Secondo la normativa italiana, l’uso delle Privacy-Enhancing Technologies (PETs) e delle Privacy Preserving Technologies (PPTs) potrebbe impattare significativamente sugli obblighi contrattuali, fermo restando le prescrizioni in materia di responsabilità extracontrattuale per violazione dei dati personali. Per argomentare questa tesi, è importante considerare due aspetti chiave.
La responsabilità contrattuale secondo l’art. 1218 cc
Primo, l’art. 1218 cc. italiano stabilisce la responsabilità del debitore in caso di inadempimento contrattuale. Questo articolo è direttamente applicabile alle PETs e PPTs: se un’impresa fallisce nell’implementare queste tecnologie secondo le specifiche contrattuali, può essere ritenuta responsabile per l’inadempimento. Questo perché l’art. 1218 fa riferimento al non adempimento di un’obbligazione specifica, e l’uso delle PETs e PPTs può essere visto come un’obbligazione esplicita o implicita nei contratti moderni, soprattutto quelli che riguardano la gestione dei dati personali.
Nel contesto del diritto italiano, l’art. 1218 cc gioca un ruolo cruciale nell’influenzare gli obblighi contrattuali relativi all’uso delle PETs e delle PPTs. Questa norma stabilisce che un debitore che non esegue esattamente la prestazione dovuta è tenuto al risarcimento del danno, a meno che non possa dimostrare che l’inadempimento o il ritardo sia stato causato da una impossibilità della prestazione non imputabile a lui stesso.
Implicazioni del GDPR sull’art. 1218 cc
Questa disposizione ha importanti implicazioni nell’ambito della protezione dei dati personali, in particolare dopo l’entrata in vigore del Regolamento Generale sulla Protezione dei Dati (GDPR) e del Decreto Legislativo 101/2018, che ha adeguato il Codice in materia di protezione dei dati personali alle disposizioni del GDPR. L’art. 82 del GDPR stabilisce che sia il titolare che il responsabile del trattamento sono tenuti al risarcimento del danno causato dal trattamento che viola le norme del Regolamento. Questa norma introduce di fatto un’inversione dell’onere della prova, ponendo sul titolare e sul responsabile del trattamento l’onere di dimostrare che l’evento dannoso non è a loro imputabile. Nel contesto delle PETs e delle PPTs, questo significa che, in caso di violazione dei dati o di mancato rispetto degli standard di sicurezza previsti dal GDPR, il titolare o il responsabile del trattamento potrebbero essere ritenuti responsabili ai sensi dell’art. 1218 del Codice Civile, a meno che non riescano a dimostrare che l’inadempimento non è imputabile a loro. In pratica, l’impresa deve dimostrare di aver adottato tutte le misure necessarie per proteggere i dati e prevenire violazioni, altrimenti potrebbe essere esposta a richieste di risarcimento danni.
PETs, PPTs e la diligenza professionale richiesta
La seconda argomentazione riguarda un’altra disposizione cardine del sistema civilistico italiano: l’art. 1176 cc. Questa stabilisce il livello di diligenza richiesto nell’esecuzione delle obbligazioni: l’obbligo di agire con la diligenza del “buon padre di famiglia”, o con una diligenza professionale in ambiti specifici, implica la conseguenza per la quale le aziende devono essere particolarmente attente nell’implementare e gestire le PETs e PPTs. Nell’ambito dell’implementazione e della gestione delle PETs e PPTs, queste disposizioni implicano che le aziende debbano esercitare un elevato livello di cautela e competenza. Questo aspetto è cruciale perché le PETs e PPTs sono spesso impiegate per garantire la sicurezza e la riservatezza dei dati personali, un obbligo che diventa ancora più rilevante con l’introduzione del Regolamento Generale sulla Protezione dei Dati (GDPR) in Europa.
Le conseguenze dell’inadempimento nella gestione delle PETs e PPTs
Ciò ha dei notevoli precipitati: quando un’impresa decide di utilizzare le PETs e PPTs, implicitamente assume la responsabilità di garantire che queste tecnologie siano implementate e gestite in modo efficace. Ciò significa non solo installare le tecnologie, ma anche assicurarsi che funzionino correttamente, che siano aggiornate regolarmente, e che siano utilizzate in modo conforme alle normative vigenti sulla protezione dei dati. Nel caso in cui un’impresa dimostri negligenza nell’utilizzo di queste tecnologie, ad esempio non rispettando gli standard di sicurezza richiesti o non agendo tempestivamente in caso di vulnerabilità note, potrebbe essere ritenuta responsabile per eventuali danni derivanti da questa mancanza di diligenza. Questo è particolarmente rilevante in situazioni in cui la mancata protezione dei dati conduce a violazioni della privacy o perdite di dati, con conseguenti danni sia materiali che immateriali per gli individui interessati.
Conclusioni
Ne consegue la necessità di riflettere in modo ampio sull’evoluzione dei principi del diritto contrattuale nell’era digitale al fine di rispondere efficacemente alle sfide poste dalle nuove tecnologie.
