Seleziona una pagina

La violazione dei dati personali e il risarcimento del danno subito

di Federica De Stefani, avvocato e responsabile Aidr Regione Lombardia

Le sanzioni che derivano da un trattamento illecito di dati possono avere varia natura, poiché, secondo la normativa vigente, possono coesistere tra di loro sanzioni penali, amministrative e civili, a seconda della tipologia di violazione.

Generalmente siamo abituati a pensare che il Regolamento europeo in materia di protezione dei dati preveda unicamente sanzioni amministrative milionarie (fino a 20 milioni di euro), ma lo stesso Regolamento prevede, all’art. 82 anche la possibilità per chi subisca un danno derivante da un trattamento illecito di chiedere il relativo risarcimento.

La norma è stata di recente portata agli onori della cronaca per una sentenza del Tribunale regionale superiore austriaco che ha sancito la risarcibilità del danno derivante dal trattamento illecito dei dati e ha specificato i presupposti per ottenere il ristoro del danno.

L’art. 82 del Regolamento, in realtà, è chiaro nel prevedere espressamente la risarcibilità del danno materiale o immateriale causato da un trattamento illecito di dati indicando nel titolare del trattamento o dal responsabile del trattamento i soggetti tenuti al risarcimento.

In sostanza se da un lato la norma riconosce espressamente l’ammissibilità del danno non patrimoniale, dall’altro, affinchè sorga l’obbligazione risarcitoria, è necessario che sussistano:

  • un trattamento illecito di dati, ossia una condotta, attiva od omissiva, che integri una violazione delle norme del Regolamento;
  • il danno;
  • il nesso eziologico tra la condotta e il danno.

Il Regolamento prevede che il danno (materiale o immateriale) è risarcibile se causato da una violazione del regolamento e prevede per il titolare e il responsabile del trattamento la possibilità di essere esonerati dalla responsabilità se dimostrano che l’evento dannoso non è in alcun modo a loro imputabile.

Questo significa che la responsabilità di cui si discute non è una responsabilità oggettiva, ma sussiste esclusivamente nell’ipotesi in cui ci sia un rapporto di causalità tra la violazione del Regolamento (imputabile al titolare o al responsabile) e l’evento dannoso.

In altre parole il soggetto ha la possibilità di fornire la prova di aver correttamente adempiuto agli obblighi derivanti dal Regolamento e di aver adottato le misure adeguate per la protezione dei dati.

Si tratta, senza alcun dubbio, di una previsione normativa per così dire molto ampia, se si considera che la locuzione “una violazione del presente regolamento” senza specificare alcun ulteriore aspetto, impone di far ricorso al considerando 85 per avere una elencazione esemplificativa, e non di certo esaustiva, delle ragioni che potrebbero essere poste alla base di una richiesta di risarcimento.

Il considerando 85, infatti, indica una serie di aspetti che riguardano:

  • perdita del controllo dei dati personali degli interessati;
  • limitazione dei loro diritti;
  • discriminazione;
  • furto o usurpazione d’identità;
  • perdite finanziarie;
  • decifratura non autorizzata della pseudonimizzazione;
  • pregiudizio alla reputazione;
  • perdita di riservatezza dei dati personali protetti da segreto professionale

Conclude infine con l’ipotesi generica di “qualsiasi altro danno economico o sociale significativo alla persona fisica interessata”.

La formula di chiusura si allinea con la previsione dell’art. 82 che indica genericamente “qualsiasi violazione del presente regolamento” lasciando così ampia possibilità di identificazione delle fattispecie concrete.

In una recentissima pronuncia il Tribunale regionale superiore austriaco di Innsbruck (Giudizio di 13.02.2020 – Az.: 1 R 182/19 b) è intervenuto sulla questione del risarcimento del danno derivante da una violazione del GDPR e ha specificato che il risarcimento del danno derivante da trattamento illecito dei dati non è in re ipsa, ma spetta al soggetto che avanza la pretesa risarcitoria dimostrare il danno derivante dall’illiceità del trattamento e le caratteristiche del danno subito.

In sede contenziosa, quindi, non è sufficiente affermare di aver subito un danno per il solo fatto di aver subito un trattamento illecito dei propri dati, ma è necessario fornire la prova di un nesso eziologico tra i due.

