Responsabilità Civile per Trattamento Dati Personali
E’ possibile fare causa a Google nel caso in cui si ravvisi una violazione nel trattamento dei propri dati personali da parte del motore di ricerca?
Il crescente utilizzo degli strumenti informatici nella vita quotidiana ha generato la necessità di predisporre un sistema normativo che tuteli il diritto alla riservatezza e, più in generale, la Privacy dei singoli utenti.
In attesa dell’entrata in vigore del Regolamento 679/2016/UE (cosiddetto GDPR, General Data Protection Regulation) prevista per il prossimo 25 maggio, il sistema nazionale di tutela della Privacy è ad oggi retto dal Codice in materia di protezione dei dati personali (D. Lgs. 196/2003, e successive modifiche); sebbene le disposizioni contenute nel Codice verranno sostituite da quelle previste dal nuovo GDPR ove risultino incompatibili, alcune norme subiranno solo una abrogazione formale, mantenendo la loro portata normativa, salvo possibili integrazioni e perfezionamenti.
Il trattamento dei dati personali e l’esercizio di attività pericolose: l’art. 2050 c.c. e il GDPR
Ad esempio, non subirà modifiche rilevanti la disciplina contenuta nell’art. 15 D. Lgs. 196/2003 in materia di risarcimento dei danni cagionati per l’effetto del trattamento.
Il primo comma di tale disposizione prevede che chiunque cagioni un danno a terzi per il trattamento dei dati personali sarà tenuto al risarcimento “ai sensi dell’art. 2050 c.c.”, ovvero a titolo di responsabilità per l’esercizio di attività pericolose.
Attraverso questo rinvio il Legislatore ha voluto precisare che l’attività connessa al trattamento dei dati personali -sia se svolta a mezzo internet o per mezzo di altri strumenti- necessiti di particolari cautele da parte di chi la eserciti, il quale risponderà dei danni eventualmente cagionati qualora non dimostri di aver adottato tutte le cautele necessarie ad evitare la lesione.
Il riconoscimento del carattere “pericoloso” dell’attività de qua si giustifica nell’esposizione dei terzi (gli interessati) ad un rischio; il “rischio” può essere socialmente accettato, ma a condizione che l’utilizzazione economica e sociale dei dati personali venga compensata da un sistema di norme idoneo ad un eventuale ripristino della situazione antecedente in capo al danneggiato.
I rischi connessi all’attività di trattamento dei dati personali sono compiutamente esplicati nel Considerando n. 75 del GDPR, secondo il quale “i rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale”.
Già prima del GDPR la Giurisprudenza di legittimità si era preoccupata di analizzare la disciplina del risarcimento dei danni connessi all’illecito trattamento dei dati personali. L’art 15 del Codice Privacy -in combinato disposto con l’art. 2050 c.c.- favorisce l’interessato che abbia subito un danno in quanto dispone l’inversione dell’onere della prova a carico del Titolare del trattamento (o di chi abbia utilizzato i dati personali dell’utente): in particolare, l’interessato dovrà dimostrare che il danno subito sia la diretta conseguenza dell’uso illegittimo dei dati da parte del Titolare, mentre su questi graverà l’onere di provare di aver adottato tutte le cautele necessarie ad evitare il danno. Questa probatio diabolica ha spinto taluni a ritenere che la responsabilità conseguente al trattamento dei dati personali integri un’ipotesi di responsabilità oggettiva (per la quale non è in sostanza richiesta -né necessaria- la prova dell’elemento soggettivo).
Alle medesime conclusioni è giunta la Corte di Cassazione, che in numerose pronunce ha ribadito come l’interessato che abbia subito un danno derivante dal trattamento illegittimo dei suoi dati personali “è tenuto solo a provare il danno e il nesso di causalità con l’attività di trattamento dei dati, mentre spetta al convenuto la prova di aver adottato tutte le misure idonee ad evitare il danno” (ex multis, Cass. Civ., sez. I, 3 settembre 2015, n. 17547).
Il nuovo diritto al risarcimento nel GDPR
Come già anticipato, la disciplina in oggetto sarà a breve regolata dal nuovo GDPR, il quale ha apportato alcune modifiche alla disciplina fin qui analizzata, soprattutto sotto il profilo dei soggetti responsabili dell’eventuale danno cagionato all’utente.
Il prossimo art. 82 GDPR ha infatti previsto che il danneggiato possa esercitare il diritto al risarcimento nei confronti del Titolare del trattamento e del Responsabile del trattamento, adottando una formulazione “chiusa” che non permetterebbe di estendere a terzi utilizzatori dei dati personali la responsabilità civile per il loro utilizzo illegittimo.
A ben vedere, la normativa U.E. intende abrogare solo le disposizioni nazionali che siano del tutto incompatibili con le nuove norme del GDPR, integrandosi invero con quelle che risultino ad esse conformi: pertanto, si ritiene in modo pacifico che una lettura codicisticamente orientata dell’art. 82 del Regolamento possa ammettere un’interpretazione estensiva dei soggetti destinatari delle richieste risarcitorie, in un’ottica di maggiore tutela dell’interessato (che in tali ipotesi deve essere considerato come “soggetto debole”).
Il secondo comma dell’art. 82 GDPR offre però una ripartizione della responsabilità tra i due soggetti individuati al comma precedente, precisando che “Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento”; in questo modo il Legislatore europeo ha voluto graduare il livello di tutela esercitabile anche -e soprattutto- in funzione del diverso grado di responsabilità riconosciuto a queste due figure.
Ma l’elemento forse più importante della nuova disciplina prevista in tema di risarcimento è dato dalla disposizione contenuta nel terzo comma dell’art. 82 GDPR, a norma del quale “Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile”.
Ad una prima analisi (e nell’attesa che si pronunci la Giurisprudenza di merito) questa previsione richiama il sistema probatorio previsto già dalla normativa nazionale (art. 15 D.Lgs. 196/03 e art. 2050 c.c.): la circostanza della non imputabilità dell’evento dannoso sembra infatti coincidere con la prova di aver adottato tutte le misure e cautele necessarie ad evitare la verificazione del danno richiesta dal richiamato art. 2050 c.c..
La coincidenza del meccanismo previsto in tema di onere probatorio tra le due norme si giustifica alla luce della maggior tutela riconosciuta e garantita ai dati personali dell’interessato, la cui posizione debole rispetto ai motori di ricerca (Google) o in generale a chi utilizza tali informazioni necessita di particolari garanzie al fine di evitare la lesione di diritti fondamentali quali la riservatezza e la dignità personale.