Il presente articolo ha lo scopo di individuare ed esaminare quali siano i reali poteri che l’interessato al trattamento dei dati personali possiede a fronte della violazione dei diritti a lui riconosciuti, e di conseguenza quali siano le azioni proponibili: Particolare attenzione verrà riservata all’azione di risarcimento per cercare di capire quale sia il valore del dato personale e a quanto possa ammontare la tutela risarcitoria prevista per l’interessato leso.
Abstract
A tal proposito, si tratterà di verificare i riferimenti normativi che regolano la materia, in particolare l’articolo 15 Codice privacy (d.lgs. 196/2003) e l’articolo 82 Regolamento europeo 679/2016 (GDPR) in materia di privacy per quanto riguarda la responsabilità civile in materia di illecito trattamento dei dati personali. Particolare attenzione verrò data alla qualificazione della responsabilità per illecito trattamento dei dati personali, quale di natura contrattuale o come la prevalente dottrina ritiene di natura extracontrattuale visto il richiamo presente nell’articolo 15 codice privacy all’articolo 2050 c.c., per poter beneficiare di un’inversione dell’onere della prova a carico del danneggiante.
L’analisi di un caso di un soggetto interessato intenzionato alla cancellazione dei propri dati personali e il titolare del trattamento che non ottemperi la sua richiesta servirà per comprendere che la risarcibilità del danno derivante da lesione di un diritto fondamentale alla protezione dei dati personali non è in re ipsa, ma occorre provare la gravità della lesione e la serietà del danno. Tale analisi serve soprattutto per capire quali siano i reali strumenti e limiti per ottenere la tutela dei propri diritti lesi.
Si concluderà quindi nel senso di ritener esperibile lo strumento di cui all’art. 700 c.p.c., anche assistito da astreinte (art.614bis c.p.c). perché, in assenza di rimedi specifici in materia, il soggetto privato non avrebbe altre vie percorribili per ottenere efficace tutela dei propri diritti e, tra questi, proprio quello risarcitorio, per illegittima violazione del Regolamento 67/2016 (GDPR) per la cui quantificazione si riserva alla prossima lettura.
In breve:
Riferimenti Normativi
Regolamento Europeo in materia di privacy 679/2016 (GDPR)
Diritti dell’utente elencati al capo III
https://www.garanteprivacy.it/i-miei-diritti
- ART. 12 DIRITTO AD ESSERE INFORMATO: il titolare del trattamento offre all’interessato tutte le informazioni elencate agli articoli 13 e 14 a seconda che i dati siano o meno raccolti presso l’interessato e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 in forma coincisa, trasparente, intellegibile e facilmente accessibile.
- ART. 15 DIRITTO DI ACCESSO: ossia la possibilità per l’interessato di accedere ai propri dati personali che sia o meno in corso un trattamento conferma che sia o meno in corso un trattamento di dati personali che lo riguardano, nonché il diritto di richiedere copia informativa ex art. 13 previo avviso ai controinteressati.
- ART. 16 DIRITTO DI RETTIFICA: l’interessato ha diritto di ottenere la modifica dei dati personali inesatti che lo riguardano e l’integrazione dei dati personali incompleti.
- ART.17 DIRITTO DI CANCELLAZIONE (DIRITTO ALL’OBLIO): l’interessato ha diritto di ottenere la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo, in caso sussista uno dei motivi indicati nell’articolo 17 GDPR.
- ART.18 DIRITTO DI LIMITAZIONE DEL TRATTAMENTO: ossia il diritto dell’interessato a ottenere la limitazione del trattamento nel caso in cui ricorra uno dei motivi elencati dall’articolo 18 GPDR.
- ART. 19 DIRITTO DI NOTIFICA: ossia l’interessato ha diritto di ricevere comunicazione da parte del titolare del trattamento su eventuali rettifiche o cancellazioni o limitazione del trattamento dei propri dati.
- ART.20 DIRITTO ALLA PORTABILITÀ DEI DATI: L’interessato ha il diritto di riottenere i propri dati personali da un titolare del trattamento e di trasmetterli a un altro senza alcun impedimento.
- ART.21 DIRITTO DI OPPOSIZIONE: ossia l’interessato ha diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano.
