Il regolamento europeo per la protezione dei dati personali (GDPR) prevede una serie di strumenti per la tutela dell'interessato in caso di trattamento illecito dei dati.
Anche le normative nazionali prevedono ulteriori strumenti a tutela del cittadino. Ovviamente un trattamento non conforme alle norme, e quindi illecito, determina innanzitutto l'impossibilità di utilizzare i dati raccolti.
Un trattamento si considera illecito quando è:
- contrario alle norme vigenti (condotta non iure);
- lesivo di una situazione giuridica soggettiva altrui protetta dalla legge (condotta contra ius).
Per alcuni commentatori occorre, invece, superare tale struttura, ritenendo che la violazione della regola procedimentale sia considerata da sè espressione di un danno ingiusto, per cui non occorre provarlo separatamente.
Danno e risarcimento del danno
L'articolo 82 del GDPR stabilisce che "chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento". L'espressione utilizzata è riferita al danno patrimoniale e non patrimoniale.
Il soggetto danneggiato (cioè l'interessato) a seguito di un trattamento dei suoi dati in violazione delle norme del GDPR (nonché degli atti delegati e di esecuzione del GDPR, e delle norme nazionali di adattamento) può ottenere il risarcimento di qualunque danno occorsogli (anche se la lesione è marginale), sia a seguito di condotta del titolare (ed eventuali contitolari) che del responsabile del trattamento. Il titolare risponde per il danno causato dal trattamento in violazione del regolamento, mentre il responsabile solo del danno causato dal non corretto adempimento dei suoi obblighi specifici, o se ha agito in modo difforme rispetto alle istruzioni del titolare. Eventuali sub-responsabili, invece, rispondono solo internamente, verso il responsabile, non verso gli interessati. In sintesi si configura in capo al titolare ed eventuali responsabili una responsabilità oggettiva per contrarietà ai precetti del GDPR.
Il concetto di danno è precisato nel Considerando 146: "Il titolare del trattamento o il responsabile del trattamento dovrebbe risarcire i danni cagionati a una persona da un trattamento non conforme al presente regolamento ma dovrebbe essere esonerato da tale responsabilità se dimostra che l’evento dannoso non gli è in alcun modo imputabile. Il concetto di danno dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di giustizia in modo tale da rispecchiare pienamente gli obiettivi del presente regolamento. Ciò non pregiudica le azioni di risarcimento di danni derivanti dalla violazione di altre norme del diritto dell’Unione o degli Stati membri. Un trattamento non conforme al presente regolamento comprende anche il trattamento non conforme agli atti delegati e agli atti di esecuzione adottati in conformità del presente regolamento e alle disposizioni del diritto degli Stati membri che specificano disposizioni del presente regolamento. Gli interessati dovrebbero ottenere pieno ed effettivo risarcimento per il danno subito. Qualora i titolari del trattamento o i responsabili del trattamento siano coinvolti nello stesso trattamento, ogni titolare del trattamento o responsabile del trattamento dovrebbe rispondere per la totalità del danno. Tuttavia, qualora essi siano riuniti negli stessi procedimenti giudiziari conformemente al diritto degli Stati membri, il risarcimento può essere ripartito in base alla responsabilità che ricade su ogni titolare del trattamento o responsabile del trattamento per il danno cagionato dal trattamento, a condizione che sia assicurato il pieno ed effettivo risarcimento dell’interessato che ha subito il danno. Il titolare del trattamento o il responsabile del trattamento che ha pagato l’intero risarcimento del danno può successivamente proporre un’azione di regresso contro altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento".
Si applica il principio del cumulo tra i vari soggetti (art. 82. par. 4), in modo che i danneggiati ottengano sempre l'intero risarcimento del danno, potendo agire per l'intero danno indifferentemente contro uno qualsiasi dei soggetti tenuti solidalmente al risarcimento, indipendentemente da eventuali ripartizioni interne tra i danneggianti. Eventuali clausole contrattuali di ripartizione del danno valgono solo nei rapporti interni tra i danneggianti, per cui il soggetto che ha provveduto a risarcire il danno potrà agire in regresso contro gli altri soggetti per le quote di responsabilità. In assenza di accordi interni occorrerà un accertamento giudiziale per la ripartizione interna per quote. Eventuali delegati del titolare e autorizzati, invece, rispondono solo nella misura dell'effettivo concorso alla causazione del danno, in base all'art. 2043 c.c., sempre limitatamente nei rapporti interni con i soggetti tenuti al risarcimento.
