Il GDPR (General Data Protection Regulation), il nuovo Regolamento Europeo che avrà piena operatività dal prossimo 25 maggio, accorda una protezione particolarmente ampia e rafforzata ai titolari dei dati, in particolare nel caso di trattamento illecito. Agli interessati infatti vengono riconosciuti non solo nuovi diritti, per lo più strettamente connessi all’uso delle tecnologie, basti pensare al diritto all’oblio o a quello alla portabilità dei dati). Ma anche una forte tutela risarcitoria appunto nel caso di trattamento illecito dei loro dati.
A norma dell’articolo 79, comma secondo del GDPR, infatti, ogni interessato ha diritto a proporre un ricorso giurisdizionale effettivo nei confronti del titolare (controller) o del responsabile (processor) del trattamento dei dati, qualora ritenga che i diritti di cui gode siano stati violati a seguito di un trattamento illecito.
Who's Who
Anna Italiano
Le azioni nei confronti del titolare o del responsabile sono promosse dinanzi alle autorità giurisdizionali dello Stato Membro in cui essi hanno uno stabilimento. In alternativa, le azioni possono essere promosse dinanzi alle autorità giurisdizionali dello Stato in cui gli interessati risiedono abitualmente.
Gli interessati potranno inoltre:
- Ai sensi dell’articolo 77 GDPR, fatto salvo ogni altro ricorso amministrativo o giurisdizionale, proporre reclamo a un’Autorità di controllo nello Stato Membro in cui risiedono abitualmente, ovvero lavorano o, in alternativa, nel luogo ove si è verificata la violazione;
- Ai sensi dell’articolo 78, comma secondo, GDPR, fatto salvo ogni altro ricorso amministrativo o extragiudiziale, proporre un ricorso giurisdizionale effettivo nei confronti dell’Autorità di controllo.
Sotto il profilo dei danni risarcibili, l’impostazione del nuovo Regolamento conferma quella già vigente con il Codice Privacy. Più specificamente il trattamento dei dati personali è civilisticamente qualificabile quale attività pericolosa, ai sensi dell’articolo 2050 c.c., con il conseguente obbligo in capo a colui che tale attività effettui di risarcire all’interessato tanto i danni patrimoniali, quanto i danni non patrimoniali cagionati in conseguenza del trattamento (art. 81 GDPR).
Ma la vera novità introdotta in materia di risarcimento del danno dal GDPR risiede nella previsione di un regime di responsabilità solidale tra titolare e responsabile del trattamento. Questo garantirà effettività alla tutela riconosciuta agli interessati e, allo stesso tempo, imporrà al titolare l’onere di valutare con attenzione le competenze e le caratteristiche organizzative del responsabile cui intende affidare le attività di trattamento. E viceversa al responsabile l’onere di valutare attentamente il contenuto della nomina e delle istruzioni ricevute.
Trattamento illecito, la responsabilità non è limitabile?
Secondo quanto stabilito, infatti, dall’art. 82 GDPR, l’interessato, per conseguire un pieno ed effettivo ristoro del danno subito, qualora si ritenga leso nei propri diritti da un trattamento illecito, potrà rivolgersi indifferentemente tanto al titolare, quanto al responsabile del trattamento. E potrà farlo, in entrambi i casi, per l’intero ammontare del danno.
Dalla formulazione letterale della norma e dal principio di piena e massima tutela degli interessati che ne è alla base, sembrerebbe, dunque, doversi intendere che la responsabilità verso gli interessati per danni derivanti da trattamenti illeciti non possa in alcun modo essere limitata, costituendo il diritto alla protezione dei propri dati personali un diritto fondamentale ed incomprimibile dell’individuo.
Questo pone un problema di legittimità e tenuta giuridica delle clausole di limitazione di responsabilità eventualmente contenute negli accordi che vincolino contrattualmente il titolare del trattamento agli interessati. Tipico esempio è il caso in cui il trattamento dei dati personali si iscrive nel contesto dell’erogazione di un servizio contrattualmente disciplinato.
Responsabilità pro quota nei rapporti interni, ma non verso l’esterno
In mancanza di un rapporto contrattuale che vincoli titolare ed interessati, invece, l’eventuale responsabilità derivante da illecito trattamento di dati personali avrà natura extracontrattuale, con conseguente applicazione dei relativi principi e termini prescrizionali civilistici. Nonché piena esposizione risarcitoria del titolare nei confronti dell’interessato, stante quanto disposto dall’articolo 82, comma quarto, del GDPR, laddove si stabilisce che, al fine di garantire il risarcimento effettivo dell’interessato, titolare e responsabile rispondono in solido “per l’intero ammontare del danno”.
Alla luce di tale ultima disposizione, una piena responsabilità è, invece, sempre prevista in capo al responsabile del trattamento, che di regola non è direttamente vincolato agli interessati in virtù di rapporti contrattuali. La sua responsabilità potrà, se del caso, essere limitata nei rapporti interni titolare-responsabile, in virtù di apposite clausole di limitazione di responsabilità. Ma rimarrà comunque piena verso l’esterno, in relazione ad eventuali danni protestati dagli interessati.
Infatti, se la regola della responsabilità solidale per l’intero ammontare del danno costituisce il criterio che guida l’esposizione risarcitoria di titolare e responsabile nei confronti degli interessati, nei rapporti interni la regola è quella della responsabilità pro quota.
Ne deriva, quindi, che il titolare o responsabile che abbia risarcito l’interessato per l’intero ammontare del danno potrà sempre agire in regresso nei confronti del titolare o del responsabile coinvolti nello stesso trattamento, qualora ritenga che vi sia stata una responsabilità esclusiva o concorrente di questi ultimi nella produzione del danno.
L’importanza di poter dimostrare l’adozione di tutte le misure adeguate al rischio
A norma dell’articolo 82, comma terzo, il titolare o il responsabile del trattamento sono esonerati da responsabilità verso gli interessati se dimostrano che l’evento dannoso non gli è in alcun modo imputabile.
Il che vuol dire, per entrambi, riuscire a dimostrare di aver adottato tutte le misure di sicurezza adeguate rispetto al rischio insito nel trattamento e volte a prevenire il danno causato. E, per il responsabile in particolare, provare di avere correttamente adempiuto ai propri obblighi e alle istruzioni legittime ricevute dal titolare.
Dal momento, inoltre, che la norma che sancisce la responsabilità diretta del data processor fa espresso riferimento alle “istruzioni legittime” ricevute dal titolare, è da ritenersi che un’ulteriore ipotesi di esonero da responsabilità possa essere configurata in caso di istruzione illegittima o contra legem. Questo a condizione che il data processor abbia prontamente informato il data controller del fatto che, a suo parere, un’istruzione ricevuta si ponga in violazione della legge nazionale o comunitaria relativa alla protezione dei dati (così come stabilito dall’articolo 28 del Regolamento). Mettendo in tal modo il controller nelle condizioni di porre in essere gli opportuni correttivi.
