Regolamento Privacy UE: reclami, ricorsi e azioni per il risarcimento del danno

Avv. Flaviano Sanzari Rispetto alla disciplina del Codice Privacy (D.Lgs. 196/2003), il nuovo Regolamento UE 2016/679 reca alcune novità anche in materia di reclami, ricorsi e azioni esperibili in ipotesi di trattamento di dati non conforme alla legge. In particolare, (1.) sono ora assenti gli strumenti della segnalazione e del ricorso amministrativo all'autorità di controllo (Garante), (2.) vi è dissociazione tra autorità adita e autorità decidente nell'ipotesi di attività di trattamento transfrontaliere per quanto riguarda l’istituto del reclamo e, per finire, (3.) vi è la previsione che il titolare (e/o il responsabile) sarà tenuto a risarcire il danno se non dimostra che esso non gli è “in alcun modo” imputabile.

1. Il Titolo I (“Tutela amministrativa e giurisdizionale”) della Parte III (“Tutela dell'interessato e sanzioni”) del Codice Privacy, con gli articoli da 141 a 152, disciplina gli strumenti:

- del reclamo circostanziato al Garante (per rappresentare una violazione della normativa 'privacy'); - della segnalazione al medesimo (quando non è possibile presentare un reclamo circostanziato ed al fine di sollecitare un controllo da parte del Garante sul rispetto della disciplina); - del ricorso, da presentare al Garante o dinanzi alla competente Autorità giurisdizionale al fine di ottenere quanto riconosciuto dall'art. 7. Sono invariabilmente strumenti a disposizione degli interessati, cioè delle persone cui sono riferiti i dati oggetto dei trattamenti. Poi, è prevista l'ipotesi in cui un provvedimento del Garante accolga o rigetti il ricorso di cui sopra: in tal caso, tanto l'interessato quanto il titolare del trattamento avranno il diritto di proporre opposizione, con ricorso al competente tribunale ex art. 152. Per l'art. 152, anzi, “tutte le controversie che riguardano, comunque, l'applicazione delle disposizioni del presente codice, comprese quelle inerenti ai provvedimenti del Garante in materia di protezione dei dati personali o alla loro mancata adozione, nonché le controversie previste dall'articolo 10, comma 5, della legge 1° aprile 1981, n. 121, e successive modificazioni, sono attribuite all'autorità giudiziaria ordinaria” (per inciso, il comma 5 dell'art. 10 della L. 121/1981 così recita: “Chiunque viene a conoscenza dell'esistenza di dati personali che lo riguardano, trattati anche in forma non automatizzata in violazione di disposizioni di legge o di regolamento, può chiedere al tribunale del luogo ove risiede il titolare del trattamento di compiere gli accertamenti necessari e di ordinare la rettifica, l'integrazione, la cancellazione o la trasformazione in forma anonima dei dati medesimi”). Il Regolamento 2016/679, invece, al Capo VIII (“Mezzi di ricorso, responsabilità e sanzioni”), dedica 6 disposizioni alla materia – artt. dal 77 all'82 – dando vita agli strumenti del: - reclamo (art. 77) e del - ricorso giurisdizionale nei confronti dell'autorità di controllo (art. 78) e nei confronti del titolare e/o del responsabile del trattamento (art. 79). Seguono la disciplina della rappresentanza degli interessati (art. 80) e quella dell'ipotesi in cui, essendo le norme del Regolamento valide in tutta l'UE, più azioni giurisdizionali aventi il medesimo oggetto siano (state) azionate in differenti Paesi (art. 81). Infine, l'art. 82 disciplina la fattispecie dell'azione risarcitoria, a fronte di un danno (anche immateriale) cagionato mediante una violazione della disciplina sul trattamento dei dati personali. Il Regolamento, quindi, conferma lo strumento del reclamo, ma perde – almeno, così appare – la segnalazione e il ricorso all'autorità di controllo. Tuttavia, nulla sembra ostare ad una permanenza degli istituti del Codice Privacy, se non c'è contrasto con la disciplina del Regolamento. Il quale, oltretutto, con l'art. 77 fa “salvo ogni altro ricorso amministrativo o giurisdizionale” da parte dell'interessato che “ritenga che il trattamento che lo riguarda violi il presente regolamento.” E' probabile che il legislatore (italiano) vorrà intervenire a formalizzare un assetto che individui inequivocamente gli strumenti a disposizione dell'interessato in via amministrativa. Per il resto, il reclamo previsto dal Regolamento non differisce nella sostanza da quello del Codice Privacy. L'attributo “circostanziato”, che caratterizza il reclamo “italiano”, pare dovuto all'esigenza di differenziarlo rispetto alla segnalazione.

