Protezione dati personali e risarcimento danni

In premessa va sottolineato come il Legislatore comunitario ha inteso disciplinare l’apparato sanzionatorio, collegato alla violazione del Regolamento in commento, armonizzandolo per tutti gli Stati membri al fine di evitare il proliferare di una casistica, generata da ciascuno Stato membro, variegata e disomogenea che era stata il frutto dell’applicazione dell’art. 24 della Direttiva 95/46/CE per il quale “Gli Stati membri adottano le misure appropriate per garantire la piena applicazione delle disposizioni della presente direttiva e in particolare stabiliscono le sanzioni da applicare in caso di violazione delle disposizioni di attuazione della presente direttiva”.

È riconosciuto a chiunque subisca un danno materiale o immateriale a seguito di una violazione del Regolamento il diritto ad ottenerne il risarcimento del danno stesso ad opera del Titolare o del Responsabile. A tale proposito si rende necessario sottolineare come il perimetro di applicazione del presente paragrafo va oltre il concetto di interessato (data subject) per comprendere anche quello di persona fisica tout court. 

Infatti, può verificarsi il caso in cui i danni legati al trattamento dei dati personali vadano ad incidere anche su soggetti terzi, di per se estranei a suddetto trattamento. 

A titolo di esempio si cita il caso di violazione dei dati di persone sposate (interessati) iscritte ad un sito di incontri che ha avuto ripercussioni anche sui coniugi (natural person) (par. 1)

Si richiama una responsabilità in capo al Titolare per violazione del Regolamento, così come è prevista una responsabilità, in capo al Responsabile, per il verificarsi di due distinti casi: violazione degli obblighi richiamati nel presente GDPR, che incombono sul Responsabile; azione, condotta dal Responsabile, difforme o contraria alle direttive impartitegli dal Titolare. (par. 2)

Sia il Titolare che il Responsabile sono esenti da responsabilità se provano che “l’evento dannoso non gli è in alcun modo imputabile”. (par. 3)

In presenza di una pluralità di Titolari o di Responsabili, coinvolti nello stesso trattamento dei dati personali, per l’eventuale danno da questi causato è prevista una responsabilità in solido, per l’intero ammontare del danno. (par. 4)

Il Titolare o il Responsabile che ha pagato in solido ha diritto di rivalersi nei confronti degli altri Titolari e/o Responsabili, ciascuno per la propria parte. (par. 5)

La competenza nell’esercizio delle azioni legali finalizzate ad ottenere il risarcimento dei danni sono delle Autorità giurisdizionali competenti, in base a quanto regolato dal diritto dello Stato membro. (par. 6)

1) Protezione dati personali e risarcimento danni: il caso

Si porta all’attenzione un recentissimo arresto giurisprudenziale della Corte di Giustizia Ue (di seguito, “Corte”) con sentenza 11 aprile 2024 nella causa C-741/21, in una vicenda che ha coinvolto un avvocato tedesco e una società che distribuisce una banca dati giuridica.

(SENTENZA DELLA CORTE (Terza Sezione) 11 aprile 2024 (*) «Rinvio pregiudiziale – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento (UE) 2016/679 – Articolo 82 – Diritto al risarcimento del danno causato da un trattamento di dati effettuato in violazione di tale regolamento – Nozione di “danno immateriale” – Incidenza della gravità del danno subito – Responsabilità del titolare del trattamento – Eventuale esonero in caso di errore di una persona che agisce sotto la sua autorità ai sensi dell’articolo 29 – Valutazione dell’importo del risarcimento – Inapplicabilità dei criteri previsti dall’articolo 83 per le sanzioni amministrative pecuniarie – Valutazione in caso di violazioni multiple di detto regolamento»). 

Per approfondimenti si rinvia al testo della sentenza al link: sentenza 11 aprile 2024 nella causa C-741/21 .

La domanda di pronuncia pregiudiziale verteva sull’interpretazione dell’articolo 82, paragrafi 1 e 3, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; in prosieguo: il «RGPD»), in combinato disposto con gli articoli 29 e 83 di tale regolamento, nonché alla luce dei considerando 85 e 146 di quest’ultimo.

