Vai al contenuto principale Vai al footer

RESPONSABILITÀ CIVILE DA ILLECITO TRATTAMENTO DEI DATI

illecito trattamento dati

L’entrata in vigore del GDPR ha introdotto anche nel nostro ordinamento giuridico dei nuovi profili di responsabilità.

In particolare, è stata introdotta una responsabilità civile da illecito trattamento dei dati personali.

Al fine di meglio comprendere i presupposti di questa nuova responsabilità occorrerà soffermarsi sul principio di accountability, alla base della nuova normativa privacy.

Verranno allora esaminate gli strumenti a disposizione dei soggetti responsabili e le misure minime, di carattere tecnico e non solo, da osservare per andare esenti da responsabilità.

Infine si fornirà una disamina degli strumenti di tutela, individuale e non, esperibili in ipotesi di violazione dei dati personali (per es. data breach).

 

Una nuova ipotesi di responsabilità civile da trattamento illecito dei dati

 

L’art. 15 del d.lgs. 196/2003 individuava la pericolosità dell’attività di trattamento dei dati, disponendo che “chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile”.

In seguito all’abrogazione dell’art. 15 del d.lgs. 196/2003 e con  l’ingresso del nuovo GDPR il riconoscimento del diritto al risarcimento del danno (patrimoniale e non) da illecito trattamento dei dati personali è stato espressamente previsto con l’art. 82 del GDPR.

Ancora, il Considerando n. 85 argomenta come “una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche”.

Pensiamo alle ipotesi di furto o usurpazione di identità, perdita della riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, impedimento dell’esercizio di controllo sui dati personali.

Viene in questo modo, per tutte queste casistiche, individuata, a carico del Titolare del trattamento e del Responsabile del trattamento, una nuova figura di responsabilità civile ulteriore rispetto all’accezione comune connessa al compimento di una condotta illecita.

Il Titolare è sempre  responsabile per i danni provocati “dal suo trattamento” che sia contrario alle disposizioni  del Regolamento, ricomprendendo, in buona sostanza, tutte le attività di gestione e controllo, anche dal punto di vista organizzativo, in capo al titolare medesimo.

La responsabilità del Responsabile per la protezione dei dati (DPOData Protection Officer) sarebbe invece derivata e residuale. Egli  risponderebbe solo:

  • se non ha adempiuto agli obblighi del Regolamento che investono specificatamente il ruolo di responsabile;
  • se ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.

A carico del titolare e del responsabile per il trattamento dei dati vengono, infatti, previsti degli specifici obblighi di condotta, come quello di c.d. accountability, che vengono in rilievo a prescindere dall’esistenza o meno di un rapporto contrattuale con il danneggiato.

Il nuovo GDPR è, infatti, caratterizzato dall’introduzione del principio di accountability, che impone al titolare o al responsabile del trattamento l’adozione di una serie di accorgimenti e misure minime, la cui entità dipende dal contesto specifico e  dal grado di responsabilizzazione raggiunto.

Deve, quindi, parlarsi di una nuova ipotesi di responsabilità extracontrattuale da trattamento illecito dei dati con funzione non solo sanzionatoria ma anche preventiva.

Il trattamento dei dati per essere lecito deve, in primis, essere conforme a principi di correttezza e trasparenza a tutela sia di diritti fondamentali e individuali dell’interessato, sia di interessi collettivi di categoria.

Il procedimento di individuazione delle misure di sicurezza, secondo la predetta logica di accountability, consta di una fase di analisi e valutazione del rischio e di una successiva rappresentata dalla gestione del rischio.

La valutazione del rischio deve essere operata in modo periodico e continuativo in quanto il grado di rischio è suscettibile di variazione nel tempo.

Nell’ambito della sicurezza dei dati personali, la valutazione del rischio può essere suddivisa in quattro differenti fasi:

  • definizione dell’operazione di trattamento e del suo contesto (natura del trattamento posto in essere, tipologia dei dati personali trattati, finalità di trattamento,strumenti utilizzati, soggetti interessati e destinatari dei dati trattati);
  • comprensione e valutazione dell’impatto (effetto che una possibile perdita di dati può avere sui diritti e sulle libertà fondamentali delle persone fisiche);
  • definizione di possibili minacce cui è esposto il Titolare (e/o il Responsabile) del trattamento e valutazione della loro probabilità;
  • valutazione del rischio, da eseguirsi sulla base delle risultanze ottenute nelle fasi precedenti.

In considerazione della valutazione del livello di rischio, occorrerà procedere con l’individuazione delle misure di sicurezza adeguate così da ridurre – nella fase di gestione del rischio – il grado di probabilità che un determinato evento lesivo si verifichi.

Ecco allora che la valutazione del rischio e l’individuazione delle misure di sicurezza sono inscindibilmente collegati, risultando l’una dipendente dall’altra.

A tal uopo gli strumenti utilizzabili sono da individuarsi nelle seguenti due macro categorie:

 

Valutazione e gestione del rischio: strumenti di natura tecnica

 

  • Pseudonimizzazione dei dati personali: modalità di trattamento in cui i dati personali non possono essere attribuiti ad un interessato specifico senza l’utilizzo di informazioni aggiuntive;
  • cifratura dei dati personali: processo di codificazione e protezione delle informazioni, mediante l’utilizzo della crittografia e della criptoanalisi;
  • back-up periodici dei dati memorizzati;
  • protezione della rete e dei propri sistemi attraverso dei controlli di accesso adeguati.