2. L'art. 77 individua l'autorità di controllo presso cui il reclamo deve essere presentato, ossia quella dello Stato UE in cui l'interessato “risiede abitualmente”, ovvero “lavora”. In alternativa, è possibile rivolgersi a quella dello Stato in cui la presunta violazione ha avuto luogo.

Nel caso di trattamenti transfrontalieri, la vicenda può complicarsi, potendo succedere che l'autorità di controllo adita (dall'interessato) non corrisponda a quella (evidentemente, di altro Stato membro) chiamata a decidere sul reclamo. In base all'art. 56, par. 1, “l'autorità di controllo dello stabilimento principale o dello stabilimento unico del titolare (…) è competente ad agire in qualità di autorità di controllo capofila per i trattamenti transfrontalieri”. Se, però (par. 2), l'eventuale violazione “riguarda unicamente uno stabilimento nel suo Stato membro o incide in modo sostanziale sugli interessati unicamente nel suo Stato membro”, l'autorità di controllo adita può dirsi competente per assumere la decisione, anche se sarà comunque l'autorità di controllo capofila (par. 3) - una volta informata - a dire l'ultima parola sul punto. Due sono le possibili decisioni: - l'autorità capofila decide di non trattare il caso e allora vi provvederà l'autorità adita, ma “conformemente agli articoli 61 e 62”, che disciplinano, rispettivamente, le fattispecie di “assistenza reciproca” e di “operazioni congiunte delle autorità di controllo”; - l'autorità capofila decide di trattare il caso e, per conseguenza, l'autorità adita (par. 4) potrà presentarle un progetto di decisione, che la prima valuterà, tenendola “nella massima considerazione”. La procedura di riferimento è dettata dall'art. 60, che, al par. 7, stabilisce che la decisione viene adottata dall'autorità capofila, la quale a sua volta provvede a notificarla al titolare, ad informarne le autorità di controllo interessate e il comitato europeo per la protezione dei dati. Spetta, quindi, all'autorità di controllo presso cui il reclamo è stato proposto la comunicazione della decisione al reclamante.

3. Specifica trattazione, all’interno del Regolamento, nella parte riguardante la tutela giurisdizionale, è dedicata all'azione di risarcimento del danno, “causato da una violazione del presente regolamento”.

I soggetti convenuti sono il titolare e/o il responsabile, eventualmente anche in solido per l'intero ammontare del danno (art. 82.4), ove la responsabilità pertenga al medesimo danno cagionato. Stessa solidarietà, alla medesima condizione, può riguardare più titolari del trattamento. L'esonero dalla responsabilità è legato alla dimostrazione (verosimilmente, una autentica probatio diabolica) da parte del titolare e/o responsabile che “l'evento dannoso non gli è in alcun modo imputabile.” Il meccanismo è quello dell'inversione dell'onere della prova, per cui in mancanza di tale dimostrazione una responsabilità sarà comunque accertata in capo a detti soggetti. Interessante è la previsione di cui all’art. 80, che al par. 1 riconosce il diritto dell'interessato di dare mandato, per essere rappresentato in giudizio, ad un organismo, ad un'organizzazione, ad un'associazione senza scopo di lucro, debitamente costituiti secondo il diritto di uno Stato membro, i cui obiettivi statutari siano di pubblico interesse e che siano attivi nel settore “privacy”. Questi soggetti hanno la possibilità di proporre non solo le azioni sin qui viste, ma anche - ove previsto dal diritto interno dello Stato membro - di rivolgersi al giudice per la richiesta di risarcimento del danno. Chiude la disposizione il par. 2, che riconosce ai soggetti sopra richiamati il diritto di proporre reclamo e di presentare ricorsi giurisdizionali anche laddove non abbiano ricevuto mandato dagli interessati, ma pur sempre per tutelare la posizione di costoro a fronte di violazioni del Regolamento nello svolgimento di attività di trattamento dei dati.