La responsabilità solidale tra data controller e data processor costituisce una delle novità più rilevanti introdotte dal GDPR, la nuova normativa in materia di protezione e trattamento dei dati personali che entrerà in vigore a maggio di quest’anno. Il regime di maggiore responsabilità, di rafforzamento della posizione del data processor che ne deriverà, auspicabilmente produrrà una maggiore fiducia e conseguentemente un maggiore ricorso ai servizi e ai trattamenti di dati esternalizzati.
La norma di riferimento cui guardare è l’articolo 82 del GDPR, che stabilisce il principio per cui l’interessato che si ritenga leso nei suoi diritti da un trattamento illecito potrà rivolgersi indifferentemente al titolare o al responsabile del trattamento e potrà farlo in entrambi i casi per l’intero ammontare del danno.
Quindi, a differenza di ciò che accade oggi sotto la vigenza del codice privacy, dove le conseguenze risarcitorie e sanzionatorie di un trattamento illecito sono poste esclusivamente a carico del solo titolare del trattamento, un domani con la nuova normativa anche il responsabile del trattamento sarà chiamato a rispondere e lo sarà in due ipotesi:
- quando si è contravvenuto alle istruzioni legittime ricevute dal titolare del trattamento;
- quando abbia violato o si sia reso inadempiente agli obblighi che il GDPR pone direttamente in capo ai responsabili.
Ovviamente la regola della solidarietà vale verso l’esterno, verso i rapporti con gli interessati. All’interno la regola rimane invece quella della responsabilità pro quota, per cui, in caso di responsabilità condivisa nella produzione dell’illecito, la parte che abbia proceduto a risarcire interamente il danno nei confronti degli interessati potrà agire in regresso nei confronti dell’altra parte.
@RIPRODUZIONE RISERVATA
