GDPR: il punto dell’avvocato Danilo Quaglini.

vincenzo news-IT

A cura dell’Avv. Danilo Quaglini.

Il 25 maggio 2018, è entrato in vigore il Regolamento (UE) 2016/679 eppure ancora molte aziende non sanno come comportarsi e hanno lasciato indietro l’obbligo di adeguamento che impone la specifica normativa.

Sembra una banalità ripeterlo ma sempre più aziende subiscono ogni giorno attacchi informatici finalizzati a carpire illegalmente informazioni o dati personali da rivendere sul mercato nero dei dati o semplicemente per ricattare i Data Controller stessi (Titolari dei Trattamenti).

Adeguamento, infatti, non significa solamente prassi burocratiche da introdurre in azienda o da rafforzare laddove già si rispettavano i principi del Codice Privacy, ma significa mettere in atto e dare importanza ai principi della accountability, della privacy by design e by default.

Inutile ricordare che in caso di verifiche da parte della Guardia di Finanza, il Garante della Privacy potrà irrogare sanzioni assai significative (sino a € 20.000.000 o al 4% del fatturato mondiale annuo del gruppo).

Non a caso, per particolari tipologie di soggetti, il Regolamento Europeo prevede l’obbligo di introduzione della figura del Data Protection Officer, in grado di consigliare nel migliore dei modi i comportamenti da adottare ma anche di vigilare affinché tali comportamenti siano allineati ai principi del Regolamento stesso.

Esistono degli adempimenti basilari a cui nessuno si può sottrarre: adozione di un Registro dei Trattamenti, aggiornamento e adeguamento delle Informative, predisposizione delle Lettere di Designazione, istituzione di Procedure finalizzate a gestire i Data Breach (con relativo registro), laddove prevista, predisposizione di un’adeguata DPIA Data Protection Impact Assessment e, infine, organizzazione di un’adeguata formazione per il personale dipendente che, stante la particolarità della normativa, deve essere sempre coinvolto, aggiornato, stimolato e formato.

Titolari dei Trattamenti, insomma, devono porre la massima attenzione ai dati personali che gli vengono affidati in quanto saranno proprio loro a doversi giustificare in caso di contestazione da parte degli interessati o di altri soggetti legittimati.

Ai sensi del GDPR, il Titolare adotta misure appropriate per fornire all’interessato (cliente, dipendente o prospect) tutte le informazioni relative al trattamento, riorganizzando, ove necessario, anche le misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1 finalizzate alla protezione del dato custodito.

La responsabilità a cui va incontro il Titolare del Trattamento, nella prassi giurisprudenziale italiana, è stata sempre quella di colui che svolge un’attività pericolosa, ai sensi dell’art. 2050 del codice civile. A mente del medesimo articolo si legge: “chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno”.

Il trattamento dei dati è, di per sé, un’attività che espone gli altri (gli interessati) ad un “rischio”. Tale “rischio” è giuridicamente accettato dall’ordinamento ma l’utilità economica e/o sociale di tale attività deve essere compensata da un sistema di tutele idonee a ripristinare il patrimonio giuridico dell’interessato (danneggiato).

Ai sensi dell’articolo 82 del Regolamento 2016/679: “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento“.

Il primo paragrafo dell’art. 82 afferma, dunque, il diritto dell’interessato (danneggiato) di ottenere il risarcimento del danno, sia quello patrimoniale sia quello non patrimoniale. Tale diritto sorge nel momento in cui è stata posta in essere una condotta, attiva o omissiva, che costituisca violazione di una prescrizione del regolamento.

Sono tenuti al risarcimento del danno il titolare o il responsabile del trattamento.

A differenza di quanto previsto dall’art. 15 del Codice Privacy (“Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile”), si osserva, innanzitutto, che la prospettiva del Regolamento è focalizzata sul “danneggiato” (e non su chi ha cagionato il danno).

Il titolare del trattamento, dunque, risponde dei danni causati dal trattamento illegittimo; il responsabile del trattamento risponde per violazione degli obblighi posti a suo carico oppure se ha disatteso le istruzioni del titolare del trattamento.

Quanto al responsabile del trattamento, se apparentemente la norma sembra limitare la sua responsabilità alle sole azioni attive od omissive rispetto a precetti del regolamento e/o alle istruzioni/direttive/indicazioni del titolare del trattamento, in realtà il responsabile del trattamento ha un dovere di porta generale; è suo compito anche avvisare il titolare del trattamento in caso di condotte non correttamente disciplinate. Può, quindi, delinearsi a suo carico una responsabilità (in tal caso, in solido con il titolare del trattamento) anche (solo) per “omessa” informazione.

Ai sensi del paragrafo 3 dell’articolo 82: “Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile”.

La norma individua, dunque, a quali condizioni il titolare o il responsabile del trattamento sono esonerati da responsabilità: L’uno e/o l’altro devono dimostrare: (1) che l’evento dannoso non è loro imputabile e che, quindi, da fonte del danno è loro estranea; (2) di avere adottato tutte le misure idonee a evitare il danno (ecco ancora una volta l’importanza di un adeguamento congruo alla propria realtà aziendale).

Vi è, quindi, una inversione dell’onere della prova che si inserisce in una presunzione di colpevolezza. L'”imputato” dovrà dimostrare di essere “innocente”, vale a dire avere adottato tutte le misure idonee a evitare il danno.

Prevenire e pianificare i più idonei percorsi di compliance aziendale in tema privacy è perciò di fondamentale importanza, evitando di ritrovarsi di fronte alla Magistratura Ordinaria (o al Garante stesso) a dover giustificare comportamenti, il più delle volte omissivi, difficilmente difendibili.

Condividi quest'articolo