Profili di responsabilità

Nonostante non sia oggetto specifico di questa trattazione, non si può non dare atto a ciò che comporterebbe la violazione delle disposizioni dettate in materia di profilazione, e quindi verrà di seguito analizzata la situazione della responsabilità civile delineatasi dal passaggio dal D. Lgs. n. 196/2003 al Regolamento 679/2016, tralasciando comunque le eventuali sanzioni a livello penale242.

“La forma più concreta di tutela che il Codice appresta all’interessato”243

è riscontrabile nell’art.15, secondo cui “chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile”, aggiungendo al secondo comma che “il danno non patrimoniale è risarcibile anche in caso di violazione dell’articolo 11”.

Il primo comma del suddetto articolo merita particolare attenzione in quanto esso opera un richiamo all’art. 2050 del Codice Civile, circa la responsabilità per l’esercizio di attività pericolose, il quale sancisce che “chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento se non prova di avere adottato tutte le misure idonee ad evitare il danno”.

Dunque, una notevole conseguenza di tale disposizione è l’equiparazione dell’attività di trattamento dei dati personali allo svolgimento di attività pericolose, per le quali l’art.2050 del C.C. “prevede un alleggerimento significativo dell’onere della prova a

da alcuni anni a questa parte, e anche alle necessità di analisi dati che stanno nascendo dall’enorme capacità di generare dati degli ultimi anni. In tal senso Porcu V., Introduzione al machine learning con R, Porcu, 2016, pag. 4.

241

Spina A., Alla ricerca di un modello di regolazione per l’economia dei dati Commento al

Regolamento (UE) 2016/679, in Rivista della regolazione dei mercati, 2016, pag. 152.

242 _{Il Capo II del Titolo III del Codice privacy, dall’art.167 all’art.172, è dedicato interamente agli illeciti}

penali.

243

127 carico del danneggiato rispetto alla regola generale di cui all’art. 2043 C.C.: onere del danneggiato sarà, infatti, solo quello di provare il rapporto di causalità tra fatto e danno (e non anche il dolo o la colpa dell’autore del fatto illecito) mentre incomberà al danneggiante l’onere, ben più impegnativo, di provare di aver posto in essere tutte le misure idonee per evitare l’evento dannoso non essendo sufficiente dimostrare di non aver violato norme di legge o di prudenza o di perizia”244

.

Secondo alcuni autori la ratio dell’aggravamento di colpa si rinviene nel fatto che “in caso di attività pericolose vi è, appunto, un pericolo intrinseco e, quindi, chi svolge l’attività deve farlo con una maggiore cautela rispetto ad una attività non rischiosa”245

, altri ritengono piuttosto che il rinvio all’art.2050 “serva ad invocare la ormai consolidata interpretazione della norma sul punto della prova liberatoria dalla responsabilità”246_{, piuttosto che equiparare l’attività di trattamento dati all’eseguimento}

di attività pericolose.

È bene evidenziare che l’art. 15 non focalizza il suo ambito di applicazione su specifici soggetti, bensì si rivolge a “chiunque cagiona un danno ad altri”, pertanto “all’obbligo risarcitorio non sarà tenuto soltanto chi è a contatto diretto con i dati dell’interessato ovvero il titolare, il responsabile o l’incaricato del trattamento, ma anche soggetti che, eventualmente od anche occasionalmente, si trovino a trattare dati personali a prescindere dalla loro riconducibilità ad una delle qualifiche tipizzate dal Codice”247. Inoltre, il legislatore inserisce in tale norma il termine “effetto” al fine di prevedere differenti casi di risarcibilità non necessariamente collegati all’atto umano, bensì derivanti anche da ulteriori fattori, quali per esempio il guasto di un sistema hardware o

software.

La condanna al risarcimento del danno potrà essere elusa soltanto nel caso in cui si “provi di avere adottato tutte le misure idonee ad evitare il danno”. Ciò, ci conduce quindi ad operare un rinvio alla disciplina dettata dal Codice in relazione alle misure idonee ad evitare il danno. A riguardo, si rinviene l’art.31 del Codice relativo agli obblighi di sicurezza, il quale dispone che “i dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso

244 _{Gobbato M., Danni da trattamento illegittimo di dati personali, Halley editrice, 2007, pag. 32.} 245 _{Galeano S., Diritto Costituzionale, Lulu editore, 2016, pag. 107.}

246 _{Franzoni M., L’illecito, Giuffrè Editore, Milano, 2010, pag. 676.} 247

128 tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta”. È il medesimo art.31 a fornire le peculiarità di una misura idonea, definendola come quella misura che permetta di custodire e controllare i dati personali, ed inoltre sancisce che il titolare non è obbligato ad adottare le misure idonee al fine di eliminare completamente i rischi enumerati, bensì è tenuto ad adottarle al solo fine di ridurre al minimo i rischi.

Successivamente, si rinviene l’art.33 che disciplina le misure minime di sicurezza, affermando che “nel quadro dei più generali obblighi di sicurezza di cui all’articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell'articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali”. Pertanto, affinché “chiunque” possa provare di aver adoperato tutte le misure idonee ad evitare il fatto dannoso, al fine di sottrarsi all’obbligo di risarcimento, deve operarsi una differenziazione tra misure minime di sicurezza e misure preventive idonee. “Ciò significa che se il titolare aveva comunque adottato tutte le misure minime (cioè quelle che il Codice dispone di adottare, nelle forme previste dal Disciplinare Tecnico – Allegato B del Codice, per garantire un livello minimo di sicurezza), ma tali misure per la natura del trattamento o per la natura dei mezzi adoperati (si richiama appositamente la dizione dell’art.2050 c.c.) non si sono comunque rivelate idonee ad evitare il danno dell’interessato, allora il titolare sarà tenuto al risarcimento del danno”248

.

Perciò, “il titolare nel caso in cui l’inosservanza delle norme di sicurezza determini un danno può sottrarsi alla relativa responsabilità civile non tanto provando di aver osservato le prescrizioni minime, che serve solo ad escludere la responsabilità penale ex nuovo art.169.1 D.Lgs. 196/2003, quanto se dimostra di aver adottato tutte le misure idonee ad evitare il danno”249

.

248 _{Del Ninno A., La tutela dei dati personali: guida pratica al Codice della privacy (d.lgs. 30/06/2003,}

n.196), CEDAM, Padova, 2006, pag. 830.

249

129 Ulteriore novità apportata dall’art.15 è riscontrabile al secondo comma, in cui è sancita “la possibilità dell’interessato di ottenere il risarcimento del danno non patrimoniale”250

non solamente nell’ipotesi in cui sia stato commesso un illecito penale, bensì in tutti quei casi di violazione dell’art.11251

(quali per esempio il principio di finalità, di liceità, di correttezza). Quindi, tale comma sancisce che nel caso in cui sussista un danno, quest’ultimo sarà in ogni caso risarcibile, senza alcun limite previsto dall’art.2059 c.c.252.

Si assiste, di conseguenza, ad un notevole ampliamento delle ipotesi di risarcibilità del danno. Quindi, il Codice raggruppa in un’unica disposizione la disciplina del risarcimento del danno patrimoniale e non patrimoniale, estendendo in tal modo “anche al danno non patrimoniale l’inversione dell’onere probatorio”253

.

È bene sottolineare che “la risarcibilità del danno non patrimoniale, per ogni ipotesi in cui si possa ravvisare una responsabilità da illecito trattamento di dati, deriva da una ben specifica considerazione, e cioè quella che, nella prassi, a causa della particolare natura dei diritti che generalmente vengono lesi da un’illecita attività di trattamento, i danni risultano essere, nella larghissima maggioranza dei casi, danni di natura non patrimoniale o comunque danni molto difficili da provare nella loro consistenza patrimoniale”254

.

Il legislatore italiano pone molta attenzione al tema della tutela e sicurezza dei dati personali, tant’è che dispone sanzioni penali solamente in casi di violazioni gravi, quali per esempio l’omissione delle misure minime di sicurezza, anche se il reato è stato compiuto per semplice colpa, ossia per negligenza, imprudenza, imperizia o ignoranza

250 _{Imperiali Ric., Imperiali Ros., Codice della privacy: commento alla normativa sulla protezione dei}

dati personali, cit., pag. 163.

251

Ai sensi dell’art.11 del Codice, “1. I dati personali oggetto di trattamento sono: a) trattati in modo lecito e secondo correttezza;b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi; c) esatti e, se necessario, aggiornati; d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati; e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati. 2. I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati”.

