Seleziona una pagina

La violazione dei dati personali e il risarcimento del danno subito

di Federica De Stefani, avvocato e responsabile Aidr Regione Lombardia

Le sanzioni che derivano da un trattamento illecito di dati possono avere varia natura, poiché, secondo la normativa vigente, possono coesistere tra di loro sanzioni penali, amministrative e civili, a seconda della tipologia di violazione.

Generalmente siamo abituati a pensare che il Regolamento europeo in materia di protezione dei dati preveda unicamente sanzioni amministrative milionarie (fino a 20 milioni di euro), ma lo stesso Regolamento prevede, all’art. 82 anche la possibilità per chi subisca un danno derivante da un trattamento illecito di chiedere il relativo risarcimento.

La norma è stata di recente portata agli onori della cronaca per una sentenza del Tribunale regionale superiore austriaco che ha sancito la risarcibilità del danno derivante dal trattamento illecito dei dati e ha specificato i presupposti per ottenere il ristoro del danno.

L’art. 82 del Regolamento, in realtà, è chiaro nel prevedere espressamente la risarcibilità del danno materiale o immateriale causato da un trattamento illecito di dati indicando nel titolare del trattamento o dal responsabile del trattamento i soggetti tenuti al risarcimento.

In sostanza se da un lato la norma riconosce espressamente l’ammissibilità del danno non patrimoniale, dall’altro, affinchè sorga l’obbligazione risarcitoria, è necessario che sussistano:

  • un trattamento illecito di dati, ossia una condotta, attiva od omissiva, che integri una violazione delle norme del Regolamento;
  • il danno;
  • il nesso eziologico tra la condotta e il danno.

Il Regolamento prevede che il danno (materiale o immateriale) è risarcibile se causato da una violazione del regolamento e prevede per il titolare e il responsabile del trattamento la possibilità di essere esonerati dalla responsabilità se dimostrano che l’evento dannoso non è in alcun modo a loro imputabile.

Questo significa che la responsabilità di cui si discute non è una responsabilità oggettiva, ma sussiste esclusivamente nell’ipotesi in cui ci sia un rapporto di causalità tra la violazione del Regolamento (imputabile al titolare o al responsabile) e l’evento dannoso.

In altre parole il soggetto ha la possibilità di fornire la prova di aver correttamente adempiuto agli obblighi derivanti dal Regolamento e di aver adottato le misure adeguate per la protezione dei dati.

Si tratta, senza alcun dubbio, di una previsione normativa per così dire molto ampia, se si considera che la locuzione “una violazione del presente regolamento” senza specificare alcun ulteriore aspetto, impone di far ricorso al considerando 85 per avere una elencazione esemplificativa, e non di certo esaustiva, delle ragioni che potrebbero essere poste alla base di una richiesta di risarcimento.

Il considerando 85, infatti, indica una serie di aspetti che riguardano:

  • perdita del controllo dei dati personali degli interessati;
  • limitazione dei loro diritti;
  • discriminazione;
  • furto o usurpazione d’identità;
  • perdite finanziarie;
  • decifratura non autorizzata della pseudonimizzazione;
  • pregiudizio alla reputazione;
  • perdita di riservatezza dei dati personali protetti da segreto professionale

Conclude infine con l’ipotesi generica di “qualsiasi altro danno economico o sociale significativo alla persona fisica interessata”.

La formula di chiusura si allinea con la previsione dell’art. 82 che indica genericamente “qualsiasi violazione del presente regolamento” lasciando così ampia possibilità di identificazione delle fattispecie concrete.

In una recentissima pronuncia il Tribunale regionale superiore austriaco di Innsbruck (Giudizio di 13.02.2020 – Az.: 1 R 182/19 b) è intervenuto sulla questione del risarcimento del danno derivante da una violazione del GDPR e ha specificato che il risarcimento del danno derivante da trattamento illecito dei dati non è in re ipsa, ma spetta al soggetto che avanza la pretesa risarcitoria dimostrare il danno derivante dall’illiceità del trattamento e le caratteristiche del danno subito.

In sede contenziosa, quindi, non è sufficiente affermare di aver subito un danno per il solo fatto di aver subito un trattamento illecito dei propri dati, ma è necessario fornire la prova di un nesso eziologico tra i due.

Sarà pertanto necessario articolare la propria richiesta spiegando il danno subito, indicandone le varie peculiarità. Il danno dovrà quindi essere qualificato e specificato, anche facendo riferimento alle tipologie di rischi indicati dai considerando 75 e 85 del Regolamento che, in ogni caso, forniscono solo indicazioni esemplificative. Il danno dovrà pertanto essere circostanziato e non indicato genericamente facendo ricorso a una “categoria generica”. L’interessato dovrà inoltre fornire la prova di avere effettivamente subito il danno lamentato. Anche in questo caso non è sufficiente invocare una categoria generica e asserire di aver subito il relativo pregiudizio, ma devono essere fornite prove concrete del danno lamentato e dovrà anche essere dimostrata l’entità del danno. Quest’ultimo, infatti, non potrà, ai fini risarcitori, essere considerato una semplice preoccupazione o un mero fastidio derivante dal trattamento illecito. In altre parole il danno deve avere una consistenza per così dire significativa per poter essere considerato rilevante ai fini risarcitori.

