La violazione delle previsioni del GDPR ovvero il Regolamento generale sulla protezione dei dati (GDPR, dall'inglese General Data Protection Regulation), può comportare, nei confronti del soggetto leso la causazione di danni materiali o immateriali che possono andare da un modesto disturbo (il reinserimento di un dato erroneamente cancellato) alla perdita di una vita umana (la modificazione di un dato sanitario prima della somministrazione di un’anestesia).
Si configura così il diritto per il soggetto leso detto “l’interessato” ad ottenere il risarcimento del danno da parte del Titolare del trattamento dei dati personali che lo ha causato, a meno che questi non dimostri di non essere imputabile.
Qualora nello stesso trattamento siano coinvolti più soggetti nella stessa qualità (due o più Titolari – Contitolari – o due o più Responsabili) oppure in qualità diverse (un Titolare ed un Responsabile), tutti risponderanno in solido del danno cagionato, salvo poi il diritto per colui che ha pagato di rivalersi sugli altri pro quota.
;Resize,width=270;)
Il risarcimento può, quindi, sussistere solo in presenza di un danno dimostrato e quantificato in sede civile oltre alla sanzione pecuniaria irrogata dall’Autorità garante per la protezione dei dati personali e a quella penale comminata dal Giudice penale (possibilità prevista in capo agli Stati membri di introdurre sanzioni penali non avendo il legislatore europeo competenza penale diretta sulla base degli Artt. 25.2 della nostra Costituzione e 83 del Trattato sul funzionamento dell’Unione Europea) per garantire una tutela il più possibile completa, tra gli strumenti previsti contro la violazione dei dati.
Responsabilità e diritto al risarcimento nel GDPR
Quindi, il Regolamento per la protezione dei dati personali ha come obiettivo quello di tutelare non solo la persona ed i suoi dati ma anche risarcire la stessa nel momento in cui questa subisca un danno derivante dalla cattiva gestione dei dati attraverso una azione di risarcimento danni avente lo scopo di ripristinare il patrimonio giuridico del danneggiato. Le premesse utili alla comprensione delle disposizioni legislative le possiamo trovare nel Considerando 146 del GDPR formulato dal legislatore europeo il quale prevede che:
«Il titolare del trattamento o il responsabile del trattamento dovrebbe risarcire i danni cagionati a una persona da un trattamento non conforme al presente regolamento ma dovrebbe essere esonerato da tale responsabilità se dimostra che l’evento dannoso non gli è in alcun modo imputabile. Il concetto di danno dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di giustizia in modo tale da rispecchiare pienamente gli obiettivi del presente regolamento. Ciò non pregiudica le azioni di risarcimento di danni derivanti dalla violazione di altre norme del diritto dell’Unione o degli Stati membri. Un trattamento non conforme al presente regolamento comprende anche il trattamento non conforme agli atti delegati e agli atti di esecuzione adottati in conformità del presente regolamento e alle disposizioni del diritto degli Stati membri che specificano disposizioni del presente regolamento».
Da ciò si deduce che «Gli interessati dovrebbero ottenere pieno ed effettivo risarcimento per il danno subito. Qualora i titolari del trattamento o i responsabili del trattamento siano coinvolti nello stesso trattamento, ogni titolare del trattamento o responsabile del trattamento dovrebbe rispondere per la totalità del danno. Tuttavia, qualora essi siano riuniti negli stessi procedimenti giudiziari conformemente al diritto degli Stati membri, il risarcimento può essere ripartito in base alla responsabilità che ricade su ogni titolare del trattamento o responsabile del trattamento per il danno cagionato dal trattamento, a condizione che sia assicurato il pieno ed effettivo risarcimento dell’interessato che ha subito il danno. Il titolare del trattamento o il responsabile del trattamento che ha pagato l’intero risarcimento del danno può successivamente proporre un’azione di regresso contro altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento».
In particolare, quindi, si evince una responsabilità solidale tra il Titolare del trattamento dei dati personali e/o il Contitolare e/o il Responsabile del trattamento dei dati personali i quali dovrebbero risarcire i danni cagionati a una persona da un trattamento non conforme, ma dovrebbero essere esonerati da tale responsabilità se dimostra che l’evento dannoso non gli è in alcun modo imputabile.
A tal proposito si deve precisare che sii ha trattamento non conforme al GDPR anche nel caso in cui il trattamento dei dati personali non sia conforme agli atti delegati, agli atti di esecuzione adottati in conformità del GDPR e alle disposizioni del diritto degli Stati membri che ne specificano le modalità di attuazione.
Il Gdpr garantisce un risarcimento totale
Secondo quanto previsto dal GDPR i soggetti che hanno subito un danno dalla gestione dei propri dati personali dovrebbero ottenere pieno ed effettivo risarcimento del danno subito, dimostrato e quantificato in sede civile.
Nel momento in cui più Titolari o Responsabili del trattamento siano coinvolti nello stesso trattamento, il GDPR prevede che ogni Titolare o Responsabile dovrebbe rispondere – come già accennato –.
