La violazione dei dati personali e il risarcimento del danno subito

di Federica De Stefani, avvocato e responsabile Aidr Regione Lombardia

Le sanzioni che derivano da un trattamento illecito di dati possono avere varia natura, poiché, secondo la normativa vigente, possono coesistere tra di loro sanzioni penali, amministrative e civili, a seconda della tipologia di violazione.

Generalmente siamo abituati a pensare che il Regolamento europeo in materia di protezione dei dati preveda unicamente sanzioni amministrative milionarie (fino a 20 milioni di euro), ma lo stesso Regolamento prevede, all’art. 82 anche la possibilità per chi subisca un danno derivante da un trattamento illecito di chiedere il relativo risarcimento.

La norma è stata di recente portata agli onori della cronaca per una sentenza del Tribunale regionale superiore austriaco che ha sancito la risarcibilità del danno derivante dal trattamento illecito dei dati e ha specificato i presupposti per ottenere il ristoro del danno.

L’art. 82 del Regolamento, in realtà, è chiaro nel prevedere espressamente la risarcibilità del danno materiale o immateriale causato da un trattamento illecito di dati indicando nel titolare del trattamento o dal responsabile del trattamento i soggetti tenuti al risarcimento.

In sostanza se da un lato la norma riconosce espressamente l’ammissibilità del danno non patrimoniale, dall’altro, affinchè sorga l’obbligazione risarcitoria, è necessario che sussistano:

  • un trattamento illecito di dati, ossia una condotta, attiva od omissiva, che integri una violazione delle norme del Regolamento;
  • il danno;
  • il nesso eziologico tra la condotta e il danno.

Il Regolamento prevede che il danno (materiale o immateriale) è risarcibile se causato da una violazione del regolamento e prevede per il titolare e il responsabile del trattamento la possibilità di essere esonerati dalla responsabilità se dimostrano che l’evento dannoso non è in alcun modo a loro imputabile.

Questo significa che la responsabilità di cui si discute non è una responsabilità oggettiva, ma sussiste esclusivamente nell’ipotesi in cui ci sia un rapporto di causalità tra la violazione del Regolamento (imputabile al titolare o al responsabile) e l’evento dannoso.

In altre parole il soggetto ha la possibilità di fornire la prova di aver correttamente adempiuto agli obblighi derivanti dal Regolamento e di aver adottato le misure adeguate per la protezione dei dati.

Si tratta, senza alcun dubbio, di una previsione normativa per così dire molto ampia, se si considera che la locuzione “una violazione del presente regolamento” senza specificare alcun ulteriore aspetto, impone di far ricorso al considerando 85 per avere una elencazione esemplificativa, e non di certo esaustiva, delle ragioni che potrebbero essere poste alla base di una richiesta di risarcimento.

Il considerando 85, infatti, indica una serie di aspetti che riguardano:

  • perdita del controllo dei dati personali degli interessati;
  • limitazione dei loro diritti;
  • discriminazione;
  • furto o usurpazione d’identità;
  • perdite finanziarie;
  • decifratura non autorizzata della pseudonimizzazione;
  • pregiudizio alla reputazione;
  • perdita di riservatezza dei dati personali protetti da segreto professionale

Conclude infine con l’ipotesi generica di “qualsiasi altro danno economico o sociale significativo alla persona fisica interessata”.

La formula di chiusura si allinea con la previsione dell’art. 82 che indica genericamente “qualsiasi violazione del presente regolamento” lasciando così ampia possibilità di identificazione delle fattispecie concrete.

In una recentissima pronuncia il Tribunale regionale superiore austriaco di Innsbruck (Giudizio di 13.02.2020 – Az.: 1 R 182/19 b) è intervenuto sulla questione del risarcimento del danno derivante da una violazione del GDPR e ha specificato che il risarcimento del danno derivante da trattamento illecito dei dati non è in re ipsa, ma spetta al soggetto che avanza la pretesa risarcitoria dimostrare il danno derivante dall’illiceità del trattamento e le caratteristiche del danno subito.

In sede contenziosa, quindi, non è sufficiente affermare di aver subito un danno per il solo fatto di aver subito un trattamento illecito dei propri dati, ma è necessario fornire la prova di un nesso eziologico tra i due.

Sarà pertanto necessario articolare la propria richiesta spiegando il danno subito, indicandone le varie peculiarità. Il danno dovrà quindi essere qualificato e specificato, anche facendo riferimento alle tipologie di rischi indicati dai considerando 75 e 85 del Regolamento che, in ogni caso, forniscono solo indicazioni esemplificative. Il danno dovrà pertanto essere circostanziato e non indicato genericamente facendo ricorso a una “categoria generica”. L’interessato dovrà inoltre fornire la prova di avere effettivamente subito il danno lamentato. Anche in questo caso non è sufficiente invocare una categoria generica e asserire di aver subito il relativo pregiudizio, ma devono essere fornite prove concrete del danno lamentato e dovrà anche essere dimostrata l’entità del danno. Quest’ultimo, infatti, non potrà, ai fini risarcitori, essere considerato una semplice preoccupazione o un mero fastidio derivante dal trattamento illecito. In altre parole il danno deve avere una consistenza per così dire significativa per poter essere considerato rilevante ai fini risarcitori.

