Temi

Shape 5 Live Search

logo

Il regolamento europeo per la protezione dei dati personali (GDPR) stabilisce che chiunque subisca un danno, materiale o immateriale, a seguito di un trattamento di dati non conforme al regolamento, ha il diritto di ottenere il risarcimento del danno subito. 

L'articolo 82 del GDPR, quindi, stabilisce il diritto ad ottenere il risarcimento del danno da parte dell'interessato (e quindi danneggiato). I soggetti tenuti al risarcimento sono sia il titolare che il responsabile del trattamento. Il titolare risponde per il danno causato dal trattamento in violazione del regolamento, mentre il responsabile risponde del danno causato dal non corretto adempimento dei suoi obblighi specifici, o se ha agito in modo difforme rispetto alla istruzioni del titolare. 

Ovviamente un trattamento non conforme alle norme, e quindi illecito, determina innanzitutto l'impossibilità di utilizzare i dati raccolti

Per far valere i propri diritti, un cittadino, cioè l'interessato al trattamento, può utilizzare vari strumenti. 

 

Istanza al titolare del trattamento

L'interessato al trattamento che ritiene di aver subito una violazione dei suoi diritti può rivolgersi direttamente al titolare del trattamento (o al responsabile o anche attraverso un incaricato) per la sua tutela, senza particolari formalità (per lettera, mail, fax, ecc...). Un classico esempio è la richiesta di diritto all'oblio (cancellazione) che può essere rivolta direttamente a Google Search (e agli altri motori di ricerca) quale titolare del trattamento.
L'interessato deve ricevere una risposta entro 30 giorni, termine che può essere esteso a 60 giorni, dandone comunicazione all'interessato nei primi 30 giorni. 
In mancanza di risposta, o in caso di risposta non soddisfacente, l'interessato può rivolgersi all'Autorità di controllo (Garante) o a quella giudiziaria. 

QUI il modello per l'esercizio dei diritti predisposto dal Garante

 

Tutela amministrativa

Il regolamento europeo  prevede la possibilità di rivolgersi anche all'autorità di controllo per la tutela dei propri diritti, in alternativa al giudice ordinario (cioè dopo essersi rivolti al Garante non è più ammissibile rivolgersi al giudice ordinario, se non nel caso del ricorso), direttamente oppure a seguito di non accoglimento della richiesta rivolta al titolare del trattamento. 

 

Reclamo
L'interessato può presentare un reclamo all'autorità di controllo, col quale rappresenta una violazione della normativa in materia di protezione dei dati personali. Il reclamo, regolamentato dall'articolo 77 del GDPR, deve contenere una serie di elementi, in particolare l'indicazione dettagliata dei fatti e delle circostanze, delle norme del GDPR che si presumono violate e delle misure richieste. Il reclamo può essere sottoscritto direttamente dall'interessato, oppure, per suo conto, da un avvocato, un procuratore, un organismo, un’organizzazione o un’associazione senza scopo di lucro. In tali casi, è necessario conferire una procura da depositarsi presso il Garante assieme a tutta la documentazione utile ai fini della valutazione del reclamo presentato. Il reclamo e l’eventuale procura dovranno essere sottoscritti con firma autenticata in caso di invio tramite raccomandata A/R, ovvero con firma digitale in caso di invio mediante posta elettronica certificata. La presentazione di un reclamo è gratuita.

L'interessato potrà consegnare a mano l'atto presso gli uffici del Garante, oppure inviarlo per posta (Piazza di Monte Citorio, 121 CAP 00186 Roma) o per email (Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.). Al reclamo segue un’istruttoria preliminare e un eventuale successivo procedimento amministrativo formale che può portare all’adozione di vari provvedimenti (articolo 58 GDPR) coi quali l'autorità di controllo può prescrivere le misure per rendere il trattamento conforme alle disposizioni di legge, oppure intimare il blocco o il divieto del trattamento che risulti illecito o non corretto. 

Pagina informativa del Garante sul reclamo

 

Ricorso

Il regolamento europeo non prevede più l'istituto del ricorso. 

 

Tutela civile

L'interessato in alternativa al ricorso al Garante può rivolgersi anche al giudice civile, e in particolare al tribunale del luogo di residenza del titolare del trattamento. Può anche presentare opposizione al provvedimento che conclude il procedimento di ricorso.

Solo il tribunale può condannare il titolare del trattamento illecito al risarcimento dei danni occorsi all'interessato. 
L'art. 13 del Codice Privacy prevede espressamente che chiunque cagiona un danno ad altri, per effetto del trattamento di dati personali, è tenuto al risarcimento del danno ai sensi dell'art. 2050 del codice civile. L'art. 2050 riguarda i casi di responsabilità per l'esercizio di attività pericolose. Il richiamo di tale articolo evidenzia che l'interessato che ha subito un danno potrà limitarsi a dimostrare l'esistenza del danno e che esso è conseguenza del trattamento illecito, mentre spetta al titolare del trattamento, casomai in solido col responsabile, dimostrare di aver adottato tutte le misure idonee per evitare il danno. 

Ovviamente, il danno non può identificarsi nell'evento dannoso (cioé l'illecito trattamento dei dati) ma é necessario che si concreti un un pregiudizio della sfera non patrimoniale di interessi del danneggiato.  

 

Provvedimenti di urgenza

In casi di urgenza è possibile ricorrere all'art. 700 c.p.c. In questo caso occorre provare il fumus boni iuris (cioè che la pretese non sia infondata o temeraria) e il periculum in mora (pericolo che nel tempo necessario ad ottenere una pronuncia giudiziale possano intervenire fatti irreparabili che impedirebbero l'applicazione di un eventuale giudizio favorevole). Quest'ultimo si ritiene sempre sussistente in caso di pubblicazione online, dato la permanenza e quindi della lesione continuata del diritto.

Se sussiste anche una violazione del diritto di immagine si può ricorrere alla tutela d'urgenza prevista dalla legge sul diritto d'autore (articoli 96 e seguenti). 

 


Tutela penale

La responsabilità penale, invece, è regolamentata dall'art. 167 del codice privacy (si fa presente che lo schema di decreto per l'attuazione del GDPR in Italia potrebbe modificare la norma). Tale articolo sanziona diversi tipi di condotte. 
Il trattamento illecito dei dati, per essere penalmente perseguibile deve essere caratterizzato dal dolo specifico, cioè chi pone in essere la condotta deve agire al fine di trarre per sé o per altri un profitto, ovvero per recare ad altri un pregiudizio, e comportare altresì la produzione di un nocumento, che è prevista quale condizione obiettiva di punibilità.
Di conseguenza anche se il trattamento dei dati è avvenuto senza il consenso dell'interessato, non è punibile a meno che non abbia prodotto un danno.