I ruoli e le responsabilità legali e organizzative del GDPR

Il trattamento dei dati personali prevede un sistema sanzionatorio che coinvolge l’ambito penale, amministrativo e civile. Quali sono quindi i ruoli e le responsabilità legali dal GDPR? A riguardo delle sanzioni penali e le sanzioni amministrative previste dal Regolamento è stato scritto tanto e riteniamo quindi necessario una breve riflessione sulla responsabilità civile partendo dalla disciplina prevista dal Codice Privacy (D.Lgs. 196/03).

Il Codice Privacy prevedeva al primo comma dell’art. 15 la responsabilità, ai sensi dell’art. 2050 del codice civile, a carico di chiunque avesse cagionato un danno ad altri per effetto del trattamento di dati personali. Risultava chiaramente il tipo di responsabilità in cui si incorreva: responsabilità per l’esercizio di attività pericolose. In pratica, chi cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei mezzi adoperati è tenuto al risarcimento. Almeno che esso non sia in grado di dare prova per avere adottato tutte le misure idonee ad evitare il danno.

Tale norma prevedeva un’inversione dell’onere della prova a carico del danneggiante ed il secondo comma dell’art. 15 del D. Lgs. 196/03 prevedeva la risarcibilità del danno “non patrimoniale” anche in caso di violazione dell’art. 11 (Modalità del trattamento e requisiti dei dati). L’articolo 15 non effettuava nessun riferimento esplicito alla responsabilità solidale, tuttavia veniva certamente applicata grazie al richiamo all’art. 2050 c.c. e conseguentemente alla norma generale di riferimento art. 2055 c.c.

Le modifiche derivanti dal D.Lgs. 101/2018

Con l’entrata in vigore del D.Lgs. 101/2018, l’articolo 15 del Codice Privacy è stato abrogato. Di conseguenza manca manca una norma di richiamo all’art. 2050, in materia di responsabilità civile. Inoltre non è nulla previsto in materia di responsabilità civile dal citato decreto. Si evince quindi che per ciò che concerne tale ambito, si dovrà fare  riferimento all’art. 82 del Reg. UE 679/2016.

Il art.82 del GDPR sancire dunque il diritto di chiunque di ottenere il risarcimento del danno subito, ogni qual volta vi sia stata una violazione delle disposizioni del Regolamento da parte del titolare o del responsabile del trattamento.

La netta differenza che si nota subito, rispetto all’art. 15, è che nell’art. 82 indica titolare e responsabile del trattamento tenuti al risarcimento del danno, mentre l’abrogato art. 15 obbligava “chiunque” avesse cagionato un danno, al risarcimento. Anche ai sensi del GDPR il risarcimento potrà essere richiesto sia per danno patrimoniale, sia per il danno non patrimoniale con un’azione legale davanti alla magistratura civile.

La richiesta di risarcimento dei danni può essere avanzata da chiunque e non solo dall’interessato.

Il paragrafo 2 dell’art. 82 delinea poi quelle che sono le responsabilità dei soggetti del trattamento dei dati e precisamente:

  • il titolare risponderà per il danno cagionato dal trattamento che violi le norme del Regolamento;
  • il responsabile del trattamento risponderà per il danno causato solo se non ha adempiuto agli obblighi che il Regolamento pone a suo carico o se ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare.

L’inversione dell’onere di prova

Relativamente all’onere di prova, l’art. 82 inverte l’obbligo e pone a carico del titolare e del responsabile l’onere di prova al fine di essere esonerati da ogni responsabilità. Essi devono dimostrare che l’evento dannoso non sia a loro imputabile o che l’evento dannoso sia causato da una fonte estranea alla loro sfera di controllo. Prova di non colpevolezza pu essere anche la dimostrano che hanno predisposto e messo in atto tutte le misure adeguate al fine di evitare che si verificasse il danno.

L’inversione dell’onere della prova e giustificata dal fatto che il trattamento dei dati è un’attività pericolosa perché espone gli “interessati” e non solo loro, ad un rischio.

Quindi, al fine di proteggere il soggetto più debole, nel caso in cui l’interessato viene danneggiato, devo soltanto dimostrare che sussiste il danno, la violazione della normativa e il nesso tra i due elementi.

Va ricordato che i rischi in relazione al trattamento dei dati, di cui si deve tener conto, possono essere molteplici.

La responsabilità solidale e pro quota

Al fine di tutelare e garantire il risarcimento tempestivo ed effettivo al danneggiato, il Regolamento prevede che, qualora più titolai o responsabili del trattamento oppure entrambi siano coinvolti nello stesso trattamento e siano, ai sensi dei paragrafi 2 e 3 dell’art. 82, responsabili dell’eventuale danno causato, ognuno di essi sia responsabile in solido per l’intero ammontare del danno. Fermo restando la possibilità di un’azione di regresso nei confronti degli altri titolari o responsabili coinvolti nello stesso trattamento.

Il danneggiato può quindi rivolgere la totalità della propria pretesa risarcitoria ad uno solo tra il titolare ed il responsabile, senza la preoccupazione di capire che dei due sia effettivamente colpevole. Ogni titolare o responsabile del trattamento coinvolto sarà responsabile per la propria parte di inadempimento, quindi alla fine la loro responsabilità sarà pro quota.

Le responsabilità civile

Dato che ogni articolo del GDPR va letto ed interpretato alla luce dei relativi “Considerando”, diamo un’occhiata al no. 146 che prevede la possibilità di intraprendere anche azioni di risarcimento di danni, a carico del titolare e del responsabile, derivanti dalla violazione di altre norme del diritto dell’Unione o degli Stati membri. Tenendo presente che un trattamento non conforme al Regolamento comprende anche il trattamento non conforme agli atti delegati, agli atti di esecuzione adottati in conformità del Regolamento e alle disposizioni del diritto degli Stati membri che ne specificano le disposizioni. Quindi, la responsabilità civile a carico del responsabile del trattamento non si esaurisce con il mancato rispetto delle norme sopra indicate.

A questo punto si evince chiaramente che la responsabilità che grava sul responsabile del trattamento abbia una portata ancor più ampia, poiché è tenuto, previo controllo della conformità al GDPR dei trattamenti svolti nell’organizzazione, anche ad informare il titolare di eventuali trattamenti illeciti o della possibilità che si possano verificare trattamenti illeciti o situazioni non conformi con il GDPR.

In conclusione va detto che il titolare del trattamento non solo deve scegliere accuratamente i responsabili del trattamento ma dovrà anche vigilare sul loro operato. Ricordiamo che i ruoli e le responsabilità legali e organizzativi dal GDPR sono ben definiti dalle norme in vigore.

Il DPO invece non sarà mai responsabile nei confronti degli interessati in caso di richieste di risarcimento dei danni, ma sarà responsabile nei confronti del titolare per l’inadempimento degli obblighi contrattuali relativi al suo incarico.

Per ulteriore informazioni riguardo i ruoli e le responsabilità legali e organizzativi dal GDPR segui l’intervista in diretta .

Ottemperare al GDPR: responsabilità legali e organizzative nell’esperienza del DPO

LUNEDÌ 12 aprile 2021 ore 11:00

Fonte: Federprivacy.it