A cura di Damiana Lesce, Paola Lonigro e Valeria De Lucia
Principio cardine del Regolamento Europeo 2016/679 è quello della protezione delle persone con riguardo al trattamento dei dati e della conseguente necessità, per ogni ordinamento, di approntare meccanismi di reazione a condotte che danneggino le persone. Quanto sopra partendo da un dato di fatto: il trattamento dei dati è, di per sé, un’attività che espone gli altri (gli interessati) ad un “rischio”. Tale “rischio” è giuridicamente accettato dall’ordinamento, ma l’utilità economica e/o sociale di tale attività deve essere compensata da un sistema di tutele idonee a ripristinare il patrimonio giuridico dell’interessato (danneggiato). Qual è il rischio, anzi quali sono i rischi (e, quindi, i danni) connessi al trattamento dei dati? Ce lo dice il Considerando 75 del Regolamento:
“i rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d'identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo; se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l'esercizio del controllo sui dati personali che li riguardano; se sono trattati dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza; in caso di valutazione di aspetti personali, in particolare mediante l'analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l'affidabilità o il comportamento, l'ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali; se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori; se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati”.
I CODICI DI CONDOTTA E CERTIFICAZIONE
Il quadro delineato dall’esame dell’art. 82 del Regolamento (Diritto al risarcimento e responsabilità), che si analizzerà in prosieguo, evidenzia quanto sia importante disciplinare le responsabilità del titolare e del responsabile del trattamento adottando, tra l’altro, codici di condotta e di certificazione.
In relazione ai codici, così il Considerando 98: “Le associazioni o altre organizzazioni rappresentanti le categorie di titolari del trattamento o di responsabili del trattamento dovrebbero essere incoraggiate a elaborare codici di condotta, nei limiti del presente regolamento, in modo da facilitarne l'effettiva applicazione, tenendo conto delle caratteristiche specifiche dei trattamenti effettuati in alcuni settori e delle esigenze specifiche delle microimprese e delle piccole e medie imprese. In particolare, tali codici di condotta potrebbero calibrare gli obblighi dei titolari del trattamento e dei responsabili del trattamento, tenuto conto del potenziale rischio del trattamento per i diritti e le libertà delle persone fisiche”.
Ed ancora, si legge al Considerando 100: “Al fine di migliorare la trasparenza e il rispetto del presente regolamento dovrebbe essere incoraggiata l'istituzione di meccanismi di certificazione e sigilli nonché marchi di protezione dei dati che consentano agli interessati di valutare rapidamente il livello di protezione dei dati dei relativi prodotti e servizi”.
Si noti bene che l’adozione di codici non è sufficiente ai fini dell’esonero di responsabilità. Così, infatti, l’articolo 42, comma 4: “la certificazione ai sensi del presente articolo non riduce la responsabilità del titolare del Newsletter 3 trattamento o del responsabile del trattamento riguardo alla conformità al presente regolamento”. Al contempo, tuttavia lo stesso Regolamento prevede: “L'adesione ai codici di condotta di cui all'articolo 40 o a un meccanismo di certificazione di cui all'articolo 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento” (articolo 24, paragrafo 3).
Quindi, benché l’adesione ai codici di condotta e di certificazione non siano sufficienti ai fini dell’esonero dalla responsabilità, gli stessi sono strumenti utili ed espressamente consigliati per garantire il rispetto del Regolamento.
DIRITTO AL RISARCIMENTO E RESPONSABILITÀ: L’ART. 82 DEL REGOLAMENTO
■ Ai sensi dell’articolo 82 del Regolamento 2016/679: “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”.
Il primo paragrafo dell’art. 82 afferma, dunque, il diritto dell’interessato (danneggiato) di ottenere il risarcimento del danno, sia quello patrimoniale sia quello non patrimoniale. Tale diritto sorge nel momento in cui è stata posta in essere una condotta, attiva o omissiva, che costituisca violazione di una prescrizione del regolamento. Sono tenuti al risarcimento del danno il titolare o il responsabile del trattamento.
A differenza di quanto previsto dall’art. 15 del Codice Privacy (“Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile”), si osserva, innanzitutto, che la prospettiva del Regolamento è focalizzata sul “danneggiato” (e non su chi ha cagionato il danno).
Ma ciò che più rileva è l’individuazione del soggetto obbligato a risarcire. Il Codice Privacy individua il responsabile del danno in “chiunque”; il Regolamento indica il titolare e il responsabile del trattamento.
Da quanto sopra discende un primo tema che certamente dovrà essere risolto in sede applicativa, vale a dire la possibilità, in caso di violazione del Regolamento, di imputare la responsabilità ed i conseguenti oneri risarcitori ad un soggetto “diverso” da quelli indicati nel primo paragrafo dell’art. 82. Pur in attesa di chiarimenti da parte dell’Autorità Garante, tenuto conto delle regole generali di cui al nostro codice civile ex art. 2043 cod. civ. (Risarcimento per fatto illecito), ex art. 2050 cod. civ. (Responsabilità per l’esercizio di attività pericolose), ex art. 2055 cod. civ. (Responsabilità solidale), si può ragionevolmente e sin da ora ad escludere che, un soggetto “diverso” da quelli indicati nell’art. 82 del Regolamento, nel caso sia autore di un danno nei confronti degli interessati, possa ritenersi esente da responsabilità.