Si delinea un regime differenziato. Le persone fisiche, giuridiche o altri enti che trattano dati per attività di impresa o professionale sono soggette al regime speciale agevolato per l'interessato al trattamento tipizzato dall'art. 82 GDPR, con risarcimento del danno patrimoniale o non patrimoniale. Le persone fisiche, invece, che trattano dati per scopi domestici o personali, sono soggette al regime ordinario di responsabilità aquiliana (art. 2043 c.c.). In quest'ultimo caso il risarcimento del danno non patrimoniale consegue solo alla prova che il trattamento configuri un reato (art. 2059 c.c.) oppure il danneggiato sia in grado di dimostrare la lesione di un diritto fondamentale della persona protetto dall'art. 2 Cost.
Strumenti per la tutela
Per far valere i propri diritti l'interessato al trattamento può utilizzare vari strumenti.
1) Interessato -> istanza al titolare -> impugnazione dinanzi al Garante
-------------------------------------------> o impugnazione dinanzi al tribunale
2) Interessato -> reclamo al Garante -> opposizione al tribunale
3) Interessato -> ricorso al tribunale -> impugnazione in Cassazione
Istanza al titolare del trattamento
L'interessato al trattamento che ritiene di aver subito una violazione dei suoi diritti può rivolgersi direttamente al titolare del trattamento (o al responsabile o anche attraverso un incaricato) per la sua tutela, senza particolari formalità (per lettera, mail, fax, ecc...). Un classico esempio è la richiesta di diritto all'oblio (cancellazione) che può essere rivolta direttamente a Google Search (e agli altri motori di ricerca) quale titolare del trattamento.
L'interessato deve ricevere una risposta entro un mese dalla richiesta, termine che può essere prorogato di due mesi (quindi fino a tre), ma in questo caso il titolare deve darne comunicazione all'interessato nel mese, chiarendo i motivi del ritardo. In mancanza di risposta, o in caso di risposta non soddisfacente, l'interessato può rivolgersi all'Autorità di controllo (Garante) o a quella giudiziaria.
QUI il modello per l'esercizio dei diritti predisposto dal Garante
Tutela amministrativa
Il regolamento europeo (e l'art. 140-bis del Codice Privacy) prevede la possibilità di rivolgersi all'autorità di controllo per la tutela dei propri diritti, in alternativa al giudice ordinario (cioè dopo essersi rivolti al Garante non è più ammissibile rivolgersi al giudice ordinario), direttamente oppure a seguito di non accoglimento della richiesta rivolta al titolare del trattamento.
Reclamo
L'interessato (anche a mezzo di avvocato o organismo di rappresentanza con specifico mandato) può presentare un reclamo all'autorità di controllo, col quale rappresenta una violazione della normativa in materia di protezione dei dati personali. Il reclamo (regolamentato dall'articolo 77 del GDPR e dagli artt. da 140-bis a 143 del Codice Privacy) deve contenere una serie di elementi:
- l'indicazione dettagliata dei fatti e delle circostanze;
- l'indicazione delle norme del GDPR o delle leggi nazionali che si presumono violate;
- l'indicazione delle misure richieste;
- gli estremi identificativi del titolare o del responsabile del trattamento se conosciuti.
Il reclamo può essere sottoscritto direttamente dall'interessato (occorre allegare un documento di identità), oppure, per suo conto, da un avvocato, un procuratore, un organismo, un’organizzazione o un’associazione senza scopo di lucro. In tali casi, è necessario conferire una procura da depositarsi presso il Garante assieme a tutta la documentazione utile ai fini della valutazione del reclamo presentato. Il reclamo e l’eventuale procura dovranno essere sottoscritti con firma autenticata in caso di invio tramite raccomandata A/R, ovvero con firma digitale in caso di invio mediante posta elettronica certificata. La presentazione di un reclamo è gratuita.
