unione europea

Come stabilito dall’art. 82, comma 1 del GDPR: “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”.

È previsto quindi il diritto dell’interessato (in quanto danneggiato) di ottenere il risarcimento del danno, sia patrimoniale sia non patrimoniale, nel caso in cui sia stata posta in essere una condotta, attiva o omissiva, che integri una violazione del Regolamento. E sono tenuti al risarcimento del danno sia il titolare che il responsabile del trattamento.

In particolare, il titolare del trattamento risponderà per il danno cagionato dal trattamento dei dati personali realizzato in violazione del regolamento (come previsto dall’art. 82, comma 2, GDPR: “Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento”).

Il responsabile del trattamento risponderà, invece, per il danno causato dal trattamento solo se non ha adempiuto correttamente agli obblighi sanciti nel GDPR in capo ai responsabili del trattamento, oppure se ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.

È stato osservato che questa norma sembra configurare profili di responsabilità molto ristretti in capo al titolare ed al responsabile del trattamento. Questa considerazione non è tuttavia corretta se si pensa che deve essere interpretata anche alla luce del Considerando n. 146, per quanto riguarda la figura del titolare del trattamento e dell’art. 28, comma 3, per quanto riguarda invece il responsabile del trattamento.

In sostanza, in questo modo si stabilisce che il titolare sarà responsabile non solo in caso di violazione delle disposizioni del GDPR, ma anche nel caso di inosservanza delle altre disposizioni previste dalle norme attuative, dagli atti delegati, dagli atti di esecuzione del Regolamento e dalle altre disposizioni dei singoli stati membri (il Considerando n. 146 stabilisce infatti che le violazioni del regolamento non pregiudicano “[…] le azioni di risarcimento di danni derivanti dalla violazione di altre norme del diritto dell’Unione o degli Stati membri. Un trattamento non conforme al presente regolamento comprende anche il trattamento non conforme agli atti delegati e agli atti di esecuzione adottati in conformità del presente regolamento e alle disposizioni del diritto degli Stati membri che specificano disposizioni del presente regolamento. Gli interessati dovrebbero ottenere pieno ed effettivo risarcimento per il danno subito […]”).

Quanto al responsabile del trattamento, la sua responsabilità sembrerebbe essere circoscritta alle sole azioni od omissioni in relazione all’osservanza delle disposizioni del GDPR, nonché al rispetto delle indicazioni e delle direttive del titolare del trattamento. In realtà, il responsabile del trattamento ha anche un dovere generale, nel senso che è suo compito anche quello di avvisare il titolare del trattamento delle eventuali condotte che risultano non correttamente disciplinate dallo stesso titolare. Sarà quindi possibile configurare a suo carico una responsabilità per omessa informazione nei confronti del titolare del trattamento.

Il titolare del trattamento o il responsabile del trattamento saranno, però, esonerati dalla responsabilità se riescono a dimostrare che l’evento dannoso non è in alcun modo imputabile alla loro condotta, e quindi che il danno è scaturito da una fonte “estranea” al loro raggio d’azione, oppure se dimostrano di aver adottato tutte le misure idonee al fine di evitare il danno stesso.

Qualora più titolari o responsabili del trattamento siano coinvolti nello stesso trattamento e siano responsabili dell’eventuale danno causato per effetto del trattamento, ogni titolare o responsabile sarà responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento integrale del danno subito dall’interessato. L’art. 82, comma 4 prevede, a questo proposito, che “Qualora più titolari del trattamento o responsabili del trattamento oppure entrambi il titolare del trattamento e il responsabile del trattamento siano coinvolti nello stesso trattamento e siano, ai sensi dei paragrafi 2 e 3, responsabili dell’eventuale danno causato dal trattamento, ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato”.

Nel caso in cui, poi, un titolare o un responsabile abbia pagato l’intero risarcimento del danno, avrà il diritto di reclamare dagli altri titolari o responsabili -coinvolti nello stesso trattamento- la parte del risarcimento corrispondente alla loro parte di responsabilità.

La norma è interessante in quanto disciplina le conseguenze patrimoniali derivanti dal danno, nei rapporti interni tra titolare/i e responsabile/i del trattamento dei dati: una responsabilità che si configura “per quote”, ossia sulla base delle diverse “porzioni” di responsabilità che possono essere delineate in capo alle diverse figure coinvolte.

Questo è quanto è stabilito dall’art. 82, comma 5 che dispone: “Qualora un titolare del trattamento o un responsabile del trattamento abbia pagato, conformemente al paragrafo 4, l’intero risarcimento del danno, tale titolare del trattamento o responsabile del trattamento ha il diritto di reclamare dagli altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno conformemente alle condizioni di cui al paragrafo 2”.

Ultimi aggiornamenti

ransomware data breach pa azienda cosa fare
Il recentissimo attacco subìto dal sito del Comune di Palermo, con notevole esfiltrazione di dati (poi pubblicati online), è solo l’ultimo in ordine di tempo di una lunga scia contro le infrastrutture informatiche, pubbliche o private, italiane. Non più tardi di due mesi fa, infatti, lo […]
L’incertezza degli ultimi anni ha incrementato significativamente la complessità dei rapporti tra aziende e fornitori, mettendo in luce l’importanza di tecniche di approvvigionamento efficienti ed efficaci. Nel gergo aziendalistico, il processo di reperimento dei beni e servizi necessari al funzionamento dell’impresa viene chiamato procurement. Si tratta […]
linee guida accessibilità app norma
L’accessibilità degli strumenti informatici è la capacità degli stessi di erogare servizi e fornire informazioni fruibili, senza discriminazioni, anche da parte di soggetti portatori di disabilità, eventualmente predisponendo le tecnologie o configurazioni particolari necessarie (c.d. tecnologie assistive). Si tratta, com’è ovvio, di un tema di particolare […]

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.