GDPR: Risarcimento del danno subito dall’interessato (Guida al GDPR 7.4)

L’art. 82, paragrafo 1, del GDPR stabilisce il principio in forza del quale Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”.

La norma afferma così il diritto dell’interessato, in quanto danneggiato, di ottenere il risarcimento del danno subìto, che potrà essere sia patrimoniale che non patrimoniale. Questo diritto sorge, in particolare, nel momento in cui sia stata realizzata una violazione di una delle disposizioni sancite dal GDPR attraverso una condotta del titolare o del responsabile del trattamento, che può essere stata attiva od omissiva.

Sotto il profilo dell’imputazione dell’obbligo di risarcimento, l’art. 82, paragrafo 2, prevede, come precisato anche dal Considerando 79, che “Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento”.

Il responsabile del trattamento risponderà, invece, per il danno causato dal trattamento soltanto nel caso in cui o non abbia correttamente adempiuto agli obblighi stabiliti specificamente dal Regolamento a carico dei responsabili del trattamento, oppure qualora abbia agito in modo difforme o contrario rispetto alle legittime istruzioni dategli dal titolare in merito al trattamento dei dati di sua competenza.

Questa disposizione sembrerebbe delineare una fattispecie di responsabilità, in capo al titolare e al responsabile del trattamento dei dati personali, apparentemente molto restrittiva.

Tuttavia, bisogna rammentare anzitutto che -come spiegato dal Considerando n. 146- il titolare sarà responsabile in concreto non solo in caso di violazione del Regolamento, ma altresì nel caso di inottemperanza di altre disposizioni in materia di protezione dei dati personali previste dalle norme attuative, da atti delegati o di esecuzione del Regolamento stabilite dai singoli Stati membri.

Per quanto riguarda invece il responsabile del trattamento, si rammenta il contenuto dell’art. 28, paragrafo 3, il quale stabilisce l’obbligo in capo al responsabile nominato di informare “[…] immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione violi il presente regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati”.

Di conseguenza, nonostante l’art. 82 sembri apparentemente limitare la sua responsabilità alle azioni od omissioni relative alle disposizioni del Regolamento e alle istruzioni e direttive del titolare del trattamento, in realtà si configura a suo carico un dovere di portata generale che consiste nell’obbligo di informare il titolare del trattamento qualora riscontri delle condotte non in linea rispetto alle prescrizioni del GDPR, o ritenga che i trattamenti effettuati o le misure disposte determinino dei rischi per i dati personali o espongano a possibili violazioni della disciplina normativa. In altre parole, viene a delinearsi a carico del responsabile del trattamento anche un obbligo di verifica e controllo generale della compliance aziendale, con conseguente responsabilità -solidale rispetto a quella del titolare del trattamento- nel caso di omesso riscontro od omessa informazione.

In sintonia con quanto già contenuto nel Codice della Privacy, l’art. 82, paragrafo 3, prevede poi che il titolare e il responsabile del trattamento vadano esenti da responsabilità nel caso in cui riescano a dimostrare che l’evento dannoso subito dall’interessato non sia loro imputabile in alcun modo. La norma, infatti, così prevede: “Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile”.

Ciò significa, seguendo una logica di inversione dell’onere della prova, che per poter essere esonerati da responsabilità il titolare o il responsabile del trattamento dovranno poter provare, alternativamente, che l’evento dannoso non è loro ascrivibile in quanto dipendente da una fonte estranea alla loro sfera di competenza o di controllo, oppure che sono state da loro predisposte ed attuate tutte le prevedibili misure adeguate al fine di evitare che si verificasse il danno.

Nel caso in cui poi, più titolari o responsabili del trattamento dei dati, oppure entrambi, (quindi sia il titolare che il responsabile del trattamento) siano coinvolti nello stesso trattamento e siano da considerare responsabili dell’eventuale danno cagionato all’interessato, l’art. 82, paragrafo 4, prevede che ognuno di loro sia responsabile in solido per l’intero ammontare del risarcimento da riconoscere all’interessato, al fine di garantirne la piena efficacia. In altre parole, l’interessato potrà rivolgersi anche ad uno solo di essi (in generale, quello che appare più solvibile e dal quale sarà quindi più facile ottenere il risarcimento), il quale sarà così obbligato a versare interamente quanto dovuto a titolo di risarcimento del danno.

