Un trattamento dati non conforme al Regolamento può causare danni materiali o immateriali. E l’interessato ha diritto al totale risarcimento.
E' cronaca degli ultimi giorni la notizia della sottrazione di dati personali dei clienti dal database del gestore telefonico ho-mobile (Data-Breach ho), avvenuta pochi giorni prima di Natale 2020.
L'Azienda ha diffuso una nota dove avverte che i dati trafugati riguardano le informazioni anagrafiche dei clienti e quelli relativi agli identificativi delle sim. I malintenzionati potrebbero quindi essere in possesso delle generalità di circa 2,5 milioni di clienti (nome, cognome, numero di telefono, codice fiscale, email, data e luogo di nascita, nazionalità e indirizzo) oltre ai numeri seriali delle sim associate a ciascun cliente. Non sarebbero stati sottratti i dati relativi al traffico, i dati bancari o quelli relativi ad altri sistemi di pagamento.
I rischi sono notevoli.
Oltre ai possibili attacchi phishing, con i quali attraverso e-mail fasulle i truffatori cercano di carpire le credenziali di accesso all'area riservata dei siti frequentati dal soggetto, si possono verificare frodi di tipo SIM Swap.
Quest'ultima è una modalità di truffa che permette, dopo aver carpito il codice univoco ICCID che identifica la SIM, di duplicarla ed utilizzare i servizi telefonici e dati del truffato per autorizzare pagamenti o per autenticarsi nei servizi di home banking oltre che accedere illecitamente ai servizi online.
Il rimedio più immediato consiste nel provvedere senza ritardo a sostituire la SIM. All'uopo l'Azienda ha comunicato che provvederà ad eseguire la sostituzione gratuitamente presso i propri negozi a tutti i cliente i cui dati personali risultano violati e che hanno ricevuto dall'Azienda medesima un SMS in tal senso, previa stringente verifica dell'identità del soggetto che richiede la sostituzione. Inoltre sarà necessario diffidare da messaggi e-mail provenienti da indirizzi sconosciuti e che richiedono di fornire credenziali di accesso a servizi bancari: la vostra banca non lo farebbe mai!
Sotto il profilo giuridico, la violazione dei dati personali in conseguenza della mancata osservanza delle previsioni del GDPR (regolamento UE 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, recepito in Italia con D.lgs. 10 agosto 2018, n. 101) può causare danni patrimoniali e non patrimoniali che possono andare da un disturbo bagatellare ad un rilevante danno economico e/o conseguenze sulla sfera familiare o su quella dei rapporti sociali tanto da determinare un danno morale (cioè sofferenza interiore) e/o un danno dinamico-relazionale (consistente nel peggioramento delle condizioni di vita quotidiane).
In tal caso l’interessato ha diritto al risarcimento da parte del Titolare del trattamento dei dati personali che lo ha cagionato, salvo che questi non dimostri di non essere imputabile. Vedremo di seguito ulteriori specificazioni in merito alle responsabilità.
Quindi il risarcimento interviene in presenza di un danno dimostrato e quantificato in sede civile oltre alla sanzione pecuniaria irrogata dall’Autorità garante per la protezione dei dati personali ed eventualmente a quella penale irrogata dal Giudice penale (infatti il GDPR prevede la possibilità in capo agli Stati membri di introdurre sanzioni penali non avendo il legislatore europeo competenza penale diretta sulla base degli Artt. 25.2 della nostra Costituzione e 83 del Trattato sul funzionamento dell’Unione Europea) per garantire l'effettività e la completezza della tutela.
Indice degli argomenti
Responsabilità e diritto al risarcimento nel GDPR.