Principi generali del trattamento dei dati personali
https://www.garanteprivacy.it/home/doveri
Articolo 5 Regolamento 679/2016
i dati personali sono:
- Trattati in modo lecito, corretto, trasparente
- Con finalità limitate, esplicite e legittime
- Adeguati, pertinenti e limitati a quanto necessario (minimizzazione dei dati)
- Esatti e aggiornati (esattezza)
- Conservati per un tempo non superiore al conseguimento delle finalità per i quali sono trattati (limitazione della conservazione)
- Trattati in modo da garantire un’adeguata sicurezza dei dati personali, compresa la protezione da trattamenti illeciti, perdita, distruzione o danno accidentali (integrità e riservatezza)
- Il titolare del trattamento è competente e responsabile (responsabilizzazione)
Concetto di danno
CONSIDERANDO 85 REGOLAMENTO 679/2016
Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio:
- la perdita del controllo dei dati personali;
- la limitazione dei loro diritti;
- la discriminazione, il furto o l’usurpazione d’identità;
- perdite finanziarie;
- decifratura non autorizzata della pseudonimizzazione;
- pregiudizio alla reputazione;
- perdita di riservatezza dei dati personali protetti da segreto professionale;
- qualsiasi altro danno economico o sociale significativo alla persona fisica interessata
Responsabilità civile in materia di illecito trattamento dei dati personali
Art. 15 Codice privacy abrogato da articolo 27 comma 1 lettera a) n.2 del d.lgs 19/09/2018 n.101
1. Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del Codice civile.
2. Il danno non patrimoniale è risarcibile anche in caso di violazione dell’articolo 11.
Art.2050 responsabilità per l’esercizio di attività pericolose
Chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno.
Art. 82 GDPR diritto al risarcimento e responsabilità
“chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.
Art.1218 responsabilità del debitore (responsabilità contrattuale)
Il debitore che non esegue esattamente la prestazione dovuta e’ tenuto al risarcimento del danno, se non prova che l’inadempimento o il ritardo e’ stato determinato da impossibilità della prestazione derivante da causa a lui non imputabile.
Art. 2043 responsabilità extracontrattuale
Qualunque fatto doloso o colposo, che cagiona ad altri un danno ingiusto, obbliga colui che ha commesso il fatto a risarcire il danno.
Art.2697 onere della prova
Chi vuol far valere un diritto in giudizio deve provare i fatti che ne costituiscono il fondamento.
Chi eccepisce l’inefficacia di tali fatti ovvero eccepisce che il diritto si è modificato o estinto deve provare i fatti su cui l’eccezione si fonda.
Art.1226 valutazione equitativa del danno.
Se il danno non può essere provato nel suo preciso ammontare, è liquidato dal giudice con valutazione equitativa.
Forme di tutela ulteriori
Articolo 670 c.p.c
Il giudice può autorizzare il sequestro giudiziario:
di beni mobili o immobili, aziende o altre universalità di beni, quando ne è controversa la proprietà o il possesso, ed è opportuno provvedere alla loro custodia o alla loro gestione temporanea;
di libri, registri, documenti, modelli, campioni e di ogni altra cosa da cui si pretende desumere elementi di prova, quando è controverso il diritto alla esibizione o alla comunicazione, ed è opportuno provvedere alla loro custodia temporanea,
Art.700 c.p.c.
Fuori dei casi regolati nelle precedenti sezioni di questo capo, chi ha fondato motivo di temere che durante il tempo occorrente per far valere il suo diritto in via ordinaria, questo sia minacciato da un pregiudizio imminente e irreparabile, può chiedere con ricorso al giudice i provvedimenti d’urgenza, che appaiono, secondo le circostanze, più idonei ad assicurare provvisoriamente gli effetti della decisione sul merito.
Art. 614-bis misura coercitiva indiretta
Con il provvedimento di condanna all’adempimento di obblighi diversi dal pagamento di somme di denaro il giudice, salvo che ciò sia manifestamente iniquo, fissa, su richiesta di parte, la somma di denaro dovuta dall’obbligato per ogni violazione o inosservanza successiva ovvero per ogni ritardo nell’esecuzione del provvedimento, determinandone la decorrenza. Il giudice può fissare un termine di durata della misura, tenendo conto della finalità della stessa e di ogni circostanza utile.
