PRIVACY- REGOLAMENTO EUROPEO DATI PERSONALI- ACCOUNTABILITY- RESPONSABILITA’ EX ART. 82 GDPR
VIOLAZIONE ART. 82 GDPR E FUNZIONE RISARCITORIA/COMPENSATIVA PREVENTIVA/DETERRENTE DISSUASIVA/SANZIONATORI
La tutela dei diritti fondamentali e inviolabili sanciti nella Costituzione Italiana e nella Carta dei Diritti Fondamentali dell’UE non può, oggi, essere subordinata all’applicazione di norme codicistiche desuete.
IL GDPR 2016/679 ha sancito nuove regole, la più rilevante è sicuramente il principio di “accountability”, che determina in capo al Titolare del trattamento, un facere “ex ante” atto ad impedire che vi siano violazioni delle norme e ciò, prioritariamente, perché sussiste un interesse della collettività al rispetto delle regole.
L’art. 82 GDPR, il considerando 75 e 146, tracciano nuovi percorsi che impongono un nuovo intervento legislativo e una riflessione giuridica, che deve condurre l’Autorità Giudiziaria al superamento dell’attuale concezione di risarcimento del danno non patrimoniale, ex art. 2059 c.c., ammesso nei soli casi di prova del danno come conseguenza della violazione di norme.
- IL CONCETTO DI RESPONSABILIZZAZIONE-#ACCOUNTABILITY
Uno dei principali obblighi giuridici previsti dal #GDPR è costituito dal principio dell’accountability-responsabilizzazione.
Tradurlo in termini comprensibili a tutti diventa difficile.
Per esemplificare molto pensiamo ad un software che cambi le password del pc ogni tre mesi; ovvero ad un archivio, anche informatico, ove possono accedere solo alcuni soggetti etc; o alla descrizione delle procedure per verificare che tali regole vengano rispettate.
L’intento della nuova legge era, ed è, quella di favorire la libera circolazione dei dati ed attribuire all’individuo una posizione centrale, allo scopo di garantire alla persona fisica una tutela sostanziale ed effettiva dei suoi diritti, piuttosto che una tutela meramente formalistica.
La tutela dei diritti fondamentali e dei diritti inviolabili può essere assicurata soltanto grazie ad un’attenta lettura delle norme ed ad una corretta interpretazione sistemica delle stesse.
Analizziamo quelle più significative per il tema oggetto della presente illustrazione.
- COSA PREVEDONO IL CONSIDERANDO 75 E 146 #GDPR.
Il Considerando 175 #GDPR così recita:
“I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo; se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l’esercizio del controllo sui dati personali che li riguardano; se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza; in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali; se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori; se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati.
IL CONSIDERANDO 146 recita:
Il titolare del trattamento o il responsabile del trattamento dovrebbe risarcire i danni cagionati a una persona da un trattamento non conforme al presente regolamento ma dovrebbe essere esonerato da tale responsabilità se dimostra che l’evento dannoso non gli è in alcun modo imputabile.
Il concetto di danno dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di giustizia in modo tale da rispecchiare pienamente gli obiettivi del presente regolamento.
Ciò non pregiudica le azioni di risarcimento di danni derivanti dalla violazione di altre norme del diritto dell’Unione o degli Stati membri.
Un trattamento non conforme al presente regolamento comprende anche il trattamento non conforme agli atti delegati e agli atti di esecuzione adottati in conformità del presente regolamento e alle disposizioni del diritto degli Stati membri che specificano disposizioni del presente regolamento.
Gli interessati dovrebbero ottenere pieno ed effettivo risarcimento per il danno subito.
Qualora i titolari del trattamento o i responsabili del trattamento siano coinvolti nello stesso trattamento, ogni titolare del trattamento o responsabile del trattamento dovrebbe rispondere per la totalità del danno.
Tuttavia, qualora essi siano riuniti negli stessi procedimenti giudiziari conformemente al diritto degli Stati membri, il risarcimento può essere ripartito in base alla responsabilità che ricade su ogni titolare del trattamento o responsabile del trattamento per il danno cagionato dal trattamento, a condizione che sia assicurato il pieno ed effettivo risarcimento dell’interessato che ha subito il danno.
Il titolare del trattamento o il responsabile del trattamento che ha pagato l’intero risarcimento del danno può successivamente proporre un’azione di regresso contro altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento.
- COSA DICE L’ARTICOLO 82 #GDPR
Il #GDPR, che si applica sull’intero territorio dell’UE e che ha come scopo quello dell’armonizzazione delle legislazioni dei singoli Stati aderenti all’UE, ha innovato anche le precedenti leggi nazionali.
