GDPR e risarcimento del danno per violazione della privacy

di Emanuela Rossi


Premessa: il regolamento generale sulla protezione dei dati

Il 14 aprile 2016 il Parlamento Europeo ha approvato il testo del nuovoregolamento sulla protezione dei dati.

Per consentire a imprese, pubbliche amministrazioni e Stati membri di adeguarsi, è stato previsto per il Regolamento un periodo di transizione di due anni, divenendo efficace il 25 maggio 2018.

A partire da tale data vi è quindi un unico impianto normativo europeo di riferimento direttamente applicabile in materia, a vantaggio del mercato unico digitale.

Per garantire una tutela il più possibile completa, tra gli strumenti previsti contro la violazione dei dati, oltre alle sanzioni amministrative e alla possibilità prevista in capo agli Stati membri di introdurre sanzioni penali (non avendo peraltro il legislatore europeo competenza penale diretta sulla base degli artt. 25.2 della Costituzione e 83 del Trattato sul funzionamento dell’Unione Europea), vi è anche il risarcimento del danno.

 Diritto al risarcimento e responsabilità nel GDPR

Come già rilevato, il Regolamento pone a tutela della persona e dei suoi dati anche la responsabilità civile, al fine di ripristinare il patrimonio giuridico del danneggiato.

Nel considerando 146 il Legislatore europeo formula alcune osservazioni, utili anche ai fini dell’interpretazione delle disposizioni legislative.

In particolare, si afferma che il titolare del trattamento o il responsabile del trattamento dovrebbe risarcire i danni cagionati ad una persona da un trattamento non conforme, ma dovrebbe essere esonerato da tale responsabilità se dimostra che l’evento dannoso non gli è in alcun modo imputabile. Si ha trattamento non conforme al regolamento anche nel caso in cui il trattamento non sia conforme agli atti delegati e agli atti di esecuzione adottati in conformità del GDPR, e alle disposizioni del diritto degli Stati membri che ne specificano le disposizioni.

Gli interessati dovrebbero ottenere pieno ed effettivo risarcimento del danno subito. Qualora più titolari o responsabili del trattamento siano coinvolti nello stesso trattamento, ogni titolare o responsabile dovrebbe rispondere per la totalità del danno. Nonostante ciò, qualora essi siano riuniti negli stessi procedimenti giudiziari, il risarcimento può essere ripartito in base alla responsabilità che ricade su ogni soggetto, a condizione che sia assicurato il pieno ed effettivo risarcimento al danneggiato. Il titolare o il responsabile del trattamento che ha pagato l’intero risarcimento del danno può successivamente proporre un’azione di regresso contro gli altri titolari o responsabili coinvolti.

E’ poi l’articolo 82 del Regolamento che disciplina nello specifico il risarcimento del danno per violazione della privacy.

Esso sancisce al primo paragrafo che chiunque subisca un danno materiale o immateriale (patrimoniale o non patrimoniale) causato da una violazione del regolamento, ha diritto ad ottenere il risarcimento del danno dal titolare o dal responsabile del trattamento.

Viene così riconosciuta espressamente l’ammissibilità anche del danno non patrimoniale, e vengono identificati gli elementi necessari per la nascita dell’obbligazione risarcitoria: la condotta (attiva o omissiva) violativa del regolamento, il danno, il rapporto eziologico tra questi. L’ammissibilità del risarcimento del danno non patrimoniale risponde all’obiettivo, sancito dal considerando 146, di garantire il pieno ed effettivo risarcimento del danno subito.

Saranno tenuti al risarcimento del danno, in alternativa, il titolare o il responsabile del trattamento. A tal fine, si ricordi che il titolare del trattamento è il soggetto che determina la finalità e i mezzi del trattamento dei dati, mentre il responsabile è il soggetto che tratta i dati personali per conto del titolare (artt. 4, 24 e 28 GDPR).

Il legislatore pone al centro della fattispecie il soggetto debole del rapporto, costruendo la disposizione attorno al danneggiato ed al suo diritto al risarcimento.

E’ il paragrafo secondo a stabilire quando è il titolare del trattamento a dover corrispondere il risarcimento del danno, o quando invece è il responsabile del trattamento a doverlo corrispondere. Il titolare del trattamento risponde quando è coinvolto nel trattamento che, violando il regolamento, ha cagionato il danno; il responsabile del trattamento risponde per il danno cagionato solo se non ha adempiuto agli obblighi del regolamento che siano specificamente diretti nei suoi confronti, o ha agito in modo difforme o addirittura contrario rispetto alle legittime istruzioni impartitegli dal titolare del trattamento.

Il titolare e il responsabile del trattamento vanno esenti da responsabilità se dimostrano che l’evento dannoso non è in alcun modo a loro imputabile (par. 3). Si tratta quindi, al pari delle fattispecie di cui agli artt. 2050 e 2054 c.c., di una ipotesi di inversione dell’onere della prova. La ragione dell’inversione dell’onere della prova risiede nel fatto che il trattamento dei dati è attività considerata pericolosa; ciononostante essa è consentita dall’ordinamento perché utile, con conseguente compensazione del rischio tramite gli obblighi a carico delle imprese di garantire la sicurezza dei trattamenti. In conclusione, anche per proteggere il soggetto debole del rapporto, che normalmente va individuato nel titolare dei dati personali, sono il titolare ed il responsabile del trattamento a dover dimostrare che l’evento dannoso non è a loro imputabile.