Se non è stata richiesta nel processo di cognizione, ovvero il titolo esecutivo è diverso da un provvedimento di condanna, la somma di denaro dovuta dall’obbligato per ogni violazione o inosservanza o ritardo nell’esecuzione del provvedimento è determinata dal giudice dell’esecuzione, su ricorso dell’avente diritto, dopo la notificazione del precetto. Si applicano in quanto compatibili le disposizioni di cui all’articolo 612.
Il giudice determina l’ammontare della somma tenuto conto del valore della controversia, della natura della prestazione dovuta, del vantaggio per l’obbligato derivante dall’inadempimento, del danno quantificato o prevedibile e di ogni altra circostanza utile.
Il provvedimento costituisce titolo esecutivo per il pagamento delle somme dovute per ogni violazione, inosservanza o ritardo. Le disposizioni di cui al presente articolo non si applicano alle controversie di lavoro subordinato pubblico o privato e ai rapporti di collaborazione coordinata e continuativa di cui all’articolo 409..
Al fine di comprendere la tutela prevista per l’interessato al trattamento leso nei suoi diritti, occorre premettere che precedentemente all’entrata in vigore del Regolamento 679/2016 (c.d. GDPR), il tema della responsabilità civile da illecito trattamento dei dati personali trovava la sua disciplina all’articolo 15 del d.lgs 30 giungo 2003 n.196 (codice della privacy). Tale articolo collegava espressamente un trattamento illecito di dati personali alla responsabilità civile ex art. 2050 c.c., configurando una responsabilità extracontrattuale e sancendo la risarcibilità del danno non patrimoniale (art. 2059 c.c.), anche in casi di violazione delle modalità di trattamento e requisiti dei dati (art.11 Codice privacy).
Il legislatore italiano ha fatto ricorso all’articolo 2050 c.c., quale ipotesi specifica di responsabilità aggravata, al fine di privilegiare il danneggiato con la presunzione di pericolosità intrinseca dell’attività di trattamento dei dati personali in quanto la posizione del danneggiante è aggravata rispetto a quanto risulterebbe dall’applicazione dell’articolo 2043 c.c.
L’articolo 2043 c.c. prevede, in base alla regola generale ex art.2697 c.c. (onere della prova), che sia colui che pretende il risarcimento a provare il fatto doloso o colposo, il danno ingiusto e il nesso di causalità. Dunque, l’onere della prova è in capo al DANNEGGIATO.
Invece, l’articolo 2050 c.c. consente un’inversione dell’onere della prova che non è più in capo al danneggiato bensì al DANNEGGIANTE. Sarà infatti l’esercente di attività pericolose (nel caso di specie il titolare del trattamento, eventualmente in solido con il responsabile) a dover fornire la prova liberatoria ossia di aver adottato tutte le misure idonee ad evitare il danno.
Con l’avvento del Regolamento 679/2016 (GDPR), l’articolo 15 del codice della privacy è stato abrogato e ora il tema della responsabilità civile per illecito trattamento dei dati personali trova la sua disciplina nell’art. 82 che si basa sui seguenti elementi:
- responsabilità del titolare che ponga in essere un trattamento in violazione del GDPR;
- responsabilità del responsabile sia che violi gli obblighi a lui espressamente riferiti dal GDPR, sia che agisca in modo difforme rispetto alle istruzioni a lui impartite dal titolare;
- rapporto di solidarietà nell’obbligazione risarcitoria;
- esonero dalla responsabilità solo se si dia prova che l’evento dannoso non sia imputabile al titolare/responsabile.
L’articolo in questione afferma il diritto del danneggiato ad ottenere il risarcimento sia del “danno materiale o danno immateriale”. Tale locuzione corrisponde, in linea di massima, alle nostre consolidate categorie del danno patrimoniale e del danno non patrimoniale, nel quadro del sistema bipolare della responsabilità̀ civile.
Per quanto riguarda il concetto di “danno”, il considerando 85 del Regolamento elenca una serie di possibili danni conseguenti la violazione dei dati personali dell’interessato.
Il riferimento alla violazione del Regolamento, non va letta in ottica di escludere dal novero dei danni risarcibili quelli derivanti da una violazione di disposizioni non espressamente previste nel GDPR ma, grazie alla precisazione del Considerando 146 (il quale prevede che le azioni risarcitorie derivanti da violazioni di altre norme del diritto UE o degli Stati Membri non sono pregiudicate), va interpretata nel considerare tutte le norme relative al trattamento dei dati.
