Il trattamento dei dati personali prevede un sistema sanzionatorio che coinvolge l’ambito penale, amministrativo e civile. Molto si è detto per quanto riguarda le sanzioni penali e le sanzioni amministrative previste dal Gdpr, si ritiene necessario quindi una breve riflessione sulla responsabilità civile partendo dalla disciplina prevista dal Codice Privacy (D.Lgs. 196/03).
La responsabilità civile nel Codice Privacy
L’articolo 15 del Codice Privacy al primo comma prevedeva la responsabilità, ai sensi dell’art. 2050 del codice civile, a carico di chiunque avesse cagionato un danno ad altri per effetto del trattamento di dati personali. Era ben chiaro il tipo di responsabilità in cui si incorreva: responsabilità per l’esercizio di attività pericolose, secondo la quale chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei mezzi adoperati è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee ad evitare il danno, il trattamento dei dati viene così ad essere inquadrato nell’ambito delle attività pericolose. Tale norma prevedeva un’inversione dell’onere della prova a carico del danneggiante ed il secondo comma dell’art. 15 del D. Lgs. 196/03 prevedeva la risarcibilità del danno “non patrimoniale” anche in caso di violazione dell’art. 11 (Modalità del trattamento e requisiti dei dati). L’articolo 15 non effettuava nessun riferimento esplicito alla responsabilità solidale, tuttavia veniva certamente applicata grazie al richiamo all’art. 2050 c.c. e conseguentemente alla norma generale di riferimento art. 2055 c.c.
Cosa è cambiato con il decreto legislativo n. 101/2018
L’articolo 15, come del resto tutto il Titolo III della Parte I del decreto legislativo n. 196/03, sono stati abrogati dal decreto legislativo n. 101/2018. Quindi, in materia di responsabilità civile, non solo manca una norma di richiamo all’art. 2050, ma nulla è previsto in materia di responsabilità civile dal decreto legislativo n. 101/2018, con la logica conseguenza che, per ciò che concerne tale ambito, si dovrà fare necessariamente riferimento all’art. 82 del Reg. UE 679/2016.
Questo articolo sancisce il diritto di chiunque di ottenere il risarcimento del danno subito, ogni qual volta vi sia stata una violazione delle disposizioni del GDPR da parte del titolare o del responsabile del trattamento.
Già possiamo notare una prima differenza rispetto all’art. 15, ossia il fatto che in questo caso – nell’art. 82 – sono tenuti al risarcimento del danno il titolare o il responsabile del trattamento, mentre ai sensi dell’articolo 15 obbligato al risarcimento era “chiunque” avesse cagionato un danno. Anche ai sensi del GDPR il risarcimento potrà essere richiesto sia per danno patrimoniale, sia per il danno non patrimoniale e l’azione legale sarà promossa davanti all’autorità giurisdizionale competente, nel nostro caso quindi dinnanzi alla magistratura civile.
Si noti bene che la richiesta di risarcimento dei danni può essere avanzata da chiunque e non solo dall’interessato.
Il paragrafo 2 dell’art. 82 delinea poi quelle che sono le responsabilità dei soggetti del trattamento dei dati e precisamente:
- il titolare risponderà per il danno cagionato dal trattamento che violi le norme del Regolamento;
- il responsabile del trattamento risponderà per il danno causato solo se non ha adempiuto agli obblighi che il Regolamento pone a suo carico o se ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare.
La tutela del danneggiato: l’inversione dell’onere probatorio
L’articolo 82 prosegue stabilendo un onere di inversione della prova, in continuità con quanto era già previsto nel Codice Privacy, poiché pone a carico del titolare e del responsabile l’onere di dimostrare, al fine di essere esonerati da ogni responsabilità, che l’evento dannoso non è a loro imputabile e ciò potrà accadere nella misura in cui riusciranno a dimostrare, alternativamente, o che l’evento dannoso è causato da una fonte estranea alla loro sfera di controllo, oppure che hanno predisposto e messo in atto tutte le misure adeguate al fine di evitare che si verificasse il danno.
La ragione che giustifica l’inversione dell’onere della prova, risiede nel fatto che il trattamento dei dati è un’attività pericolosa perché espone gli “interessati” e non solo loro, ad un rischio. Ora il nostro ordinamento giuridico accetta tale rischio perché l’attività di trattamento dei dati ha una sua utilità economica/sociale, ma tale utilità deve essere compensata nel caso in cui l’interessato o altri ne vengano danneggiati.
