Privacy

Responsabilità civile per illecito trattamento dei dati personali e danno non patrimoniale

di Prof. Avv. Emilio Tosi, Direttore Esecutivo DIRITTO NUOVE TECNOLOGIE®- Studi giuridici per l’Innovazione® |

Pubblichiamo di seguito estratto dall’ultimo Studio monografico di Emilio Tosi – Professore Associato Abilitato di Diritto Privato nell’Università di Milano Bicocca, Direttore Esecutivo Diritto Nuove tecnologie DNT® – Studi Giuridici per l’Innovazione®, candidato al rinnovo della Consiliatura dell’Autorità Garante per il settennato 2020-2027, edito da Giuffré Lefebvre.

Alla luce di quanto sino ad ora rilevato nel presente studio, emerge chiaramente che il problema della tutela della persona e della privacy in senso lato — comprensiva della triplice declinazione diritto alla riservatezza personale, protezione dei dati personali e identità digitale — è centrale, in particolare ma non solo, nelle nostre vite digitali e non è priva di riflessi patrimoniali sempre più significativi.

È emerso, inoltre, con tutta evidenza che il trattamento dei dati personali sottintende un rapporto asimmetrico, a prescindere dalla sussistenza inter partes di un rapporto contrattuale, che potrà sussistere ma non necessariamente.

Riflessi patrimoniali e asimmetria di potere che vengono colti anche nella recente decisione della Cassazione del 2 luglio 2018, n. 17178 in relazione al caso di servizi informativi di un sito Internet condizionati al rilascio del consenso dell’interessato all’utilizzo dei dati personali per l’invio di messaggi pubblicitari da parte di terzi secondo cui “la previsione di un consenso in tal modo «rafforzato» sia dettato dall’esigenza di rimediare alla intrinseca situazione di debolezza dell’interessato, sia sotto il profilo della evidente «asimmetria informativa», sia dal versante della tutela contro possibili tecniche commerciali aggressive o suggestive. La normativa in questione, dunque, sorge dall’esigenza di affrontare i rischi per la persona posti dal trattamento in massa dei dati personali, così come reso possibile dall’evoluzione tecnologica. Può dunque dirsi che il consenso in questione debba essere ricondotto alla nozione di «consenso informato», nozione ampiamente impiegata in taluni settori — basti menzionare il campo delle prestazioni sanitarie — in cui è particolarmente avvertita l’esigenza di tutelare la pienezza del consenso, in vista dell’esplicazione del diritto di autodeterminazione dell’interessato, attra- verso la previsione di obblighi di informazione contemplati in favore della parte ritenuta più debole”.

La rilevanza patrimoniale del consenso al trattamento dei propri dati è, inoltre,plasticamente evidenziata dal comma 4 dell’articolo 7 del GDPR, secondo cui: « Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di uncontratto, compresa la prestazione di un servizio, sia condizionata allaprestazione del consenso al trattamento di dati personali non necessarioall’esecuzione di tale contratto ».

L’asimmetria di potere (informativo, tecnologico, economico e nor- mativo) tra i soggetti del trattamento (titolare-interessato) conferma la bontà di una lettura assiologica, costituzionalmente orientata, della tutela della riservatezza e della protezione dei dati personali — centrata sulla tutela dei diritti fondamentali della persona offerta dall’art. 2 della Costituzione italiana oltre che dagli artt. 7 e 8 della Carta UE — che, attraverso il prisma delle fonti interne e comunitarie, consenta di dare piena efficacia a tali fondamentali diritti, offrendo un saldo appiglio per non soccombere di fronte alle plurime e cangianti pressioni mercatorie della società liquida digitale (42).

Privacy digitale potrebbe apparire a prima vista — ma così non è dopo il GDPR e l’avvio di un processo di allineamento globale ai nuovi parametri normativi di tutela di maggior favore — una contraddizione in termini, un ossimoro giuridico relativo a un rapporto asimmetrico senza speranza di bilanciamento.

La “nuova antropologia” registrata dal compianto giusprivatista Stefano Rodotà — pioniere degli studi privatistici in materia di riservatezza e dati personali insieme ai Maestri Guido Alpa e a Vincenzo Franceschelli — che trasforma la persona da essere umano in complesso di dati, identità digitale.

Se volessimo sintetizzare tale visione antropo-tecnologica potremmo ben dire: i dati siamo noi. La tutela dell’identità della persona si risolve nella società digitale nell’equazione: persona = dati personali rectius identità digitale.

Occorre contrastare il rischio della dittatura dell’algoritmo le cui meccaniche intrinseche sono spesso occulte e tutelate dal segreto industriale.

Nella prospettiva di accrescere la tutela dell’interessato che ha subito un danno dall’illecito trattamento di dati personali — al quale la nuova normativa europea intende garantire pieno ed effettivo risarcimento del pregiudizio subito (considerando n. 146 del GDPR) — deve, poi, leggersi la regola della responsabilità solidale per il risarcimento del danno cagionato dal trattamento dettata dal regolamento: ai sensi dell’art. 82. 4, infatti, « Qualora più titolari del trattamento o responsabili del tratta- mento oppure entrambi il titolare del trattamento e il responsabile del trattamento siano coinvolti nello stesso trattamento e siano, ai sensi dei 2 e 3, responsabili dell’eventuale danno causato dal trattamento, ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato ».

