La responsabilità civile alla luce del GDPR e del decreto 101/2018

tratto da AgendaDigitale

Il trattamento dei dati personali prevede un sistema sanzionatorio che coinvolge l’ambito penale, amministrativo e civile. Molto si è detto per quanto riguarda le sanzioni penali e le sanzioni amministrative previste dal GDPRsi ritiene necessario quindi una breve riflessione sulla responsabilità civile partendo dalla disciplina prevista dal Codice Privacy (D.Lgs. 196/03).

L’articolo 15 del Codice Privacy al primo comma prevedeva la responsabilità, ai sensi dell’art. 2050 del codice civile, a carico di chiunque avesse cagionato un danno ad altri per effetto del trattamento di dati personali. Era ben chiaro il tipo di responsabilità in cui si incorreva: responsabilità per l’esercizio di attività pericolose, secondo la quale chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei mezzi adoperati è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee ad evitare il danno, il trattamento dei dati viene così ad essere inquadrato nell’ambito delle attività pericolose. Tale norma prevedeva un’inversione dell’onere della prova a carico del danneggiante ed il secondo comma dell’art. 15 del D. Lgs. 196/03 prevedeva la risarcibilità del danno “non patrimoniale” anche in caso di violazione dell’art. 11 (Modalità del trattamento e requisiti dei dati). L’articolo 15 non effettuava nessun riferimento esplicito alla responsabilità solidale, tuttavia veniva certamente applicata grazie al richiamo all’art. 2050 c.c. e conseguentemente alla norma generale di riferimento art. 2055 c.c.

L’articolo 15, come del resto tutto il Titolo III della Parte I del decreto legislativo n. 196/03, sono stati abrogati dal decreto legislativo n. 101/2018. Quindi, in materia di responsabilità civile, non solo manca una norma di richiamo all’art. 2050, ma nulla è previsto in materia di responsabilità civile dal decreto legislativo n. 101/2018, con la logica conseguenza che, per ciò che concerne tale ambito, si dovrà fare necessariamente riferimento all’art. 82 del Reg. UE 679/2016.

Questo articolo sancisce il diritto di chiunque di ottenere il risarcimento del danno subito, ogni qual volta vi sia stata una violazione delle disposizioni del GDPR da parte del titolare o del responsabile del trattamento.

Già possiamo notare una prima differenza rispetto all’art. 15, ossia il fatto che in questo caso – nell’art. 82 – sono tenuti al risarcimento del danno il titolare o il responsabile del trattamento, mentre ai sensi dell’articolo 15 obbligato al risarcimento era “chiunque” avesse cagionato un danno. Anche ai sensi del GDPR il risarcimento potrà essere richiesto sia per danno patrimoniale, sia per il danno non patrimoniale e l’azione legale sarà promossa davanti all’autorità giurisdizionale competente, nel nostro caso quindi dinnanzi alla magistratura civile.

Si noti bene che la richiesta di risarcimento dei danni può essere avanzata da chiunque e non solo dall’interessato.

Il paragrafo 2 dell’art. 82 delinea poi quelle che sono le responsabilità dei soggetti del trattamento dei dati e precisamente:

  • il titolare risponderà per il danno cagionato dal trattamento che violi le norme del Regolamento;
  • il responsabile del trattamento risponderà per il danno causato solo se non ha adempiuto agli obblighi che il Regolamento pone a suo carico o se ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare.

leggi l’articolo completo