Pertanto, proprio in un’ottica di protezione del soggetto più debole del rapporto (interessato/danneggiato) a quest’ultimo spetta solo dimostrare:
- l’esistenza del danno
- la violazione della normativa a tutela dei dati personali
- il nesso causale tra questi due elementi.
Mentre al titolare e/o responsabile spetta dimostrare che l’evento dannoso non è in alcun modo a loro imputabile.
Quando si parla di rischi in relazione al trattamento dei dati, si deve tener presente che i rischi possono essere molteplici, si fa riferimento a: “i rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo; se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l’esercizio del controllo sui dati personali che li riguardano; se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza; in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali; se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori; se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati” (Considerando 75 Regolamento).
La responsabilità solidale e pro quota
Il legislatore europeo, al fine di garantire il risarcimento tempestivo ed effettivo dell’interessato/danneggiato e sempre in un’ottica di sua tutela, ha previsto che, qualora più titolari del trattamento o responsabili del trattamento oppure entrambi, il titolare del trattamento e il responsabile del trattamento siano coinvolti nello stesso trattamento e siano, ai sensi dei paragrafi 2 e 3 dell’art. 82, responsabili dell’eventuale danno causato, ognuno di essi sia responsabile in solido per l’intero ammontare del danno; con la possibilità ovviamente di esperire un’azione di regresso nei confronti degli altri titolari o responsabili coinvolti nello stesso trattamento, per ottenere il risarcimento corrispondente alla loro parte di responsabilità.
Quindi, il danneggiato potrà rivolgere la totalità della propria pretesa risarcitoria ad uno solo tra il titolare ed il responsabile, senza che si debba preoccupare di capire che dei due sia effettivamente colpevole ed in quale misura. All’esito poi delle relative azioni di risarcimento dei danni e di regresso ogni titolare o responsabile del trattamento coinvolto sarà responsabile per la propria parte di inadempimento, quindi alla fine la loro responsabilità sarà pro quota.
La responsabilità civile oltre l’articolo 82
Così delineato il quadro della responsabilità civile parrebbe configurare una responsabilità restrittiva a carico dei soggetti del trattamento dei dati; non bisogna dimenticare però che ogni articolo del Regolamento va letto ed interpretato alla luce dei relativi “Considerando”. Infatti, il Considerando 146 prevede la possibilità di intraprendere anche azioni di risarcimento di danni, a carico del titolare e del responsabile, derivanti dalla violazione di altre norme del diritto dell’Unione o degli Stati membri, visto che un trattamento non conforme al Regolamento comprende anche il trattamento non conforme agli atti delegati, agli atti di esecuzione adottati in conformità del Regolamento e alle disposizioni del diritto degli Stati membri che ne specificano le disposizioni.
La responsabilità civile a carico del responsabile del trattamento non si esaurisce con il mancato rispetto delle norme sopra indicate; bisogna tenere presente che i rapporti tra titolare del trattamento e responsabile del trattamento saranno regolamentati da un contratto o da un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, i rispettivi obblighi e diritti, è in tale sede contrattuale infatti che vengono definiti gli ambiti di responsabilità.
Il contratto o altro atto giuridico prevede tra l’altro che il responsabile del trattamento, oltre a dover seguire le istruzioni impartite dal titolare, metta a disposizione dello stesso tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all’art. 28 Reg. UE 679/2016 e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato. Inoltre, il responsabile del trattamento è tenuto ad informare immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione violi il Regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati.
Alla luce di quanto sopra è evidente come in realtà la responsabilità che grava sul responsabile del trattamento abbia una portata ancor più ampia, poiché è tenuto, previo controllo della conformità al GDPR dei trattamenti svolti nell’organizzazione, anche ad informare il titolare di eventuali trattamenti illeciti o della possibilità che si possano verificare trattamenti illeciti o situazioni non conformi con il GDPR.
D’altro canto il titolare del trattamento dovrà non solo scegliere accuratamente i responsabili del trattamento, ma sarà anche tenuto a vigilare sul loro operato.
Giova ricordare, infine, che la figura del Data Protection Officer non sarà mai responsabile nei confronti degli interessati/danneggiati in caso di inosservanza degli obblighi previsti in materia di protezione dei dati, ma sarà responsabile nei confronti del titolare per l’inadempimento degli obblighi contrattuali previsti nel contratto relativo alla sua nomina.
