GDPR & USO ILLECITO DEI DATI PERSONALI: CHI NE RISPONDE?

GDPR & Risarcimento
Quando scatta l'obbligo di risarcire il danno per violazione del GDPR, con un focus sulle due figure di titolare, cioè colui che tratta i dati, e di responsabile, ovverosia colui che tratta i dati per conto del titolare.

GDPR & RISARCIMENTO DEL DANNO: CHI RISPONDE DELL’UTILIZZO ILLECITO DEI DATI

Il Regolamento UE 2016/679 è intervenuto anche in tema di risarcimento del danno, disciplinando le forme di tutela e la ripartizione delle responsabilità tra il titolare e il responsabile del trattamento dei dati.

Le due figure sono da tenere ben distinte: il titolare è chi definisce mezzi e finalità del trattamento, mentre il responsabile (interno o esterno) è chi tratta i dati per conto del titolare.

Per comprendere questa distinzione di ruoli può essere utile analizzare un caso concreto.
Ad esempui, all’interno di uno Studio Legale Associato, il titolare va identificato nello Studio Legale medesimo, mentre se volessimo individuare un responsabile interno, la designazione potrebbe ricadere su un Avvocato che non riveste il ruolo di associato, ma che tuttavia collabora con lo Studio in modo continuativo.

Chi potrebe essere, invece, un responsabile esterno?
L’esempio più classico è il commercialista, al quale il titolare demanda il compito di trattare i dati per suo conto al fine di gestire la contabilità dello Studio Legale.

Come si può notare, il Responsabile è un soggetto che, per quella parte di trattamento che gli compete, agisce in modo autonomo, nel senso che sebbene riceva istruzioni dal titolare, non è da considerarsi alla stregua di un mero esecutore; egli, infatti, ha il potere di valutare quale sia il modo più corretto di trattare il dato fornitorgli dal titolare, per eseguire al meglio il compito che gli è stato affidato.

Fatta questa premessa, vediamo quando si ha diritto al risarcimento e chi deve pagare.

QUANDO NASCE IL DIRITTO AD ESSERE RISARCITI.

L’articolo 82, paragrafo 1, del GDPR prevede che “chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”.

Tradotto:

  1. l’interessato matura un diritto al risarcimento integrale di tutti i danni patiti (patrimoniali o non patrimoniali) derivanti dall’utilizzo illecito dei propri dati personali;
  2. si ha utilizzo illecito quando la condotta (attiva od omissiva) del titolare o del responsabile del trattamento si ponga in violazione delle prescrizioni contenute nel Regolamento (ad esempio, tratta un dato senza richiedere preventivamente il consenso, nei casi in cui era necessario acquisirlo);
  3. tenuti al pagamento del risarcimento sono alternativamente il titolare o il responsabile, oppure entrambi in via solidale fra loro;

TITOLARE E RESPONSABILE DEL TRATTAMNETO: LE CONDOTTE RILEVANTI.

In forza dell’art 82 paragrafo 2 GDPR:

  • il titolare del trattamento: risponde per il danno cagionato dal suo trattamento che violi il regolamento (es. il titolare di uno Studio Legale che .
  • il responsabile del trattamento: risponde per il danno causato dal trattamento solo se:
    • non ha rispettato gli obblighi del presente regolamento 
    • OPPURE ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.

Tuttavia, entrambi saranno responsabili anche in altri casi.

A ben vedere, infatti, come spiegato nel Considerando nr 146, il titolare del trattamento sarà responsabile anche nei casi di danni derivanti dal trattamento non conforme alle norme attuative, agli atti delegati o di esecuzione del Regolamento stabilite dai singoli Stati membri.

Quanto al responsabile, invece, l’art 28, paragrafo 3 prescrive l’ulteriore obbligo di avvisare il titolare in caso di condotte non conformi.
Ciò significa che qualora il responsabile si accorga che il trattamento dei dati, così come previsto dal titolare, non sia conforme al Regolamento, e contestualmente non si attivi con adeguata comunicazione, egli risponderà insieme al titolare in via solidale. Al responsabile, quindi, viene imposto un dovere di verifica e controllo dell’adeguamento aziendale al Regolamento e alle sua prescrizioni.

Ultima precisazione.

Nonostante l’art 82 GDPR richiami solamente le figure del titolare e del responsabile del trattamento, ciò non significa che gli ulteriori soggetti coinvolti nell’utilizzo dei dati (si pensi ad esempio al DPO o da altro soggetto autorizzato al trattamento) siano esonerati da responsabilità per fatto proprio.
Senza approfondire oltre, è infatti sufficiente ricordare che troverà applicazione in ogni caso la normativa interna: risponderanno dunque ex art 2055 cc nel caso di responsabilità solidale oppure ex art 2043 cc e/o art 2050 cc nei casi di danni cagionati per fatto proprio.