(di Federica De Stefani, avvocato e responsabile Aidr Regione Lombardia) Le sanzioni che derivano da un trattamento illecito di dati possono avere varia natura, poiché, secondo la normativa vigente, possono coesistere tra di loro sanzioni penali, amministrative e civili, a seconda della tipologia di violazione.
Generalmente siamo abituati a pensare che il Regolamento europeo in materia di protezione dei dati preveda unicamente sanzioni amministrative milionarie (fino a 20 milioni di euro), ma lo stesso Regolamento prevede, all’art. 82 anche la possibilità per chi subisca un danno derivante da un trattamento illecito di chiedere il relativo risarcimento.
La norma è stata di recente portata agli onori della cronaca per una sentenza del Tribunale regionale superiore austriaco che ha sancito la risarcibilità del danno derivante dal trattamento illecito dei dati e ha specificato i presupposti per ottenere il ristoro del danno.
L’art. 82 del Regolamento, in realtà, è chiaro nel prevedere espressamente la risarcibilità del danno materiale o immateriale causato da un trattamento illecito di dati indicando nel titolare del trattamento o dal responsabile del trattamento i soggetti tenuti al risarcimento.
In sostanza se da un lato la norma riconosce espressamente l’ammissibilità del danno non patrimoniale, dall’altro, affinchè sorga l’obbligazione risarcitoria, è necessario che sussistano:
- un trattamento illecito di dati, ossia una condotta, attiva od omissiva, che integri una violazione delle norme del Regolamento;
- il danno;
- il nesso eziologico tra la condotta e il danno.
Il Regolamento prevede che il danno (materiale o immateriale) è risarcibile se causato da una violazione del regolamento e prevede per il titolare e il responsabile del trattamento la possibilità di essere esonerati dalla responsabilità se dimostrano che l’evento dannoso non è in alcun modo a loro imputabile.
Questo significa che la responsabilità di cui si discute non è una responsabilità oggettiva, ma sussiste esclusivamente nell’ipotesi in cui ci sia un rapporto di causalità tra la violazione del Regolamento (imputabile al titolare o al responsabile) e l’evento dannoso.
In altre parole il soggetto ha la possibilità di fornire la prova di aver correttamente adempiuto agli obblighi derivanti dal Regolamento e di aver adottato le misure adeguate per la protezione dei dati.
Si tratta, senza alcun dubbio, di una previsione normativa per così dire molto ampia, se si considera che la locuzione “una violazione del presente regolamento” senza specificare alcun ulteriore aspetto, impone di far ricorso al considerando 85 per avere una elencazione esemplificativa, e non di certo esaustiva, delle ragioni che potrebbero essere poste alla base di una richiesta di risarcimento.
Il considerando 85, infatti, indica una serie di aspetti che riguardano:
- perdita del controllo dei dati personali degli interessati;
- limitazione dei loro diritti;
- discriminazione;
- furto o usurpazione d’identità;
- perdite finanziarie;
- decifratura non autorizzata della pseudonimizzazione;
- pregiudizio alla reputazione;
- perdita di riservatezza dei dati personali protetti da segreto professionale
Conclude infine con l’ipotesi generica di “qualsiasi altro danno economico o sociale significativo alla persona fisica interessata”.
La formula di chiusura si allinea con la previsione dell’art. 82 che indica genericamente “qualsiasi violazione del presente regolamento” lasciando così ampia possibilità di identificazione delle fattispecie concrete.
In una recentissima pronuncia il Tribunale regionale superiore austriaco di Innsbruck (Giudizio di 13.02.2020 – Az.: 1 R 182/19 b) è intervenuto sulla questione del risarcimento del danno derivante da una violazione del GDPR e ha specificato che il risarcimento del danno derivante da trattamento illecito dei dati non è in re ipsa, ma spetta al soggetto che avanza la pretesa risarcitoria dimostrare il danno derivante dall’illiceità del trattamento e le caratteristiche del danno subito.
In sede contenziosa, quindi, non è sufficiente affermare di aver subito un danno per il solo fatto di aver subito un trattamento illecito dei propri dati, ma è necessario fornire la prova di un nesso eziologico tra i due.
Sarà pertanto necessario articolare la propria richiesta spiegando il danno subito, indicandone le varie peculiarità. Il danno dovrà quindi essere qualificato e specificato, anche facendo riferimento alle tipologie di rischi indicati dai considerando 75 e 85 del Regolamento che, in ogni caso, forniscono solo indicazioni esemplificative. Il danno dovrà pertanto essere circostanziato e non indicato genericamente facendo ricorso a una “categoria generica”. L’interessato dovrà inoltre fornire la prova di avere effettivamente subito il danno lamentato. Anche in questo caso non è sufficiente invocare una categoria generica e asserire di aver subito il relativo pregiudizio, ma devono essere fornite prove concrete del danno lamentato e dovrà anche essere dimostrata l’entità del danno. Quest’ultimo, infatti, non potrà, ai fini risarcitori, essere considerato una semplice preoccupazione o un mero fastidio derivante dal trattamento illecito. In altre parole il danno deve avere una consistenza per così dire significativa per poter essere considerato rilevante ai fini risarcitori.
A tutto questo si aggiunga, inoltre, il nesso eziologico.
Il danno lamentato deve essere causa diretta della violazione dei dati, così come espressamente previsto dall’art. 82 del Regolamento.
In conclusione ottenere quindi il risarcimento del danno patito in conseguenza della violazione dei propri dati personali è possibile, anche se soggetto, come visto, a vincoli probatori piuttosto specifici.
Un particolare riflessione merita il fatto che non si tratti di una responsabilità oggettiva che fa sorgere automaticamente il risarcimento del danno.
Il GDPR è una normativa molto particolare che in virtù del principio di accountability lascia al titolare ampio margine di scelta delle misure da adottare per la compliance.
Questo si traduce nella possibilità di avere soluzioni che risultano adeguate per una certa realtà, ma che se applicate a realtà diverse possono non garantire la protezione dei dati personali.
Valutare preliminarmente le misure adottate dal titolare prima di avanzare richieste risarcitorie risulterà, nel prossimo futuro, indispensabile per valutare il possibile esito di una causa giudiziale.