L'art. 82, paragrafo 1, del GDPR stabilisce il principio in forza del quale chiunque subisca un danno, materiale o immateriale, a causa di una violazione delle disposizioni stabilite nel Regolamento, ha il diritto di ottenere il risarcimento del danno dal titolare o dal responsabile del trattamento.
La norma afferma così il diritto dell'interessato, in quanto danneggiato, di ottenere il risarcimento del danno subìto, che potrà essere sia patrimoniale che non patrimoniale. Questo diritto sorge, in particolare, nel momento in cui sia stata realizzata una violazione di una delle disposizioni sancite dal GDPR attraverso una condotta del titolare o del responsabile del trattamento, che può essere stata attiva od omissiva.
Sotto il profilo dell'imputazione dell'obbligo di risarcimento, l'art. 82, paragrafo 2, prevede, come precisato anche dal Considerando 79, che il titolare coinvolto nel trattamento illecito risponda direttamente per il danno cagionato all'interessato in conseguenza di una violazione del Regolamento.
Il responsabile del trattamento risponderà, invece, per il danno causato dal trattamento soltanto nel caso in cui o non abbia correttamente adempiuto agli obblighi stabiliti specificamente dal Regolamento a carico dei responsabili del trattamento, oppure qualora abbia agito in modo difforme o contrario rispetto alle legittime istruzioni dategli dal titolare in merito al trattamento dei dati di sua competenza.
Questa disposizione sembrerebbe delineare una fattispecie di responsabilità, in capo al titolare e al responsabile del trattamento dei dati personali, apparentemente molto restrittiva.
Tuttavia, bisogna rammentare anzitutto che -come spiegato dal Considerando n. 146- il titolare sarà responsabile in concreto non solo in caso di violazione del Regolamento, ma altresì nel caso di inottemperanza di altre disposizioni in materia di protezione dei dati personali previste dalle norme attuative, da atti delegati o di esecuzione del Regolamento stabilite dai singoli Stati membri.
Per quanto riguarda invece il responsabile del trattamento, si rammenta il contenuto dell'art. 28, paragrafo 3, il quale stabilisce l'obbligo in capo al responsabile nominato di informare immediatamente il titolare del trattamento qualora ritenga che un'istruzione che gli sia stata data dallo steso titolare comporti una violazione delle norme stabilite dal GDPR o di altre disposizioni, di diritto europeo o nazionale, in materia di protezione dei dati personali.
Di conseguenza, nonostante l'art. 82 sembri apparentemente limitare la sua responsabilità alle azioni od omissioni relative alle disposizioni del Regolamento e alle istruzioni e direttive del titolare del trattamento, in realtà si configura a suo carico un dovere di portata generale che consiste nell'obbligo di informare il titolare del trattamento qualora riscontri delle condotte non in linea rispetto alle prescrizioni del GDPR o ritenga che i trattamenti effettuati o le misure disposte determinino dei rischi per i dati personali o espongano a possibili violazioni della disciplina normativa. In altre parole, viene a delinearsi a carico del responsabile del trattamento anche un obbligo di verifica e controllo generale della compliance aziendale con conseguente responsabilità -solidale rispetto a quella del titolare del trattamento- nel caso di omesso riscontro od omessa informazione.
In sintonia con quanto già contenuto nel Codice della Privacy, l'art. 82, paragrafo 3, prevede poi che il titolare e il responsabile del trattamento vadano esenti da responsabilità nel caso in cui riescano a dimostrare che l'evento dannoso subito dall'interessato non sia loro imputabile in alcun modo.
Ciò significa, seguendo una logica di inversione dell'onere della prova, che per poter essere esonerati da responsabilità il titolare o il responsabile del trattamento dovranno poter provare, alternativamente, che l'evento dannoso non è loro ascrivibile in quanto dipendente da una fonte estranea alla loro sfera di competenza o di controllo oppure che sono state da loro predisposte ed attuate tutte le prevedibili misure adeguate al fine di evitare che si verificasse il danno.
Nel caso in cui poi, più titolari o responsabili del trattamento dei dati oppure entrambi (quindi sia il titolare che il responsabile del trattamento) siano coinvolti nello stesso trattamento e siano da considerare responsabili dell'eventuale danno cagionato all'interessato, l'art. 82, paragrafo 4, prevede che ognuno di loro sia responsabile in solido per l'intero ammontare del risarcimento da riconoscere all'interessato, al fine di garantirne la piena efficacia. In altre parole, l'interessato potrà rivolgersi anche ad uno solo di essi (in generale, quello che appare più solvibile e dal quale sarà quindi più facile ottenere il risarcimento), il quale sarà così obbligato a versare interamente quanto dovuto a titolo di risarcimento del danno.
Del resto in queste ipotesi, come stabilito nel successivo paragrafo 5 dell'art. 82, se un titolare o un responsabile del trattamento si sia fatto carico dell'intero risarcimento del danno, lo stesso avrà successivamente il diritto di ripetere, dagli altri soggetti coinvolti nello stesso trattamento, la parte del risarcimento corrispondente alla loro quota di responsabilità per il danno cagionato.
In realtà, quindi, la norma presuppone che, al fine di definire le conseguenze patrimoniali dei danni cagionati agli interessati, operi un principio di co-responsabilità dei titolari e dei responsabili del trattamento configurabile come responsabilità "pro quota" piuttosto che solidale in senso stretto. Nella ripartizione interna, quindi, ciascuno di essi sarà responsabile esclusivamente per la quota di responsabilità che gli sarà concretamente riconosciuta.
La richiesta di risarcimento del danno da parte dell'interessato dovrà, ad ogni modo, seguire le procedure previste da ciascuno Stato in materia: per quanto ci riguarda, quindi, la competenza in materia spetterà alla magistratura civile.
Puoi trovare tutte le news sul GDPR in questa pagina speciale.
Per ricevere assistenza consulta il sito fclex.it