Temi

Shape 5 Live Search

logo

Il regolamento europeo per la protezione dei dati personali stabilisce che chiunque subisca un danno, materiale o immateriale, a seguito di un trattamento di dati non conforme al regolamento, ha il diritto di ottenere il risarcimento del danno subito. 

L'articolo 82 del GDPR, quindi, stabilisce il diritto ad ottenere il risarcimento del danno da parte dell'interessato (e quindi danneggiato). I soggetti tenuti al risarcimento sono sia il titolare che il responsabile del trattamento. Il titolare risponde per il danno causato dal trattamento in violazione del regolamento, mentre il responsabile risponde del danno causato dal non corretto adempimento dei suoi obblighi specifici, o se ha agito in modo difforme rispetto alla istruzioni del titolare. 

Ovviamente un trattamento non conforme alle norme, e quindi illecito, determina innanzitutto l'impossibilità di utilizzare i dati raccolti

Per far valere i propri diritti, un cittadino, cioè l'interessato al trattamento, può utilizzare vari strumenti. Il Garante per la protezione dei dati personali ha predisposto delle FAQ in materia

 

Interpello al titolare del trattamento

L'interessato al trattamento che ritiene di aver subito una violazione dei suoi diritti può rivolgersi direttamente al titolare del trattamento (o al responsabile o anche attraverso un incaricato) per la sua tutela, senza particolari formalità (per lettera, mail, fax, ecc...). Un classico esempio è la richiesta di diritto all'oblio (cancellazione) che può essere rivolta direttamente a Google Search (e agli altri motori di ricerca) quale titolare del trattamento.
L'interessato deve ricevere una risposta entro 15 giorni, termine che può essere esteso a 30 giorni, dandone comunicazione all'interessato nei primi 15 giorni. 
In mancanza di risposta, o in caso di risposta non soddisfacente, l'interessato può rivolgersi all'Autorità di controllo (Garante) o a quella giudiziaria. 

QUI il modello per l'interpello al titolare, predisposto dal Garante

 

Tutela amministrativa

L'articolo 141 del codice per la protezione dei dati personali prevede la possibilità di rivolgersi anche al Garante per la tutela dei propri diritti, in alternativa al giudice ordinario (cioè dopo essersi rivolti al Garante non è più ammissibile rivolgersi al giudice ordinario, se non nel caso del ricorso), direttamente oppure a seguito di non accoglimento della richiesta rivolta al titolare del trattamento. 

 

Reclamo
L'interessato può presentare un reclamo al Garante, col quale rappresenta una violazione della normativa in materia di protezione dei dati personali. Il reclamo, regolamentato dall'articolo 142 del codice, deve contenere una serie di elementi, in particolare l'indicazione dettagliata dei fatti e delle circostanze, delle norme che si presumono violate e delle misure richieste. Per la presentazione del reclamo occorre pagare i diritti di segretaria (150 euro). 

Al termine del procedimento amministrativo, il Garante emana un provvedimento col quale l'autorità può prescrivere le misure per rendere il trattamento conforme alle disposizioni di legge, oppure intimare il blocco o il divieto del trattamento che risulti illecito o non corretto. 

 

Segnalazione
La segnalazione è un atto col quale si sollecita al Garante (qui i contatti) un controllo sull'applicazione della normativa in relazione ad un trattamento. Non richiede il pagamento di diritti di segreteria, né una descrizione dettagliata dei fatti, ma deve contenere gli elementi utili per l'intervento del Garante. In sostanza si sostituisce al reclamo nel caso in cui non si abbiano elementi circostanziati. 

Al seguito dell'eventuale istruttoria, il Garante può emanare gli stessi provvedimenti di cui al reclamo. 

