La responsabilità per il trattamento illecito dei dati personali
Dal 2018, nei Paesi membri dell’UE, è entrato in vigore il Regolamento Europeo 2016/679 (“GDPR”), che disciplina il trattamento dei dati personali e la relativa responsabilità in caso di violazione degli stessi.
Il suddetto Regolamento, nel nostro ordinamento, ha determinato la modifica di una fonte di legge (il D. Lgs. n. 196/2003) che già regolamentava il trattamento dei dati personali e i relativi profili di responsabilità.
Tuttavia, da un lato, il GDPR ha introdotto norme dirette a “responsabilizzare” maggiormente il Titolare del trattamento dei dati (cioè è quella “persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali: art. 4, n° 7 del GDPR), prescrivendo determinati obblighi a cui egli è assoggettato, pena il risarcimento dei danni causati dalla propria condotta (art. 5).
Dall’altro, il suddetto Regolamento ha assegnato un ruolo di primo piano alla figura del Responsabile del trattamento (cioè la persona fisica/giuridica, o l’ente pubblico/privato, incaricato dal Titolare di gestire i dati personali dell’interessato: art. 4, n°8 del GDPR), attribuendogli diversi oneri e conseguenti responsabilità giuridiche.
Secondo l’art. 82 del GDPR, infatti, il Titolare del trattamento risponde per il danno cagionato dalla sua condotta, ove posta in violazione delle prescrizioni del GDPR, salvo dimostri che l’evento dannoso non sia a lui imputabile. Invece, il Responsabile risponde per il danno cagionato all’interessato (o a terzi), qualora abbia a agito in modo difforme o contrario rispetto alle istruzioni fornite dal Titolare del trattamento, oppure non abbia adempiuto agli obblighi previsti dal Regolamento.
Il concetto di danno e le azioni legali
Tuttavia, per stabilire i profili di colpevolezza sia del Titolare, sia del Responsabile del trattamento dei dati, è opportuno preliminarmente inquadrare il concetto di “danno”.
Secondo le pronunce della Corte di Giustizia dell’UE, tra le categorie di danni che possono essere cagionati da un illecito trattamento di dati personali, rientrano quello fisico, materiale (perdite economico-finanziarie) e immateriale (es.: discriminazioni, furto o usurpazione d’identità, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, ecc).
Pertanto, chiunque ritenga che sia stato violato il proprio diritto alla riservatezza e abbia subito un danno derivante da un illegittimo trattamento dei dati personali, potrà intraprendere azioni legali dinanzi alle autorità giurisdizionali competenti, dando avvio ad un procedimento diretto a valutare la condotta del Responsabile del trattamento (dinanzi all’Autorità nazionale Garante della Privacy) e/o un giudizio (presso il Tribunale territorialmente competente) diretto di ottenere l’eventuale risarcimento dei danni subiti.
L’Autorità Garante della Privacy ha il potere di comminare le sanzioni previste dal GDPR al soggetto responsabile della condotta illecita. Tali sanzioni vengono adottate tenendo conto: della natura, della gravità e della durata della violazione; del grado di responsabilità o di eventuali precedenti violazioni pertinenti; nonché dell’eventuale presenza del dolo.
Inoltre, ai fini della gravità/quantificazione della sanzione, l’Autorità Garante della Privacy tiene in considerazione anche i seguenti criteri – che costituiscono fattori aggravanti o attenuanti della condotta attuata: la modalità con cui è venuta a conoscenza della violazione, la recidiva del/i Titolare/i e/o del/i Responsabile/i del trattamento in merito al mancato rispetto dei provvedimenti disposti nei suoi/loro confronti ecc.
La casistica giurisprudenziale
Nei prossimi articoli approfondiremo il tema della responsabilità derivante dall’illecito trattamento dei dati personali, analizzando la casistica giurisprudenziale relativa ai settori in cui viene ravvisata maggiormente la violazione delle disposizioni del GDPR: l’attività editoriale/giornalistica; la pubblicità/promozione; la salute e l’ambito delle telecomunicazioni.