E’ possibile però che questi siano riuniti negli stessi procedimenti giudiziari,in tal caso il risarcimento può essere ripartito in base alla responsabilità che ricade su ogni soggetto, a condizione che sia assicurato il pieno ed effettivo risarcimento al danneggiato ovvero che il danneggiato non ne abbia alcun nocumento.
Successivamente il Titolare o il Responsabile del trattamento che ha pagato l’intero risarcimento del danno potrà proporre azione di regresso contro gli altri titolari o responsabili coinvolti.
Questa disciplina è contenuta all’interno dell’Articolo 82 Regolamento UE 2016/679 che rubricato “Diritto al risarcimento e responsabilità” disciplina puntualmente il risarcimento del danno per violazione del corretto trattamento dei dati personali:
Per maggior chiarezza riportiamo qui l’intero testo dell’articolo:
«1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.
Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento. Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile. Qualora più titolari del trattamento o responsabili del trattamento oppure entrambi il titolare del trattamento e il responsabile del trattamento siano coinvolti nello stesso trattamento e siano, ai sensi dei paragrafi 2 e 3, responsabili dell’eventuale danno causato dal trattamento, ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato. Qualora un titolare del trattamento o un responsabile del trattamento abbia pagato, conformemente al paragrafo 4, l’intero risarcimento del danno, tale titolare del trattamento o responsabile del trattamento ha il diritto di reclamare dagli altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno conformemente alle condizioni di cui al paragrafo 2.4.5. L 119/81 Gazzetta ufficiale dell’Unione europea IT Le azioni legali per l’esercizio del diritto di ottenere il risarcimento del danno sono promosse dinanzi alle autorità giurisdizionali competenti a norma del diritto dello Stato membro di cui all’articolo 79, paragrafo 2».
Alla luce di quanto appena letto vediamo che il Regolamento prevede, al primo paragrafo, che chiunque subisca un danno «materiale o immateriale» (patrimoniale o non patrimoniale) causato da una violazione del GDPR, ha diritto ad ottenere il risarcimento del danno dal Titolare o dal Responsabile del trattamento dei dati personali.
Viene così riconosciuta espressamente l’ammissibilità anche del danno non patrimoniale e vengono identificati gli elementi necessari per la nascita dell’obbligazione risarcitoria: la condotta attiva o quella omissiva contraria regolamento; il danno; il rapporto causa-effetto tra questi.
Lo scopo circa l’ammissibilità del risarcimento del danno non patrimoniale risponde all’obiettivo, sancito dal Considerando 146, di garantire il «[…] pieno ed effettivo risarcimento per il danno subito».
GDPR, il soggetto debole al centro
Il legislatore pone al centro della fattispecie il soggetto debole del rapporto ovvero il danneggiato, costruendo attorno ad esso la disposizione sul diritto al risarcimento. Quindi, in estrema sintesi, il GDPR afferma così il diritto dell’interessato, quando danneggiato, di ottenere il risarcimento del danno subìto, che potrà essere sia patrimoniale che non patrimoniale.
Il diritto al risarcimento, abbiamo visto che sorge nel momento in cui sia stata accertata la violazione di una delle disposizioni sancite dal GDPR attraverso una condotta del Titolare, del Contitolare o del Responsabile del trattamento, che può essere stata attiva od omissiva e saranno tenuti – solidalmente – al risarcimento del danno i Titolari, i Contitolari, i Responsabili del trattamento dei dati personali.
In tal caso il soggetto interessato potrà rivolgersi anche ad uno solo di essi in generale, quello che appare più solvibile e dal quale sarà quindi più facile ottenere il risarcimento, il quale sarà così obbligato a versare interamente quanto dovuto a titolo di risarcimento del danno.
Infatti al paragrafo 5 dell’Art. 82, è stabilito che se un titolare o un responsabile del trattamento si sia fatto carico dell’intero risarcimento del danno, lo stesso avrà successivamente il diritto di recuperare, dagli altri soggetti coinvolti nello stesso trattamento, la parte del risarcimento corrispondente alla loro quota di responsabilità per il danno cagionato.
Secondo la norma, infatti,: «Qualora un titolare del trattamento o un responsabile del trattamento abbia pagato, conformemente al paragrafo 4, l’intero risarcimento del danno, tale titolare del trattamento o responsabile del trattamento ha il diritto di reclamare dagli altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno conformemente alle condizioni di cui al paragrafo 2».
È bene ricordare che il Titolare del trattamento è il soggetto che determina la finalità e i mezzi del trattamento dei dati – in talune fattispecie con il Contitolare – mentre il Responsabile è il soggetto che tratta i dati personali per conto del Titolare o dei Contitolari (Artt. 4, 24 e 28 GDPR).
Risarcimento dei danni: a chi spetta?
Ma chi è che deve corrispondere il risarcimento del danno?
A questa domanda ci viene in soccorso l’Art. 82 GDPR al secondo paragrafo indica sia quando è il Titolare del trattamento a dover corrispondere il risarcimento del danno, che quando al contrario è il Responsabile del trattamento a doverlo corrispondere.
