L’art. 82, paragrafo 1, del GDPR stabilisce il principio in forza del quale “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”.
La norma afferma così il diritto dell’interessato, in quanto danneggiato, di ottenere il risarcimento del danno subìto, che potrà essere sia patrimoniale che non patrimoniale. Questo diritto sorge, in particolare, nel momento in cui sia stata realizzata una violazione di una delle disposizioni sancite dal GDPR attraverso una condotta del titolare o del responsabile del trattamento, che può essere stata attiva od omissiva.
Sotto il profilo dell’imputazione dell’obbligo di risarcimento, l’art. 82, paragrafo 2, prevede, come precisato anche dal Considerando 79, che “Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento”.
Il responsabile del trattamento risponderà, invece, per il danno causato dal trattamento soltanto nel caso in cui o non abbia correttamente adempiuto agli obblighi stabiliti specificamente dal Regolamento a carico dei responsabili del trattamento, oppure qualora abbia agito in modo difforme o contrario rispetto alle legittime istruzioni dategli dal titolare in merito al trattamento dei dati di sua competenza.
Questa disposizione sembrerebbe delineare una fattispecie di responsabilità, in capo al titolare e al responsabile del trattamento dei dati personali, apparentemente molto restrittiva.
Tuttavia, bisogna rammentare anzitutto che -come spiegato dal Considerando n. 146- il titolare sarà responsabile in concreto non solo in caso di violazione del Regolamento, ma altresì nel caso di inottemperanza di altre disposizioni in materia di protezione dei dati personali previste dalle norme attuative, da atti delegati o di esecuzione del Regolamento stabilite dai singoli Stati membri.
Per quanto riguarda invece il responsabile del trattamento, si rammenta il contenuto dell’art. 28, paragrafo 3, il quale stabilisce l’obbligo in capo al responsabile nominato di informare “[…] immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione violi il presente regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati”.
Di conseguenza, nonostante l’art. 82 sembri apparentemente limitare la sua responsabilità alle azioni od omissioni relative alle disposizioni del Regolamento e alle istruzioni e direttive del titolare del trattamento, in realtà si configura a suo carico un dovere di portata generale che consiste nell’obbligo di informare il titolare del trattamento qualora riscontri delle condotte non in linea rispetto alle prescrizioni del GDPR, o ritenga che i trattamenti effettuati o le misure disposte determinino dei rischi per i dati personali o espongano a possibili violazioni della disciplina normativa. In altre parole, viene a delinearsi a carico del responsabile del trattamento anche un obbligo di verifica e controllo generale della compliance aziendale, con conseguente responsabilità -solidale rispetto a quella del titolare del trattamento- nel caso di omesso riscontro od omessa informazione.
In sintonia con quanto già contenuto nel Codice della Privacy, l’art. 82, paragrafo 3, prevede poi che il titolare e il responsabile del trattamento vadano esenti da responsabilità nel caso in cui riescano a dimostrare che l’evento dannoso subito dall’interessato non sia loro imputabile in alcun modo. La norma, infatti, così prevede: “Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile”.
Ciò significa, seguendo una logica di inversione dell’onere della prova, che per poter essere esonerati da responsabilità il titolare o il responsabile del trattamento dovranno poter provare, alternativamente, che l’evento dannoso non è loro ascrivibile in quanto dipendente da una fonte estranea alla loro sfera di competenza o di controllo, oppure che sono state da loro predisposte ed attuate tutte le prevedibili misure adeguate al fine di evitare che si verificasse il danno.
Nel caso in cui poi, più titolari o responsabili del trattamento dei dati, oppure entrambi, (quindi sia il titolare che il responsabile del trattamento) siano coinvolti nello stesso trattamento e siano da considerare responsabili dell’eventuale danno cagionato all’interessato, l’art. 82, paragrafo 4, prevede che ognuno di loro sia responsabile in solido per l’intero ammontare del risarcimento da riconoscere all’interessato, al fine di garantirne la piena efficacia. In altre parole, l’interessato potrà rivolgersi anche ad uno solo di essi (in generale, quello che appare più solvibile e dal quale sarà quindi più facile ottenere il risarcimento), il quale sarà così obbligato a versare interamente quanto dovuto a titolo di risarcimento del danno.
Del resto in queste ipotesi, come stabilito nel successivo paragrafo 5 dell’art. 82, se un titolare o un responsabile del trattamento si sia fatto carico dell’intero risarcimento del danno, lo stesso avrà successivamente il diritto di ripetere, dagli altri soggetti coinvolti nello stesso trattamento, la parte del risarcimento corrispondente alla loro quota di responsabilità per il danno cagionato. La norma infatti prevede che: “Qualora un titolare del trattamento o un responsabile del trattamento abbia pagato, conformemente al paragrafo 4, l’intero risarcimento del danno, tale titolare del trattamento o responsabile del trattamento ha il diritto di reclamare dagli altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno conformemente alle condizioni di cui al paragrafo 2”.
In realtà, quindi, la norma presuppone che, al fine di definire le conseguenze patrimoniali dei danni cagionati agli interessati, operi un principio di co-responsabilità dei titolari e dei responsabili del trattamento configurabile come responsabilità “pro quota” piuttosto che solidale in senso stretto. Nella ripartizione interna, quindi, ciascuno di essi sarà responsabile esclusivamente per la quota di responsabilità che gli sarà concretamente riconosciuta.
La richiesta di risarcimento del danno da parte dell’interessato dovrà, ad ogni modo, seguire le procedure previste da ciascuno Stato in materia: per quanto riguarda l’Italia, quindi, la competenza in materia spetterà alla magistratura civile.
