Il trattamento dei dati di un soggetto in modo non conforme alle previsioni del GDPR (Regolamento UE 2016/679) può cagionare all’interessato danni in misura variabile a seconda del tipo di dato trattato e di violazione. Le ipotesi possono essere le più diverse, dal semplice disturbo per essere stato indebitamente inserito in una newsletter non autorizzata, sino al rischio di vita e per la salute delle persone, nel caso in cui un dato errato venga inserito nella cartella clinica di un paziente.
In questi casi, l’interessato che abbia subìto un danno in conseguenza del non corretto o illecito trattamento dei suoi dati ha diritto di ottenerne il risarcimento.
Quali sono i diritti dell’interessato?
Diritto di accesso e di rettifica (artt. 15 e 16)
Oltre al diritto di ottenere conferma che sia o meno in corso un trattamento dei propri dati, nonché di conoscere le finalità e le modalità dello stesso, l’indicazione degli eventuali destinatari, il periodo di conservazione dei dati, il GDPR riconosce all’interessato il diritto di ricevere una copia dei dati personali oggetto di trattamento e di ottenerne la rettifica, qualora inesatti, senza ingiustificato ritardo.
Diritto alla cancellazione (diritto all’oblio) (art. 17)
Il diritto “all’oblio” si configura come un diritto alla cancellazione dei propri dati personali in forma rafforzata. Si prevede, infatti, anche l’obbligo per i titolari del trattamento che abbiano “reso pubblici” i dati personali dell’interessato (ad esempio, pubblicandoli su un sito web) di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati, compresi “qualsiasi link, copia o riproduzione” (si veda art. 17, paragrafo 2).
Diritto di limitazione del trattamento (art. 18)
Si tratta di un diritto diverso e più esteso rispetto al “blocco” del trattamento di cui all’originario testo del Codice Privacy (d.lgs. 196/2003): è esercitabile non solo in caso di violazione dei presupposti di liceità del trattamento (quale alternativa alla cancellazione dei dati stessi), ma anche qualora l’interessato chieda la rettifica dei dati (in attesa di tale rettifica da parte del titolare) o si opponga al loro trattamento ai sensi dell’art. 21, paragrafo 1, del GDPR, in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato.
Diritto alla portabilità dei dati (art. 20)
Si tratta di uno dei nuovi diritti previsti dal Regolamento EU 2016/679, anche se non è del tutto sconosciuto ai consumatori (si pensi alla portabilità del numero telefonico) e consiste nel diritto di ricevere – in un formato strutturato, di uso comune e leggibile da dispositivo automatico – i dati personali che lo riguardano forniti a un titolare del trattamento, e di trasmetterli a un altro titolare del trattamento senza impedimenti da parte del primo titolare a cui li ha forniti.
Non si applica ai trattamenti non automatizzati (quindi non si applica agli archivi o registri cartacei) e sono previste specifiche condizioni per il suo esercizio.
In particolare, sono portabili solo i dati forniti direttamente al titolare dall’interessato, trattati con il suo consenso o sulla base di un contratto. Non si applica, dunque, ai dati il cui trattamento si fonda sull´interesse pubblico o sull´interesse legittimo del titolare.
Cosa può fare il soggetto interessato che sia stato danneggiato?
L’art. 82 del Regolamento generale sulla protezione dei dati (2016/679) riconosce espressamente al l’interessato che abbia subìto un danno materiale o immateriale, a seguito della violazione delle norme che regolano il trattamento dei dati, il diritto a essere risarcito.
Tale diritto sorge nel momento in cui viene posta in essere una condotta, attiva od omissiva, che costituisca violazione di una prescrizione del Regolamento.
Le azioni legali per l’esercizio del diritto dell’interessato per ottenere il risarcimento del danno sono promosse dinanzi alle autorità giurisdizionali competenti a norma dell’articolo 79, paragrafo 2: quelle dello Stato ove il titolare o il responsabile hanno uno stabilimento oppure, in alternativa, dello Stato in cui l’interessato risiede (fatta eccezione per il caso in cui il titolare o il responsabile sia un’autorità pubblica nell’esercizio dei poteri).
Ripartizione delle responsabilità
La responsabilità del risarcimento del danno ricade ovviamente sul Titolare del trattamento, a meno che quest’ultimo non possa dimostrare che l’evento dannoso non gli è in alcun modo imputabile.
Nel caso in cui nello stesso trattamento siano coinvolti più soggetti nella stessa qualità (due o più Titolari – Contitolari – o due o più Responsabili) oppure in qualità diverse (un Titolare ed un Responsabile), tutti risponderanno in solido del danno cagionato, salvo poi il diritto per colui che ha pagato di rivalersi sugli altri pro quota.
Infatti, il Considerando 79 chiarisce che “la protezione dei diritti e delle libertà degli interessati così come la responsabilità generale dei titolari del trattamento e dei responsabili del trattamento, anche in relazione al monitoraggio e alle misure delle autorità di controllo, esigono una chiara ripartizione delle responsabilità ai sensi del presente regolamento, compresi i casi in cui un titolare del trattamento stabilisca le finalità e i mezzi del trattamento congiuntamente con altri titolari del trattamento o quando l’operazione di trattamento viene eseguita per conto del titolare del trattamento”.
Conformemente, l’art. 82 stabilisce che “Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento”.
Il titolare del trattamento risponde per i danni causati da un trattamento illegittimo; il responsabile del trattamento risponde per la violazione degli obblighi posti a suo carico e/o se ha disatteso le istruzioni del titolare del trattamento.
A chi può essere chiesto il risarcimento dei danni?
Come visto, a norma dell’articolo 82, paragrafo 2, del GDPR, il Titolare del trattamento è tenuto al risarcimento quando è coinvolto nel trattamento che, violando il regolamento, ha cagionato il danno, mentre il Responsabile del trattamento sarà tenuto a risarcire il danno causato dal trattamento soltanto nel caso in cui non abbia correttamente adempiuto agli obblighi stabiliti specificamente dal Regolamento a carico dei responsabili del trattamento, oppure qualora abbia agito in modo difforme o contrario rispetto alle legittime istruzioni dategli dal Titolare in merito al trattamento dei dati di sua competenza.
Occorre comunque segnalare che, come indicato nel Considerando n. 146, il Titolare sarà responsabile in concreto non solo in caso di violazione del Regolamento, ma anche nel caso di inottemperanza di altre disposizioni in materia di protezione dei dati personali previste dalle norme attuative, da atti delegati o di esecuzione del Regolamento stabilite dai singoli Stati membri.
Nel caso in cui più Titolari o Responsabili del trattamento, o il Titolare, il Contitolare e il Responsabile, siano coinvolti nello stesso trattamento e siano insieme responsabili del danno inferto, essi sono responsabili in solido (cfr. art. 2055 Codice Civile: “Se il fatto dannoso è imputabile a più persone, tutte sono obbligate in solido al risarcimento del danno”).
Ne consegue che il soggetto leso potrà domandare anche a uno solo dei danneggianti coinvolti l’intero ammontare del danno, e questi sarà tenuto a corrisponderglielo, salva poi la possibilità di rivalersi con azione di regresso nei confronti del/dei coobbligato/i in solido della quota a lui imputabile (art. 82 paragrafo 5). Tale previsione ha la finalità di garantire l’effettivo e tempestivo risarcimento dei danni all’interessato.