L’articolo 82 esordisce con la locuzione “chiunque” da intendersi come “tutte le persone fisiche”, dal momento che le norme del presente Regolamento non si applicano ai dati personali di società o di altre persone giuridiche.
Tale disposizione, a differenza dell’articolo 15 codice privacy che faceva esplicitamente riferimento all’articolo 2050 c.c., pone qualche difficoltà quanto alla natura della responsabilità, la ripartizione dell’onere della prova e l’esatta qualificazione del danno e del relativo risarcimento, che sono ancora in fase di definizione da parte della giurisprudenza.
Parte della dottrina ha individuato nell’articolo 1218 c.c. la norma di riferimento di tale responsabilità in virtù degli obblighi di condotta definiti in base al principio di accountability, previsti in capo al titolare e al responsabile del trattamento. Pertanto, secondo questa dottrina minoritaria la relazione che si instaurava tra questi soggetti e l’interessato assumeva la veste di “rapporti giuridico complesso” e l’illecito trattamento dei dati quale inadempimento della prestazione.
La qualificazione della responsabilità come contrattuale porta dei vantaggi in termini di onere della prova che risulterebbe in capo al debitore (titolare del trattamento e/o responsabile), il quale sarebbe chiamato a provare che l’inadempimento è derivato da causa a lui non imputabile, mentre il creditore dovrebbe provare l’esistenza del rapporto obbligatorio e l’inadempimento.
Un considerevole beneficio si avrebbe anche in termini di prescrizione, visto che nel caso di responsabilità contrattuale il diritto al risarcimento del danno si prescrive nel termine ordinario di 10 anni, a differenza di quanto previsto in materia di responsabilità extracontrattuale per cui il diritto al risarcimento si prescrive nel termine breve di 5 anni (ex art.2947). Dunque, il termine decennale di prescrizione permettere all’interessato leso di poter ottenere tutela dei propri diritti anche a distanza di tempo dall’illecito trattamento.
Tuttavia, la dottrina maggioritaria ritiene invece che si tratti di una responsabilità extracontrattuale, in linea con quanto previamente sancito all’articolo 15 codice privacy, in quanto tra interessato e responsabile non vi è un rapporto giuridico, qualificando gli obblighi informativi come di natura procedimentale meta-individuale a salvaguardia della dignità della persona e della circolazione dei dati in generale.
In tema di ripartizione dell’onere della prova in relazione alla responsabilità ex art.82 GDPR, la Cassazione si era pronunciata in tal senso (Cass.civ. 23/05/2018 n.10638):
“Quanto all’onere della prova, va ricordato che, alla stregua dell’articolo 15 del d.lgs. n. 196 del 2003 e dell’articolo 2050 c.c., su colui che agisce per l’abusiva utilizzazione dei suoi dati personali incombe soltanto – seppure in via preliminare rispetto alla prova, da parte del danneggiante della mancanza di colpa- l’onere di provare il danno subito, siccome riferibile al trattamento del suo dato personali”
Dunque, la risarcibilità del danno non patrimoniale, determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli artt. 2 e 21 Cost. e dall’art. 8 della CEDU, non è in re ipsa, ma occorre provare la sussistenza di 2 presupposti:
- la gravità della lesione
- la serietà del danno
Il danno non si identifica nell’evento dannoso (illecito trattamento dei dati) ma è necessario che si concreti in un pregiudizio della sfera degli interessi dell’interessato; ciò significa che la semplice violazione delle prescrizioni in materia di protezione dei dati personali non può, di per sé sola, determinare la lesione ingiustificabile del diritto, ma è necessario che la condotta offenda in maniera sensibile la portata del diritto stesso, non trattandosi di un mero fastidio o disagio.
Quanto appena detto è stato ribadito da ultimo dalla nostra Corte di Cassazione (ordinanza n.17383/2020) la quale afferma: “l danno non patrimoniale risarcibile ai sensi dell’art. 15 del d.lgs. n. 196 del 2003 (codice della privacy), pur determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli artt. 2 e 21 Cost. e dall’art. 8 della CEDU, non si sottrae alla verifica della “gravità della lesione” e della “serietà del danno”, in quanto anche per tale diritto opera il bilanciamento con il principio di solidarietà ex art. 2 Cost., di cui quello di tolleranza della lesione minima è intrinseco precipitato, sicché determina una lesione ingiustificabile del diritto non la mera violazione delle prescrizioni poste dall’art. 11 del codice della privacy, ma solo quella che ne offenda in modo sensibile la sua portata effettiva, restando comunque il relativo accertamento di fatto rimesso al giudice di merito”.
Per quanto riguarda l’ammontare del risarcimento del danno non patrimoniale vi sono delle incertezze, molto spesso la quantificazione avviene in forma equitativa (art. 1226), valutazione che deve tenere conto di tutte le circostanze del caso concreto per consentire la personalizzazione del danno, adeguata e proporzionata per evitare una liquidazione meramente simbolica.
La valutazione equitativa ha come obiettivo quello di un ristoro completo e personalizzato, che assuma i parametri di riferimento tutti gli aspetti strettamente correlati alla sfera giuridico personale del danneggiato, utili a specificare e chiarire l’entità della diminuzione o della privazione dell’utilità patrimoniale o del valore personale da compensare.
Fondamentale è l’interesse del danneggiato rispetto allo specifico bene leso, desunto dalle circostanze relative alle sue condizioni e qualità personali nel contesto socio relazione di pertinenza e stimato attraverso una valutazione sociale tipica.
Come parametri è possibile utilizzare
- intensità del dolo/colpa
- gravità della condotta
- qualità personali dell’offeso
a cui si aggiunge il vaglio delle sue condizioni economiche secondo alcuni orientamenti relativi al danno morale come strumento afflittivo.
La somma corrisposta a titolo di risarcimento potrà non solo avere funzione satisfattiva, assicurando la piena soddisfazione del danneggiato, ma potrà avere anche funzione solidaristica volta a ristabilire un equilibrio tra danneggiato e danneggiante.
Dunque, a fini esemplificativi se ipotizziamo che un soggetto interessato sia intenzionato a esercitare il diritto di cancellazione dei propri dati personali e il titolare del trattamento non ottemperi alla sua richiesta, qualora il soggetto dimostri che l’illecito trattamento dei suoi dati personali abbia comportato un danno serio e grave, è legittimato a chiedere il risarcimento del danno patito.
Per computare il risarcimento del danno da corrispondere, il giudice dovrà tenere in considerazione che seppur è vero che i dati personali presi singolarmente hanno uno scarso valore (i dati della singola persona anche se sensibili valgono meno di un dollaro sul mercato), è anche vero che per il singolo soggetto interessato alla loro cancellazione quei dati possono valere molto non tanto in termini economici quanto piuttosto perché riguardano la sua sfera personale, privata e dunque può essere che il suo interesse alla cancellazione ma soprattutto il suo diritto fondamentale alla protezione dei dati personali sia particolarmente significativo soprattutto quando si tratta di dati sensibili come religione, orientamento sessuale, stato di salute ecc.…,
Pertanto, il comportamento del titolare del trattamento che si rifiuti di cancellarli offende in maniera rilevante non solo il diritto dell’interessato alla cancellazione così come riconosciuto dal GDPR ma un diritto costituzionalmente tutelato (diritto alla protezione dei dati personali ex art.2 e 21 cost), dunque, il risarcimento che il giudice attribuisce al soggetto leso dovrà essere proporzionato a tale pregiudizio e tenere in considerazione le circostanze del caso concreto nonché le condizioni economiche del soggetto e talvolta anche la sua notorietà e la rilevanza dei dati nel contesto sociale di appartenenza.
Tuttavia, spesso i risarcimenti che vengono riconosciuti sono esigui rispetto all’importanza dei diritti violati vista la scarsa rilevanza, come detto precedentemente, che i singoli dati hanno di per sé senza però tenere in considerazione i guadagni che il titolare del trattamento ha tratto delle informazioni estrapolate da quegli stessi dati e il valore che i singoli dati personali possono avere per la persona in quanto tale.
Altre forme di tutela possibili nei confronti del soggetto interessato leso nel suo diritto alla privacy rispetto alla tutela risarcitoria sono individuabili nel sequestro dei dati personali dell’utente (ex articolo 670 cpc) assisto dall’articolo 669-duodecies con la determinazione delle modalità di attuazione da parte del giudice. Tuttavia, l’esecuzione di detto sequestro presenta delle difficoltà materiali proprio perché esso comporta necessariamente l’ottenimento del server nei quali sono contenuti i dati personali non solo dell’utente leso ma anche di molti altri utenti.
