Una violazione delle previsioni del GDPR può causare danni materiali o immateriali. Possono andare da un modesto disturbo (il reinserimento di un dato erroneamente cancellato) alla perdita di una vita umana (la modificazione di un dato sanitario prima della somministrazione di un’anestesia). In tal caso l’interessato ha diritto al risarcimento da parte del Titolare del trattamento dei dati personali che lo ha cagionato, salvo che questi non dimostri di non essere imputabile. Vedremo di seguito ulteriori specificazioni in merito alle responsabilità.
Qualora nello stesso trattamento siano coinvolti più soggetti nella stessa qualità (due o più Titolari – Contitolari – o due o più Responsabili) oppure in qualità diverse (un Titolare ed un Responsabile), tutti risponderanno in solido del danno cagionato, salvo poi il diritto per colui che ha pagato di rivalersi sugli altri pro quota.
In realtà, come vedremo, il GDPR presuppone che, al fine di definire le conseguenze patrimoniali o non patrimoniali dei danni cagionati agli interessati, operi un principio di co-responsabilità dei Titolari, dei Contitolari, e dei Responsabili del trattamento configurabile come responsabilità direttamente “pro quota” piuttosto che solidale in senso stretto. Nella ripartizione interna, quindi, ciascuno di essi sarà responsabile esclusivamente per la quota di responsabilità che gli sarà concretamente riconosciuta.
Quindi il risarcimento interviene in presenza di un danno dimostrato e quantificato in sede civile oltre alla sanzione pecuniaria irrogata dall’Autorità garante per la protezione dei dati personali e a quella penale comminata dal Giudice penale (possibilità prevista in capo agli Stati membri di introdurre sanzioni penali non avendo il legislatore europeo competenza penale diretta sulla base degli Artt. 25.2 della nostra Costituzione e 83 del Trattato sul funzionamento dell’Unione Europea) per garantire una tutela il più possibile completa, tra gli strumenti previsti contro la violazione dei dati.
Responsabilità e diritto al risarcimento nel GDPR
Quindi, il Regolamento pone a tutela della persona e dei suoi dati anche la responsabilità civile, al fine di ripristinare il patrimonio giuridico del danneggiato. È nel Considerando 146 del GDPR che il legislatore europeo formula le premesse, utili ai fini dell’interpretazione delle disposizioni legislative:
«Il titolare del trattamento o il responsabile del trattamento dovrebbe risarcire i danni cagionati a una persona da un trattamento non conforme al presente regolamento ma dovrebbe essere esonerato da tale responsabilità se dimostra che l’evento dannoso non gli è in alcun modo imputabile. Il concetto di danno dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di giustizia in modo tale da rispecchiare pienamente gli obiettivi del presente regolamento. Ciò non pregiudica le azioni di risarcimento di danni derivanti dalla violazione di altre norme del diritto dell’Unione o degli Stati membri. Un trattamento non conforme al presente regolamento comprende anche il trattamento non conforme agli atti delegati e agli atti di esecuzione adottati in conformità del presente regolamento e alle disposizioni del diritto degli Stati membri che specificano disposizioni del presente regolamento».
Se ne deduce che «Gli interessati dovrebbero ottenere pieno ed effettivo risarcimento per il danno subito. Qualora i titolari del trattamento o i responsabili del trattamento siano coinvolti nello stesso trattamento, ogni titolare del trattamento o responsabile del trattamento dovrebbe rispondere per la totalità del danno. Tuttavia, qualora essi siano riuniti negli stessi procedimenti giudiziari conformemente al diritto degli Stati membri, il risarcimento può essere ripartito in base alla responsabilità che ricade su ogni titolare del trattamento o responsabile del trattamento per il danno cagionato dal trattamento, a condizione che sia assicurato il pieno ed effettivo risarcimento dell’interessato che ha subito il danno. Il titolare del trattamento o il responsabile del trattamento che ha pagato l’intero risarcimento del danno può successivamente proporre un’azione di regresso contro altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento».
