Richiedi una consulenza in studio gratuita!

Ahi ahi la privacy! Cosa si rischia in caso di violazioni


Breve guida sui rischi sanzionatori a carico di chi fa un uso scorretto dei dati personali
Ahi ahi la privacy! Cosa si rischia in caso di violazioni

Il regolamento europeo GDPR (art. 82)  emanato nel 2016 disciplina il risarcimento dei danni materiali ed immateriali, da intendersi come i danni patrimoniali e morali,  relativamente alla violazione del diritto alla privacy

Con questo corpo legislativo è stato, infatti, confermato il diritto di chiunque ad ottenere il risarcimento dei danni derivanti da violazioni di dati personali e tale norma di legge (art.82) rappresenta in data odierna l'unica norma di diritto sostanziale specifica che riconosce il diritto al risarcimento del danno conseguente ad illegittimo trattamento dei dati personali.

L’articolo rappresenta uno spunto per conoscere alcuni essenziali passaggi della normativa privacy in chiave sanzionatoria e si interessa di far comprendere come la normativa sanzionatoria in chiave amministrativa sia molto severa.

Partiamo dalla prima questione:

1. CHI RISPONDE DELLA VIOLAZIONE DEL DATO PERSONALE?

Le norme riportate nell'art. 82 si interessano di salvaguardare l'efficacia del risarcimento in favore dei soggetti lesi che saranno liberi di adire tutti i soggetti, ai quali può essere imputato il danno, o solo alcuni di loro. È per questo che i soggetti obbligati al risarcimento del danno alla privacy, a norma del comma 1 del soprarichiamato articolo sono il titolare ed il responsabile del trattamento individuando per ciascuno di essi differenti ambiti di responsabilità. Per questa ragione:

- Il Titolare del trattamento è responsabile per i danni derivanti da qualsiasi violazione degli obblighi previsti dal Regolamento (Considerando 146). In caso di contitolarità, si dovrà tener conto degli obblighi assunti espressamente in sede contrattuale;
- Il Responsabile del trattamento, secondo quanto previsto dall’art. 82 del Regolamento risponde in due ipotesi: (i) mancato adempimento corretto degli obblighi stabiliti specificamente dal Regolamento a carico dei responsabili del trattamento; (ii) nel caso in cui abbia agito in modo difforme o contrario alle istruzioni ricevute dal Titolare (mancata assistenza al Titolare nella redazione e compilazione della “valutazione di impatto”; in caso di data breach; mancata del registro dei trattamenti o alla nomina del DPO; ecc.).
Qualora il  trattamento del dato sia eseguito totalmente o parzialmente sia dal Titolare che dal Responsabile si ravviserà una responsabilità solidale nei confronti del Titolare il quale potrà agire in via di rivalsa nei confronti dell'altro. Come si può notare opera in questi casi, un regime non di responsabilità solidale in senso stretto, considerato che viene fatta salva l'azione di rivalsa, bensì una responsabilità pro-quota.

 

2. QUAL’È LA CASISTICA DELLE VIOLAZIONI AL DATO PERSONALE?

L’ampia casistica di ipotesi di violazioni di dati personali, si può rinvenire dallo studio della giurisprudenza e dalla lettura degli studi a corredo del Regolamento europeo (considerando 75). Si evidenziano ipotesi in cui il trattamento del dato comporti:

- discriminazioni;

- furto o usurpazione d'identità;

- perdite finanziarie;

- pregiudizio alla reputazione;

- perdita di riservatezza dei dati personali protetti da segreto professionale;

- decifratura non autorizzata della pseudonimizzazione;

- o qualsiasi altro danno economico o sociale significativo.

La giurisprudenza, d’altra parte ha avuto modo di occuparsi in plurime occasioni di fattispecie differenti di violazione di dati personali, come, ad esempio:

1. Il danno da spamming;

2. Il danno da telefonate indesiderate;

3. Il danno da comunicazioni elettorali indesiderate;

4. Il danno da illegittima segnalazione alle centrali rischi (private o pubbliche),v. Trib. Lecce 5 agosto 2008, n. 1596;

5. Il danno da illegittima comunicazione di dati sanitari;

6. Il danno da perdita di dati;

7. Il danno da illegittimo controllo datoriale mediante, ad esempio, accesso ai dati presenti sul PC del dipendente, o raccolti tramite software che consentono la tracciatura delle attività dei dipendenti, ecc.

 

3. CHI DEVE DIMOSTRARE COSA? L’ONERE PROBATORIO

È il soggetto leso che intenda per l'appunto a far valere il proprio diritto, il soggetto che deve fornire in giudizio la prova dell'esistenza del danno cosi come implicitamente confermato dall’art. 82 e come, del resto richiamato dalla giurisprudenza di legittimità. 

Infatti in tale senso opera la norma combinata composta dagli artt. 15 cod. privacy ed 2050 c.c. che stabilisce come sia gravante in capo a chi intende far valere in giudizio una responsabilità per illegittimo trattamento di dati personali.