252

In tal senso Rossetti M., Il danno non patrimoniale: cos’è, come si accerta e come si liquida, Giuffrè Editore, Milano, 2010, pag. 325.

253 _{Cendon P., Il quantum nel danno esistenziale: giurisprudenza e tabelle, Giuffrè Editore, Milano, 2010,}

pag. 459.

254

130 della legge255. Inoltre, nell’ipotesi di omissione delle misure minime di sicurezza il Codice all’162 comma 2 dispone che “sia applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da diecimila euro a centoventimila euro”.

Dunque, si evince come il motivo di tale disciplina sia quello di prevedere una responsabilità senza colpa e di allargare il danno derivante dal trattamento dei dati, estendendolo così a quello non patrimoniale, anche al di là dei casi di reato sanciti dalla legge256.

Con l’attuazione del Regolamento 679/2016 la situazione che si verrà a creare in tema di sanzioni sarà differente, in quanto il legislatore europeo si è preoccupato di delineare un sistema capace di evitare l’eseguirsi di un danno in capo all’interessato, provvedendo altresì a fissare, nelle ipotesi in cui il danno si verifichi, delle responsabilità civili e amministrative. Pertanto, il regime sanzionatorio sancito nel Regolamento risulta essere maggiormente inasprito rispetto a quello previsto dal Codice.

Il GDPR all’art.82 sancisce che “1.Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. 2.Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento. 3.Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile. 4.Qualora più titolari del trattamento o responsabili del trattamento oppure entrambi il titolare del trattamento e il responsabile del trattamento siano coinvolti nello stesso trattamento e siano, ai sensi dei paragrafi 2 e 3, responsabili dell’eventuale danno causato dal trattamento, ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell'interessato. 5.Qualora un titolare del

255 _{In tal senso Polacchini M., Privacy in azienda. La protezione dei dati personali nelle imprese: casi}

pratici e soluzioni, Ipsoa, Milano, 2009, pag. 157.

256

131 trattamento o un responsabile del trattamento abbia pagato, conformemente al paragrafo 4, l’intero risarcimento del danno, tale titolare del trattamento o responsabile del trattamento ha il diritto di reclamare dagli altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno conformemente alle condizioni di cui al paragrafo 2. 6.Le azioni legali per l’esercizio del diritto di ottenere il risarcimento del danno sono promosse dinanzi alle autorità giurisdizionali competenti a norma del diritto dello Stato membro di cui all'articolo 79, paragrafo 2”.

Si può notare come anche il Regolamento presuppone un capovolgimento dell’onere probatorio in capo al titolare, il quale sarà esonerato dalla responsabilità nel caso in cui sia capace di dimostrare che l’evento dannoso verificatosi non è a lui imputabile257.

Inoltre, dall’analisi del suddetto Regolamento emerge l’assenza della disposizione prevista nel Codice della privacy che includeva il trattamento dei dati personali tra le attività pericolose, ciò poiché verosimilmente secondo il legislatore europeo tale equiparazione non è del tutto adeguata ed ha sancito un differente regime nell’ipotesi in cui di verifichi una violazione di dati personali258. In più, nelle norme dettate dal regolamento si riscontra una dettagliata e specifica “definizione dei meccanismi di ripartizione del risarcimento tra titolare, co-titolare e responsabile del trattamento con previsione specifica di azioni di regresso reciproche e meccanismi di esonero”, a differenza del Codice della privacy in cui è adoperato il pronome personale “chiunque” per individuare i destinatari effettivi della disciplina in questione259.

Il GDPR dispone che i trattamenti illeciti di dati personali e le violazioni degli obblighi sanciti dal Regolamento saranno perseguiti mediante sanzioni amministrative pecuniarie, “anche commisurate a percentuali del fatturato lordo mondiale dell’impresa e soglie massime estremamente elevate”260

(art. 83). Le sanzioni amministrative pecuniarie sono così diversificate in due livelli, sulla base dell’entità della violazione (art. 83, paragrafi 4,5 e 6). Pertanto, nel primo livello sono annoverate le sanzioni fino a 10.000.000 euro e per le imprese fino al 2% del fatturato mondiale totale annuo previste

257 _{Art. 82, paragrafo 3 del Regolamento 679/2016.} 258

In tal senso Biasiotti A., Il nuovo regolamento europeo sulla protezione dei dati, cit., pag. 912.

