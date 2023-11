I mercoledì della privacy: il grado di responsabilità dell’amministratore per illecito privacy di Carlo Pikler - Centro studi Privacy and Legal Advice

La responsabilità continua ad ispirarsi al modello di quella per esercizio di attività pericolosa. Per l’amministratore c’è però la possibilità di rivalersi sul collaboratore di studio che ha materialmente commesso l’illecitio

L’analisi sull’inquadramento della responsabilità connessa alla violazione sul Gdpr, nonché l’eventuale possibilità per l’amministratore di condominio di rivalersi sul collaboratore che ha commesso l’illecito trattamento, non può prescindere dall’esame della normativa attuale ma anche da un excursus che tiene conto delle interpretazioni giurisprudenziali e dottrinarie. Ai sensi dell’articolo 82 del Regolamento 2016/679: «Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento».

Quando sorge il diritto al risarcimento

Il primo paragrafo dell’articolo 82 afferma, dunque, il diritto dell’interessato (danneggiato) di ottenere il risarcimento del danno, sia quello patrimoniale sia quello non patrimoniale. Tale diritto sorge nel momento in cui è stata posta in essere una condotta, attiva o omissiva, che costituisca violazione di una prescrizione del regolamento. Sono tenuti al risarcimento del danno il titolare o il responsabile del trattamento. Il trattamento illecito del dato è, dunque, fonte di risarcimento del danno a favore dell’interessato.

I casi specifici

La fattispecie di responsabilità sono poi disciplinate nel dettaglio all’interno del Considerando 75 del Regolamento europeo 16/679 che così recita: «i rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare:

- se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo;

- se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l’esercizio del controllo sui dati personali che li riguardano;

- se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza;

- in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali; se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori;

- se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati».

Il comma 2, poi, prevedeva anche che «Il danno non patrimoniale è risarcibile anche in caso di violazione dell’articolo 11» e, cioè, della norma che regola le modalità del trattamento e requisiti dei dati. Ora occorre comprendere se i danni cagionati per effetto del trattamento dei dati personali sono assoggettati alla disciplina di cui all’articolo 2050 Codice civile che attiene alla responsabilità per attività pericolose.

La ripartizione dell’onere della prova

In tal caso, il danneggiato è tenuto a provare il danno e il nesso di causalità tra questo e l’attività realizzata, sorgendo in capo all’autore della condotta l’onere di dimostrare di aver adottato tutte le misure idonee ad evitare il danno. Sul punto troviamo Cassazione 3 settembre 2015, numero 17547 la quale indica i criteri cui attenersi nella ripartizione dell’onere della prova in materia di danno da illecito trattamento dei dati personali. Secondo questa pronuncia, occorreva riferirsi all’articolo 15 del Dlgs 196 del 2003, il quale disponeva che, ai sensi dell’articolo 2050 Codice civile, chi cagiona ad altri un danno per l’effetto del trattamento dei dati personali, è tenuto poi a risarcirlo.

Secondo la disciplina si rientrava nel disposto di cui all’articolo 2050 e, quindi, il presunto danneggiato si trova a dover dimostrare la configurabilità della condotta illecita, nonché la sussistenza del danno e del relativo nesso di causalità. Per contro, il presunto trasgressore per difendersi è tenuto a dimostrare di aver adottato tutte le misure adeguate al rischio atte ad evitare il verificarsi del danno. La norma in questione però è stata abrogata con l’avvento del Dlgs 101/18.

La disciplina di cui all’articolo 2050 Codice civile

D’altra parte, anche la giurisprudenza di legittimità seguiva questo orientamento: «i danni cagionati per effetto del trattamento dei dati personali, sono assoggettati alla disciplina di cui all’articolo 2050 Codice civile con la conseguenza che il danneggiato è tenuto solo a provare il danno e il nesso di causalità con l’attività di trattamento dei dati, mentre spetta al convenuto la prova di aver adottato tutte le misure idonee ad evitare il danno» (Cassazione sezione IV 5 settembre 2014, numero 18812).

Seguendo l’orientamento, quindi, si ha un’ipotesi di responsabilità oggettiva. Non si deve però ritenere che si tratti di un danno risarcibile in re ipsa ma il risarcimento è riconosciuto, ad esempio, ogni qual volta la notizia lesiva possa configurare un’ipotesi di danno. Il primo paragrafo dell’articolo 82 segue questa impostazione affermando il diritto dell’interessato (danneggiato) di ottenere il risarcimento del danno, sia quello patrimoniale, sia quello non patrimoniale. Tale diritto sorge nel momento in cui è stata attuata una condotta, attiva o omissiva, che costituisca violazione di una prescrizione del regolamento. Nella formulazione della norma europea, sono tenuti al risarcimento del danno in maniera specifica il titolare o il responsabile del trattamento.

Considerazioni conclusive

Nonostante la diversa formulazione e la mancanza di un diretto richiamo, possiamo quindi affermare che la responsabilità per violazione della privacy continua ad ispirarsi al modello della responsabilità per esercizio di attività pericolosa di cui all’articolo 2050. Nell’applicazione del GDPR al contesto condominiale poi, tenuto conto degli articoli 2043 Codice civile (Risarcimento per fatto illecito), articolo 2050 Codice civile (Responsabilità per l’esercizio di attività pericolose), articolo 2055 Codice civile (Responsabilità solidale), si può escludere che un soggetto diverso dal condominio e dall’amministratore, i cui ruoli rispettivamente di titolare e responsabile del trattamento sono specificatamente riportati nell’articolo 82 del Regolamento, UE 16/679, possa ritenersi coinvolto nell’addebito di responsabilità.

Questa non potrà mai ricadere, quindi, sul collaboratore di studio, il quale potrà solo subire una successiva azione risarcitoria e disciplinare da parte dell’amministratore, il quale vorrà rivalersi del danno connesso al risarcimento che avrà dovuto corrispondere al soggetto leso per colpa del proprio dipendente.