Responsabilità civile - Generalità, varie -  Redazione P&D - 06/04/2019

Ancora sulla responsabilità civile derivante dal trattamento dei dati personali dopo il d lgs 101/2018 attuativo del regolamento europeo in materia - G.G.

Il d.lgs. 101/2018 ha abrogato l’art. 15 d.lgs. 196/2003 in base al quale il legislatore aveva previsto che “chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile”.
Oggi, la norma di riferimento  è l’art. 82 del regolamento europeo che, per quel che qui rileva, così prevede “chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento. Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile”.
Inoltre nel considerando 146 il regolamento europeo formula alcune osservazioni, utili anche ai fini dell’interpretazione delle disposizioni legislative. Più precisamente, si afferma che il titolare del trattamento o il responsabile del trattamento dovrebbe risarcire i danni cagionati ad una persona da un trattamento non conforme, ma dovrebbe essere esonerato da tale responsabilità se dimostra che l’evento dannoso non gli è in alcun modo imputabile. Si ha trattamento non conforme al regolamento anche nel caso in cui il trattamento non sia conforme agli atti delegati e agli atti di esecuzione adottati in conformità del GDPR, e alle disposizioni del diritto degli Stati membri che ne specificano le disposizioni.
Gli interessati dovrebbero ottenere pieno ed effettivo risarcimento del danno subito. Qualora più titolari o responsabili del trattamento siano coinvolti nello stesso trattamento, ogni titolare o responsabile dovrebbe rispondere per la totalità del danno. Nonostante ciò, qualora essi siano riuniti negli stessi procedimenti giudiziari, il risarcimento può essere ripartito in base alla responsabilità che ricade su ogni soggetto, a condizione che sia assicurato il pieno ed effettivo risarcimento al danneggiato. Il titolare o il responsabile del trattamento che ha pagato l’intero risarcimento del danno può successivamente proporre un’azione di regresso contro gli altri titolari o responsabili coinvolti.

Come dunque già affermato in altri passaggi ed articoli  può riaffermarsi a maggior ragione ed anche dopo le ultime modifiche legislative che l’attività del trattamento dei dati personali è intrinsecamente pericolosa e come tale la responsabilità per violazione della privacy continua ad ispirarsi al nostro modello della responsabilità per esercizio di attività pericolosa di cui all’art. 2050  cod. civ.. In pratica ci si può a tutt’oggi rifare al modello di cui all’art. 2050 c.c. per cui la presunzione di responsabilità prevista dallo stesso (e dall’art. 15 comma 1 del d lgs 196/2003 sebbene abrogato) può essere vinta solo con una prova alquanto rigorosa, dal momento che il danneggiante deve dimostrare di aver adottato tutte le misure idonee ad evitare il danno,  non essendo sufficiente la prova negativa di non aver violato alcuna disposizione di legge o di regolamento o comunque le norme di comune prudenza. Per liberarsi dalla responsabilità occorre la prova positiva di aver impiegato ogni cura o misura valida ad impedire l’evento dannoso (Cass. 29 aprile 1991, n. 4710), ragion per cui  solo la dimostrazione della dipendenza causale del danno da un caso fortuito (elemento imprevisto ed imprevedibile che, inserendosi in un determinato processo causale superando ogni possibilità di resistenza da parte delle forza dell’uomo, rende inevitabile il compiersi dell’evento secondo il brocardo vis fatale cui resisti non potest) o dal fatto esclusivo del danneggiato viene considerata quale prova liberatoria ai sensi dell’art. 2050 cod. civ..
Pertanto l'interessato in alternativa al reclamo al Garante può rivolgersi al giudice civile, e in particolare al tribunale del luogo di residenza del titolare del trattamento. Può anche impugnare tramite opposizione al tribunale il provvedimento che conclude il procedimento di reclamo amministrativo dinanzi all'autorità di controllo nazionale. L'impugnazione va fatta entro i 30 giorni dalla data di comunicazione del provvedimento.
Solo il tribunale può condannare il titolare del trattamento illecito al risarcimento dei danni occorsi all'interessato.
L'articolo 82 del regolamento europeo prevede l'obbligo, da parte del titolare, di risarcire i danni causati nel corso di un trattamento di dati personali. Secondo un modulo che prende in considerazione il fatto che un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento. Rileva in particolare il modulo in base al quale il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità se dimostra che l’evento dannoso non gli è in alcun modo imputabile in ciò presentando caratteri in comune, rispetto ad una tendenziale responsabilità oggettiva civile, con l'art. 15 del d lgs 196/2003, sopra ricordato ed oggi abrogato, prevedeva espressamente che chiunque (attenzione al fatto che il citato art. 82 del regolamento europeo fa invece riferimento esclusivamente al titolare e al responsabile del trattamento) cagiona un danno ad altri, per effetto del trattamento di dati personali, è tenuto al risarcimento del danno ai sensi dell'art. 2050 del codice civile. L'art. 2050 riguarda i casi di responsabilità per l'esercizio di attività pericolose. Il richiamo di tale articolo nell’art. 15 (oggi abrogato) del d lgs196/2003 evidenzia che l’interessato che ha subito un danno potrà limitarsi a dimostrare l'esistenza del danno e che esso è conseguenza del trattamento illecito, mentre spetta al titolare del trattamento, casomai in solido col responsabile, dimostrare di aver adottato tutte le misure idonee per evitare il danno in ciò assimilandosi alle scelte del regolamento europeo.
Ovviamente, il danno non può identificarsi nell'evento dannoso (cioè l'illecito trattamento dei dati) ma è necessario che si concreti un pregiudizio della sfera di interessi del danneggiato.