 

Valutazione e gestione del rischio: misure organizzative interne

 

  • Trasmissione, in modo periodico, a tutto il proprio personale delle informazioni riguardanti le norme sulla sicurezza dei dati ed i connessi obblighi normativi;
  • distribuzione chiara delle responsabilità e delineazione netta delle competenze in tema di trattamento dati;
  • utilizzo dei dati personali soltanto in osservanza delle istruzioni impartite dalla persona competente ovvero in base alle norme vigenti in materia;
  • protezione dell’accesso alle sedi, agli hardware e software, ivi inclusi i controlli relativi all’autorizzazione dell’accesso.

 

In conclusione, occorre, dunque, una complessa attività di valutazione (tecnica, giuridica ed organizzativa), un’analisi dei rischi e dei costi, una scelta sulle misure di sicurezza da adottare, l’istituzione di un presidio, l’emanazione di policy interne ed, infine, un’attività di monitoraggio continuo e periodico.

Ai sensi dell’art. 82 del GDPR, legittimato ad avanzare la richiesta di risarcimento può essere “chiunque” abbia subito un danno, ammettendo in tale accezione qualsiasi soggetto, persona fisica, anche qualora non direttamente interessato, purchè dimostri di aver subito “un pregiudizio di natura diversa dal trattamento di dati personali altrui” (Considerando n. 14 del GDPR).

Pur vertendosi nell’ambito della responsabilità extracontrattuale, l’art 82 GDPR prevede però al terzo paragrafo l’inversione dell’onere della prova.

Per quanto riguarda il danno patrimoniale, il danneggiato dovrà limitarsi a fornire la prova del pregiudizio economico determinato in ragione della violazione del trattamento dei dati, identificato nel lucro cessante e nel danno emergente.

Più complessa appare l’individuazione del danno non patrimoniale, in ragione del fatto che, per essere risarcibile, il danno deve rientrare nelle previsioni del “danno conseguenza”.

In forza della richiamata inversione dell’onere della prova, ai senso del terzo paragrafo dell’art 82 GDPR, “il Titolare o il Responsabile del trattamento è esonerato dalla responsabilità se dimostra che l’evento dannoso non gli è in alcun modo imputabile”.

È evidente come l’onere probatorio a carico del titolare e del responsabile del trattamento risulta essere assai gravoso, in quanto gli stessi, al fine di andare esenti da responsabilità, dovrebbero riuscire a dimostrare la non imputabilità dell’evento dannoso alla propria condotta, ovvero dovranno riuscire a fornire documentata prova di aver posto in essere tutte le azioni sopra esposte.

 

Gli strumenti di tutela individuale e collettiva

 

Ciascun danneggiato, ferme le ipotesi di reclamo al Garante ai sensi dell’art. 77 GDPR e dell’art. 140 bis D.lgs. n. 101/2018,  potrà proporre, ai sensi dell’art. 79, un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento, richiedendo il risarcimento del danno materiale o immateriale ex art. 82.

Ulteriore mezzo di tutela viene previsto dall’art.80 del Reg. UE 2016/679 che permette di poter esercitare i rimedi di cui sopra anche per tramite di un organismo, un’organizzazione o un’associazione senza scopo di lucro.

L’art. 80 GDPR, infatti, prevede al par. 1 che “L’interessato ha il diritto di dare mandato a un organismo, un’organizzazione o un’associazione senza scopo di lucro, che siano debitamente costituiti secondo il diritto di uno Stato membro, i cui obiettivi statutari siano di pubblico interesse e che siano attivi nel settore della protezione dei diritti e delle libertà degli interessati con riguardo alla protezione dei dati personali, di proporre il reclamo per suo conto e di esercitare per suo conto i diritti di cui agli articoli 77, 78 e 79 nonché, se previsto dal diritto degli Stati membri, il diritto di ottenere il risarcimento di cui all’articolo 82”.

Lo strumento introdotto dall’art. 80 risulta essere certamente una delle le novità più importanti in tema di mezzi esperibili da parte del singolo in caso di violazione dei dati personali.

Ci si chiede se l’istituto previsto dall’ articolo 80 del Reg. UE 2016/679 possa avere introdotto, all’interno del nostro ordinamento, una sorta di “class action privacy”.

In altre parti del mondo, infatti, il ricorso a strumenti di tutela collettiva, come la class action, al fine di ottenere una tutela in ipotesi di trattamento illecito di dati personali appare ormai pacifico (vedi per esempio i numerosi casi di class action promosse a seguito di accertate ipotesi di data breach).

Lo stesso non può dirsi in Italia.

Sebbene la normativa sulla class action, con le varie modifiche intervenute (di cui abbiamo già parlato nel corso di un precedente articolo), per ultimo con la legge n. 31 del 2019, entrata in vigore lo scorso 19 maggio, abbia ampliato la sua portata applicativa riconoscendo la possibilità di poter esercitare la tutela risarcitoria anche per i portatori di diritti individuali omogenei, da un’interpretazione meramente letterale della normativa di riferimento sembra che debba escludersi la possibilità di far ricorso all’istituto della class action anche nel settore della protezione dei dati personali, muovendo dall’assunto che previsione di cui all’art. 80 è stata introdotta dal legislatore europeo per tutelare il diritto individuale dell’interessato alla protezione dei dati personali.

Tuttavia se non sarà possibile ricorrere alla class action al fine di esercitare i poteri di cui agli artt. 77, 78 e 79, le associazioni di settore, dietro mandato, potranno sicuramente promuovere molteplici ricorsi di carattere “plurisoggettivo” a tutela dei dati personali dei soggetti coinvolti.

 

di Avv. Luigi Randazzo; Studio Gierrelex

DASy

Ciao sono DASy!

Hai bisogno di aiuto?