Il risarcimento del danno da violazione del GDPR
Nella logica della protezione dei dati personali la presenza di un obbligo risarcitorio civile, unitamente alla presenza di sanzioni penali e amministrative, rappresenta un incentivo per il titolare e il responsabile a mantenere “alta la guardia” e predisporre, verificare e aggiornare le misure di sicurezza idonee a impedire la violazione dei dati personali.
Il quadro legale complessivo: l’art. 82 del GDPR quale cardine del nuovo sistema risarcitorio.
A seguito dell’abrogazione espressa dell’art. 15 (“danni cagionati per effetto del trattamento”) del D.Lgs. 196/2003 (“Codice Privacy”) da parte del D.Lgs. 101/2018 (la norma italiana di raccordo con il GDPR), l’art. 82 del GDPR è ora la norma cardine sulla responsabilità civile nel trattamento dei dati personali e sul conseguente diritto al risarcimento.
L’art. 15 del Codice Privacy collegava espressamente un trattamento illecito di dati personali alla responsabilità civile ex art. 2050 c.c. quale attività pericolosa sancendo inoltre la risarcibilità del danno non patrimoniale (art. 2059 c.c.).
Tale disposizione era modellata sulla direttiva 95/46 mentre ora non sussiste più una previsione di legge nazionale (neppure di coordinamento) tra il GDPR e la disciplina italiana sulla responsabilità civile con la conseguenza che sono necessarie riflessioni sulla nuova cornice normativa relativa alla tutela civilistica in materia di trattamento illecito dei dati personali.
l’art.82 comma 1° del GDPR, chiarendo l’ambito soggettivo attivo e passivo del diritto al risarcimento stabilisce che: «Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.»
Il riferimento alla violazione del GDPR non va letta in ottica di escludere dal novero dei danni risarcibili quelli derivanti da una violazione di disposizioni non espressamente previste nel GDPR ma, grazie alla precisazione del Considerando 146 – il quale prevede che le azioni risarcitorie derivanti da violazioni altre norme del diritto Ue o degli Stati Membri non sono pregiudicate – va interpretata nel considerare tutte le norme relative al trattamento dei dati.
Il 2° comma dell’art. 82 precisa che la richiesta di risarcimento potrà essere proposta non solo nei confronti del titolare del trattamento ma anche verso il responsabile del trattamento designato ai sensi dell’art. 28 GDPR limitatamente all’inadempimento degli obblighi a lui imposti dal GDPR o se abbia agito in modo difforme o in contrasto con le istruzioni ricevute dal titolare.
Questa limitazione si giustifica in virtù dell’incarico conferito al titolare e dalla strumentalità della cornice complessiva che deve essere definita da parte del titolare.
In ogni caso sia il titolare, sia il responsabile hanno obblighi generali di prevenire i danni derivanti da un trattamento di dati.
Le condizioni di esonero dalla responsabilità.
l’art.82 comma 3° del GDPR, riprendendo la disposizione del Considerando 146, enuclea la condizione secondo la quale il titolare o il responsabile del trattamento è esonerato dalla responsabilità «se dimostra che l’evento dannoso non gli è in alcun modo imputabile.»
L’insieme delle disposizioni dell’art. 24 del GDPR e del Considerando 74 prescrivono al titolare di mettere in atto, previa valutazione della natura, dell’ambito, del contesto e delle finalità del trattamento nonché dei rischi per gli interessati, le misure tecniche e organizzative adeguate prescrivendo inoltre al titolare di essere in grado di dimostrare l’efficacia di dette misure.
L’imputabilità del titolare e del responsabile dovrà essere necessariamente “interpretata” alla luce del principio di responsabilizzazione o accountability che permea il GDPR.
Tale principio muterà in responsabilità civile quando si concretizzerà un danno e sarà quindi necessario accertare l’imputabilità dell’evento dannoso al titolare e al responsabile i quali dovranno provare non di aver predisposto tutte le misure idonee a prevenire il danno, ma che tale danno si è verificato per un fatto che non poteva essere prevenuto (e quindi previsto) poiché esulava dal loro controllo (caso fortuito o forza maggiore).
