Diritto e Fisco | Articoli

A quanto ammonta il risarcimento per violazione della privacy

4 Maggio 2019
A quanto ammonta il risarcimento per violazione della privacy

Ogni individuo ha il diritto alla propria riservatezza e alla protezione dei propri dati personali. Chi lede questo diritto e tratta i dati personali altrui in modo scorretto si espone al rischio di dover risarcire i relativi danni.

Come noto, a partire dallo scorso 25 maggio 2018 è entrato definitivamente in vigore il nuovo Regolamento Europeo in materia di dati personali. Si tratta di una vera e propria rivoluzione per quel che riguarda la gestione della privacy e la tutela dei dati personali. Il regolamento ribadisce e rafforza numerose regole che erano già state previste dal Codice della Privacy. I rischi per quelle aziende, enti o persone fisiche che pongono in essere dei trattamenti di dati personali senza rispettare le regole del regolamento sono molteplici. Innanzitutto vi sono delle sanzioni amministrative che possono raggiungere livelli molto alti. Inoltre, il singolo individuo i cui dati sono stati trattati in modo illecito può chiedere un risarcimento danno.  Ma a quanto ammonta il risarcimento per violazione della privacy? In questo articolo cerchiamo di rispondere a diverse domande relative al trattamento dei dati personali, a chi sono i soggetti responsabili in caso di violazione del trattamento dei dati e alle caratteristiche dell’azione risarcitoria che l’individuo può intraprendere se ritiene che i suoi dati siano stati trattati in maniera illecita.

Che cos’è il Gdpr?

Come abbiamo già accennato, il 14 aprile 2016 il Parlamento Europeo ha approvato il testo definitivo del nuovo regolamento europeo relativo alla privacy ed alla protezione dei dati personali, il cosiddetto Gdpr [1]. Dopo un primo periodo di applicazione facioltativa, il Gdpr è entrato definitivamente in vigore il 25 maggio 2018. Come tutti i regolamenti europei, il Gdpr non ha bisogno di una legge interna del singolo stato che lo recepisce ma produce effetti direttamente in capo a tutti i soggetti giuridici dell’Unione Europea.

Il Gdpr è il vademecum che ogni azienda deve seguire se pone in essere un trattamento dei dati personali.

Per capire quando si è di fronte ad un trattamento di dati personali, è utile partire dalle definizioni che fornisce lo stesso Gdpr:

  • dato personale è qualsiasi informazione riguardante una persona fisica identificata o identificabile ( che viene detta interessato); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
  • trattamento di dati personali è qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

L’ampiezza delle definizioni ci fa capire che il trattamento dei dati personali è tutt’altro che qualcosa di raro ed eccezionale ma è qualcosa di continuo. In certe aziende, in particolare, la quasi totalità delle attività aziendali comporta un trattamento di dati personali.

Gdpr: cosa prevede?

Il Gdpr spiega alle aziende come devono trattare i dati personali e, in particolare:

  • i principi a cui devono ispirarsi ogni volta che pongono in essere un trattamento di dati personali;
  • gli obblighi che devono rispettare, tra i quali, la consegna dell’informativa privacy, la nomina dei collaboratori a persone autorizzate al trattamento di dati personali, la nomina dei soggetti esterni a responsabile del trattamento, etc.

Inoltre, al fine di garantire una tutela esaustiva, tra gli strumenti sanzionatori previsti in caso di violazione dei dati, il Gdpr prevede che, oltre all’applicazione di sanzioni amministrative e alla possibilità riservata agli Stati membri di introdurre anche sanzioni di tipo penale, sussiste anche il diritto dell’interessato al risarcimento del danno.

Gdpr : il risarcimento del danno all’interessato 

Come abbiamo detto il Gdpr prevede una serie di misure per sanzionare il trattamento illegittimo dei dati personali.

Tra queste misure troviamo anche la possibilità che chi subisce un trattamento illegittimo dei dati personali chieda il risarcimento del danno.

Nel Gdpr [2] si afferma infatti che il titolare del trattamento o il responsabile del trattamento dovrebbe risarcire i danni cagionati ad una persona da un trattamento non conforme. Tale responsabilità risarcitoria resterebbe esclusa se il titolare del trattamento o il responsabile del trattamento dimostra che l’evento dannoso non è in alcun modo a lui imputabile.

In caso di trattamento non conforme, dunque, i soggetti interessati dovrebbero ricevere un pieno ed effettivo risarcimento del danno subito.

Il Gdpr prevede, inoltre, una forma di responsabilità solidale tra il titolare del trattamento ed il responsabile del trattamento. Infatti, se più titolari o responsabili del trattamento sono coinvolti nel medesimo trattamento, ogni titolare o responsabile risponde per la totalità del danno.

Ciò significa, in termini concreti, che l’interessato può chiedere il pagamento dell’intero danno ad uno solo dei soggetti coinvolti.

Come sempre accade in caso di responsabilità solidale, il titolare o il responsabile del trattamento che ha pagato l’intera somma a titolo di risarcimento del danno potrà poi in un secondo momento chiedere agli altri titolari o responsabili coinvolti la loro “quota” attraverso la cosiddetta azione di regresso.

