I Mercoledì della privacy: La “probatio diabolica” in capo all'amministratore per violazione della privacy

La disciplina di cui all'art. 15 D. Lgs. 196/2003 in materia di risarcimento dei danni cagionati per l'effetto del trattamento dati, al primo comma, prevede che: “Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del c.c.” ovvero a titolo di responsabilità per l'esercizio di attività pericolose.

Tale norma, rimane in vigore dopo l'entrata del Regolamento europeo UE 16/679 in tema di trattamento dei dati personali e serve a precisare che le attività a ciò connesse necessitano l'attuazione di particolari cautele da parte di chi le eserciti, il quale dovrà dimostrare di aver attuato tutte le accortezze necessarie ad evitare la lesione per non rispondere dei danni eventualmente causati.

Il riconoscimento del carattere “pericoloso” dell'attività de qua si giustifica nell'esposizione dei terzi (gli interessati) ad un rischio; Il ragionamento espresso dal legislatore sin dalla normativa del 2003, ruota intorno al concetto di “rischio”, che può essere socialmente accettato, ma a condizione che l'utilizzazione economica e sociale dei dati personali venga compensata da un sistema di norme idoneo ad un eventuale ripristino della situazione antecedente in capo al danneggiato.

Il Gdpr
Andando quindi ad analizzare il GDPR, ritroviamo il concetto di rischi connessi alle attività del trattamento, già nel Considerando n. 75, secondo il quale “i rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale”.

Far rientrare l'attività di trattamento nell'alveo di quelle pericolose ex art. 2050 c.c., sta a significare che si favorisce l'interessato che abbia subito un danno rispetto al titolare del trattamento che possa averlo cagionato, in quanto si applica l'inversione dell'onere della prova: l'interessato dovrà dimostrare che il danno subito sia la diretta conseguenza dell'uso illegittimo dei dati da parte del titolare del trattamento (o del responsabile del trattamento amministratore), mentre su questi graverà l'onere di provare di aver adottato tutte le cautele necessarie ad evitare il danno.

La «prova diabolica»
Giuridicamente il meccanismo si chiama probatio diabolica, tale da andare a configurare la responsabilità conseguente al trattamento dei dati personali come un'ipotesi di responsabilità oggettiva, come confermato anche dalla Corte di Cassazione, che in numerose pronunce ha ribadito come il soggetto interessato che abbia subito un danno derivante dal trattamento illegittimo dei suoi dati personali “è tenuto solo a provare il danno e il nesso di causalità con l'attività di trattamento dei dati, mentre spetta al è tenuto solo a provare il danno e il nesso di causalità con l'attività di trattamento dei dati, mentre spetta al convenuto la prova di aver adottato tutte le misure idonee ad evitare il danno” (tra le molste sentenze, si veda Cass. Civ., sez. I, 3 settembre 2015, n. 17547).

Andando poi alla lettura del testo del GDPR, occorre riferirsi all'art. 82 del Regolamento europeo, che ha previsto come il danneggiato possa esercitare il diritto al risarcimento nei confronti del Titolare del trattamento e del Responsabile del trattamento.Il secondo comma dell'art. 82 GDPR chiarisce la ripartizione della responsabilità tra i due soggetti individuati al comma precedente, precisando che “Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento.

Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento”; in questo modo il legislatore europeo ha stabilito che può rilevarsi un diverso grado di responsabilità riconosciuto a queste due figure.

Traslando il concetto in ambito condominiale, considerando pacifico che Titolare del trattamento dati è il condominio e che Responsabile è l'amministratore, possiamo affermare che l'interessato ben può agire in via solidale indifferentemente tra le due figure coinvolte (condominio e amministratore), ciò nella considerazione che nell'ambito condominiale si erge una situazione pratica di impossibilità per il Titolare del trattamento Condominio a trattare i dati senza avvalersi della figura dell'amministratore ormai pacificamente inquadrato come Responsabile del trattamento (prevista per giunta dall'art. 28 GDPR come causa di nomina obbligatoria del Responsabile del trattamento dati).

Di conseguenza, l'amministratore dovrà sempre considerarsi responsabile per un illecito trattamento dei dati che faccia capo al condominio titolare.La riprova dell'applicazione della disciplina sulle attività pericolose ex art. 2050 c.c. in caso di trattamento dei dati, la si rinviene analizzando il terzo comma dell'art. 82 GDPR, a norma del quale “Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l'evento dannoso non gli è in alcun modo imputabile”. Previsione che, nella sua formulazione, richiama quindi il sistema probatorio previsto già dalla normativa di cui all'art. 15 D.Lgs. 196/03 e all'art. 2050 c.c..

La non imputabilità dell'evento dannoso sembra, infatti, coincidere con la prova di aver adottato tutte le misure e cautele necessarie atte ad evitare il cagionarsi del danno previsto dall'art. 2050 c.c., che porterebbe alla conseguente lesione di diritti fondamentali dell'uomo quali la riservatezza e la dignità personale.