■ Nel prosieguo, l’art. 82 del Regolamento disciplina il tema della ripartizione delle responsabilità in coerenza con quanto previsto dal Considerando 79: “La protezione dei diritti e delle libertà degli interessati così come la responsabilità generale dei titolari del trattamento e dei responsabili del trattamento, anche in relazione al monitoraggio e alle misure delle autorità di controllo, esigono una chiara ripartizione delle responsabilità ai sensi del presente regolamento, compresi i casi in cui un titolare del trattamento stabilisca le finalità e i mezzi del trattamento congiuntamente con altri titolari del trattamento o quando l'operazione di trattamento viene eseguita per conto del titolare del trattamento”.
Ed in applicazione di quanto sopra, il secondo paragrafo dell’articolo 82 del Regolamento dispone: “Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento”.
Il titolare del trattamento, dunque, risponde dei danni causati dal trattamento illegittimo; il responsabile del trattamento risponde per violazione degli obblighi posti a suo carico, oppure se ha disatteso le istruzioni del titolare del trattamento. E’ stato osservato che la disposizione in esame sembra delineare previsioni apparentemente molto restrittive delle ipotesi di responsabilità in capo al Titolare ed al Responsabile.Così non è.
Infatti, la predetta disposizione deve essere integrata e, quindi, interpretata tenuto conto:
(i) per quanto riguarda il titolare, del Considerando 146: “Ciò (il riferimento a violazioni del regolamento, ndr) non pregiudica le azioni di risarcimento di danni derivanti dalla violazione di altre norme del diritto dell'Unione o degli Stati membri. Un trattamento non conforme al presente regolamento comprende anche il trattamento non conforme agli atti delegati e agli atti di esecuzione adottati in conformità del presente regolamento e alle disposizioni del diritto degli Stati membri che specificano disposizioni del presente regolamento”;
(ii) per quanto riguarda il Responsabile, dell’art. 28, paragrafo 3: “Con riguardo alla lettera h) del primo comma1, il responsabile del trattamento informa immediatamente il titolare del trattamento qualora, a suo parere, un'istruzione violi il presente regolamento o altre disposizioni, nazionali o dell'Unione, relative alla protezione dei dati.”
Da quanto sopra discende che il titolare sarà responsabile non solo in caso di violazione del Regolamento ma, altresì, anche nell’ipotesi di mancata ottemperanza alle altre disposizioni previste dalle norme attuative, dagli atti delegati, dagli atti di esecuzione del Regolamento, dalle altre disposizioni dei singoli Stati membri.
Quanto al responsabile del trattamento, se apparentemente la norma sembra limitare la sua responsabilità alle sole azioni attive od omissive rispetto a precetti del regolamento e/o alle istruzioni/direttive/indicazioni del titolare del trattamento, in realtà il responsabile del trattamento ha un dovere di porta generale: è suo compito anche avvisare il titolare del trattamento in caso di condotte non correttamente disciplinate. Può, quindi, delinearsi a suo carico una responsabilità (in tal caso, in solido con il titolare del trattamento) anche (solo) per “omessa” informazione.
■ Ai sensi del paragrafo 3 dell’articolo 82: “Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l'evento dannoso non gli è in alcun modo imputabile”.
La norma individua, dunque, a quali condizioni il titolare o il responsabile del trattamento sono esonerati da responsabilità: L’uno e/o l’altro devono dimostrare: (1) che l’evento dannoso non è loro imputabile e che, quindi, da fonte del danno è loro estranea; (2) di avere adottato tutte le misure idonee a evitare il danno.
Vi è, quindi, una inversione dell’onere della prova che si inserisce in una presunzione di colpevolezza. L’ “imputato” dovrà dimostrare di essere “innocente”, vale a dire avere adottato tutte le misure idonee a evitare il danno.
■ Ai sensi del paragrafo 4 dell’articolo 82 “Qualora più titolari del trattamento o responsabili del trattamento oppure entrambi il titolare del trattamento e il responsabile del trattamento siano coinvolti nello stesso trattamento e siano, ai sensi dei paragrafi 2 e 3, responsabili dell'eventuale danno causato dal trattamento, ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l'intero ammontare del danno, al fine di garantire il risarcimento effettivo dell'interessato”. La norma disciplina, dunque, la solidarietà di titolare e responsabile del trattamento nell’obbligo di risarcire il danno all’interessato. Meritevole di attenzione è il riferimento al “coinvolgimento” nello stesso trattamento. Con tale espressione il Regolamento intende riferirsi a qualsivoglia forma di partecipazione, sia attiva sia passiva e tenuto conto degli obblighi in capo a ciascuna parte, nel trattamento causativo del danno Tenuto, quindi, conto della previsione di cui al paragrafo 3 dell’articolo 82 (innanzi esaminata), diventa imperativo definire in modo dettagliato, nelle policy privacy, le “istruzioni” che competono al titolare del trattamento e le previsioni contrattuali che disciplinato i doveri (obblighi) contrattuali del responsabile del trattamento.
■ Ai sensi del paragrafo 5 dell’articolo 82 “Qualora un titolare del trattamento o un responsabile del trattamento abbia pagato, conformemente al paragrafo 4, l'intero risarcimento del danno, tale titolare del trattamento o responsabile del trattamento ha il diritto di reclamare dagli altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno conformemente alle condizioni di cui al paragrafo 2.” La norma disciplina, dunque, le conseguenze patrimoniali del danno nei rapporti interni. Non vi è, pertanto, responsabilità solidale, ma responsabilità pro-quota. Il tema concreto è quello dei “criteri di calcolo” del grado/della misura della responsabilità tra i vari soggetti responsabili. Una linea guida per risolvere il predetto tema sarà certamente la verifica del rispetto, da parte di ciascuna delle figure coinvolte, dei doveri sulla stessa espressamente facenti capo ex lege.
Ed anche in questo caso risulta confermata l’importanza dell’adozione di validi CODICI DI CONDOTTA.