Ahi ahi la privacy! Cosa si rischia in caso di violazioni
Il regolamento europeo GDPR (art. 82) emanato nel 2016 disciplina il risarcimento dei danni materiali ed immateriali, da intendersi come i danni patrimoniali e morali, relativamente alla violazione del diritto alla privacy.
Con questo corpo legislativo è stato, infatti, confermato il diritto di chiunque ad ottenere il risarcimento dei danni derivanti da violazioni di dati personali e tale norma di legge (art.82) rappresenta in data odierna l'unica norma di diritto sostanziale specifica che riconosce il diritto al risarcimento del danno conseguente ad illegittimo trattamento dei dati personali.
L’articolo rappresenta uno spunto per conoscere alcuni essenziali passaggi della normativa privacy in chiave sanzionatoria e si interessa di far comprendere come la normativa sanzionatoria in chiave amministrativa sia molto severa.
Partiamo dalla prima questione:
1. CHI RISPONDE DELLA VIOLAZIONE DEL DATO PERSONALE?
Le norme riportate nell'art. 82 si interessano di salvaguardare l'efficacia del risarcimento in favore dei soggetti lesi che saranno liberi di adire tutti i soggetti, ai quali può essere imputato il danno, o solo alcuni di loro. È per questo che i soggetti obbligati al risarcimento del danno alla privacy, a norma del comma 1 del soprarichiamato articolo sono il titolare ed il responsabile del trattamento individuando per ciascuno di essi differenti ambiti di responsabilità. Per questa ragione:
- Il Titolare del trattamento è responsabile per i danni derivanti da qualsiasi violazione degli obblighi previsti dal Regolamento (Considerando 146). In caso di contitolarità, si dovrà tener conto degli obblighi assunti espressamente in sede contrattuale;
- Il Responsabile del trattamento, secondo quanto previsto dall’art. 82 del Regolamento risponde in due ipotesi: (i) mancato adempimento corretto degli obblighi stabiliti specificamente dal Regolamento a carico dei responsabili del trattamento; (ii) nel caso in cui abbia agito in modo difforme o contrario alle istruzioni ricevute dal Titolare (mancata assistenza al Titolare nella redazione e compilazione della “valutazione di impatto”; in caso di data breach; mancata del registro dei trattamenti o alla nomina del DPO; ecc.).
Qualora il trattamento del dato sia eseguito totalmente o parzialmente sia dal Titolare che dal Responsabile si ravviserà una responsabilità solidale nei confronti del Titolare il quale potrà agire in via di rivalsa nei confronti dell'altro. Come si può notare opera in questi casi, un regime non di responsabilità solidale in senso stretto, considerato che viene fatta salva l'azione di rivalsa, bensì una responsabilità pro-quota.
2. QUAL’È LA CASISTICA DELLE VIOLAZIONI AL DATO PERSONALE?
L’ampia casistica di ipotesi di violazioni di dati personali, si può rinvenire dallo studio della giurisprudenza e dalla lettura degli studi a corredo del Regolamento europeo (considerando 75). Si evidenziano ipotesi in cui il trattamento del dato comporti:
- discriminazioni;
- furto o usurpazione d'identità;
- perdite finanziarie;
- pregiudizio alla reputazione;
- perdita di riservatezza dei dati personali protetti da segreto professionale;
- decifratura non autorizzata della pseudonimizzazione;
- o qualsiasi altro danno economico o sociale significativo.
La giurisprudenza, d’altra parte ha avuto modo di occuparsi in plurime occasioni di fattispecie differenti di violazione di dati personali, come, ad esempio:
1. Il danno da spamming;
2. Il danno da telefonate indesiderate;
3. Il danno da comunicazioni elettorali indesiderate;
4. Il danno da illegittima segnalazione alle centrali rischi (private o pubbliche),v. Trib. Lecce 5 agosto 2008, n. 1596;
5. Il danno da illegittima comunicazione di dati sanitari;
6. Il danno da perdita di dati;
7. Il danno da illegittimo controllo datoriale mediante, ad esempio, accesso ai dati presenti sul PC del dipendente, o raccolti tramite software che consentono la tracciatura delle attività dei dipendenti, ecc.
3. CHI DEVE DIMOSTRARE COSA? L’ONERE PROBATORIO
È il soggetto leso che intenda per l'appunto a far valere il proprio diritto, il soggetto che deve fornire in giudizio la prova dell'esistenza del danno cosi come implicitamente confermato dall’art. 82 e come, del resto richiamato dalla giurisprudenza di legittimità.
Infatti in tale senso opera la norma combinata composta dagli artt. 15 cod. privacy ed 2050 c.c. che stabilisce come sia gravante in capo a chi intende far valere in giudizio una responsabilità per illegittimo trattamento di dati personali.
La medesima consistenza del pregiudizio arrecato dovrà essere oggetto di adeguata e proporzionata deduzione da parte del soggetto interessato (Cfr. Cass. n. 217/2019, Cass. n. 10683/2016 e App. Palermo n. 1404/2018).
Molto interessante appare il contegno che deve mantenere il convenuto in giudizio e l’onere probatorio che ricade su di esso in termini di accertamento della “non imputabilità” cosi come richiamato espressamente dall’art. 82 del Regolamento.
4. COSA SI RISCHIA?
LE SANZIONI AMMINISTRATIVE PECUNIARIE PREVISTE DAL GDPR
Le sanzioni amministrative pecuniarie previste dal Regolamento Europeo (art. 83, commi 4, 5 e 6) sono di tre tipi:
- “sanzioni amministrative pecuniarie fino a 10.000.000 EUR, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore” per i destinatari che siano titolari del trattamento, responsabili del trattamento, organismi di certificazione e Autorità di controllo;
- “sanzioni amministrative pecuniarie fino a 20.000.000 EUR, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore” per titolari del trattamento e responsabili del trattamento;
- per “l'inosservanza di un ordine da parte dell'autorità di controllo di cui all'articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20.000.000 EUR, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore”.
A questi devono aggiungersi importanti risvolti di natura penale che per la loro importanza saranno oggetto di un ulteriore studio e valutazione.
5. CONCLUSIONI
Naturalmente questo scritto rappresenta solo un piccolo tassello della monumentale normativa privacy sull’argomento. Questa breve esposizione è rilevante per far comprendere come la materia della privacy debba essere “presa sul serio” dai vari operatori che sono chiamati ad occuparsene. Questo elaborato deve essere perciò visto in tale chiave: una sorta di “presa di coscienza”, un semplice ma importante atto di sensibilizzazione verso questa importante materia.
Articolo del: