Privacy: le nuove responsabilità per il titolare del trattamento ed il responsabile incaricato

Dal 25 maggio 2018 l’Autorità Garante per la Privacy applicherà il nuovo sistema sanzionatorio previsto dal Regolamento Europeo per la Protezione dei Dati Personali (GDPR).

E’ necessario, pertanto, conoscere quali sono le condotte che integrano gli estremi di una violazione del Regolamento e che fanno sorgere l’obbligo di risarcire il danneggiato, quali sono le conseguenze della violazione di tali norme e, non da ultimo, chi ne risponde.

L’art. 82, comma 1, del Regolamento, stabilisce che “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento“.

Tuttavia, mentre il titolare deve risarcire qualsiasi danno cagionato dal suo trattamento in violazione del Regolamento, il responsabile del trattamento risponde solo se non ha adempiuto agli obblighi a lui specificatamente diretti o ha agito in modo difforme o contrario alle istruzioni del titolare.

Da tali norme si evince che i soggetti tenuti al risarcimento del danno sono il titolare del trattamento ed il responsabile incaricato.

Ma chi sono e che ruolo hanno queste figure?

Il Titolare del trattamento: è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.

 

Il Responsabile del trattamento: è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

Il rapporto tra titolare del trattamento ed il responsabile del trattamento è regolato da un contratto stipulato per iscritto, che oltre a vincolare a vicenda le due figure, deve prevedere la materia disciplinata, la durata del trattamento, la natura e le finalità del trattamento nonché il tipo di dati personali e le categorie di interessati a cui gli stessi dati si riferiscono.

Mentre il titolare deve risarcire qualsiasi danno abbia cagionato in virtù della violazione del Regolamento nel trattamento dei dati, il responsabile risponde solo se non ha adempiuto agli obblighi a lui specificatamente diretti o ha agito in modo difforme o contrario alle istruzioni del titolare.

La tutela, inoltre, riguarda non soltanto i danni economici subiti, ma anche quelli immateriali, come nel caso di trattamenti che comportino discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione.

Danni potrebbero derivare, per gli interessati, anche dal rischio di essere privati dei loro diritti e delle loro libertà o qualora venga loro impedito l’esercizio del controllo sui dati personali che li riguardano; se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza.

Il trattamento dei dati personali è da considerarsi, pertanto, un’attività pericolosa: motivo per cui il soggetto che pone in essere la condotta pericolosa (il titolare o il responsabile del trattamento) è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno.

L’art. 82 del Regolamento prevede, inoltre, un regime di responsabilità solidale tra il titolare e il responsabile, se entrambi i soggetti sono responsabili. In tali circostanze, tutti i soggetti responsabili sono chiamati a rispondere nei confronti del danneggiato in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo.

 

Il titolare del trattamento o il responsabile che ha risarcito per intero il danno, ha diritto di agire con l’azione di regresso verso i titolari o i responsabili del trattamento coinvolti nello stesso trattamento, per ottenere il rimborso della quota di risarcimento corrispondente alla loro parte di responsabilità.