Il Regolamento pone a tutela della persona e dei suoi dati anche la responsabilità civile, al fine di ripristinare il patrimonio giuridico del danneggiato. È nel Considerando 146 del GDPR che il legislatore europeo formula le premesse, utili ai fini dell’interpretazione delle disposizioni legislative: «Il titolare del trattamento o il responsabile del trattamento dovrebbe risarcire i danni cagionati a una persona da un trattamento non conforme al presente regolamento ma dovrebbe essere esonerato da tale responsabilità se dimostra che l’evento dannoso non gli è in alcun modo imputabile. Il concetto di danno dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di giustizia in modo tale da rispecchiare pienamente gli obiettivi del presente regolamento. Ciò non pregiudica le azioni di risarcimento di danni derivanti dalla violazione di altre norme del diritto dell’Unione o degli Stati membri. Un trattamento non conforme al presente regolamento comprende anche il trattamento non conforme agli atti delegati e agli atti di esecuzione adottati in conformità del presente regolamento e alle disposizioni del diritto degli Stati membri che specificano disposizioni del presente regolamento».
Se ne deduce che «Gli interessati dovrebbero ottenere pieno ed effettivo risarcimento per il danno subito. Qualora i titolari del trattamento o i responsabili del trattamento siano coinvolti nello stesso trattamento, ogni titolare del trattamento o responsabile del trattamento dovrebbe rispondere per la totalità del danno. Tuttavia, qualora essi siano riuniti negli stessi procedimenti giudiziari conformemente al diritto degli Stati membri, il risarcimento può essere ripartito in base alla responsabilità che ricade su ogni titolare del trattamento o responsabile del trattamento per il danno cagionato dal trattamento, a condizione che sia assicurato il pieno ed effettivo risarcimento dell’interessato che ha subito il danno. Il titolare del trattamento o il responsabile del trattamento che ha pagato l’intero risarcimento del danno può successivamente proporre un’azione di regresso contro altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento».
In particolare, quindi, si afferma che il Titolare del trattamento dei dati personali e/o il Contitolare e/o il Responsabile del trattamento dei dati personali dovrebbe risarcire i danni cagionati a una persona da un trattamento non conforme, ma dovrebbe essere esonerato da tale responsabilità se dimostra che l’evento dannoso non gli è in alcun modo imputabile.
Si ha trattamento non conforme al GDPR anche nel caso in cui il trattamento dei dati personali non sia conforme agli atti delegati, agli atti di esecuzione adottati in conformità del GDPR e alle disposizioni del diritto degli Stati membri che ne specificano le disposizioni. Naturalmente un accesso abusivo ai sistemi informatici determina una responsabilità in capo a colui che compie materialmente il fatto, ma anche in capo al Data Protection Officer (DPO) ed al Titolare del trattamento dei dati.
Infatti, ai sensi dell’art. 39, comma 1, lettera b) del GDPR, il DPO è anche incaricato di attribuire le responsabilità, sensibilizzare e formare il personale che partecipa ai trattamenti (dei dati) e alle connesse attività di controllo e, di concerto con il Titolare del trattamento, a stabilire chi e in quale misura risponderà del buon andamento delle procedure interne di gestione dei dati.
I responsabili così individuati avranno lo specifico compito di “impedire il verificarsi dell’evento” dannoso o pericoloso e risponderanno in particolare dei reati suddetti ai sensi dell’art. 40 comma 2 c.p.
Nel caso in cui dovesse verificarsi un evento penalmente rilevante, il responsabile di una singola o più procedure interne (nominato dal DPO) ed il Titolare/Responsabile del trattamento dei dati andranno esenti da responsabilità soltanto qualora dimostrino di aver correttamente adempiuto ai propri doveri e di aver fatto quanto in loro potere per impedire il verificarsi dell’evento dannoso o pericoloso.
Viene da sé che, tra le condotte da porre in essere per sgravarsi da responsabilità, vi sono il pieno rispetto del Regolamento UE 679/2016 (c.d. GDPR), la concreta attuazione di quanto ivi stabilito, nonché il rispetto delle procedure delineate dal DPO.
