Dopo l’entrata in vigore del GDPR, mentre da un lato si è accentuata la tutela nei confronti dell’interessato (cfr. principio usercentric), dall’altro si sono rafforzati gli obblighi in capo al titolare/responsabile del trattamento andando a delineare in capo a questi ultimi una maggiore responsabilità in tema di liceità e correttezza del trattamento del dato.
Il tema della responsabilità conseguente al trattamento illecito dei dati è regolato dall’art. 82 GDPR che ha abrogato l’art. 15 Codice Privacy (D.lgs. 196/2003).
Se prima l’art. 15 prevedeva una forma di responsabilità extracontrattuale rinviando al 2050 c.c. (responsabilità per esercizio di attività pericolosa), oggi l’art. 82 GDPR si basa sui seguenti elementi:
• responsabilità del titolare che ponga in essere un trattamento in violazione del GDPR;
• responsabilità del responsabile sia che violi gli obblighi a lui espressamente riferiti dal GDPR, sia che agisca in modo difforme rispetto alle istruzioni a lui impartite dal titolare;
• rapporto di solidarietà nell’obbligazione risarcitoria;
• esonero dalla responsabilità solo se si dia prova che l’evento dannoso non sia imputabile al titolare/responsabile.
Tuttavia, stante l’assenza di una cospicua casistica sul tema, la natura della responsabilità, la ripartizione dell’onere della prova danneggiato/danneggiante, l’esatta quantificazione del danno e del relativo risarcimento sono ancora in fase di definizione ad opera della giurisprudenza.
Nel dettaglio, di seguito verranno riportati alcuni riferimenti giurisprudenziali in tema di responsabilità ex art. 82 GDPR per cercare di delineare meglio la fattispecie in tutti i suoi elementi costitutivi.
In tema di ripartizione dell’onere della prova in relazione alla responsabilità ex art. 82 GDPR, la Cassazione negli anni scorsi si è così espressa: “Quanto all’onere della prova, va ricordato che, alla stregua dell’articolo 15 del d.lgs. n. 196 del 2003 e dell’articolo 2050 c.c., su colui che agisce per l’abusiva utilizzazione dei suoi dati personali incombe soltanto – seppure in via preliminare rispetto alla prova, da parte del danneggiante della mancanza di colpa- l’onere di provare il danno subito, siccome riferibile al trattamento del suo dato personale”(Cass. Civ. 23/05/2016 n. 10638).
In sintesi, la pronuncia riportata si potrà così semplificare:
• il danneggiante doveva provare l’assenza di sua colpa;
• il danneggiato doveva provare il danno subito, che, anche alla luce degli ultimi orientamenti giurisprudenziali, non può ritenersi in re ipsa.
Nel dettaglio, in relazione alla figura del danneggiato e al profilo della risarcibilità del danno, la Corte nel 2017 chiarisce che “In caso di illecito trattamento dei dati personali […], il danno, sia patrimoniale che non patrimoniale, non può essere considerato in re ipsa per il fatto stesso dello svolgimento dell’attività pericolosa. Anche nel quadro di applicazione dell’articolo 2050 c.c., il danno, e in particolare la perdita, deve essere sempre allegato e provato da parte dell’interessato” (Cass. 25/1/2017, n. 1931).
Concretamente, quindi, il danno derivante da illecito trattamento dei dati non è connaturato allo svolgimento dell’attività stessa di trattamento, e, in un’ottica risarcitoria, dovrà sempre essere provato da parte del danneggiato.
Le sentenze citate continuano a far parte del patrimonio giurisprudenziale della Corte (cfr. citazione in Cass. Civ., Sez. I, ord. n. 207/2019), anche se, ad oggi, le conclusioni della giurisprudenza nazionale sul danno in relazione al trattamento illecito dei dati si sono formate solo su vicende anteriori all’entrata del GDPR.
In sunto, ad oggi, stante a quanto sopra esposto:
• l’interessato/danneggiato ha l’onere di provare, ai fini della configurazione del danno, la serietà della lesione patita dal trattamento illecito. A ciò si accompagna la prova del nesso di causalità e della quantificazione dei danni provocati dal trattamento illecito.
• il danneggiante (titolare o/e responsabile) potrà andare esente da responsabilità provando che la violazione non è dovuta a sua colpa, il che, calato nella normativa GDPR, equivale alla dimostrazione di aver adottato le misure tecniche ed organizzative preventive idonee, in osservanza del principio di accountability, o, in alternativa, alla prova che il danno derivi da terzi.
A conclusione deve sottolinearsi come, stante il costante accrescimento delle tecnologie e l’importanza della tutela dei dati personali dell’interessato, sarebbe presto auspicabile un intervento deciso da parte della Suprema Corte per regolarizzare i temi di cui al presente articolo.
Soprattutto, al fine di definire con chiarezza quali siano gli oneri/responsabilità in capo ai titolari del trattamento e le tutele giudiziali apprestate nei confronti di chi vede leso il proprio diritto rispetto la liceità del trattamento dei propri dati.