Il trattamento dei dati personali è civilisticamente qualificabile quale attività pericolosa con il conseguente obbligo in capo a colui che tale attività effettui di risarcire all’interessato tanto i danni patrimoniali, quanto i danni non patrimoniali cagionati in conseguenza del trattamento. Il quadro delineato dall’esame dell’art. 82 del Regolamento evidenzia l’importanza di disciplinare le responsabilità del titolare e del responsabile del trattamento. Trattasi di una responsabilità propria che può essere imputata solo a coloro che assumono una determinata qualifica soggettiva.
Il titolare del trattamento diventa responsabile per il solo fatto di “partecipare al trattamento” mentre il responsabile è vincolato solo dalla violazione dei suoi obblighi specifici se agisce al di fuori o in contrasto con le legittime istruzioni del titolare del trattamento.
Il regime di responsabilità civile elaborato dal Regolamento europeo prevede per il titolare e il responsabile del trattamento il diritto al risarcimento del danno a favore dell’interessato che abbia subito un qualsiasi danno materiale o immateriale causato da una violazione del Regolamento: questi possono derivare da trattamenti aventi ad oggetto “discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo [...]; se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche [...]; in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti personali, in particolare mediante la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento [...]; se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati”.
Fra i danni risarcibili rientrano tutti quelli subiti, quindi economici ma anche immateriali, derivanti dalle conseguenze dannose che si siano realizzate per un effetto di un illecito trattamento dei dati: infatti, la natura non patrimoniale del danno non esclude a priori che possano generarsi danni aventi carattere della patrimonialità. Orbene, se l’interessato vorrà ottenere il risarcimento del danno subito dovrà provare: i) l’esistenza del danno; ii) l’esistenza di una condotta che viola il GDPR; ed iii) il nesso causale. Secondo quanto stabilito, infatti, dall’art. 82 GDPR, l’interessato, per conseguire un pieno ed effettivo ristoro del danno subito, qualora si ritenga leso nei propri diritti da un trattamento illecito, potrà rivolgersi indifferentemente tanto al titolare, quanto al responsabile del trattamento. E potrà farlo, in entrambi i casi, per l’intero ammontare del danno.
Avv. Vincenzo Colarocco