In particolare, quindi, si afferma che il Titolare del trattamento dei dati personali e/o il Contitolare e/o il Responsabile del trattamento dei dati personali dovrebbe risarcire i danni cagionati a una persona da un trattamento non conforme, ma dovrebbe essere esonerato da tale responsabilità se dimostra che l’evento dannoso non gli è in alcun modo imputabile.
Si ha trattamento non conforme al GDPR anche nel caso in cui il trattamento dei dati personali non sia conforme agli atti delegati, agli atti di esecuzione adottati in conformità del GDPR e alle disposizioni del diritto degli Stati membri che ne specificano le disposizioni.
Il Gdpr garantisce un risarcimento totale
Gli interessati dovrebbero ottenere pieno ed effettivo risarcimento del danno subito, dimostrato e quantificato in sede civile. Qualora più Titolari o Responsabili del trattamento siano coinvolti nello stesso trattamento, ogni Titolare o Responsabile dovrebbe rispondere – come già accennato – per la totalità del danno. Nonostante ciò, qualora essi siano riuniti negli stessi procedimenti giudiziari, il risarcimento può essere ripartito in base alla responsabilità che ricade su ogni soggetto, a condizione che sia assicurato il pieno ed effettivo risarcimento al danneggiato ovvero che il danneggiato non ne abbia alcun nocumento. Il Titolare o il Responsabile del trattamento che ha pagato l’intero risarcimento del danno può successivamente proporre un’azione di regresso contro gli altri titolari o responsabili coinvolti.
È l’Articolo 82 del Regolamento europeo rubricato Diritto al risarcimento e responsabilità che disciplina nello specifico il risarcimento del danno per violazione del corretto trattamento dei dati pesonali:
«1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. 2. Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento. 3. Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile. 4. Qualora più titolari del trattamento o responsabili del trattamento oppure entrambi il titolare del trattamento e il responsabile del trattamento siano coinvolti nello stesso trattamento e siano, ai sensi dei paragrafi 2 e 3, responsabili dell’eventuale danno causato dal trattamento, ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato. 5. Qualora un titolare del trattamento o un responsabile del trattamento abbia pagato, conformemente al paragrafo 4, l’intero risarcimento del danno, tale titolare del trattamento o responsabile del trattamento ha il diritto di reclamare dagli altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno conformemente alle condizioni di cui al paragrafo 2. 4.5.2016 L 119/81 Gazzetta ufficiale dell’Unione europea IT 6. Le azioni legali per l’esercizio del diritto di ottenere il risarcimento del danno sono promosse dinanzi alle autorità giurisdizionali competenti a norma del diritto dello Stato membro di cui all’articolo 79, paragrafo 2».
Esso sancisce al primo paragrafo che chiunque subisca un danno «materiale o immateriale» (patrimoniale o non patrimoniale) causato da una violazione del GDPR, ha diritto ad ottenere il risarcimento del danno dal Titolare o dal Responsabile del trattamento dei dati personali. Viene così riconosciuta espressamente l’ammissibilità anche del danno non patrimoniale e vengono identificati gli elementi necessari per la nascita dell’obbligazione risarcitoria: la condotta attiva o quella omissiva contraria regolamento; il danno; il rapporto causa-effetto tra questi. L’ammissibilità del risarcimento del danno non patrimoniale risponde all’obiettivo, sancito dal Considerando 146, di garantire il «[…] pieno ed effettivo risarcimento per il danno subito».
GDPR, il soggetto debole al centro
Il legislatore pone al centro della fattispecie il soggetto debole del rapporto, costruendo la disposizione attorno al danneggiato ed al suo diritto al risarcimento. Quindi, in estrema sintesi, il GDPR afferma così il diritto dell’interessato, quando danneggiato, di ottenere il risarcimento del danno subìto, che potrà essere sia patrimoniale che non patrimoniale. Questo diritto sorge nel momento in cui sia stata realizzata una violazione di una delle disposizioni sancite dal GDPR attraverso una condotta del Titolare, del Contitolare o del Responsabile del trattamento, che può essere stata attiva od omissiva e saranno tenuti – solidalmente – al risarcimento del danno i Titolari, i Contitolari, i Responsabili del trattamento dei dati personali.