Nel chiedere il risarcimento del danno, il titolare dei dati dovrà quindi provare l’esistenza del danno, la sussistenza di una condotta in violazione della normativa a tutela dei dati personali, e la relazione causale tra i primi due elementi; per liberarsi dalla responsabilità risarcitoria, il titolare o il responsabile del trattamento deve provare che l’evento dannoso non è in alcun modo a lui imputabile.

Nel caso in cui più titolari o responsabili del trattamento, o il titolare ed il responsabile, siano coinvolti nello stesso trattamento e siano insieme responsabili del danno patito, essi sono responsabili in solido (si veda anche l’art. 2055 c.c.). L’espressione “coinvolgimento” vuole far riferimento a qualsiasi forma di partecipazione. Ne consegue che il soggetto o i soggetti lesi potranno domandare anche ad uno solo dei danneggianti l’intero ammontare del danno, e questi sarà tenuto a corrisponderglielo, salva poi la possibilità di rivalersi nei confronti del coobbligato in solido della quota a lui imputabile (paragrafo 5). Tale previsione ha la finalità di garantire l’effettivo e tempestivo risarcimento all’interessato.

Secondo il Regolamento, le azioni legali per l’esercizio del diritto al risarcimento del danno devono essere promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui l’interessato risiede abitualmente, salvo che il titolare o il responsabile del trattamento sia un’autorità pubblica di uno Stato membro nell’esercizio dei pubblici poteri (art. 79, par. 2).  In Italia, la competenza spetta in via ordinaria al giudice civile, fatto sempre salvo, in sintonia con quanto stabilito dal regolamento, il criterio del riparto di giurisdizione tra giudice ordinario ed amministrativo di cui agli artt. 103 Cost. e 7 Codice del processo amministrativo.

Risarcimento del danno e Codice per la protezione dei dati personali

L’articolo 15 del Codice della Privacy, adottato in attuazione della direttiva 95/46/CE, presenta alcune caratteristiche comuni ed alcune divergenze rispetto all’articolo 82 del regolamento.

Anzitutto, l’inversione dell’onere della prova era già previsto dall’art. 15 del Codice: esso sancisce infatti che chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del Codice Civile. Si rinvia quindi espressamente e per intero alla disposizione codicistica, secondo la quale chiunque cagiona danno ad altri per lo svolgimento di una attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee ad evitare il danno. Il trattamento dei dati personali è un’attività pericolosa, per il cui risarcimento opera un’inversione dell’onere della prova.

L’utilizzo del termine “chiunque” rende dal punto di vista soggettivo la fattispecie di cui all’articolo 15 del Codice della Privacy più ampia rispetto a quella di cui all’art. 82 del Regolamento, che fa invece riferimento esclusivamente al titolare e al responsabile del trattamento.

Inoltre, l’articolo 15 Codice Privacy incentra la fattispecie risarcitoria sul danneggiante, a differenza del regolamento europeo, che pone al centro il danneggiato, in prospettiva di tutela.

Ai sensi del secondo comma dell’art. 15 Codice Privacy, il danno non patrimoniale è risarcibile anche in violazione dell’articolo 11. Viene così anche in questo caso riconosciuta già a livello legislativo, seppur indirettamente, l’ammissibilità del danno non patrimoniale.

Infine, il Codice Privacy non tratta della solidarietà passiva, lasciando che sia la norma generale di cui all’art. 2055 c.c. a disciplinarla.

Lo schema del decreto di adeguamento al GDPR

Al momento, la seconda bozza di adeguamento al GDPR, che dovrebbe modificare il Codice della Privacy in attuazione del regolamento europeo, nulla dice con riferimento al risarcimento del danno per violazione della disciplina a protezione dei dati personali.

La delega al Governo scadrà il 22 agosto: in attesa del decreto di adeguamento, ricordiamo che il sistema delle fonti italiano ed europeo comporta la disapplicazione delle norme nazionali in contrasto con quelle europee in favore di quelle sovranazionali, dovendosi dare piena e completa attuazione al GDPR a partire dal 25 maggio 2018.


Bibliografia

Ciccia Messina A., Bernardi N., Privacy e Regolamento Europeo, IPSOA, 2017.

Commissione europea, Communication on data protection – guidance on direct application of the GDPR, comunicazione, 24 gennaio 2018, COM(2018) 43 final.

Di Resta F., Schema di decreto privacy, rafforzare il diritto al risarcimento del danno, in Agenda Digitale, 17 aprile 2018.

Garante per la protezione dei dati personali, Regolamento UE 2016 679. Con riferimenti ai considerando (2202 k), 27 aprile 2016.

Gazzoni F., Manuale di diritto privato, Edizioni scientifiche italiane, 2017.

Lesce D. Lonigro P., De Lucia V., Privacy – Il risarcimento del danno nella disciplina del regolamento europeo. L’importanza dei codici di condotta, in Diritto24, 9 ottobre 2017.

Pizzetti F., Il GDPR è in vigore, senza il decreto italiano: che succede ora, in Agenda Digitale, 25 maggio 2018.

Ziccardi G., Privacy, titolare e responsabile del trattamento: quali responsabilità …, in Ipsoa quotidiano, 17 marzo 2018.


Autore