Occorre tuttavia sottolineare che un profilo di responsabilità penale in capo al DPO permane nel caso in cui sia proprio la condotta del DPO a determinare l’evento dannoso o pericoloso (nesso eziologico o causale). Pertanto, nel caso in cui il DPO abbia violato i compiti/doveri a lui imposti dal GDPR e abbia indotto il Titolare/Responsabile del trattamento dei dati ad omettere l’adozione di una doverosa misura organizzativa di prevenzione, questi ultimi potrebbero risultare responsabili dell’evento derivato.
Il GDPR garantisce il risarcimento totale
Gli interessati dovrebbero ottenere pieno ed effettivo risarcimento del danno subito, dimostrato e quantificato in sede civile. È l’Articolo 82 del Regolamento europeo rubricato "Diritto al risarcimento e responsabilità" che disciplina nello specifico il risarcimento del danno per violazione del corretto trattamento dei dati pesonali: «1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. 2. Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento. 3. Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile. 4. Qualora più titolari del trattamento o responsabili del trattamento oppure entrambi il titolare del trattamento e il responsabile del trattamento siano coinvolti nello stesso trattamento e siano, ai sensi dei paragrafi 2 e 3, responsabili dell’eventuale danno causato dal trattamento, ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato. 5. Qualora un titolare del trattamento o un responsabile del trattamento abbia pagato, conformemente al paragrafo 4, l’intero risarcimento del danno, tale titolare del trattamento o responsabile del trattamento ha il diritto di reclamare dagli altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno conformemente alle condizioni di cui al paragrafo 2. 4.5.2016 L 119/81 Gazzetta ufficiale dell’Unione europea IT 6. Le azioni legali per l’esercizio del diritto di ottenere il risarcimento del danno sono promosse dinanzi alle autorità giurisdizionali competenti a norma del diritto dello Stato membro di cui all’articolo 79, paragrafo 2».
Esso sancisce al primo paragrafo che chiunque subisca un danno «materiale o immateriale» (patrimoniale o non patrimoniale) causato da una violazione del GDPR, ha diritto ad ottenere il risarcimento del danno dal Titolare o dal Responsabile del trattamento dei dati personali. Viene così riconosciuta espressamente l’ammissibilità anche del danno non patrimoniale e vengono identificati gli elementi necessari per la nascita dell’obbligazione risarcitoria: la condotta attiva o quella omissiva contraria regolamento; il danno; il rapporto causa-effetto tra questi. L’ammissibilità del risarcimento del danno non patrimoniale risponde all’obiettivo, sancito dal Considerando 146, di garantire il «[…] pieno ed effettivo risarcimento per il danno subito».
Risarcimento dei danni: a chi spetta?
È il secondo paragrafo dell’Art. 82 GDPR a stabilire quando è il Titolare del trattamento a dover corrispondere il risarcimento del danno, o quando invece è il Responsabile del trattamento a doverlo corrispondere. Il Titolare del trattamento risponde quando è coinvolto nel trattamento che, violando il regolamento, ha cagionato il danno; il Responsabile del trattamento risponderà, invece, per il danno causato dal trattamento soltanto nel caso in cui non abbia correttamente adempiuto agli obblighi stabiliti specificamente dal Regolamento a carico dei responsabili del trattamento, oppure qualora abbia agito in modo difforme o contrario rispetto alle legittime istruzioni dategli dal Titolare in merito al trattamento dei dati di sua competenza.
Questa disposizione sembrerebbe delineare una fattispecie di responsabilità, in capo al Titolare e al Responsabile del trattamento dei dati personali, apparentemente molto restrittiva.
Tuttavia, dobbiamo ricordare che – come indicato Considerando n. 146 – il Titolare sarà responsabile in concreto non solo in caso di violazione del Regolamento, ma anche nel caso di inottemperanza di altre disposizioni in materia di protezione dei dati personali previste dalle norme attuative, da atti delegati o di esecuzione del Regolamento stabilite dai singoli Stati membri. Mentre per ciò che riguarda il Responsabile del trattamento, ricordiamo il contenuto dell’Art. 28, par. 3, GDPR il quale stabilisce l’obbligo in capo al Responsabile nominato di informare «[…] immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione violi il presente regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati”.».
