3. Nuove lesioni, nuovi diritti? Il sistema di responsabilità civile applicato ai danni da attività d
3.6. Il Regolamento Europeo 678/2016: quali prospettive in tema di responsabilità e risarcimento dei danni da
trattamento dati?
Delineato il sistema di risarcimento civile derivante dai danni occorsi a causa dell’attività di trattamento dei dati personali, la domanda che dobbiamo porci adesso è la seguente: tale sistema rimarrà lo stesso anche in conseguenza dell’applicazione del Regolamento Europeo 675/2016?
Il GDPR disciplina il settore del risarcimento e della responsabilità all’articolo 82236, avvalendosi inoltre delle ulteriori specificazioni
Protezione dei dati personali. Il danno non patrimoniale tra danno presunto e danno evento, op. cit., 46
235 S. Thobani, Protezione dei dati personali. Il danno non patrimoniale tra
danno presunto e danno evento, op. loc. cit., 45.
236 “1. Chiunque subisca un danno materiale o immateriale causato da una
violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. 2. Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.
3. Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile.
4. Qualora più titolari del trattamento o responsabili del trattamento oppure entrambi il titolare del trattamento e il responsabile del trattamento siano coinvolti nello stesso trattamento e siano, ai sensi dei paragrafi 2 e 3,
indicate nei considerando n. 146237 e 147238, e del considerando 75239, il quale, esplorando i rischi derivanti dall’attività di trattamento dei
responsabili dell’eventuale danno causato dal trattamento, ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato.
5. Qualora un titolare del trattamento o un responsabile del trattamento abbia pagato, conformemente al paragrafo 4, l’intero risarcimento del danno, tale titolare del trattamento o responsabile del trattamento ha il diritto di reclamare dagli altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno conformemente alle condizioni di cui al paragrafo 2.
6. Le azioni legali per l’esercizio del diritto di ottenere il risarcimento del danno sono promosse dinanzi alle autorità giurisdizionali competenti a norma del diritto dello Stato membro di cui all’articolo 79, paragrafo 2.”, articolo 82, Reg. UE 675/2016
237 “Il titolare del trattamento o il responsabile del trattamento dovrebbe
risarcire i danni cagionati a una persona da un trattamento non conforme al presente regolamento ma dovrebbe essere esonerato da tale responsabilità se dimostra che l’evento dannoso non gli è in alcun modo imputabile. Il concetto di danno dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di giustizia in modo tale da rispecchiare pienamente gli obiettivi del presente regolamento. Ciò non pregiudica le azioni di risarcimento di danni derivanti dalla violazione di altre norme del diritto dell’Unione o degli Stati membri. Un trattamento non conforme al presente regolamento comprende anche il trattamento non conforme agli atti delegati e agli atti di esecuzione adottati in conformità del presente regolamento e alle disposizioni del diritto degli Stati membri che specificano disposizioni del presente regolamento. Gli interessati dovrebbero ottenere pieno ed effettivo risarcimento per il danno subito. Qualora i titolari del trattamento o i responsabili del trattamento siano coinvolti nello stesso trattamento, ogni titolare del trattamento o responsabile del trattamento dovrebbe rispondere per la totalità del danno. Tuttavia, qualora essi siano riuniti negli stessi procedimenti giudiziari conformemente al diritto degli Stati membri, il risarcimento può essere ripartito in base alla responsabilità che ricade su ogni titolare del trattamento o responsabile del trattamento per il danno cagionato dal trattamento, a condizione che sia assicurato il pieno ed effettivo risarcimento dell’interessato che ha subito il danno. Il titolare del trattamento o il responsabile del trattamento che ha pagato l’intero risarcimento del danno può successivamente proporre un’azione di regresso contro altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento.”, testo del considerando n. 146 al Reg. UE 675/2016
238 “Qualora il presente regolamento preveda disposizioni specifiche in
materia di giurisdizione, in particolare riguardo a procedimenti che prevedono il ricorso giurisdizionale, compreso quello per risarcimento, contro un titolare del trattamento o un responsabile del trattamento,
dati, finisce per fornire un catalogo di danni risarcibili, da non considerarsi comunque chiuso ed esaustivo.