 

Ricorso
Il ricorso, invece, è un atto formale che può essere presentato solo per far valere i diritti di cui all'articolo 7 del codice per la protezione dei dati personali (qui il FAQ del Garante). Il ricorso può essere presentato se l'istanza con la quale l'interessato esercita tali diritti non riceve risposta nei tempi previsti (cioè 15 gioni dal ricevimento, oppure 30 giorni nei casi più complessi, previo avvertimento all'istante) dal titolare del trattamento, se la risposta non è soddisfacente, oppure se il decorso dei termini può esporre l'interessato ad un pregiudizio irreparabile. Per presentare il ricorso occorre pagare i diritti di segreteria (150 euro), e deve contenere gli elementi prescritti dall'articolo 147 del codice. Il ricorso non può essere proposto se è già stata adita l'autorità giudiziaria. 

Il Garante può, in via provvisoria, disporre il blocco del trattamento, in tutto o in parte. A seguito del procedimento amministrativo emana un provvedimento col quale ordina la cessazione del trattamento illecito, indicando le misure necessarie a tutela dell'interessato. La mancata pronuncia nel termine di 60 giorni equivale a rigetto del ricorso. 
Se l'interessato lo ha richiesto, il Garante condanna l'altra parte al ristoro delle spese sostenute per la presentazione del ricorso (nella pressi vanno da 500 a 1.000 euro), condanna che in assenza di opposizione diventa titolo esecutivo. Il Garante, invece, non ha competenza per decidere sui danni.
Contro il provvedimento (anche in caso di mancata pronuncia nei 60 giorni) può essere proposta opposizione all'autorità giudiziaria

 

Tutela civile

L'interessato in alternativa al ricorso al Garante può rivolgersi anche al giudice civile, e in particolare al tribunale del luogo di residenza del titolare del trattamento. Può anche presentare opposizione al provvedimento che conclude il procedimento di ricorso.

Solo il tribunale può condannare il titolare del trattamento illecito al risarcimento dei danni occorsi all'interessato. 
L'art. 13 del Codice Privacy prevede espressamente che chiunque cagiona un danno ad altri, per effetto del trattamento di dati personali, è tenuto al risarcimento del danno ai sensi dell'art. 2050 del codice civile. L'art. 2050 riguarda i casi di responsabilità per l'esercizio di attività pericolose. Il richiamo di tale articolo evidenzia che l'interessato che ha subito un danno potrà limitarsi a dimostrare l'esistenza del danno e che esso è conseguenza del trattamento illecito, mentre spetta al titolare del trattamento, casomai in solido col responsabile, dimostrare di aver adottato tutte le misure idonee per evitare il danno. 

Ovviamente, il danno non può identificarsi nell'evento dannoso (cioé l'illecito trattamento dei dati) ma é necessario che si concreti un un pregiudizio della sfera non patrimoniale di interessi del danneggiato.  

 

Provvedimenti di urgenza

In casi di urgenza è possibile ricorrere all'art. 700 c.p.c. In questo caso occorre provare il fumus boni iuris (cioè che la pretese non sia infondata o temeraria) e il periculum in mora (pericolo che nel tempo necessario ad ottenere una pronuncia giudiziale possano intervenire fatti irreparabili che impedirebbero l'applicazione di un eventuale giudizio favorevole). Quest'ultimo si ritiene sempre sussistente in caso di pubblicazione online, dato la permanenza e quindi della lesione continuata del diritto.

Se sussiste anche una violazione del diritto di immagine si può ricorrere alla tutela d'urgenza prevista dalla legge sul diritto d'autore (articoli 96 e seguenti). 

 


Tutela penale

La responsabilità penale, invece, è regolamentata dall'art. 167 del codice privacy (si fa presente che lo schema di decreto per l'attuazione del GDPR in Italia prevederebbe l'abrogazione di tale norma penale). Tale articolo sanziona diversi tipi di condotte. 
Il trattamento illecito dei dati, per essere penalmente perseguibile deve essere caratterizzato dal dolo specifico, cioè chi pone in essere la condotta deve agire al fine di trarre per sé o per altri un profitto, ovvero per recare ad altri un pregiudizio, e comportare altresì la produzione di un nocumento, che è prevista quale condizione obiettiva di punibilità.
Di conseguenza anche se il trattamento dei dati è avvenuto senza il consenso dell'interessato, non è punibile a meno che non abbia prodotto un danno.