Il pregiudizio alla reputazione è espressamente annoverato tra i possibili danni conseguenti ad una violazione di dati personali dell'interessato, ai sensi del Considerando 85 del GDPR. Un caso emblematico può verificarsi in ipotesi di pubblicazione di dati personali trattati per finalità di profilazione.
Ipotesi di violazione di dati personali
La definizione della profilazione fornita dal GDPR si può scomporre in tre elementi, che concorrono ad individuare tale operazione quando:
- il trattamento è svolto in modo automatizzato;
- l'attività ha per oggetto dati personali, cioè informazioni relative a persone fisiche identificate o identificabili anche indirettamente;
- il fine è dato dalla valutazione di aspetti personali dell'interessato , eventualmente con l'obiettivo di anticipare le sue decisioni.
In ipotesi di divulgazione di dati personali trattati per finalità di questo tipo, non è difficile immaginare che ne possa beneficiare un danno anche alla reputazione degli utenti coinvolti.
Si pensi al caso in cui un utente si registri ad un portale di incontri per adulti consentendo il trattamento finalizzato alla profilazione di dati riguardanti ad esempio i propri gusti sessuali e la propria ubicazione geografica, ovvero acceda ad un sito rivolto ad aiutare le coppie ad avere figli consentendo il trattamento di dati relativi ad aspetti privati della propria vita di relazione.
Laddove i suddetti dati venissero quindi hackerati, ad esempio a seguito di un data breach , o in ogni caso divulgati e resi noti al pubblico oa soggetti non autorizzati non vi è dubbio che potrebbero configurarsi ipotesi di lesione alla reputazione degli utenti coinvolti.
Il regime di responsabilità civile
Il regime di responsabilità civile per danni conseguenti a trattamento illecito dei dati personali effettuato dal Titolare e/o dal Responsabile, è disciplinato dall'art. 82 del GDPR.
Ai sensi dell'art. 82 Regolamento Europeo 2016/679 , chiunque subisca un danno materiale o immateriale causato da una violazione del regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. Il riferimento al danno materiale o immateriale conferma che il risarcimento del danno non è limitato ai danni patrimoniali, ma comprende anche i danni non patrimoniali.
La responsabilità attualmente delineata dal nuovo GDPR opera una presunzione di responsabilità superabile solo assolvendo l'ardua prova liberatoria dell'aver posto in essere tutte le misure idonee ad evitare il danno: il titolare e il responsabile dovevano provare di aver predisposto tutte le misure idonee a prevenire il danno, conformemente al principio di accountability .
Occorre poi considerare il fatto che se verso il soggetto offeso vale il principio della solidarietà, nei rapporti interni andrà verificata la quota di responsabilità di ciascuno, da valutarsi diversamente, ad esempio in presenza di clausole contrattuali di manleva o di istruzioni più o meno specifiche al responsabile ( art. 82, quinto comma ).
Avv. Ginevra Proia