(A parere di chi scrive, va rilevato che la responsabilità per danni alla privacy imputata al titolare scatta a seguito della violazione tanto degli obblighi di cui al RGPD - Regolamento Generale per la Protezione dei Dati - quanto dalla violazione “di altre norme del diritto dell’Unione o degli Stati membri”, in base a quanto affermato nel Considerando 146. Di conseguenza il citato Considerando amplia il perimetro delle fonti di responsabilità comprendendovi “anche il trattamento non conforme agli atti delegati e agli atti di esecuzione adottati in conformità del presente regolamento e alle disposizioni del diritto degli Stati membri che specificano disposizioni del presente regolamento” – C (146) ).

Tale domanda è stata presentata nell’ambito di una controversia tra GP, persona fisica, e la juris GmbH, società con sede in Germania, in merito al risarcimento dei danni che GP sostiene di aver subito a causa di diversi trattamenti dei suoi dati personali operati per finalità di marketing diretto, nonostante le opposizioni che aveva rivolto a detta società.

2) Protezione dati personali e risarcimento danni: la decisione adottata dalla Corte

Il giudice del rinvio chiedeva, in sostanza, se l’articolo 82 del RGPD debba essere interpretato nel senso che è sufficiente che il titolare del trattamento, per esser esonerato dalla responsabilità conformemente al paragrafo 3 di detto articolo, faccia valere che il danno di cui trattasi è stato causato dall’errore di una persona che agisce sotto la sua autorità, ai sensi dell’articolo 29 di tale regolamento.

L’articolo 82 di detto regolamento, intitolato «Diritto al risarcimento e responsabilità», ai paragrafi da 1 a 3, così dispone: «1.      Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.   2.      Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. (...) 3.      Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2  se dimostra che l’evento dannoso non gli è in alcun modo imputabile».

L’articolo 29 del RGPD, intitolato «Trattamento sotto l’autorità del titolare del trattamento o del responsabile del trattamento» così dispone: «Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri».

Occorre ricordare al riguardo che l’articolo 82 del RGPD, al suo paragrafo 2, dispone che qualsiasi titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi tale regolamento» e, al suo paragrafo 3, che il titolare del trattamento è esonerato dalla responsabilità di cui al paragrafo 2, se dimostra che l’evento dannoso non gli è in alcun modo imputabile.

La Corte ha già constatato che da un’analisi combinata dei paragrafi 2 e 3 di tale articolo 82 risulta che quest’ultimo prevede un regime di responsabilità per colpa, nel quale si presume che il titolare del trattamento abbia partecipato al trattamento che costituisce la violazione del RGPD di cui trattasi, cosicché l’onere della prova grava non sulla persona che ha subito un danno, bensì sul titolare del trattamento.

Per quanto riguarda la questione se il titolare del trattamento possa essere esonerato dalla sua responsabilità, in virtù dell’articolo 82, paragrafo 3, del RGPD, per il solo motivo che  tale danno è stato causato dal comportamento colposo di una persona che agisce sotto la  sua autorità, conformemente all’articolo 29 del RPGD, da un lato, da detto articolo 29 risulta che le persone che agiscono sotto l’autorità del titolare del  trattamento, come i suoi dipendenti, che hanno accesso a dati personali, possono, in linea  di principio, trattare tali dati solo su istruzione di detto titolare e conformemente alle  stesse.

D’altro lato, l’articolo 32, paragrafo 4, del RGPD, relativo alla sicurezza del trattamento dei dati personali, prevede che il titolare del trattamento adotti misure per garantire che qualsiasi persona fisica che agisca sotto la sua autorità e abbia accesso a tali dati, non li tratti, se non su istruzione del titolare del trattamento, a meno che non vi sia obbligata dal diritto dell’Unione o degli Stati membri.

L’articolo 32 del regolamento in parola, rubricato «Sicurezza del trattamento», prevede quanto segue: 

«1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: 

(...) b)  la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; 

(...) 2.  Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. 

(...) 4.  Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri».

Orbene, un dipendente del titolare del trattamento è effettivamente una persona fisica che agisce sotto l’autorità di tale titolare. Pertanto, spetta a detto titolare assicurarsi che le sue istruzioni siano correttamente applicate dai propri dipendenti. Di conseguenza, il titolare del trattamento non può sottrarsi alla propria responsabilità ai sensi dell’articolo 82, paragrafo 3, del RGPD semplicemente invocando una negligenza o un inadempimento di una persona che agisce sotto la sua autorità.