A tutto questo si aggiunga, inoltre, il nesso eziologico. Il danno lamentato deve essere causa diretta della violazione dei dati, così come espressamente previsto dall’art. 82 del Regolamento.

In conclusione ottenere quindi il risarcimento del danno patito in conseguenza della violazione dei propri dati personali è possibile, anche se soggetto, come visto, a vincoli probatori piuttosto specifici.

Un particolare riflessione merita il fatto che non si tratti di una responsabilità oggettiva che fa sorgere automaticamente il risarcimento del danno.

Il GDPR è una normativa molto particolare che in virtù del principio di accountability lascia al titolare ampio margine di scelta delle misure da adottare per la compliance.

Questo si traduce nella possibilità di avere soluzioni che risultano adeguate per una certa realtà, ma che se applicate a realtà diverse possono non garantire la protezione dei dati personali.

Valutare preliminarmente le misure adottate dal titolare prima di avanzare richieste risarcitorie risulterà, nel prossimo futuro, indispensabile per valutare il possibile esito di una causa giudiziale.

Archivio

SUPERBONUS 110%: siglato accordo tra Aidr e il portale RILANCIO ITALIA 2020 per ottenere il credito d’imposta

Un accordo di collaborazione è stato siglato tra l’associazione Italian Digital Revolution – AIDR e la Rete d’Imprese RILANCIO ITALIA 2020. L’intesa intende promuovere la piattaforma digitale di RILANCIO ITALIA 2020 (http://www.rilancioitalia2020.it/), Rete d’Imprese che è impegnata, nell’ambito del superbonus 110%, nella promozione, vendita e veicolazione dei servizi connessi e realizzati allo scopo.

“Blockchain per tutti”, arriva il primo e-book di Aidr

Da oggi disponibile su sito associazione e su principali store on-line Si inaugura la collana editoriale dedicata anche ai non addetti ai lavori, con l’obiettivo di far scoprire le tecnologie e il...

VIDEO E PHOTO GALLERY

AIDR WEB TV

ITALIAN DIGITAL REVOLUTION

EVENTI ED INIZIATIVE

ITALIAN DIGITAL REVOLUTION

COME ASSOCIARSI

Cerchi il lavoro giusto per te? Scoprilo su IO LAVORO

IO LAVORO è un sistema informativo che utilizza la professione e i dati raccolti dai siti web di numerose istituzioni (Istat, Isfol, Miur, etc) o forniti come open data, per dare un quadro informativo completo sul mercato del lavoro e per favorire l’incontro domanda offerta.

AIDR NEWSLETTER

AIDR
Iscriviti alla nostra newsletter per essere sempre aggiornato sulle iniziative testo di prova e prova di testo

AIDR NOTIZIE DAL WEB

TUTTE LE NOTIZIE

Notizie
27/10/2020
Ecco il video dell’intervista a Franco Losi, cofondatore della società Cinello, a cura di Gianfranco Ossino, Ingegnere e Responsabile Osservatorio per la Digitalizzazione dell’Ambiente e dell’Energia Aidr, e Francesco Pagano, responsabile servizi informatici ALES e consigliere AIDR.
Notizie
26/10/2020
di Vito Coviello, Socio AIDR e Responsabile Osservatorio Tecnologie Digitali nel settore dei trasporti e della logistica. Stiamo vivendo un periodo complesso in cui è stata messa in discussione la nostra libertà di vita a causa della pandemia che ci ha costretto ad uscire dagli schemi, a cercare nuove soluzioni, nuovi equilibri di vita nell’attesa del ritorno alla normalità. Ma quale sarà la nostra normalità post Covid?
Notizie
20/10/2020
Troppe parole sul Recovery Fund, o meglio Next generation EU, troppi sui media che ripetono all’infinito “ora che abbiamo questi 209 miliardi” ”ora che ci sono questi soldi”…”ora che è arrivato il recovery fund” etc etc. E’ necessario fare chiarezza innanzitutto sulla tempistica dei trasferimenti, (sulla concretezza dell’erogazione credo che, a prescindere dai mal di pancia dei cosiddetti Paesi “frugali”, essi verranno deliberati.), l’Italia dunque nel 2021 utilizzerà 25 miliardi del programma Next generation Eu nel 2021 (11 di prestiti dal Recovery fund, 10 di sovvenzioni più altri 4 di finanziamenti per la coesione (React Eu), nel 2022 le risorse che l’Italia richiederà all’Europa saliranno a 37,5 miliardi, nel 2023 ci sarà un picco fino a 41 miliardi, per poi ritornare a 39,4 miliardi nel 2024, 30,6 nel 2025 e 27,5 nel 2026.

AIDR
AZIENDE E COLLABORAZIONI

AIDR SOCIAL

Seguici sui social per restare in contatto con noi,
ricevere aggiornamenti e inviarci suggerimenti, segnalazioni e commenti!