I Mercoledì della privacy: “prova diabolica” in capo all'amministratore per violazione della privacy

La disciplina di cui all'articolo 15 Dlgs 196/2003 in materia di risarcimento dei danni causati per l'effetto del trattamento dati, al primo comma, prevede che: «chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del Codice civile» ovvero a titolo di responsabilità per l'esercizio di attività pericolose.

Tale norma, rimane in vigore dopo l'entrata del Regolamento europeo 16/679 in tema di trattamento dei dati personali e serve a precisare che le attività a ciò connesse necessitano l'attuazione di particolari cautele da parte di chi le eserciti, il quale dovrà dimostrare di aver attuato tutte le accortezze necessarie ad evitare la lesione per non rispondere dei danni eventualmente causati.

La pericolosità dell’azione
Il riconoscimento del carattere “pericoloso” dell'attività si giustifica nell'esposizione dei terzi (gli interessati) ad un rischio. Il ragionamento espresso dal legislatore sin dalla normativa del 2003, ruota intorno al concetto di “rischio”, che può essere socialmente accettato, ma a condizione che l'utilizzazione economica e sociale dei dati personali venga compensata da un sistema di norme idoneo ad un eventuale ripristino della situazione antecedente in capo al danneggiato.

Andando quindi ad analizzare il Gdpr, ritroviamo il concetto di rischi connessi alle attività del trattamento, già nel Considerando numero 75, secondo il quale «i rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di causare un danno fisico, materiale o immateriale».

La prova della pericolosità
Far rientrare l'attività di trattamento nell'alveo di quelle pericolose ex articolo 2050 Codice civile, sta a significare che si favorisce l'interessato che abbia subito un danno rispetto al titolare del trattamento che possa averlo causato, in quanto si applica l'inversione dell'onere della prova: l'interessato dovrà dimostrare che il danno subito sia la diretta conseguenza dell'uso illegittimo dei dati da parte del titolare del trattamento (o del responsabile del trattamento amministratore), mentre su questi graverà l'onere di provare di aver adottato tutte le cautele necessarie ad evitare il danno.

Giuridicamente il meccanismo si chiama probatio diabolica, prova diabolica, tale da andare a configurare la responsabilità conseguente al trattamento dei dati personali come un'ipotesi di responsabilità oggettiva, come confermato anche dalla Cassazione, che in numerose pronunce ha ribadito come il soggetto interessato che abbia subito un danno derivante dal trattamento illegittimo dei suoi dati personali «è tenuto solo a provare il danno e il nesso di causalità con l'attività di trattamento dei dati, mentre spetta al convenuto la prova di aver adottato tutte le misure idonee ad evitare il danno»(tra le tante, Cassazione 3 settembre 2015, numero 17547).

La richiesta di risarcimento
Andando poi alla lettura del testo del Gdpr, occorre riferirsi all'articolo 82 del Regolamento europeo, che ha previsto come il danneggiato possa esercitare il diritto al risarcimento nei confronti del Titolare del trattamento e del Responsabile del trattamento.

Il secondo comma dell'articolo 82 Gdpr chiarisce la ripartizione della responsabilità tra i due soggetti individuati al comma precedente, precisando che «un titolare del trattamento coinvolto nel trattamento risponde per il danno causato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento»; in questo modo il legislatore europeo ha stabilito che può rilevarsi un diverso grado di responsabilità riconosciuto a queste due figure.

I riflessi in condominio
Trasferendo il concetto in ambito condominiale, considerando pacifico che Titolare del trattamento dati è il condominio e che Responsabile è l'amministratore, possiamo affermare che l'interessato ben può agire in via solidale indifferentemente tra le due figure coinvolte (condominio e amministratore), ciò nella considerazione che nell'ambito condominiale si erge una situazione pratica di impossibilità per il Titolare del trattamento condominio a trattare i dati senza avvalersi della figura dell'amministratore ormai pacificamente inquadrato come responsabile del trattamento (prevista per giunta dall'articolo 28 Gdpr come causa di nomina obbligatoria del Responsabile del trattamento dati).

Di conseguenza, l'amministratore, dovrà sempre considerarsi responsabile per un illecito trattamento dei dati che faccia capo al condominio titolare.La riprova dell'applicazione della disciplina sulle attività pericolose ex articolo 2050 Codoce civile in caso di trattamento dei dati, la si rinviene analizzando il terzo comma dell'articolo 82 Gdpr, a norma del quale «il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l'evento dannoso non gli è in alcun modo imputabile».

Previsione che, nella sua formulazione, richiama quindi il sistema probatorio previsto già dalla normativa di cui all'articolo 15 Dlgs 196/03 e all'articolo 2050 Codice civile. La non imputabilità dell'evento dannoso sembra, infatti, coincidere con la prova di aver adottato tutte le misure e cautele necessarie atte ad evitare il causarsi del danno previsto dall'articolo 2050, che porterebbe alla conseguente lesione di diritti fondamentali dell'uomo quali la riservatezza e la dignità personale.