Più nello specifico, le norme del Gdpr [3] prevedono che chiunque subisca un danno materiale o immateriale causato da una violazione del regolamento stesso, ha diritto ad ottenere il risarcimento del danno dal titolare o dal responsabile del trattamento.

Il danno che l’interessato può chiedere è sia quello patrimoniale che quello non patrimoniale. I presupposti per potere ottenere il risarcimento sono:

  • la condotta, sia attiva che omissiva, che costituisce violazione del Gdpr;
  • il danno provocato all’interessato;
  • il nesso di causalità tra la condotta e il danno.

Ma come si ripartisce la responsabilità tra titolare del trattamento e responsabile del trattamento?

Il Gdpr stesso prevede che:

  • il titolare del trattamento deve corrispondere il risarcimento del danno quando è coinvolto nel trattamento che, violando il regolamento, ha procurato il danno;
  • il responsabile del trattamento risponde per il danno solo se non ha adempiuto agli obblighi che il GDPR prevede direttamente nei suoi confronti, oppure ha agito in modo difforme o addirittura contrario rispetto alle  istruzioni che gli ha impartito il titolare del trattamento.

Gdpr: la prova del danno subito dall’interessato

L’interessato i cui dati sono stati trattati in modo non conforme, se vuole ottenere il risarcimento del danno subito, dovrà provare:

  • l’esistenza del danno;
  • l’esistenza di una condotta che viola il Gdpr;
  • il nesso causale tra i primi due elementi.

Dal suo canto, il titolare del trattamento, se vuole sfuggire al risarcimento, deve provare:

  • che l’evento dannoso non è in alcun modo a lui imputabile;
  • che l’evento non ha prodotto realmente alcun danno.

Gdpr: come chiedere il risarcimento del danno?

A chi deve rivolgersi il diretto interessato per chiedere il risarcimento del danno?

Come in ogni azione risarcitoria l’interessato, in prima battuta, tenterà di agire attraverso una domanda stragiudiziale, ossia, inviando una comunicazione al titolare del trattamento con la quale mette in mora questo soggetto, illustrandogli le ragioni per cui considera illegittimo il trattamento ed invitandolo dunque a versare una certa somma a titolo di risarcimento.

Se questo tentativo non ha successo non resta che l’azione giudiziaria. Si tenga presente  che il Gdpr prevede che le azioni legali per l’esercizio del diritto al risarcimento del danno devono essere promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui l’interessato risiede abitualmente, salvo che il titolare o il responsabile del trattamento sia un’autorità pubblica di uno Stato membro nell’esercizio dei pubblici poteri.  In Italia, ci si dovrà dunque rivolgere al giudice civile.

Risarcimento del danno per violazione della privacy: la posizione della Cassazione

La Cassazione [4]  in una recente decisione ha affermato quando un datore di lavoro tratta i dati personali del dipendente in violazione delle norme a tutela della privacy scatta automaticamente a suo carico l’obbligo di risarcire il danno non patrimoniale subito dal lavoratore.

L’azienda può sfuggire al risarcimento solo se prova:

  • di avere adottato tutte le misure idonee ad evitare il prodursi del danno in capo all’interessato (in questo caso il lavoratore);
  • l’assenza o quantomeno la sostanziale irrilevanza del presunto danno subìto dall’interessato.

La Cassazione specifica, però, che il danno non è del tutto automatico.

In sostanza, la sola circostanza che i dati sono stati utilizzati in modo illecito o scorretto non è idonea, da sola, a legittimare l’interessato a richiedere il risarcimento del danno non patrimoniale.

Per ottenere il danno, infatti, è necessaria la sussistenza di un ulteriore elemento, consistente nella lesione sensibile della privacy.

Una volta provato quest’ultimo elemento, il risarcimento scatta in automatico.

Per avere una idea di quale può essere l’ammontare del risarcimento, si tenga conto che, in questo caso, il dipendente ha ottenuto un risarcimento pari a euro 10.000.

Nel caso affrontato dalla Cassazione un dipendente della Pubblica amministrazione era stato sottoposto ad un procedimento penale e l’amministrazione lo aveva trasferito. Nel provvedimento di trasferimento erano state riportate per esteso le motivazioni ed il dettaglio delle vicende giudiziarie.

L’Amministrazione aveva protocollato il provvedimento utilizzando il protocollo ordinario e facendo quindi conoscere a tutti gli altri dipendenti le delicate informazioni relative al coinvolgimento del dipendente nelle indagini.

Guarda il video


note

[1] Regolamento (UE) del Parlamento Europeo e del Consiglio n. 679/2016.

[2] Gdpr Considerando n. 146.

[3] Art. 82 Gdpr.

[4] Cass. ordinanza n. 14242 del 04.06.2018.

Autore immagine: Gdpr di Shyntartanya


Lascia un commento

Usa il form per discutere sul tema (max 1000 caratteri). Per richiedere una consulenza vai all’apposito modulo.

 


NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI

CERCA SENTENZA

Canale video Questa è La Legge

Segui il nostro direttore su Youtube