Inoltre il considerando n. 146 del GDPR prevede che, qualora due o più titolari del trattamento siano riuniti negli stessi procedimenti giudiziari conformemente al diritto degli Stati membri il risarcimento possa essere ripartito in base alla responsabilità che ricade su ogni titolare o responsabile del trattamento per il danno cagionato dal trattamento stesso, in buona sostanza in relazione all’effettiva partecipazione di ognuno alla causazione dell’atto illecito.

Il riparto interno non deve, in ogni caso, pregiudicare il risarcimento integrale dell’interessato-danneggiato.

In conformità a quanto sopra rilevato si richiama anche la norma sui rapporti interni tra i diversi soggetti corresponsabili di cui all’art. 82.5 e del considerando n. 146 del GDPR: il titolare o il responsabile del trattamento che abbia pagato l’intero risarcimento del danno può pro- porre successivamente un’azione di regresso contro gli altri titolari o responsabili coinvolti nello stesso trattamento, per la porzione di risarci- mento corrispondente alla loro parte di responsabilità per il danno causato in conformità a quanto previsto dall’art. 82.2 GDPR.

In analogia con quanto previsto dal Codice Civile nel diritto interno dall’art. 2055 c.c. comma 2, secondo cui la misura dell’azione di regresso è determinata dalla gravità delle rispettive colpe dei corresponsabili e dalla gravità del danno che ne è derivato.

Si ritiene opportuno adottare un criterio moderno di imputazione della responsabilità da illecito trattamento di dati personali, ex art. 82 del del GDPR a titolo di responsabilità oggettiva in continuità con la pregressa lettura prevalente data dell’art. 15 del Codice Privacy.

A fronte del rischio d’impresa correlato all’attività massiva di trattamento dei dati personali pare, infatti, senz’altro opportuno, come si vedrà infra, il rafforzamento del rimedio risarcitorio, in ragione dell’interferenza di tale attività con i fondamentali diritti e libertà della persona, riconosciuto al soggetto danneggiato dal trattamento correlato all’incentivazione delle figure soggettive attive del trattamento all’osservanza dei principi e delle regole di condotta cui è tenuto per trattare i dati corret- tamente in conformità al GDPR: in tal senso depone il favor interpretativo verso la tendenziale oggettivazione e l’ammissibilità del danno non patri- moniale senza filtri restrittivi.

Non pare, invero, incompatibile la responsabilità oggettiva ed effetto esterno con l’eventuale regresso interno: detta regola pare funzionale alla protezione del soggetto debole, l’interessato del trattamento dei dati personali; funzione protettiva che viene meno nei rapporti interni.

La scelta ecomomica di far ricadere sul danneggiante il peso economico delle lesioni ingiustamente cagionate in capo al danneggiato risiede nel principio di solidarietà, affermatosi nella seconda metà degli anni settanta: si tratta della costituzionalizzazione della responsabilità civile alla luce dell’art. 2 Cost.

Tuttavia, la regola risarcitoria può andare ben oltre il criterio della colpa fondante la responsabilità soggettiva e agganciare il risarcimento alla mera violazione di regole di condotta da parte del soggetto — il Titolare — che meglio di chiunque altro è in grado di conoscere e controllare i rischi correlati al trattamento dei dati: il principio di solida- rietà può, invero, fondare — nel contesto del rischio di attività d’impresa come è qualificata anche l’attività di trattamento dei dati personali ai sensi del GDPR — anche la più efficiente regola della responsabilità oggettiva per facilitare, con specifiche regole agevolative, il ristoro della lesione dei propri diritti, subita dal danneggiato, allocando i costi in capo al soggetto che nell’ambito della propria struttura organizzativa ha il dovere di prevenire il rischio da trattamento illecito dei dati personali.

Occorre, dunque, innanzitutto delineare le figure soggettive che il GDPR tipizza in relazione al processo complesso del trattamento dei dati e alle conseguenti responsabilità correlate, anche in concorso tra le predette figure soggettive.

Successivamente si tratterà di chiarire se l’addebito di responsabilità richieda accertamento del profilo del dolo o della colpa oppure si possa confermare, come si ritiene sin da ora potersi anticipare, l’oggettivazione del rischio già sposata nel previgente sistema dell’art. 15 del vecchio Codice Privacy.

La disamina del profilo della responsabilità civile per trattamento dei dati personali non conforme al GDPR verrà, quindi, articolata — nel presente studio monografico — attraverso la disamina dei seguenti profili:

  • natura della responsabilità per trattamento illecito dei dati personali tra responsabilità extracontrattuale e contrattuale
  • profilo soggettivo: figure soggettive tipizzate dal GDPR
  • profilo oggettivo: illiceità della condotta — qualificazione del criterio di imputazione applicabile tra regole comuni e speciali, responsabilità soggettiva e oggettiva
  • il problema del danno in re ipsa per i danni da trattamento illecito dei dati personali
  • natura del danno risarcibile: danno patrimoniale e non patrimoniale
  • critica alla soglia di risarcibilità del danno non patrimoniale
  • critica alla bipolarità danno patrimoniale e danno non patrimo- niale: proposta di rilettura funzionale assiologica
  • riemersione dell’autonomìa del danno morale
  • il problema della liquidazione della lesione non patrimoniale dei diritti fondamentali della persona alla riservatezza, protezione dei dati personali e identità personale
  • polifunzionalità del rimedio della responsabilità civile tra funzione compensativa-solidaristica e funzione deterrente-sanzionatoria del danno.