Come stabilito dall’art. 82, comma 1 del GDPR: “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”.
È previsto quindi il diritto dell’interessato (in quanto danneggiato) di ottenere il risarcimento del danno, sia patrimoniale sia non patrimoniale, nel caso in cui sia stata posta in essere una condotta, attiva o omissiva, che integri una violazione del Regolamento. E sono tenuti al risarcimento del danno sia il titolare che il responsabile del trattamento.
In particolare, il titolare del trattamento risponderà per il danno cagionato dal trattamento dei dati personali realizzato in violazione del regolamento (come previsto dall’art. 82, comma 2, GDPR: “Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento”).
Il responsabile del trattamento risponderà, invece, per il danno causato dal trattamento solo se non ha adempiuto correttamente agli obblighi sanciti nel GDPR in capo ai responsabili del trattamento, oppure se ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.
È stato osservato che questa norma sembra configurare profili di responsabilità molto ristretti in capo al titolare ed al responsabile del trattamento. Questa considerazione non è tuttavia corretta se si pensa che deve essere interpretata anche alla luce del Considerando n. 146, per quanto riguarda la figura del titolare del trattamento e dell’art. 28, comma 3, per quanto riguarda invece il responsabile del trattamento.
In sostanza, in questo modo si stabilisce che il titolare sarà responsabile non solo in caso di violazione delle disposizioni del GDPR, ma anche nel caso di inosservanza delle altre disposizioni previste dalle norme attuative, dagli atti delegati, dagli atti di esecuzione del Regolamento e dalle altre disposizioni dei singoli stati membri (il Considerando n. 146 stabilisce infatti che le violazioni del regolamento non pregiudicano “[…] le azioni di risarcimento di danni derivanti dalla violazione di altre norme del diritto dell’Unione o degli Stati membri. Un trattamento non conforme al presente regolamento comprende anche il trattamento non conforme agli atti delegati e agli atti di esecuzione adottati in conformità del presente regolamento e alle disposizioni del diritto degli Stati membri che specificano disposizioni del presente regolamento. Gli interessati dovrebbero ottenere pieno ed effettivo risarcimento per il danno subito […]”).
Quanto al responsabile del trattamento, la sua responsabilità sembrerebbe essere circoscritta alle sole azioni od omissioni in relazione all’osservanza delle disposizioni del GDPR, nonché al rispetto delle indicazioni e delle direttive del titolare del trattamento. In realtà, il responsabile del trattamento ha anche un dovere generale, nel senso che è suo compito anche quello di avvisare il titolare del trattamento delle eventuali condotte che risultano non correttamente disciplinate dallo stesso titolare. Sarà quindi possibile configurare a suo carico una responsabilità per omessa informazione nei confronti del titolare del trattamento.
Il titolare del trattamento o il responsabile del trattamento saranno, però, esonerati dalla responsabilità se riescono a dimostrare che l’evento dannoso non è in alcun modo imputabile alla loro condotta, e quindi che il danno è scaturito da una fonte “estranea” al loro raggio d’azione, oppure se dimostrano di aver adottato tutte le misure idonee al fine di evitare il danno stesso.
Qualora più titolari o responsabili del trattamento siano coinvolti nello stesso trattamento e siano responsabili dell’eventuale danno causato per effetto del trattamento, ogni titolare o responsabile sarà responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento integrale del danno subito dall’interessato. L’art. 82, comma 4 prevede, a questo proposito, che “Qualora più titolari del trattamento o responsabili del trattamento oppure entrambi il titolare del trattamento e il responsabile del trattamento siano coinvolti nello stesso trattamento e siano, ai sensi dei paragrafi 2 e 3, responsabili dell’eventuale danno causato dal trattamento, ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato”.
Nel caso in cui, poi, un titolare o un responsabile abbia pagato l’intero risarcimento del danno, avrà il diritto di reclamare dagli altri titolari o responsabili -coinvolti nello stesso trattamento- la parte del risarcimento corrispondente alla loro parte di responsabilità.
La norma è interessante in quanto disciplina le conseguenze patrimoniali derivanti dal danno, nei rapporti interni tra titolare/i e responsabile/i del trattamento dei dati: una responsabilità che si configura “per quote”, ossia sulla base delle diverse “porzioni” di responsabilità che possono essere delineate in capo alle diverse figure coinvolte.
Questo è quanto è stabilito dall’art. 82, comma 5 che dispone: “Qualora un titolare del trattamento o un responsabile del trattamento abbia pagato, conformemente al paragrafo 4, l’intero risarcimento del danno, tale titolare del trattamento o responsabile del trattamento ha il diritto di reclamare dagli altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno conformemente alle condizioni di cui al paragrafo 2”.