Partendo con ordine vediamo che:
Il Titolare del trattamento risponde quando è coinvolto nel trattamento che, violando il regolamento, ha cagionato il danno; il Responsabile del trattamento risponderà, invece, per il danno causato dal trattamento soltanto nel caso in cui non abbia correttamente adempiuto agli obblighi stabiliti specificamente dal Regolamento a carico dei responsabili del trattamento, oppure qualora abbia agito in modo difforme o contrario rispetto alle legittime istruzioni dategli dal Titolare in merito al trattamento dei dati di sua competenza.
Questa disposizione che sembrerebbe delineare una fattispecie di responsabilità, in capo al Titolare e al Responsabile del trattamento dei dati personali, apparentemente molto restrittiva deve però tenere conto anche di quanto previsto dal Considerando n. 146 del GDPR secondo il quale, il Titolare sarà responsabile in concreto non solo in caso di violazione del Regolamento, ma anche nel caso di inottemperanza di altre disposizioni in materia di protezione dei dati personali previste dalle norme attuative, da atti delegati o di esecuzione del Regolamento stabilite dai singoli Stati membri.
Mentre il Responsabile del trattamento, secondo quanto previsto dall‘Art. 28, par. 3, GDPR avrà l’obbligo di informare «[…] immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione violi il presente regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati”.» pertanto, nonostante l’Art. 82 GDPR sembri limitare la responsabilità del trattamento dei dati personali del Responsabile alle azioni od omissioni relative alle disposizioni del Regolamento e alle istruzioni e direttive ricevute dal Titolare del trattamento, in realtà si configura a suo carico un dovere di portata generale che consiste nell’obbligo di informare il Titolare del trattamento qualora rilevi condotte non in linea rispetto alle prescrizioni del GDPR, o ritenga che i trattamenti effettuati o le misure disposte determinino dei rischi per i dati personali o espongano a possibili violazioni della disciplina normativa.
In altre parole, a carico del Responsabile del trattamento sorge anche un obbligo di verifica e controllo generale di rispetto della normativa, con conseguente responsabilità – solidale rispetto a quella del Titolare del trattamento – anche nel caso di omesso riscontro od omessa informazione.
Esenzione dalle responsabilità del titolare e/o del responsabile del trattamento
Abbiamo detto che in alcuni casi sia il Titolare del trattamento che il Responsabile del Trattamento dei dati possono essere esentati da responsabilità, ma quando si verificano queste ipotesi?
Iniziamo col dire che secondo l’Art. 82, par. 3 GDPR sia il Titolare che il Responsabile del trattamento saranno esonerati da responsabilità qualora dimostrino che l’evento dannoso non è in alcun modo a loro imputabile.
Questa fattispecie, è riconducibile a quanto previsto dall’Art. 2050 Codice civile secondo il quale «Chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno», e che prevede quella che comunemente viene qualificata come inversione dell’onere della prova.
La ratio di tale inversione risiede nel fatto che il trattamento dei dati è attività considerata pericolosa; infatti, essa è consentita dall’ordinamento giuridico perché utile, con conseguente compensazione del rischio di cattivo uso dei dati personali tramite l’obbligo a carico delle organizzazioni di garantire la sicurezza dei trattamenti.
Da qui si evince, a contrario che,, per proteggere il soggetto debole del rapporto – l’interessato – sono il Titolare, il Contitolare e il Responsabile del trattamento a dover dimostrare che l’evento dannoso non è a loro imputabile poiché proveniente da una fonte estranea alla loro sfera di competenza o di controllo, oppure che sono state da loro predisposte in seguito alla valutazione dei rischi (Data Protection Impact Aassessment – Considerando 75 e Art. 35 GDPR) ed attuate tutte le prevedibili misure adeguate (Art. 32 GDPR) al fine di evitare che si verificasse il danno.
Ne consegue che nella richiesta di risarcimento del danno, l’interessato dovrà quindi provare l’esistenza del danno e la sua quantificazione, la sussistenza di una condotta in violazione della normativa a tutela dei dati personali, e l’esistenza di un nesso causale tra i primi due elementi; mentre a contrario il titolare o il responsabile del trattamento per liberarsi dalla responsabilità risarcitoria,dovranno provare che l’evento dannoso non è in alcun modo a loro imputabile.
Chi quantifica il risarcimento danni
Più in generale, ricordiamo che il GDPR impone al paragrafo 2 dell’art. 83 alcuni specifici elementi, per la quantificazione del danno e in particolare:
la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;il carattere doloso o colposo della violazione;le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli artt. 25 e 32;eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;le categorie di dati personali interessate dalla violazione;la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;qualora siano stati precedentemente disposti provvedimenti;l’adesione ai codici di condotta approvati o ai meccanismi di certificazione;eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso.
Si tratta di criteri tutti che le singole Autorità sono tenute a valutare, caso per caso, prima di infliggere una sanzione.