La L. 196/03 è stata quasi interamente abrogata ed è stata sostituita dal D.Lvo 101/18, noto anche come testo legge di armonizzazione al #GDPR.
L’art. 82 recita testualmente:”
- Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che #violi il presente #regolamento. Un #responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.
- Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile.
- L’ATTUALE ORIENTAMENTO GIURISPRUDENZIALE
Nel corso degli anni di vigenza della L. 196/03 sia le Corti di merito che la S.C.. hanno sostenuto che è ammesso il riconoscimento del diritto al risarcimento del danno patrimoniale e non patrimoniale, soltanto in presenza di prova del c.d. “danno/conseguenza”; cioè è chi lamenta di aver subito un danno che deve fornire la prova.
Tuttavia la sentenza n. 16601/2017, S.C. a Sez. Unite sostiene che alla responsabilità civile non è assegnato solo il compito di restaurare la sfera patrimoniale del soggetto che ha subito la lesione, poiché sono interne al sistema anche la funzione di deterrenza e quella sanzionatoria del responsabile civile.
- IL PANORAMA EUROPEO
A livello europeo non si è ancora formato un orientamento.
In tema di risarcimento del danno non patrimoniale non può passare inosservata la pronuncia del Tribunale regionale austriaco (Landesgericht) di Feldkirch (cfr. LG Feldkirch, Beschl. V. 07.08.2019 – Az.: 57 Cg 30 / 19b – 15).
Il Tribunale ha riconosciuto e assegnato a un interessato, i cui dati personali erano stati illecitamente elaborati dalla Österreichische Post (ÖPAG), l’importo di € 800,00, a titolo di risarcimento del danno immateriale.
Il Tribunale ha stabilito che: “Il concetto di danno deve essere interpretato in modo ampio e autonomo secondo il GDPR.
- IL NUOVO CONCETTO DI DANNO NEL #GDPR-
PREVALENZA DELLE NORME COSTITUZIONALI ED EUROPEE RISPETTO A NORME CODICISTICHE E NUOVA LETTURA DELL’ART. 2059 C.C..
Così come già descritto l’attuale normativa attribuisce centralità all’individuo.
Nell’era della digitalizzazione bisogna elaborare un nuovo pensiero e rivedere anche il concetto di risarcimento del danno non patrimoniale ex art. 2059 c.c..
Le piattaforme, i social network o le altre società dell’Informazione conseguono profitti mediante operazioni di acquisizione di dati personali effettuate, spesso, in spregio a quelle che sono le regole fissate dal Regolamento Europeo.
Ci potrà mai essere effettiva tutela dei Diritti Fondamentali e dei Diritti Inviolabili soltanto nei casi in cui un soggetto riesca a provare di aver subito un danno effettivo?
Lasciare che norme di rango sott’ordinato, quali quelle del codice civile, possano prevalere su norme costituzionali o su un Regolamento Europeo è un’aberrazione giuridica.
IL GDPR, tra l’altro, come su esposto, fa riferimento anche a qualsiasi altro danno economico o sociale significativo e non solo al danno non patrimoniale patito da ogni singolo individuo.
Ed allora è giunto il momento di pensare che il risarcimento del danno ex art. 2059 c.c. spetti ad ogni singolo individuo, indipendentemente dalla prova di un danno/conseguenza, unicamente perché c’è stata violazione della normativa ed è interesse preminente dello Stato tutelare il diritto alla corretta osservanza delle norme nell’interesse della collettività.
Come già su riportato alla responsabilità civile non è assegnato solo il compito di restaurare la sfera patrimoniale del soggetto che ha subito la lesione, poiché sono interne al sistema anche le funzioni deterrenti, sanzionatorie e preventive, si pensi ad esempio alla responsabilità per lite temeraria o del danno da occupazione senza titolo di immobile con destinazione pubblica
Il risarcimento dovrà essere riconosciuto al singolo perché collegato ad un evento da cui altri hanno tratto un vantaggio, un’utilità; deve essere riaffermato il concetto di danno/evento in re ipsa perché si deve osservare, in primis, il vantaggio conseguito dall’altro soggetto.
Ove poi il singolo riuscisse a provare di aver subito un danno ulteriore, il risarcimento del danno dovrà essere personalizzato ed effettivo.
Tra l’altro già nella Relazione del Guardasigilli al Codice Civile del 1942 sono presenti riferimenti al concetto di offesa all’ordine giuridico che non sono più limitati all’illecito penale ma comprendono le lesioni dei diritti fondamentali e gli interessi costituzionali della persona.
E’ arrivato il momento di cambiare e di essere al passo con i tempi, soprattutto perché il mondo digitale corre veloce.
Avv.to Paolo La Bollita