Nel caso di specie, nelle sue osservazioni scritte dinanzi alla Corte, la juris affermava, in  sostanza, che il titolare del trattamento dovrebbe essere esonerato dalla sua responsabilità,  in forza dell’articolo 82, paragrafo 3, del RGPD, qualora la violazione che ha causato il  danno in questione sia imputabile al comportamento di uno dei suoi dipendenti che non  ha rispettato le istruzioni impartite da detto titolare e purché tale violazione non sia dovuta  a un inadempimento degli obblighi di quest’ultimo enunciati, in particolare, agli articoli  24, 25 e 32 del regolamento in parola.

L’articolo 24 di detto regolamento, intitolato «Responsabilità del titolare del trattamento», al paragrafo 1, enuncia quanto segue: «1. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario. 2. Se ciò è proporzionato rispetto alle attività di trattamento, le misure di cui al paragrafo 1 includono l’attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento».

L’articolo 25 del medesimo regolamento, rubricato «Protezione dei dati fin dalla progettazione e protezione dei dati per impostazione predefinita», al paragrafo 1, prevede quanto segue: «Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di pplicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati».

A tal riguardo, va sottolineato che le circostanze dell’esonero di cui all’articolo 82, paragrafo 3, del RGPD devono essere strettamente limitate a quelle in cui il titolare del trattamento è in grado di dimostrare, da parte sua, la mancanza di imputabilità del danno. Pertanto, in caso di violazione di dati personali commessa da una persona che agisce sotto la sua autorità, detto titolare può beneficiare di tale esonero unicamente se prova che non sussiste alcun nesso di causalità tra l’eventuale violazione dell’obbligo di protezione dei dati, ad esso incombente in forza degli articoli 5, 24 e 32 di tale regolamento e il danno subito dall’interessato.

Pertanto, affinché il titolare del trattamento possa essere esonerato dalla sua responsabilità, in forza dell’articolo 82, paragrafo 3, del RGPD, non può essere sufficiente che egli dimostri di aver dato istruzioni alle persone che agiscono sotto la sua autorità, a norma dell’articolo 29 di tale regolamento, e che una di dette persone sia venuta meno al suo obbligo di seguire tali istruzioni, cosicché essa ha contribuito al verificarsi del danno di cui trattasi.

Infatti, se si ammettesse che il titolare del trattamento può esimersi dalla propria responsabilità limitandosi ad invocare l’errore di una persona che agisce sotto la sua  autorità, ciò nuocerebbe all’effetto utile del diritto al risarcimento sancito all’articolo 82,  paragrafo 1, del RGPD, come rilevato in sostanza dal giudice del rinvio, e ciò non sarebbe  conforme all’obiettivo di tale regolamento consistente nel garantire un livello elevato di  protezione delle persone fisiche con riguardo al trattamento dei loro dati personali.

Alla luce di quanto precede, occorre rispondere alla seconda questione dichiarando che l’articolo 82 del RGPD deve essere interpretato nel senso che non può essere sufficiente che il titolare del trattamento, per essere esonerato dalla sua responsabilità ai sensi del paragrafo 3 di detto articolo, faccia valere che il danno di cui trattasi è stato causato dall’errore di una persona che agisce sotto la sua autorità, a norma dell’articolo 29 di tale regolamento.

3) Protezione dati personali e risarcimento danni: conclusioni

La sentenza commentata consente di tracciare alcuni principi in tema di responsabilità per violazione della normativa in materia di protezione dei dati personali che, brevemente, si elencano:

1. in caso di violazione di dati personali commessa da una persona che agisce sotto la sua autorità, il titolare può beneficiare di tale esonero unicamente se prova che non sussiste alcun nesso di causalità tra: 

1. l’eventuale violazione dell’obbligo di protezione dei dati, ad esso incombente in forza degli articoli 5, 24 e 32 di tale regolamento, 
2. il danno subito dall’interessato.

2. in caso di violazione di dati personali commessa dal soggetto designato responsabile del trattamento, ai sensi dell’art. 28 RGPD, questi ne risponde al ricorrere di due ipotesi:

1. violazione degli obblighi stabiliti dal RGPD a carico dei responsabili;
2. condotta del responsabile difforme o contraria alle istruzioni ricevute dal titolare, all’interno di un contratto o    di altro atto giuridico a norma del diritto dell’Unione o degli stati membri.