La violazione delle disposizioni in materia di protezione dei dati personali espone il soggetto che le commette a conseguenze di varia natura, potendo coesistere in relazione alla medesima fattispecie sanzioni penali, civili e amministrative.
In articolare, per quanto concerne le sanzioni di carattere civile, il Regolamento Europeo 2016/679 prevede la possibilità per l’interessato di chiedere e ottenere il risarcimento del danno ogni qualvolta i suoi dati siano sottoposti a un trattamento illecito.
L’art. 82 del Regolamento prevede espressamente che chiunque subisca un danno materiale o immateriale causato da un trattamento illecito di dati ha il diritto di ottenere dal titolare del trattamento o dal responsabile del trattamento il risarcimento del danno patito.
A questo proposito è necessario comprendere in quali termini e con quali modalità possa essere richiesto, e cosa ben più importante, ottenuto, il risarcimento del danno.
La norma è chiara nell’indicare la tipologia di danno risarcibile, specificando che può essere richiesto il ristoro sia del danno materiale sia di quello immateriale.
Se da un lato, quindi, la norma riconosce espressamente l’ammissibilità del danno non patrimoniale, dall’altro, affinchè sorga l’obbligazione risarcitoria, è necessario che sussistano:
- un trattamento illecito di dati, ossia una condotta, attiva od omissiva, che integri una violazione delle norme del Regolamento;
- il danno;
- il nesso eziologico tra la condotta e il danno.
Come si vede il diritto al risarcimento del danno non sorge automaticamente a fronte di qualsiasi violazione, ma è necessario che vengano rispettati, e che di conseguenza sussistano, i vari presupposti indicati dall’art. 82.
La tipologia di violazione necessaria per poter avanzare la pretesa risarcitoria
La norma in esame prevede che il diritto al risarcimento sorga a fronte di “una violazione del presente regolamento” senza specificare alcun ulteriore aspetto.
Se da un lato è possibile far rientrare nella previsione tanto le condotte attive quanto quelle omissive, bisogna far ricorso al considerando 85 per avere una elencazione esemplificativa, e non di certo esaustiva, delle ragioni che potrebbero essere poste alla base di una richiesta di risarcimento.
Il considerando 85, infatti, indica una serie di aspetti che riguardano:
- perdita del controllo dei dati personali degli interessati;
- limitazione dei loro diritti;
- discriminazione;
- furto o usurpazione d’identità;
- perdite finanziarie;
- decifratura non autorizzata della pseudonimizzazione;
- pregiudizio alla reputazione;
- perdita di riservatezza dei dati personali protetti da segreto professionale
Conclude infine con l’ipotesi generica di “qualsiasi altro danno economico o sociale significativo alla persona fisica interessata”.
La formula di chiusura si allinea con la previsione dell’art. 82 che indica genericamente “qualsiasi violazione del presente regolamento” lasciando così ampia possibilità di identificazione delle fattispecie concrete.
Il punto fondamentale rimane in ogni caso il fatto che non si tratta, e non potrebbe essere diversamente, di una responsabilità oggettiva, per cui anche a fronte di una violazione, sebbene accertata e reale, il titolare, in virtù del principio di responsabilizzazione, ha la possibilità di difendere il proprio operato e di essere assolto da qualsivoglia responsabilità.
L’art. 82, infatti, al comma 3, esclude espressamente la responsabilità del titolare o del responsabile “se dimostra che l’evento dannoso non gli è in alcun modo imputabile”.
Questo significa che il soggetto ha la possibilità di fornire la prova di aver correttamente adempiuto agli obblighi derivanti dal Regolamento e di aver adottato le misure adeguate per la protezione dei dati.
Non bisogna inoltre dimenticare che il GDPR è una normativa molto particolare in quanto esprime principi generali che devono essere rispettati, ma non indica a coloro che realizzano trattamenti di dati, titolari o responsabili del trattamento che siano, come fare e quali misure adottare, quindi in ottica risarcitoria si dovrà valutare attentamente anche questo aspetto.
Il danno e il nesso eziologico
L’art. 82 ammette espressamente la risarcibilità sia del danno materiale, sia di quello non patrimoniale conseguente ad una violazione del Regolamento e richiede che vi sia la sussistenza di un nesso eziologico tra la violazione e il danno.
Questo si traduce nella pratica con la necessità, in sede contenziosa, di fornire la prova del danno, individuandolo e descrivendolo nelle sue proprie peculiari caratteristiche, non essendo sufficiente, a tal riguardo, invocare la sussistenza di un generico danno.
In una recentissima pronuncia il Tribunale regionale superiore austriaco di Innsbruck (Giudizio di 13.02.2020 – Az.: 1 R 182/19 b) è intervenuto sul punto, specificando che il risarcimento del danno derivante da trattamento illecito dei dati non è in re ipsa, ma spetta al soggetto che avanza la pretesa risarcitoria dimostrare il danno derivante dall’illiceità del trattamento e le caratteristiche del danno subito.
In sostanza non è sufficiente affermare di avere subito un danno a seguito della violazione dei propri dati, ma è necessario:
- spiegare il danno, indicandone le varie peculiarità: il danno deve essere qualificato e specificato, anche facendo riferimento alle tipologie di rischi indicati dai considerando 75 e 85 del Regolamento che, in ogni caso, forniscono solo indicazioni esemplificative. Il danno dovrà pertanto essere circostanziato e non indicato genericamente facendo ricorso a una “categoria generica”;
- fornire la prova di avere effettivamente subito il danno lamentato. Anche in questo caso non è sufficiente invocare una categoria generica e asserire di aver subito il relativo pregiudizio, ma devono essere fornite prove concrete del danno lamentato;
- dimostrare l’entità del danno, il quale non può, ai fini risarcitori, essere considerato una semplice preoccupazione o un mero fastidio derivante dal trattamento illecito. In altre parole il danno deve avere una consistenza per così dire significativa per poter essere considerato rilevante ai fini risarcitori.
A tutto questo si aggiunga, inoltre, il nesso eziologico.
Il danno lamentato deve essere causa diretta della violazione dei dati, così come espressamente previsto dall’art. 82 del Regolamento.
Conclusioni
Ottenere quindi il risarcimento del danno patito in conseguenza della violazione dei propri dati personali è possibile, anche se soggetto, come visto, a vincoli probatori piuttosto specifici.
Al di là delle valutazioni relative alla sussistenza dei presupposti richiesti dalla normativa, una riflessione particolare merita l’ipotesi di esenzione della responsabilità per il titolare o il responsabile del trattamento.
Come già anticipato il Regolamento introduce il principio di responsabilizzazione, in virtù del quale è lasciato al soggetto ampio margine di azione in relazione alle misure da adottare per la c.d. accountability.
Il soggetto, pertanto, è libero di scegliere, ovviamente sotto la propria responsabilità, le misure da adottare in relazione alle caratteristiche specifiche della propria realtà di riferimento.
Questo significa che ciò che può risultare adeguato per rendere compliant una realtà, può, allo stesso modo, non risultare sufficiente per adeguare una realtà diversa, sebbene simile.
La criticità della valutazione preliminare circa la possibilità di avanzare qualsivoglia pretesa risarcitoria è legata proprio a questo aspetto e al differente approccio al sistema di protezione dei dati che ha imposto il GDPR.
È auspicabile quindi che nel prossimo futuro per le azioni di risarcimento del danno, oltre all’analisi dei presupposti richiesti dalla normativa, vengano considerati anche questi elementi che potrebbero avere un peso rilevante sull’esito di una causa giudiziale.