Sarà pertanto necessario articolare la propria richiesta spiegando il danno subito, indicandone le varie peculiarità. Il danno dovrà quindi essere qualificato e specificato, anche facendo riferimento alle tipologie di rischi indicati dai considerando 75 e 85 del Regolamento che, in ogni caso, forniscono solo indicazioni esemplificative. Il danno dovrà pertanto essere circostanziato e non indicato genericamente facendo ricorso a una “categoria generica”. L’interessato dovrà inoltre fornire la prova di avere effettivamente subito il danno lamentato. Anche in questo caso non è sufficiente invocare una categoria generica e asserire di aver subito il relativo pregiudizio, ma devono essere fornite prove concrete del danno lamentato e dovrà anche essere dimostrata l’entità del danno. Quest’ultimo, infatti, non potrà, ai fini risarcitori, essere considerato una semplice preoccupazione o un mero fastidio derivante dal trattamento illecito. In altre parole il danno deve avere una consistenza per così dire significativa per poter essere considerato rilevante ai fini risarcitori.

A tutto questo si aggiunga, inoltre, il nesso eziologico. Il danno lamentato deve essere causa diretta della violazione dei dati, così come espressamente previsto dall’art. 82 del Regolamento.

In conclusione ottenere quindi il risarcimento del danno patito in conseguenza della violazione dei propri dati personali è possibile, anche se soggetto, come visto, a vincoli probatori piuttosto specifici.

Un particolare riflessione merita il fatto che non si tratti di una responsabilità oggettiva che fa sorgere automaticamente il risarcimento del danno.

Il GDPR è una normativa molto particolare che in virtù del principio di accountability lascia al titolare ampio margine di scelta delle misure da adottare per la compliance.

Questo si traduce nella possibilità di avere soluzioni che risultano adeguate per una certa realtà, ma che se applicate a realtà diverse possono non garantire la protezione dei dati personali.

Valutare preliminarmente le misure adottate dal titolare prima di avanzare richieste risarcitorie risulterà, nel prossimo futuro, indispensabile per valutare il possibile esito di una causa giudiziale.

Archivio

VIDEO E PHOTO GALLERY

AIDR WEB TV

ITALIAN DIGITAL REVOLUTION

EVENTI ED INIZIATIVE

ITALIAN DIGITAL REVOLUTION

COME ASSOCIARSI

Cerchi il lavoro giusto per te? Scoprilo su IO LAVORO

IO LAVORO è un sistema informativo che utilizza la professione e i dati raccolti dai siti web di numerose istituzioni (Istat, Isfol, Miur, etc) o forniti come open data, per dare un quadro informativo completo sul mercato del lavoro e per favorire l’incontro domanda offerta.

AIDR NEWSLETTER

AIDR
Iscriviti alla nostra newsletter per essere sempre aggiornato sulle iniziative testo di prova e prova di testo

AIDR NOTIZIE DAL WEB

TUTTE LE NOTIZIE

Notizie
19/05/2022
Una tutela maggiore, affinché ogni bambino sia protetto, autorizzato e rispettato online. Questo il principio con il quale la Commissione ha adottato una nuova strategia europea per un Internet migliore per i bambini (BIK+). “Si tratta sottolinea in una nota l’associazione Aidr – di una visione importante nel quadro delle azioni della Commissione Europea a supporto dei diritti dell’infanzia, che amplia il quadro delle tutele già tracciato nella prima strategia europea per un Internet migliore per i bambini (BIK)”. “I dispositivi moderni – spiega la Commissione Europea - offrono opportunità e vantaggi, consentendo ai minori di interagire fra loro, apprendere online e divertirsi
Notizie
13/05/2022
I servizi digitali a beneficio di tutti. Il progetto Polis di Poste Italiane entra nel vivo e coinvolgerà quasi 7 mila uffici postali in altrettanti comuni con popolazione inferiore a 15.000 abitanti. L’annuncio dell’Ad Matteo Del Fante è stato dato in occasione dell’evento per i 160 anni dalla fondazione di Poste, che si è tenuto a Roma, presso il Centro Congressi “La Nuvola”. 
Notizie
09/05/2022
Efficienza, produttività e personalizzazione. Sono le tre parole chiave del nuovo progetto presentato da Canon Italia in occasione di PRINT4ALL, il grande evento fieristico dedicato al settore della stampa, del converting e del packaging, in corso in questi giorni a Milano. “Il piano – sottolinea Aidr in una nota- ha l’obiettivo di sostenere tutti gli operatori del settore della stampa di produzione, della comunicazione cross-mediale e integrata e della comunicazione visiva, fornendo consulenza e best practice per scoprire le nuove opportunità e applicazioni offerte dalla tecnologia di stampa digitale di produzione firmata Canon.

AIDR
AZIENDE E COLLABORAZIONI

AIDR SOCIAL

Seguici sui social per restare in contatto con noi,
ricevere aggiornamenti e inviarci suggerimenti, segnalazioni e commenti!