Un sequestro dell’intero server non sarebbe, pertanto, immaginabile in quanto sproporzionato rispetto all’obiettivo che si vuole perseguire (riacquisto dei dati del singolo utente leso nel suo diritto).
A ciò si aggiunga il fatto che i server molto spesso non si trovano in capo al titolare del trattamento ma presso terzi e tutto questo complica l’esecuzione.
Per la tutela degli specifici interessi dell’interessato (quale diritto alla cancellazione), è possibile immaginare di ricorrere all’art.700 c.p.c., al fine di ottenere un provvedimento di natura cautelare, provvisorio e residuale (c.d. provvedimento d’urgenza), che ponga fine al comportamento lesivo nella misura in cui l’intimato spontaneamente lo rispetti. In tal caso il giudice dovrà valutare la sussistenza dei motivi di urgenza (c.d. fumus boni iuris e periculum in mora).
Per quanto riguarda l’attuazione dell’ordinanza di concessione del provvedimento, la procedura da seguire è quella dell’art.669-duodecies e cioè occorre proporre istanza al giudice che ha concesso il provvedimento cautelare che determina le modalità di attuazione e ove sorgano difficoltà dà con ordinanza i provvedimenti opportuni, sentite le parti.
Occorre ricordare che sia l’ordinanza ex art.700 cpc che il provvedimento ex art.669-duodecies non sono muniti di formula esecutiva perché sono immediatamente esecutivi di per sé (anche se la questione è ancora molto discussa).
Non sempre attraverso l’emanazione di un provvedimento d’urgenza si perviene al risultato dello spontaneo adempimento da parte del danneggiante all’ordine giudiziale impartitogli e specie per gli obblighi di fare infungibile permane pur sempre il problema dell’adempimento.
A tal proposito, è possibile che il provvedimento di urgenza possa essere assisto dall’astraeinte (articolo 614-bis), una delle tante misure di coercizione indiretta, che risponde proprio all’esigenza di indurre il debitore verso lo spontaneo adempimento, specie laddove l’ordine giudiziale impartito sia quello di non fare o si tratti di un obbligo di fare infungibile.
Ciò in quanto l’astraeinte non è una forma riparatoria del danno, ma attua una funzione sanzionatoria per la mancata spontanea ottemperanza all’ordine giudiziale e di coercizione indiretta affinché quella prestazione venga effettivamente adempiuta.
Per quanto riguarda la quantificazione della somma da pagare, ai sensi del comma 2 dell’articolo 614-bis il giudice tiene in considerazione il valore della controversia, la natura della prestazione dovuta, il vantaggio per l’obbligato (in questo caso il titolare del trattamento/responsabile) derivante dall’inadempimento e il danno quantificato o prevedibile e ogni altra circostanza utile.
Anche in questo caso al giudice è attribuita una valutazione ampiamente discrezionale senza che la norma individui un limite minimo o massimo che fungano da ostacolo alla discrezionalità del giudice.
Eventuali parametri che la dottrina, in particolare Proto Pisani, aveva individuato erano:
- una stima prognostica del danno subito dal creditore (interessato leso)
- valore della causa
- condizioni patrimoniali del debitore (in questo caso titolare/responsabile del trattamento)
- capacità patrimoniale
- tipo di violazione posta in essere.
Eventualmente il soggetto danneggiato dall’illecito trattamento dei dati personali, come previsto dal GDPR agli articoli 83 e 84, potrà rivolgersi al “Garante della privacy”, autorità di controllo per la tutela dei propri diritti, presentando reclamo nel quale rappresenta una violazione della normativa in materia di protezione dei dati personali.
Le sanzioni amministrative previste dal GDPR possono arrivare per violazioni meno gravi fino a 10 milioni o il 2% del fatturato dell’azienda, invece per le violazioni più gravi fino a 20 milioni di euro o il 4% del fatturato annuo delle imprese non conformi.
Le sanzioni applicate dovranno, altresì, essere computate in base ai criteri di effettività, proporzionalità e dissuasività.
Giorgia Zornetta