L'interessato potrà consegnare a mano l'atto presso gli uffici del Garante, oppure inviarlo per posta (Piazza di Monte Citorio n. 121 CAP 00186 Roma) o per email (
Avverso il provvedimento che decide sul reclamo è proponibile ricorso giurisdizionale al tribunale competente nel termine di 30 giorni dalla comunicazione del provvedimento.
Pagina informativa del Garante sul reclamo
Ricorso
Il regolamento europeo non prevede più l'istituto del ricorso.
Segnalazione
Chiunque può rivolgere una segnalazione al Garante segnalando, appunto, una presunta violazione, fornendo solamente gli elementi di cui si è in possesso. Non necessariamente dalla segnalazione prende avvio un procedimento del Garante.
Tutela civile
In alternativa al reclamo al Garante, l'interessato può rivolgersi al giudice civile, e in particolare al tribunale del luogo dove il titolare del trattamento ha uno stabilimento oppure dove risiede l'interessato (art. 79 GDPR). Può anche impugnare tramite opposizione al tribunale il provvedimento che conclude il procedimento di reclamo amministrativo dinanzi all'autorità di controllo nazionale. L'impugnazione va fatta entro i 30 giorni dalla data di comunicazione del provvedimento.
Solo il tribunale può condannare il titolare del trattamento illecito al risarcimento dei danni occorsi all'interessato.
L'articolo 82 del regolamento europeo prevede l'obbligo, da parte del titolare, di risarcire i danni causati nel corso di un trattamento di dati personali. L'art. 13 del Codice Privacy prevede espressamente che chiunque cagiona un danno ad altri, per effetto del trattamento di dati personali, è tenuto al risarcimento del danno ai sensi dell'art. 2050 del codice civile (responsabilità per l'esercizio di attività pericolose). Il richiamo di tale articolo evidenzia che l'interessato che ha subito un danno potrà limitarsi a dimostrare l'esistenza del danno e che esso è conseguenza del trattamento illecito, mentre spetta al titolare del trattamento, casomai in solido col responsabile, dimostrare di aver adottato tutte le misure idonee per evitare il danno.
Ovviamente, il danno non può identificarsi nell'evento dannoso (cioé l'illecito trattamento dei dati) ma é necessario che si concreti un un pregiudizio della sfera di interessi del danneggiato.
Sostanzialmente si ha l'inversione dell'onere della prova, per cui il danneggiato (eventualmente ricorrendo a presunzioni e fatti notori) si limita a provare:
- il trattamento illecito;
- la gravità del pregiudizio subito (ai soli fini dell'accertamento del quantum);
- il nesso causale tra trattamento e evento dannoso.
In realtà col GDPR si rafforza la posizione dell'interessato, il quale si può limitare a provare la mera violazione dei principi e delle regole di condotta del GDPR.
Il titolare del trattamento, quindi, in base al principio di responsabilizzazione, risponde del rischio tipico di impresa. Per non incorrere in responsabilità deve dimostrare (art. 82.3 GDPR) che l'evento dannoso non gli è in alcun modo imputabile. Quindi non può limitarsi alla prova negativa di non aver violato le norme (e quindi di essersi conformato ai precetti), ma occorre la prova positiva di aver valutato autonomamente il rischio di impresa, purché tipico, cioè prevedibile, e attuato le misure organizzative e di sicurezza tali da eliminare o ridurre il rischio connesso alla sua attività.
Il provvedimento che decide il ricorso è impugnabile solo per Cassazione.
Provvedimenti di urgenza
In casi di urgenza è possibile ricorrere all'art. 700 c.p.c. In questo caso occorre provare il fumus boni iuris (cioè che la pretesa non sia infondata o temeraria) e il periculum in mora (pericolo che nel tempo necessario ad ottenere una pronuncia giudiziale possano intervenire fatti irreparabili che impedirebbero l'applicazione di un eventuale giudizio favorevole). Quest'ultimo si ritiene sempre sussistente in caso di pubblicazione online, dato la permanenza e quindi della lesione continuata del diritto.
Se sussiste anche una violazione del diritto di immagine si può ricorrere alla tutela d'urgenza prevista dalla legge sul diritto d'autore (articoli 96 e seguenti).
Tutela penale
La responsabilità penale, invece, è regolamentata dagli articoli 167 e seguenti del codice privacy, così come modificati dal decreto 101 del 2018.