Il risarcimento del danno da violazione dei dati personali

/in , , , , /da

All’interno del sistema normativo della protezione dei dati personali, un importante incentivo al rispetto delle prescrizioni vigenti sia per il Titolare e per il Responsabile del trattamento è sicuramente rappresentato dalla presenza di un onere di risarcimento del danno derivante dalla violazione del GDPR.

Una previsione di questo tipo stimola e ha stimolato – certamente nei primi cinque anni di applicazione del GDPR – anche la verifica periodica e l’aggiornamento di misure di sicurezza idonee a impedire la violazione dei dati personali.

L’evoluzione delle disposizioni nel tempo

Questo obbligo trovava già fondamento, ancora prima dell’entrata in vigore Regolamento europeo, a partire dall’art. 15 del D. Lgs. 196/2003 (“Codice Privacy”), che collegava espressamente un trattamento illecito di dati personali alla responsabilità civile di cui all’art. 2050 del Codice civile, considerandola come un’attività pericolosa e sancendo anche la risarcibilità del danno non patrimoniale.

Con l’entrata in vigore del Regolamento europeo, e il relativo recepimento in Italia ad opera del D. Lgs. 101/2018, oggi è l’art. 82 del GDPR che costituisce la norma centrale sulla responsabilità civile nel trattamento di dati personali, e sul conseguente diritto al risarcimento.

Analisi normativa

L’ambito soggettivo

L’art. 82 del GDPR chiarisce, innanzitutto, l’ambito soggettivo del diritto al risarcimento, stabilendo che chiunque subisca un danno materiale o immateriale causato da una violazione del GDPR ha il diritto di ottenere il risarcimento del danno dal Titolare o dal Responsabile del trattamento.

Tale disposizione non è da leggersi nell’ottica di escludere dal novero dei danni risarcibili quelli derivanti da una violazione di disposizioni diverse da quelle del GDPR: in tal senso, il Considerando 146 del Regolamento europeo prevede che le azioni risarcitorie derivanti da violazioni di altre norme del diritto europeo o degli Stati membri non sono pregiudicate, interpretando in modo estensivo la disposizione e considerando tutte le norme relative al trattamento di dati personali.

L’esonero dalla responsabilità

L’art. 82 del GDPR, poi, prevede e disciplina le condizioni per cui il Titolare o il Responsabile del trattamento sono esonerati dalla responsabilità: ciò avviene quando essi dimostrano che l’evento dannoso non è loro in alcun modo imputabile.

Su questo tema, sono numerosi gli indicatori utili a dimostrare che il fatto da cui ha avuto origine il danno non possa essere ricondotto al controllo del Titolare o del Responsabile del trattamento: tutti ruotano però intorno al concetto di responsabilizzazione (“accountability”) che percorre tutto il GDPR.

Ad esempio, la adesione a codici di condotta approvati, o il ricorso a misure tecniche e organizzative efficaci.

Appare importante precisare, in ogni caso, che sarà onere del Titolare o del Responsabile in questione provare che questi indicatori fossero proporzionati al grado di rischio che, in concreto, il trattamento di dati personali presentava.

Il danno risarcibile

Il soggetto interessato che abbia subito un danno dalla violazione dei dati personali può richiedere un risarcimento sia dei danni materiali che di quelli in materiali, e, sul punto, è il Considerando 85 del GDPR a proporre una serie di possibili esempi.Fra di essi:

  • la perdita di controllo sui dati personali,
  • la limitazione dei propri diritti,
  • la discriminazione
  • il furto di identità,
  • perdite finanziarie,
  • pregiudizi alla reputazione.

La responsabilità solidale

Infine, per quanto attiene alle modalità di risarcimento del danno da parte del Titolare o del Responsabile del trattamento, lo spirito della norma è quello di assicurare la maggiore possibilità di risarcimento al soggetto interessato, e pertanto l’art, 82(4) del GDPR prevede la regola della solidarietà passiva dei soggetti obbligati al risarcimento, qualora essi siano coinvolti nello stesso trattamento e abbiano partecipato con condotte attive od omissive all’evento dannoso che ha recato pregiudizio al soggetto interessato.

In altre parole, il soggetto interessato, tenendo a mente (in Italia) anche l’art. 1292 del Codice civile, potrà chiedere il risarcimento del danno per intero a ciascuno dei soggetti obbligati, aumentando la propria possibilità di vedere soddisfatta la propria pretesa risarcitoria.

Dopodiché, saranno i soggetti obbligati a poter esercitare fra di loro un diritto di rivalsa per regolare il pagamento delle quote del debito suddiviso fra di loro.

Conclusioni

La normativa brevemente analizzata in questo articolo permette di fare qualche considerazione sull’effettività della tutela dei soggetti interessati, che vengono lesi qualora sia stato realizzato dal Titolare o dal Responsabile un trattamento dei loro dati non conforme al GDPR.

In particolare, il trattamento illecito dei dati deve aver determinato la lesione di un diritto fondamentale dell’interessato, e da tale operazione illecita deve discendere un danno, che rappresenti quindi la conseguenza diretta della violazione in materia di dati personali.

Oltre ad essere un incentivo alla responsabilizzazione del Titolare e del Responsabile del trattamento, quindi, sembra legittimo affermare che il diritto al risarcimento del danno previsto dall’art. 82 del GDPR sia un ulteriore presidio e una tutela dei diritti dei soggetti interessati.

Infine, si ricorda che il Considerando 146 del GDPR afferma che il concetto di danno dovrebbe essere interpretato alla luce della giurisprudenza della Corte di giustizia dell’Unione europea (“CGUE”), ma, a fronte dell’assenza, ad oggi, di una definizione generale di danno, applicabile indistintamente in qualsiasi ambito è evidente che sarà spesso rimesso alle corti nazionali il delicato compito di delimitare, nella prassi, il confine tra i danni non risarcibili e quelli che invece possono rientrare nell’applicazione delle disposizioni esaminate.

____________________________

Foto di Patrick Perkins su Unsplash

Potrebbero interessarti
Novità in materia Smart Working: il 31 agosto (al momento) è la data.
News #8/2023: linee guida EDPB, indicazioni sul DSA, Spid a rischio
Organismo di Vigilanza: compiti, requisiti e responsabilità
News #41: il metaverso sembra ancora un “deserto”​; Europrivacy approvata come prima certificazione GDPR; carcere per il CISO di Uber
I dati (personali) dei defunti: quale privacy?
News #1/2023: la super-sanzione a Meta “vieta”​ l’uso del contratto come base per fare targeted advNews#
Checklist: l’informativa privacy secondo il GDPR
Richiesta di accesso ai dati manifestamente infondata o eccessiva: quando il Titolare può dire “no”