Da una prima analisi dell’articolo 82 GDPR, seppure esso sembri inserirsi in una logica di continuità rispetto al precedente articolo 15 del Dlgs 196/2003, possiamo notare subito alcune differenze:
- tra i soggetti chiamati al risarcimento figurano nella nuova disciplina il Titolare e il Responsabile del trattamento dati: esso sostituiscono la locuzione “chiunque” del precedente articolo 15; tale cambio di terminologia pone una prima questione, ovvero, se i soggetti diversi dal Titolare e dal Responsabile del trattamento dati, autori di danni nei confronti dell’interessato, potranno considerarsi esenti da responsabilità.
disposizioni generali in materia di giurisdizione quali quelle di cui al regolamento (UE) n. 1215/2012 del Parlamento europeo e del Consiglio non dovrebbero pregiudicare l’applicazione di dette disposizioni specifiche.”, testo del considerando n. 147 al Reg. UE 675/2016
239 “I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e
gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo; se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l’esercizio del controllo sui dati personali che li riguardano; se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza; in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali; se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori; se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati.”, testo del considerando n. 75 al Reg. UE 675/2016
L’evoluzione più probabile parrebbe essere quella secondo la quale “pur in attesa di chiarimenti da parte dell’Autorità Garante, tenuto conto delle regole generali di cui al nostro codice civile […] si può ragionevolmente e sin da ora escludere che, un soggetto “diverso da quelli indicati all’art. 82 del Regolamento, nel caso sia autore di un danno nei confronti degli interessati, possa ritenersi esente da responsabilità”240; - un altro elemento che merita una veloce disamina è la
questione dell’introduzione della solidarietà tra Titolare e Responsabile del trattamento dati operante nell’obbligo di risarcimento del danno, indicata al comma 4 dell’articolo 82, la quale viene però ridimensionata dal successivo comma 5, il quale tratta del regresso che il Titolare o il Responsabile che ha pagato per il risarcimento del danno, ha il diritto di esercitare nei confronti degli altri Titolari o Responsabili in misura della “parte del risarcimento corrispondente alla loro parte di responsabilità”241.
Occorrerà ad ogni modo attendere le prime pronunce in materia da parte del Giudice Italiano, le quali ancora latitano, posto che il GDPR, pur essendo entrato in vigore a maggio 2016, è divenuto applicabile solo due anni dopo, nel maggio 2018, anno in cui è stato emanato anche il Decreto Legge 10 Agosto 2018 recante disposizioni per l’adeguamento al GDPR della disciplina contenuta nel D.Lgs. 196/2003.
240 D. Lesce – P. Lonigro – V. De Lucia, Privacy. Il risarcimento del danno
nella disciplina del regolamento europeo. L’importanza dei codici di condotta, in Il sole24ore, 2017 consultabile al seguente indirizzo
https://www.diritto24.ilsole24ore.com/art/dirittoLavoro/2017-10-09/privacy-- risarcimento-danno-disciplina-regolamento-europeo-importanza-codici- condotta-120418.php.
A questo punto della trattazione abbiamo abbastanza elementi per tentare di rispondere alla domanda che ci siamo posti nel titolo del presente capitolo, ovvero: nuove lesioni, nuovi diritti?
Le nuove tecnologie, considerata l’inevitabilità dei rischi e dei possibili danni derivanti dal loro utilizzo (“nuove lesioni”) hanno portato il diritto a creare “nuovi diritti”, concetto inteso nel senso più ampio, suscettibile di ricomprendere in sé nuove categorie di danno risarcibile e nuove modalità di tutela dello stesso?
La risposta sembra essere negativa; le nuove tecnologie hanno sicuramente influenzato l’evoluzione di alcuni concetti giuridici, primo fra tutti proprio il diritto alla privacy, il quale si è modificato e arricchito nel senso che abbiamo avuto modo di analizzare precedentemente.
Se inizialmente il danno da violazione della privacy, o meglio, da violazione della riservatezza, varcava le aule di giustizia esclusivamente nella sua veste di “right to be let alone” e veniva “indossato” quasi esclusivamente da personaggi noti, i quali venivano risarciti nella misura del “prezzo del loro consenso”, è proprio grazie, o a causa a seconda dei punti di vista, del sorgere del concetto moderno di privacy inteso quale controllo sui propri dati personali, determinatosi in ragione dell’utilizzo e il dilagare delle nuove tecnologie e dell’operato di una dottrina lungimirante, la quale intuisce già a partire dagli anni ’70 i rischi che questa evoluzione avrebbe comportato, che la privacy arriva ad essere un “diritto di tutti”.
E non è un caso se la prima norma positiva emanata in Italia, volta a colmare la lacuna in materia, si occupi di “danni da trattamento dati” e non di “danni da lesione della riservatezza”; questo è indice del fatto che anche il legislatore del 1996 era arrivato, seppur con ritardo, ad
intuire che la direzione verso la quale stava andando il diritto alla privacy, il quale si accingeva ad entrare nell’era digitale, e di conseguenza il settore dove si sarebbero prodotti i danni da tutelare, era proprio quello del trattamento dei dati, o meglio, dei megadati.