259 _{In tal senso Barraco E., Stizia A., La tutela della privacy nei rapporti di lavoro, IPSOA, Milano, 2012,}

pag. 90.

260 _{Ogriseg C., Il Regolamento UE n.2016/679 e la protezione dei dati personali nelle dinamiche}

132 nelle ipotesi in cui si verifichi la violazione degli obblighi del titolare e del responsabile del trattamento, degli obblighi dell’organismo di certificazione e degli obblighi dell’Organismo di controllo. Nel secondo livello sono dettate le sanzioni fino a 20.000.000 euro e fino al 4% del fatturato mondiale totale annuo, previste nel caso di violazione dei principi di base del trattamento (comprese le condizioni relative al consenso) e dei diritti degli interessati, i trasferimenti di dati personali a un destinatario in un paese terzo o organizzazione internazionale, la violazione di qualsiasi obbligo previsto dalle legislazioni degli Stati membri a norma del capo IX, l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi dei dati da parte dell’Autorità di Controllo.

Il cospicuo importo di tali sanzioni trova giustificazione nel fatto che esse vengono adottate come un “importante deterrente”261

nella speranza che la sanzione, essendo di notevole entità, nel momento in cui venga regolarmente applicata, ostacolerà il conseguimento del profitto derivante dall’utilizzazione illecita di dati personali, ponendo così fine alla condotta lesiva.

Inoltre, il Regolamento provvede a definire gli elementi che l’Autorità di Controllo deve tenere in considerazione qualora debba infliggere una sanzione amministrativa pecuniaria e debba fissare il relativo ammontare. Quindi, l’Autorità stabilirà le sanzioni valutando: “a) la natura, la gravità e la durata della violazione tenendo conto della natura dell’oggetto e della finalità del trattamento, del numero dei soggetti lesi e del livello del danno subito; b) l’elemento soggettivo della violazione; c) le misure adottate per attenuare il danno subito dagli interessati; d) il grado di responsabilità del titolare e del responsabile del trattamento tenendo conto delle misure tecniche e organizzative adottate; e) eventuali precedenti violazioni; f) il grado di cooperazione con l’Autorità di Controllo; g) la categoria dei dati personali violati; h) le modalità con cui l’Autorità di Controllo è venuta a conoscenza della violazione e l’avvenuta notifica della violazione da parte del titolare e del responsabile del trattamento; i) il rispetto di precedenti provvedimenti dell’Autorità di Controllo; j) l’adesione a codici di condotta o sistemi di certificazione volontaria; k) eventuali altri fattori come ad esempio benefici finanziari conseguiti direttamente o indirettamente quale conseguenza della violazione”262.

261 _{Palazzolo G., La banca dati e le sue implicazioni civilistiche in tema di cessione e deposito alla luce}

del Reg. (UE) n. 2016/679, cit., pag. 636.

262

133 Relativamente alle “altre” sanzioni che non rientrano nella sfera delle sanzioni amministrative pecuniarie, l’art.84 del presente Regolamento rimanda ad ogni Stato membro la loro definizione nelle ipotesi di violazioni del Regolamento ed esse dovranno detenere delle specifiche peculiarità, cioè dovranno essere “effettive, proporzionate e dissuasive”; inoltre gli Stati membri dovranno adottare tutti i provvedimenti necessari per garantirne l’applicazione.

Occorre sottolineare come da una prima lettura questi articoli risultino essere in contrasto con la struttura propria del Regolamento volta a rendere omogenee le norme in materia di protezione dei dati personali nell’intero territorio europeo; eppure, lo stesso Regolamento, al fine di rimanere coerente con la propria volontà di omogeneizzare la normativa, sancisce che ciascuno Stato deve notificare alla Commissione le disposizioni legislative adottate263.

In conclusione, dall’esame del GDPR si evince che la data protection sarà consolidata e rinforzata mediante l’assunzione di nuovi obblighi generali e l’attuazione nelle aziende di un sistema organizzativo articolato, che comporterà l’adozione di idonee misure di protezione e del modello di analisi e gestione del rischio; tutto ciò sarà inoltre affiancato da un inasprimento del regima sanzionatorio. È bene sottolineare che il Regolamento assume appunto il nuovo approccio al rischio, basato sul principio di accountability, al fine di ridurre la condotta lesiva in merito al trattamento illecito di dati personali, in modo da considerare la responsabilità quale rimedio ultimo.

263

134

Capitolo 4