Di conseguenza, nonostante l’Art. 82 GDPR sembri limitare la responsabilità del trattamento dei dati personali del Responsabile alle azioni od omissioni relative alle disposizioni del Regolamento e alle istruzioni e direttive ricevute dal Titolare del trattamento, in realtà si configura a suo carico un dovere di portata generale che consiste nell’obbligo di informare il Titolare del trattamento qualora riscontri delle condotte non in linea rispetto alle prescrizioni del GDPR, o ritenga che i trattamenti effettuati o le misure disposte determinino dei rischi per i dati personali o espongano a possibili violazioni della disciplina normativa.
In altre parole, viene a delinearsi a carico del Responsabile del trattamento anche un obbligo di verifica e controllo generale di rispetto della normativa, con conseguente responsabilità – solidale rispetto a quella del Titolare del trattamento – anche nel caso di omesso riscontro od omessa informazione.
“Maltrattamento dati”, l’esenzione dalle responsabilità
Il Titolare e il Responsabile del trattamento vanno esenti da responsabilità se dimostrano che l’evento dannoso non è in alcun modo a loro imputabile (Art. 82, par. 3). Si tratta quindi, al pari delle fattispecie di cui all’Art. 2050 Codice civile «Chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno», di una ipotesi di inversione dell’onere della prova. La ragione dell’inversione dell’onere della prova risiede nel fatto che il trattamento dei dati è attività considerata pericolosa; infatti, essa è consentita dall’ordinamento giuridico perché utile, con conseguente compensazione del rischio di “maltrattamento” dei dati personali tramite l’obbligo a carico delle organizzazioni di garantirne la sicurezza dei trattamenti.
In conclusione, anche per proteggere il soggetto debole del rapporto – l’interessato – sono il Titolare, il Contitolare e il Responsabile del trattamento a dover dimostrare che l’evento dannoso non è a loro imputabile. Ciò significa, seguendo la logica dell’inversione dell’onere della prova, che per poter essere esonerati da responsabilità il Titolare, Il Contitolare o il Responsabile del trattamento dovranno poter provare, alternativamente, che l’evento dannoso non è loro ascrivibile in quanto dipendente da una fonte estranea alla loro sfera di competenza o di controllo, oppure che sono state da loro predisposte in seguito alla valutazione dei rischi (Data Protection Impact Aassessment – Considerando 75 e Art. 35 GDPR) ed attuate tutte le prevedibili misure adeguate (Art. 32 GDPR) al fine di evitare che si verificasse il danno.
Nel chiedere il risarcimento del danno, l’interessato dovrà quindi provare l’esistenza del danno e la sua quantificazione, la sussistenza di una condotta in violazione della normativa a tutela dei dati personali e la relazione causale tra i primi due elementi; per liberarsi dalla responsabilità risarcitoria, il titolare o il responsabile del trattamento deve provare che l’evento dannoso non è in alcun modo a lui imputabile.
Giudice competente
Secondo il Regolamento, le azioni legali per l’esercizio del diritto al risarcimento del danno devono essere promosse dinanzi alle Autorità giurisdizionali dello Stato membro in cui l’interessato risiede abitualmente, salvo che il Titolare, il Contitolare o il Responsabile del trattamento sia un’Autorità pubblica di uno Stato membro nell’esercizio dei pubblici poteri (Art. 79, par. 2) nel qual caso prevale la giurisdizione che comprende l’Autorità pubblica. In Italia, la competenza spetta in via ordinaria al Giudice civile, fatto sempre salvo, in sintonia con quanto stabilito dal Regolamento, il criterio del riparto di giurisdizione tra giustizia ordinarie giustizia amministrativa (TAR e Consiglio di Stato) di cui all’Art. 103 Cost. e Art 7 Codice del processo amministrativo (D. lgs. n. 104/2010).