L’interessato potrà rivolgersi anche ad uno solo di essi in generale, quello che appare più solvibile e dal quale sarà quindi più facile ottenere il risarcimento, il quale sarà così obbligato a versare interamente quanto dovuto a titolo di risarcimento del danno. Del resto in queste ipotesi, come stabilito nel successivo paragrafo 5 dell’Art. 82, se un titolare o un responsabile del trattamento si sia fatto carico dell’intero risarcimento del danno, lo stesso avrà successivamente il diritto di ripetere, dagli altri soggetti coinvolti nello stesso trattamento, la parte del risarcimento corrispondente alla loro quota di responsabilità per il danno cagionato. La norma infatti prevede che: «Qualora un titolare del trattamento o un responsabile del trattamento abbia pagato, conformemente al paragrafo 4, l’intero risarcimento del danno, tale titolare del trattamento o responsabile del trattamento ha il diritto di reclamare dagli altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno conformemente alle condizioni di cui al paragrafo 2”».
È bene ricordare che il Titolare del trattamento è il soggetto che determina la finalità e i mezzi del trattamento dei dati – in talune fattispecie con il Contitolare – mentre il Responsabile è il soggetto che tratta i dati personali per conto del Titolare o dei Contitolari (Artt. 4, 24 e 28 GDPR).
Risarcimento dei danni: a chi spetta?
È il secondo paragrafo dell’Art. 82 GDPR a stabilire quando è il Titolare del trattamento a dover corrispondere il risarcimento del danno, o quando invece è il Responsabile del trattamento a doverlo corrispondere. Il Titolare del trattamento risponde quando è coinvolto nel trattamento che, violando il regolamento, ha cagionato il danno; il Responsabile del trattamento risponderà, invece, per il danno causato dal trattamento soltanto nel caso in cui non abbia correttamente adempiuto agli obblighi stabiliti specificamente dal Regolamento a carico dei responsabili del trattamento, oppure qualora abbia agito in modo difforme o contrario rispetto alle legittime istruzioni dategli dal Titolare in merito al trattamento dei dati di sua competenza.
Questa disposizione sembrerebbe delineare una fattispecie di responsabilità, in capo al Titolare e al Responsabile del trattamento dei dati personali, apparentemente molto restrittiva.
Tuttavia, dobbiamo ricordare che – come indicato Considerando n. 146 – il Titolare sarà responsabile in concreto non solo in caso di violazione del Regolamento, ma anche nel caso di inottemperanza di altre disposizioni in materia di protezione dei dati personali previste dalle norme attuative, da atti delegati o di esecuzione del Regolamento stabilite dai singoli Stati membri. Mentre per ciò che riguarda il Responsabile del trattamento, ricordiamo il contenuto dell’Art. 28, par. 3, GDPR il quale stabilisce l’obbligo in capo al Responsabile nominato di informare «[…] immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione violi il presente regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati”.».
Di conseguenza, nonostante l’Art. 82 GDPR sembri limitare la responsabilità del trattamento dei dati personali del Responsabile alle azioni od omissioni relative alle disposizioni del Regolamento e alle istruzioni e direttive ricevute dal Titolare del trattamento, in realtà si configura a suo carico un dovere di portata generale che consiste nell’obbligo di informare il Titolare del trattamento qualora riscontri delle condotte non in linea rispetto alle prescrizioni del GDPR, o ritenga che i trattamenti effettuati o le misure disposte determinino dei rischi per i dati personali o espongano a possibili violazioni della disciplina normativa.
In altre parole, viene a delinearsi a carico del Responsabile del trattamento anche un obbligo di verifica e controllo generale di rispetto della normativa, con conseguente responsabilità – solidale rispetto a quella del Titolare del trattamento – anche nel caso di omesso riscontro od omessa informazione.