Sul punto , numerose possono essere gli “indici” idonei a dimostrare che il fatto foriero del danno non potesse essere ricondotto al controllo del titolare e del responsabile: adesione a codici di condotta approvati, la tenuta di un registro delle attività di trattamenti, il ricorso a responsabili del trattamento con comprovate conoscenza specialistica per approntare le misure tecnico e organizzative richieste dal GDPR.
Tali “indici” però non saranno sufficienti in quanto occorrerà dimostrare che le misure di azzeramento o diminuzione del rischio di violazione dei dati fossero proporzionali al grado di rischio che il trattamento presentava originariamente.
Legittimazione passiva, solidarietà e rivalsa interna.
L’art. 82, comma 4° GDPR enuclea la regola della solidarietà passiva dei titolari (e co-titolari) e dei responsabili nell’obbligo di risarcire il danno all’interessato qualora essi siano coinvolti nello stesso trattamento e siano responsabili del danno causato dal trattamento.
Il termine coinvolgimento si riferisce ovviamente a tutte eventuali condotte attive od omissive all’evento danno pregiudizievole per l’interessato e dovrà essere necessariamente accertato sulla base dei divieti e degli obblighi gravanti su ciascuna figura.
In pratica sul titolare ed il responsabile pende un obbligo risarcitorio solidale ai sensi dell’art. 1292 c.c. con la conseguenza che l’interessato può chiedere il risarcimento del danno subito a ognuno di questi soggetti coinvolti in un trattamento illecito aumentando così la probabilità di veder soddisfatta la sua pretesa risarcitoria.
E’ su tale snodo che si può capire l’importanza e la necessità per il responsabile del trattamento di “comprendere” appieno il contenuto delle obbligazioni contrattuali e il grado di comprensibilità delle istruzioni fornite dal titolare che sono dunque uno strumento per “allocare” le rispettive responsabilità.
Sul piano pratico tutto ciò si traduce nella piena consapevolezza che il titolare ed i responsabili dovrebbero avere in sede di definizione dei contenuti contrattuali e delle istruzioni che molto spesso, specie nelle piccole e medie imprese, sono considerate solamente come un mero adempimento formalistico.
l’art.82 comma 5° del GDPR attribuisce, nei rapporti interni, le conseguenze patrimoniali del danno cagionato.
Se verso l’interessato vale il principio della solidarietà, nei rapporti interni vale la quota di responsabilità il cui grado dovrà essere valutato in base ad alcune circostanze quali ad esempio la presenza di clausole contrattuali di manleva, l’aver impartito o meno istruzioni specifiche o generiche al responsabile.
Le tipologie di danni risarcibili.
L’art. 82 GDPR afferma che l’interessato possa richiedere il risarcimento dei danni materiali e immateriali, in pratica dovrà essere risarcito ogni tipo di danno che l’interessato possa subire dalla violazione dei suoi dati personali. Su questo punto il Considerando 85 al GDPR elenca una serie di possibili danni conseguenti ad una violazione di dati personali dell’interessato quali:
– la perdita del controllo dei dati personali; la limitazione dei loro diritti;
– la discriminazione, il furto o l’usurpazione d’identità;
– perdite finanziarie;
– decifratura non autorizzata della pseudonimizzazione;
– pregiudizio alla reputazione;
– perdita di riservatezza dei dati personali protetti da segreto professionale;
– o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata
Il senso è ovviamente quello di attribuire all’interessato il diritto ad essere risarcito per ogni tipo di danno che quest’ultimo possa subire dalla lesione dalla violazione dei suoi dati personali; ciò anche se le definizioni di danni materiali e immateriali non sono letteralmente identiche a quelle del codice civile italiano ove il riferimento è ai danni patrimoniali e non patrimoniali.
Inoltre il Considerando 46 specifica che il concetto di danno dovrebbe essere interpretato alla luce della giurisprudenza della Corte di Giustizia ai fini di ripristino del pregiudizio subito dall’interessato.
Ciò apre la possibilità di estendere al campo della protezione dei dati personali (quale diritto fondamentale dell’UE) numerose tipologie di danni enucleate negli anni dalla Corte in questione.