Le azioni legali per l'esercizio del diritto dell’interessato
Avv. Gemma Forte
Il Regolamento generale sulla protezione dei dati (UE/2016) GDPR e il Codice Privacy come modificato dal Decreto 101/2018 hanno apportato importanti modifiche in merito ai diritti dell’Interessato e i mezzi attraverso i quali ottenere il giusto risarcimento danni in caso di trattamento illegittimo dei dati personali, come a esempio la perdita del controllo dei dati personali, la limitazione dei loro diritti, la discriminazione, il furto o l’usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione perdita di riservatezza dei dati personali protetti da segreto professionale (considerando 85).
La norma di riferimento è costituita dall’art. 82 del Regolamento EU 679/2016 che testualmente cita:
“1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.
2. Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.
3. Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l'evento dannoso non gli è in alcun modo imputabile.
4. Qualora più titolari del trattamento o responsabili del trattamento oppure entrambi il titolare del trattamento e il responsabile del trattamento siano coinvolti nello stesso trattamento e siano, ai sensi dei paragrafi 2 e 3, responsabili dell'eventuale danno causato dal trattamento, ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l'intero ammontare del danno, al fine di garantire il risarcimento effettivo dell'interessato.
5. Qualora un titolare del trattamento o un responsabile del trattamento abbia pagato, conformemente al paragrafo 4, l'intero risarcimento del danno, tale titolare del trattamento o responsabile del trattamento ha il diritto di reclamare dagli altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno conformemente alle condizioni di cui al paragrafo 2.
6. Le azioni legali per l'esercizio del diritto di ottenere il risarcimento del danno sono promosse dinanzi alle autorità giurisdizionali competenti a norma del diritto dello Stato membro di cui all'articolo 79, paragrafo 2.” (Regolamento EU 679, 2016). Il titolare o il responsabile del trattamento è tenuto a risarcire i danni causati a un soggetto da un trattamento in contrasto con il regolamento, con gli atti delegati e di esecuzione del GDPR, tuttavia, se l’evento non è a lui imputabile, è esente da responsabilità. Nel caso in cui titolare e responsabile sono coinvolti nello stesso trattamento, entrambi rispondono per il danno nella sua totalità. Qualora siano riuniti negli stessi procedimenti giudiziari, in base alla responsabilità a loro ascritta, il risarcimento può essere ripartito tra titolare e responsabile, assicurando sempre che l’interessato riceva l’intero risarcimento per il danno subito.
Il titolare del trattamento o il responsabile ha azione di regresso nei confronti di titolari o responsabili coinvolti nel medesimo trattamento (Considerando 146). Il Regolamento UE 2016/679 prevede le azioni che l’interessato può esercitare a tutela dei propri diritti, attraverso diversi strumenti e specificatamente: l’istanza al titolare, segnalazione o reclamo all’Autorità di controllo, ricorso all’Autorità giudiziaria ordinaria e infine un ricorso ex art. 700 cpc per emanazione di provvedimenti cautelari. L’istanza che l’interessato può presentare al titolare, non richiede particolari formalità (mediante lettera raccomandata, telefax, posta elettronica, ecc.). Questa può essere riferita, a seconda delle esigenze, a specifici dati personali, a categorie di dati o ad un particolare trattamento, oppure a tutti i dati trattati personali che lo riguardano. Il titolare, entro un mese, deve rispondere all’istanza presentata dall’interessato o chiedere una proroga del termine di due mesi, tenuto conto della complessità e delle richieste. La mancanza di risposta o la sua non esaustività, dà diritto all’interessato di rivolgersi al Garante o al Giudice Ordinario. La segnalazione all’Autorità di controllo non richiede all’interessato di indicare altri elementi al di fuori dei dati di cui è in possesso. Diverso il caso in cui l’interessato intende proporre reclamo al Garante, il quale ha regolamentato le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, nonché all’adozione dei provvedimenti correttivi e sanzionatori (articolo 142, comma 5, articolo 154, comma 1, lettera b), e comma 3, articolo 156, comma 3, lettera a), e articolo 166, comma 9, decreto legislativo 30 giugno 2003, n. 196, come modificato dal decreto legislativo 10 agosto 2018, n. 101). In base all’art. 8 del citato Regolamento, l’interessato può presentare un reclamo all'autorità di controllo, lamentando una violazione della normativa in materia di protezione dei dati personali specificando, in base al modello di reclamo fornito dal Garante stesso i seguenti elementi:
a) dichiarazione che la Repubblica italiana è lo Stato ove l’interessato risiede abitualmente, lavora oppure ove si è verificata la presunta violazione.
b) gli estremi identificativi del titolare del trattamento.