Del resto in queste ipotesi, come stabilito nel successivo paragrafo 5 dell’art. 82, se un titolare o un responsabile del trattamento si sia fatto carico dell’intero risarcimento del danno, lo stesso avrà successivamente il diritto di ripetere, dagli altri soggetti coinvolti nello stesso trattamento, la parte del risarcimento corrispondente alla loro quota di responsabilità per il danno cagionato. La norma infatti prevede che: “Qualora un titolare del trattamento o un responsabile del trattamento abbia pagato, conformemente al paragrafo 4, l’intero risarcimento del danno, tale titolare del trattamento o responsabile del trattamento ha il diritto di reclamare dagli altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno conformemente alle condizioni di cui al paragrafo 2”.

In realtà, quindi, la norma presuppone che, al fine di definire le conseguenze patrimoniali dei danni cagionati agli interessati, operi un principio di co-responsabilità dei titolari e dei responsabili del trattamento configurabile come responsabilità “pro quota” piuttosto che solidale in senso stretto. Nella ripartizione interna, quindi, ciascuno di essi sarà responsabile esclusivamente per la quota di responsabilità che gli sarà concretamente riconosciuta.

La richiesta di risarcimento del danno da parte dell’interessato dovrà, ad ogni modo, seguire le procedure previste da ciascuno Stato in materia: per quanto riguarda l’Italia, quindi, la competenza in materia spetterà alla magistratura civile.

FocusGDPRNormativaPrivacy e sicurezza Informatica
aprile 4, 2018
gdprprivacyRegolamento europeo
logo fclex nero

Scopri anche

aliexpress dropshipping

Il Dropshipping su AliExpress: Tutela del Consumatore e Obblighi del Venditore 

9 Mag
Leggi tutto
intelligenza artificiale settimana lavorativa

Rivoluzione Lavorativa: Intelligenza Artificiale e Settimana da 4 Giorni – Implicazioni Giuridiche

28 Mar
Leggi tutto
linee guida agcom influencer

Nuove Linee guida AGCOM per Influencer e Content Creator: Criticità, multe e sfide nel Contesto Giuridico

17 Gen
Leggi tutto
ecommerce sanzioni direttiva omnibus 2023 omnibus

Nuovi obblighi per gli eCommerce: maggiori responsabilità per le imprese e tutele per i consumatori

14 Apr
Leggi tutto
recesso contratto clausola ecommerce limite

Diritto di recesso dal contratto: limiti e clausola di recesso

6 Apr
Leggi tutto
COME REGISTRARE MARCHIO

Come registrare un marchio? Le 5 domande più frequenti

29 Mar
Leggi tutto

Ultimi aggiornamenti

ai act

AI Act approvato: Cosa devono sapere aziende e consumatori

L’approvazione dell’AI Act da parte dell’Unione Europea rappresenta un passo storico nella regolamentazione dell’intelligenza artificiale (AI). Questo articolo offre un’analisi approfondita del regolamento e delle sue implicazioni per aziende e consumatori. Cos’è e come funziona l’AI Act? L’AI Act è il primo regolamento completo al mondo […]
maggio 29, 2024
Leggi tutto
aliexpress dropshipping

Il Dropshipping su AliExpress: Tutela del Consumatore e Obblighi del Venditore 

AliExpress, gigante dell’e-commerce mondiale, deve il suo successo non solo alla vastità di prodotti a prezzi competitivi, ma anche al modello di vendita in dropshipping. Questo sistema permette a chiunque di aprire un e-commerce senza costi di gestione, vendendo prodotti disponibili su AliExpress senza possederli fisicamente. […]
maggio 9, 2024
Leggi tutto
smartphone geolocalizzato

Smartphone sempre rintracciabili: la nuova frontiera della geolocalizzazione offline

Nell’era digitale, gli smartphone rappresentano dispositivi imprescindibili per la vita quotidiana, fungendo da ponte di connessione con il mondo circostante. In questo scenario, la possibilità di rintracciare un telefono smarrito o rubato assume un’importanza cruciale. Tuttavia, l’implementazione di sistemi di geolocalizzazione per smartphone spenti, introdotta da […]
maggio 2, 2024
Leggi tutto

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.

scopri altri video

Dirittodellinformatica.it è rivista telematica registrata il 08.04.2008 presso il Tribunale di Foggia (n. 10/08 registro periodici, cron. n. 816/08). Proprietari del sito: Gianluigi Fioriglio e Giuseppe Croari. Direttore responsabile: Gerardo Antonio Cavaliere. P.I. Studio Legale Associato Fioriglio-Croari: 02863681207.

Il contenuto del sito è sottoposto a licenza Creative Commons (Attribuzione-Non commerciale-Non opere derivate 3.0 Unported). E' possibile riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare il contenuto del sito purché sia attribuita esplicitamente la paternità di ogni sua singola parte; non sono consentiti utilizzi per fini commerciali, nè alterazioni o trasformazioni del contenuto del sito.

© 2024 dirittodellinformatica.it