“Maltrattamento dati”, l’esenzione dalle responsabilità
Il Titolare e il Responsabile del trattamento vanno esenti da responsabilità se dimostrano che l’evento dannoso non è in alcun modo a loro imputabile (Art. 82, par. 3). Si tratta quindi, al pari delle fattispecie di cui all’Art. 2050 Codice civile «Chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno», di una ipotesi di inversione dell’onere della prova. La ragione dell’inversione dell’onere della prova risiede nel fatto che il trattamento dei dati è attività considerata pericolosa; infatti, essa è consentita dall’ordinamento giuridico perché utile, con conseguente compensazione del rischio di “maltrattamento” dei dati personali tramite l’obbligo a carico delle organizzazioni di garantirne la sicurezza dei trattamenti.
In conclusione, anche per proteggere il soggetto debole del rapporto – l’interessato – sono il Titolare, il Contitolare e il Responsabile del trattamento a dover dimostrare che l’evento dannoso non è a loro imputabile. Ciò significa, seguendo la logica dell’inversione dell’onere della prova, che per poter essere esonerati da responsabilità il Titolare, Il Contitolare o il Responsabile del trattamento dovranno poter provare, alternativamente, che l’evento dannoso non è loro ascrivibile in quanto dipendente da una fonte estranea alla loro sfera di competenza o di controllo, oppure che sono state da loro predisposte in seguito alla valutazione dei rischi (Data Protection Impact Aassessment – Considerando 75 e Art. 35 GDPR) ed attuate tutte le prevedibili misure adeguate (Art. 32 GDPR) al fine di evitare che si verificasse il danno.
Nel chiedere il risarcimento del danno, l’interessato dovrà quindi provare l’esistenza del danno e la sua quantificazione, la sussistenza di una condotta in violazione della normativa a tutela dei dati personali, e la relazione causale tra i primi due elementi; per liberarsi dalla responsabilità risarcitoria, il titolare o il responsabile del trattamento deve provare che l’evento dannoso non è in alcun modo a lui imputabile.
Quando la responsabilità è in solido
Nel caso in cui più Titolari o Responsabili del trattamento, o il Titolare, il Contitolare e il Responsabile, siano coinvolti nello stesso trattamento e siano insieme responsabili del danno inferto, essi sono responsabili in solido (Art. 2055 Codice civile «Se il fatto dannoso è imputabile a più persone (1), tutte sono obbligate in solido al risarcimento del danno. Colui che ha risarcito il danno ha regresso contro ciascuno degli altri, nella misura determinata dalla gravità della rispettiva colpa e dall’entità delle conseguenze che ne sono derivate. Nel dubbio, le singole colpe si presumono uguali.»). L’espressione “coinvolgimento” fa riferimento a qualsiasi forma di partecipazione. Ne consegue che il soggetto o i soggetti lesi potranno domandare anche ad uno solo dei danneggianti (coinvolti) l’intero ammontare del danno, e questi sarà tenuto a corrisponderglielo, salva poi la possibilità di rivalersi – come già visto – nei confronti del coobbligato in solido della quota a lui imputabile (Art. 82 par. 5). Tale previsione ha la finalità di garantire l’effettivo e tempestivo risarcimento all’interessato.
Secondo il Regolamento, le azioni legali per l’esercizio del diritto al risarcimento del danno devono essere promosse dinanzi alle Autorità giurisdizionali dello Stato membro in cui l’interessato risiede abitualmente, salvo che il Titolare, il Contitolare o il Responsabile del trattamento sia un’Autorità pubblica di uno Stato membro nell’esercizio dei pubblici poteri (Art. 79, par. 2) nel qual caso prevale la giurisdizione che comprende l’Autorità pubblica. In Italia, la competenza spetta in via ordinaria al Giudice civile, fatto sempre salvo, in sintonia con quanto stabilito dal Regolamento, il criterio del riparto di giurisdizione tra giustizia ordinarie giustizia amministrativa di cui all’Art. 103 Cost. e Art 7 Codice del processo amministrativo (D. Lgs. 104/2010).