La medesima consistenza del pregiudizio arrecato dovrà essere oggetto di adeguata e proporzionata deduzione da parte del soggetto interessato (Cfr.  Cass. n. 217/2019, Cass. n. 10683/2016 e App. Palermo n. 1404/2018).

Molto interessante appare il contegno che deve mantenere il convenuto in giudizio e l’onere probatorio che ricade su di esso in termini di accertamento della “non imputabilità” cosi come richiamato espressamente dall’art. 82 del Regolamento.
 

4. COSA SI RISCHIA?

LE SANZIONI AMMINISTRATIVE PECUNIARIE PREVISTE DAL GDPR

Le sanzioni amministrative pecuniarie previste dal Regolamento Europeo (art. 83, commi 4, 5 e 6) sono di tre tipi:

- “sanzioni amministrative pecuniarie fino a 10.000.000 EUR, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore” per i destinatari che siano titolari del trattamento, responsabili del trattamento, organismi di certificazione e Autorità di controllo;
- “sanzioni amministrative pecuniarie fino a 20.000.000 EUR, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore” per titolari del trattamento e responsabili del trattamento;
- per “l'inosservanza di un ordine da parte dell'autorità di controllo di cui all'articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20.000.000 EUR, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore”.
A questi devono aggiungersi importanti risvolti di natura penale che per la loro importanza saranno oggetto di un ulteriore studio e valutazione.

 

5. CONCLUSIONI

Naturalmente questo scritto rappresenta solo un piccolo tassello della monumentale normativa privacy sull’argomento. Questa breve esposizione è rilevante per far comprendere come la materia della privacy debba essere “presa sul serio” dai vari operatori che sono chiamati ad occuparsene. Questo elaborato deve essere perciò visto in tale chiave: una sorta di “presa di coscienza”, un semplice ma importante atto di sensibilizzazione verso questa importante materia.

Articolo del:



L'autore dell'articolo non è nella tua città?

Cerca un professionista con le stesse caratteristiche a te più vicino.

Cerca nella tua città o in una città di tuo interesse

Altri articoli del professionista

Green Pass e privacy: un matrimonio discusso ma felice

Il Green Pass è un pericolo per la protezione dei dati personali in ambito sanitario?

Continua

Privacy e storie di password

Password: come formularle? Cosa si rischia per il loro uso improprio? In questo articolo proponiamo suggerimenti ed esempi tratti dalla Giurisprudenza

Continua

Privacy e videosorveglianza nei condomini

Come armonizzare l’esigenza di riservatezza e privacy con l’utilizzo dei sistemi di videosorveglianza all’interno dei condomini

Continua

Green Pass e privacy sul lavoro

Consegna di copia della certificazione verde per i lavoratori del settore pubblico e privato: quali sono le perplessità relative alla privacy

Continua

Privacy e cyberbullismo: scenari e ambiti di applicazione

Come la regolamentazione privacy si integra nella tutela del minore vittima di cyberbullismo

Continua

Privacy e diritto di difesa

Il datore di lavoro, per esercitare il proprio diritto alla difesa, estrae documenti contenenti dati personali dal PC aziendale del dipendente. Può farlo?

Continua

Privacy e Green Pass: ennesima puntata

Quando è necessario il “Green Pass Rafforzato”?

Continua

“Diritto all'oblio”, privacy on web

Quali sono le responsabilità dei web provider? Riportiamo una sentenza esemplare

Continua

Telemarketing selvaggio e privacy

Quali sono i nuovi strumenti di difesa? Le ultime novità proposte dal Garante

Continua

Fidelity card e privacy

Come possiamo tutelare e proteggere i nostri dati personali?

Continua

“Phishing”, la “Pesca” dei nostri dati personali

In cosa consiste e come evitare spiacevoli furti della nostra privacy!

Continua

Anagrafe nazionale degli assistiti: step privacy in ambito sanitario

Anagrafe nazionale degli assistiti: cos'è e come funziona e il potenziamento del Fascicolo sanitario elettronico

Continua

Cosa sono i “Cookie” e quale è il loro impatto sulla privacy?

Cosa sono i famigerati “Cookie” e quale è la loro importanza circa un corretto utilizzo in materia di privacy?

Continua

Privacy, minori e new tecnology

I rischi di un uso “inconsapevole” degli strumenti della nuova tecnologia da parte dei minori e possibilità di tutela

Continua

Diritto di cronaca ed esercizio della privacy

Quali sono i limiti per l'esercizio del diritto di cronaca? Qual è il rapporto con la privacy e quali i criteri per bilanciare le rispettive esigenze?

Continua

Qualcuno ha violato la tua privacy?

Contatta il Garante…Presenta un Reclamo…fai così!

Continua

Privacy Vs. trasparenza amministrativa 1-0

Cosa accade quando le “esigenze” di privacy in materia sanitaria si scontrano con quelle legate alla trasparenza amministrativa

Continua

Il caso Tik Tok: la base giuridica del consenso al trattamento del dato

Come di riconosce il presupposto giuridico che rende il trattamento lecito

Continua