A tutto questo si aggiunga, inoltre, il nesso eziologico. Il danno lamentato deve essere causa diretta della violazione dei dati, così come espressamente previsto dall’art. 82 del Regolamento.

In conclusione ottenere quindi il risarcimento del danno patito in conseguenza della violazione dei propri dati personali è possibile, anche se soggetto, come visto, a vincoli probatori piuttosto specifici.

Un particolare riflessione merita il fatto che non si tratti di una responsabilità oggettiva che fa sorgere automaticamente il risarcimento del danno.

Il GDPR è una normativa molto particolare che in virtù del principio di accountability lascia al titolare ampio margine di scelta delle misure da adottare per la compliance.

Questo si traduce nella possibilità di avere soluzioni che risultano adeguate per una certa realtà, ma che se applicate a realtà diverse possono non garantire la protezione dei dati personali.

Valutare preliminarmente le misure adottate dal titolare prima di avanzare richieste risarcitorie risulterà, nel prossimo futuro, indispensabile per valutare il possibile esito di una causa giudiziale.

Archivio

“Blockchain per tutti”, arriva il primo e-book di Aidr

Da oggi disponibile su sito associazione e su principali store on-line Si inaugura la collana editoriale dedicata anche ai non addetti ai lavori, con l’obiettivo di far scoprire le tecnologie e il...

Al via la “Call for professor” d’intesa con le università

L’Associazione Italian Digital Revolution – AIDR, in collaborazione con alcune università italiane, si è candidata come “Digital Knowledge Provider” nell’ambito di seminari, corsi di formazione e master universitari.L’obiettivo della “Call For Professor”, in linea con la missione associativa, è quello di porre i riflettori sull’innovazione, attraverso la diffusione della cultura digitale mettendo a disposizione delle Università italiane contenuti e docenti da inserire all’interno dei propri percorsi formativi.

VIDEO E PHOTO GALLERY

AIDR WEB TV

ITALIAN DIGITAL REVOLUTION

EVENTI ED INIZIATIVE

ITALIAN DIGITAL REVOLUTION

COME ASSOCIARSI

Cerchi il lavoro giusto per te? Scoprilo su IO LAVORO

IO LAVORO è un sistema informativo che utilizza la professione e i dati raccolti dai siti web di numerose istituzioni (Istat, Isfol, Miur, etc) o forniti come open data, per dare un quadro informativo completo sul mercato del lavoro e per favorire l’incontro domanda offerta.

AIDR NEWSLETTER

AIDR
Iscriviti alla nostra newsletter per essere sempre aggiornato sulle iniziative testo di prova e prova di testo

AIDR NOTIZIE DAL WEB

TUTTE LE NOTIZIE

Notizie
13/07/2020
La telemedicina è rimasta per lungo tempo poco diffusa e a livello di semplice sperimentazione, ma con l’emergenza sanitaria Covid-19 ha registrato un vero e proprio boom di interesse fra gli operatori del settore.L’emergenza Covid-19 ha accelerato la trasformazione digitale e organizzativa, precisa Andrea Bisciglia, cardiologo e responsabile dell’Osservatorio Sanità Digitale di AIDR,  ponendo l’accento su una medicina di precisione, orientata al territorio e alla continuità di cura. 
Notizie
10/07/2020
I Centri di ricerca DiTES (Digital Technologies, Education & Society) in collaborazione con l’Associazione Italian Digital Revolution (AIDR) concludono il 15 luglio 2020 (10:00-12:00) il ciclo di Tavole Rotonde dedicate alla riflessione su “Percorsi oltre la crisi. Educazione, Tecnologia e Società ai tempi del Covid-19”.
Notizie
08/07/2020
di Vito Coviello, socio AIDR, Responsabile Osservatorio tecnologie digitali nel settore dei trasporti  e della logistica. Ripartenza è oggi il sostantivo più usato in questa fase. È l’antonimo di interruzione, sospensione  e, pertanto, dopo il Covid-19 è  la parola che infonde speranza. Speranza di avviare una nuova fase di crescita più inclusiva, maggiormente attenta  allo sfruttamento delle risorse del pianeta terra. Si può ripartire con molteplici strategie economiche e politiche ma  se si vuol trarre insegnamento da una terribile pandemia, allora  si dovrebbe ripartire  con una “New, green and digital economy”.

AIDR
AZIENDE E COLLABORAZIONI

AIDR SOCIAL

Seguici sui social per restare in contatto con noi,
ricevere aggiornamenti e inviarci suggerimenti, segnalazioni e commenti!