c) gli estremi identificativi del responsabile del trattamento (ove conosciuto);
d) un'indicazione dettagliata, dei fatti e delle circostanze su cui l'atto si fonda, comprese eventuali richieste già rivolte sulla questione al Titolare del trattamento;
e) le disposizioni del Regolamento (Ue) 2016/679 e del Codice in materia di protezione dei dati personaliche si presumono violate, specificando se siano stati già eventualmente esercitati i diritti di cui agli artt. da 15 a 22 del Regolamento, e l'indicazione delle misure richieste. Al termine dell’istruttoria preliminare (Art. 11) il dipartimento, servizio o altra unità organizzativa competente può concludere l’esame del reclamo archiviandolo, nei casi in cui: a) la questione prospettata non risulta riconducibile alla protezione dei dati personali o ai compiti del Garante; b) non risultano gli estremi di una violazione in materia di protezione dei dati personali; c) si tratta di una richiesta eccessiva, pretestuosa o ripetitiva, anche ai sensi dell’articolo 57, paragrafo 4, del RGPD; d) la questione è stata già stata esaminata dall’Autorità, con un provvedimento collegiale di carattere generale, o può essere esaminata richiamando provvedimenti già adottati dal Garante. In base al successivo art. 12, quando l’esame del reclamo non si conclude ai sensi dell’articolo 11, comma 1, il dipartimento, servizio o altra unità organizzativa avvisa, con propria comunicazione al titolare e, se del caso, al responsabile del trattamento, il procedimento per l’adozione dei provvedimenti di cui agli articoli 58, paragrafo 2, e 83 del RGPD.
Contro i provvedimenti dell’Autorità di Controllo si può proporre reclamo all’Autorità Giurisdizionale civile, da presentare entro trenta giorni dalla data di comunicazione del provvedimento a pena di inammissibilità, entro sessanta giorni se l’interessato è residente all’estero. Secondo quanto riportato dall’analisi compiuta da Valerini (2018), l’interessato potrà, inoltre, proporre azione di risarcimento danni al titolare, dinanzi all’Autorità Giurisdizionale civile, presso il Tribunale del luogo dove ha sede il titolare,In alternativa in base all’art. 77 del GDPR dinanzi al Tribunale in cui l’interessato risiede abitualmente, salvo che il titolare del trattamento o il responsabile del trattamento sia un’autorità pubblica di uno Stato membro nell’esercizio dei pubblici poteri. Il rito applicabile è il ritodel lavoro, ove non diversamente disposto; il Tribunale decide in composizione monocratica con sentenza non appellabile, ma ricorribile per cassazione. Il titolare risponderà per i danni causati nel corso di un trattamento di dati personali ai sensi dell'art. 2050 del codice civile, che riguarda i casi di responsabilità per l'esercizio di attività pericolose. In base all’articolo richiamato l'interessato che ha subito un danno potrà limitarsi a dimostrare l'esistenza del danno e che esso è conseguenza del trattamento illecito, mentre spetta al titolare del trattamento, eventualmente in solido col responsabile, dimostrare di aver adottato tutte le misure idonee per evitare il danno. Qualora ricorrano esigenze cautelari, l’interessato potrà proporre ricorso ex art. 700 c.p.c. chiedendo l’adozione di tutti quei provvedimenti d’urgenza che il Garante avrebbe potuto disporre in via amministrativa ivi compreso l’oscuramento, la rimozione o il blocco di qualsiasi altro dato personale del minore, diffuso nella rete internet. E’ prevista anche la partecipazione al giudizio del Garante che può presentare osservazioni, da rendere per iscritto o in udienza. In base all’art. 154 .- ter del d.lgs. 101/2018 il Garante ha un proprio potere di agire e di rappresentanza in giudizio “il Garante è legittimato ad agire in giudizio nei confronti del titolare o del responsabile del trattamento in caso di violazione delle disposizioni in materia di protezione dei dati personali” La sentenza che definisce il giudizio o il provvedimento cautelare ex art. 700 c.p.c. “può prescrivere le misure necessarie anche in deroga al divieto di cui all’art. 4 della legge 20 marzo 1865, n. 2248 (allegato E) anche in relazione all’eventuale atto del soggetto pubblico titolare o responsabile dei dati, nonché il risarcimento del danno”. Resta, poi, se destinatario del provvedimento è la pubblica amministrazione la possibilità di ricorrere al giudizio di ottemperanza. (Valerini F., 2018).
Bibliografia -
Decreto legislativo 30 giugno 2003, n. 196, come modificato dal decreto legislativo 10 agosto 2018, n. 101. -
Garante per la protezione dei dati personali, (2019). Regolamento n. 1/2019. Procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all'esercizio dei poteri demandati al Garante per la protezione dei dati personali, nonche' all'adozione dei provvedimenti correttivi e sanzionatori. (Delibera n. 98). (19A02843) (GU Serie Generale n.106 del 08-05-2019). Gazzetta Ufficiale della Repubblica Italiana.
Disponibile da https://www.gazzettaufficiale.it/eli/id/2019/05/08/19A02843/sg - Regolamento EU 679/2016 - Valerini, F. (2018). Le novità processuali in materia di privacydopo il Reg. 679/2016 (GDPR) e il D.lgs. 101/2018. Judicium
- il processo civile in Italia e in Europa, Disponibile da http://www.judicium.it/le-novita-processualimateria-privacydopo-reg-6792016-gdpr-d-lgs-1012018