Il decreto legislativo n. 101/2018 e la responsabilità da malpractice nella gestione del dato personale ex art. 82 gdpr | SCUDOMED - Health Risk Manager e Legal Advisor

Il codice privacy nasce per la seconda volta con il decreto legislativo n. 101/2018 che ha apportato modifiche ed integrazioni sostanziali al vecchio contenuto del codice che aveva visto la luce per la prima volta nel 2003 con il decreto legislativo n. 196 del 30 giugno.

Ad onor del vero il vecchio codice era già espressione di una normazione “illuminata” che, tuttavia, si scontrava con una impostazione troppo rigida e burocratica e del tutto arretrata rispetto ai tempi “tecnologici” dei giorni nostri.

Premessa fondamentale dell’intero nuovo impianto normativo europeo e nazionale riguarda le modalità di trattamento dei dati personali.

Infatti, l’articolo 1 del nuovo codice privacy recita: “il trattamento dei dati personali avviene […] nel rispetto della dignità umana, dei diritti e delle libertà fondamentali della persona.

Potremmo, dunque, parlare di “rivoluzione copernicana” che ha fatto dell’ultimo tassello di un sistema che aveva relegato il diritto alla privacy come mero adempimento burocratico a un diritto fondamentale della persona umana(!)

Invero, circa 20 anni fa, momento in cui veniva approvata la direttiva 95/46/CE, era sufficiente una tutela del dato personale c.d. negativa e, cioè, caratterizzata dal potere di escludere le intromissioni di terzi nella propria sfera personale.

Oggi con il nuovo Regolamento Europeo 2016/679 (di seguito “GDPR) e con il nuovo codice privacy il Legislatore ha scelto di operare un sostanziale cambio di rotta in ragione della nuova era digitale in cui viviamo, caratterizzata da una interconnessione continua consentita dall’utilizzo costante e quotidiano di internet, fornendo, quindi, una specifica tutela della privacy rispetto al trattamento dei dati personali, a fronte dei probabili rischi per la persona umana e la sua dignità.

È su queste premesse che si basa una delle più importanti novità introdotte dal Regolamento Europeo e recepita, successivamente, dal nuovo codice privacy rispettivamente agli articoli 82 e 152 caratterizzata dal diritto al risarcimento del danno materiale e immateriale nel caso di violazione della Privacy.

Il nuovo concetto di DANNO

L’art. 82 GDPR al primo paragrafo prevede che “chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”.

In particolare, il danno materiale e immateriale potrebbe essere equiparato al danno patrimoniale e non patrimoniale previsto nel nostro ordinamento.

Sul punto, il considerando 146, chiarisce che “il concetto di danno dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di Giustizia in modo tale da rispecchiare pienamente gli obiettivi del presente regolamento. […] Gli interessati dovrebbero ottenere pieno ed effettivo risarcimento per il danno subito”.

Pertanto, alla luce di quanto appena detto e in relazione alla ratio della norma, qualsiasi danno potrà essere tutelato attraverso la richiesta di risarcimento alla Autorità competente.

ATTENZIONE (!)

La richiesta del risarcimento del danno a fronte di una violazione potrà essere avanzata non solo dall’interessato ma da chiunque vi abbia interesse in quanto, il Legislatore pone al centro del dettato normativo il soggetto debole del rapporto.

Occorre precisare, inoltre, che la violazione riguarda non solo le disposizioni del Regolamento ma anche qualsiasi trattamento che non sia conforme agli atti delegati e agli atti di esecuzione adottati in conformità del Regolamento e alle disposizioni del diritto degli Stati membri che specificano dettati normativi del Regolamento stesso (sul punto cfr. c146).

Chi risponde del danno cagionato?

Il paragrafo 2 del predetto art. 82 individua una diversa responsabilità in capo al Titolare e al Responsabile del trattamento e, rispettivamente, il Titolare risponderà in ragione del suo coinvolgimento nel trattamento del dato stesso mentre, il Responsabile risponderà del danno cagionato qualora non abbia adempiuto agli obblighi dettati dal Regolamento ovvero perché ha agito in modo diverso rispetto alle indicazioni fornite dal Titolare nel momento della nomina quale Responsabile del trattamento.

Inoltre, i suddetti soggetti privacy potranno rispondere ognuno in solido per l’intero ammontare del danno (!) nel caso in cui siano coinvolti nello stesso trattamento, con la possibilità di regresso nei confronti degli altri, o dell’altro, Titolare e/o Responsabile.

Pertanto, chiunque volesse far valere il proprio diritto potrà decidere se agire nei confronti del Titolare e/o anche nei confronti del Responsabile.

La responsabilità, poi, si fonda su una presunzione di colpa a meno che il Titolare o il Responsabile dimostrino che la violazione non gli è in alcun modo imputabile.

Infine, l’art. 13 del d.lgs. 101/2018 ha sostituito il primo comma dell’art. 152 del codice privacy adeguando la normativa nazionale alle disposizioni europee prevedendo, quindi, che le controversie relative al diritto del risarcimento del danno ai sensi dell’art. 82 del GDPR, e non solo, sono attribuite all’Autorità Giudiziaria ordinaria; e, quindi, chiunque volesse far valere in sede giudiziaria la lesione di un proprio diritto potrà adire, in alternativa, il Giudice dello stato membro in cui l’interessato risiede ovvero lo stato membro in cui il Titolare o il Responsabile ha lo stabilimento

In conclusione, possiamo senz’altro affermare che l’articolo 82 GDPR è il fulcro della responsabilità civile nel trattamento dei dati personali rappresentando un forte impulso per il Titolare del trattamento al fine di predisporre le misure di garanzia più idonee alla prevenzione di qualsivoglia violazione del dato personale dell’interessato.