Risarcimento danni da Trattamento dati personali
Il 25 maggio del 2018 costituirà un piccolo “anno zero” in materia di trattamento dei dati personali: entrerà infatti in vigore il GDPR 2018, nuovo regolamento europeo sulla privacy.
Il regolamento obbligherà aziende ed istituzioni ad adeguare i propri sistemi informatici alle nuove disposizioni al fine di garantire maggiore tutela agli utenti per quanto riguarda i dati personali e soprattutto il loro trattamento. Il GDPR interesserà il trattamento automatizzato e non automatizzato dei dati personali contenuti negli archivi dell’entità che li raccolgono. Vediamo quali sono le novità del regolamento e come esso tenti di “mitigare” la possibilità di presenza di un danno da trattamento dei dati personali.
Liceità del trattamento: fermo restando il dlgs 196/2003, ciò che cambia è il consenso dell’interessato al trattamento dei dati sensibili. Con il nuovo regolamento, l’assenso a tale trattamento deve essere esplicito per poter utilizzare i dati. Inoltre per quanto riguarda i minori, il consenso vale a partire dai 16 anni. Il titolare di interessi legittimi sui dati personali è infine responsabile per il bilanciamento tra interessi e diritti della persona a cui appartengono tali dati.
Informativa: il titolare del trattamento deve pubblicare obbligatoriamente un’informativa con i seguenti contenuti: dati di contatto del responsabile della protezione dei dati, possibili interessi legittimi e base giuridica del trattamento, periodo di conservazione dei dati, criteri di procedimenti automatizzati. Tale informativa deve essere redatta utilizzando un linguaggio chiaro, semplice, trasparente e non ambiguo.
Diritto all’oblio: sotto questo punto di vista c’è un forte rafforzamento del Diritto all’Oblio, l’interessato può infatti chiedere la cancellazione dei suoi dati personali anche dopo la revoca del consenso al trattamento; può richiedere un risarcimento del danno per trattamento dei dati personali se vengono violati i valori di leicità del trattamento, può opporsi e chiedere rettifica. L’interessato ha il diritto di ricevere copia dei suoi dati trattati. Interessante è infine la novità che riguarda la portabilità dei dati: diventano portabili solo ed esclusivamente i dati trattati con il consenso dell’interessato debitamente forniti al titolare.
Responsabili del trattamento: diviene obbligatorio il nominare un responsabile del trattamento regolarmente contrattualizzato, può essere prevista la nomina di sub-responsabili. I responsabili del trattamento oltre a garantire un trattamento dei dati secondo le disposizioni di legge, avranno anche compiti di salvaguardia dei diritti degli interessati esercitati attraverso la nomina di un responsabile della protezione dei dati, la tenuta di un registro dei trattamenti e l’adozione di misure tecniche per la sicurezza dei dati.
Responsabilità di titolari e responsabili del trattamento: un primo cambiamento molto importante, come già anticipato, è quello che riguarda il principio di responsabilizzazione in materia di trattamento dei dati. Affinchè tale principio venga assicurato è necessario ottemperare ad alcuni criteri, primo fra tutti quello del data protection by default and design. Con questo criterio si intende l’obbligo, da parte dei titolari di dati, di garantire la protezione e sicurezza del dato all’origine, in una fase cioè preliminare al trattamento stesso (nell’ipotesi della realizzazione di un software che raccoglie dati, è necessario implementarlo in origine con sistemi di protezione adeguati ai regolamenti). Altro criterio è quello che riguarda il rischio legato al trattamento che presuppone una attenta valutazione del titolare sui possibili effetti che l’utilizzo di quel dato può avere sul diritto individuale di una persona. Ricordiamo infatti che una lesione del dato personale può causare danni economici, danni morali, danni sociali ed è quindi passibile di richiesta di risarcimento del danno. Tale analisi può essere fatta in concertazione con il Garante della Privacy che però non potrà pronunciarsi al posto del titolare.
Violazione dei diritti personali e risarcimento del danno per lesione del diritto della privacy
Essendo quello della privacy un diritto di ciascun individuo ed essendo i diritti un qualcosa di inalienabile, la lesione degli stessi prevede il risarcimento del danno patito in conseguenza della suddetta lesione. Il concetto di dato personale è, a dispetto di quanto si crede, molto preciso e può essere racchiuso in 4 diverse tipologie di dato:
dati sensibili: tutti quei dati che fanno riferimento a razza, religione, opinioni pubbliche, appartenenza politica o sindacale, vita sessuale, stato di salute.
dati semi-sensibili: sono tutti quei dati legati a liste di sospettati di frode, liste di iscrizioni a centrale di rischi, dati collegati alla situazione finanziaria
dati comuni: in poche parole, le generalità (nome, cognome, codice fiscale, partita iva); la posta elettronica, documenti personali (carta identità, patente), numero telefonico.
dati giudiziari: dati riguardanti cause giudiziarie pendenti, carichi pendenti con la giustizia, cause risolte o in corso. Se ci si trova nella condizione di ritenere che uno di questi dati sia stato violato, può essere fatta una richiesta di risarcimento del danno per trattamento dei dati personali, così come attesta la stessa Unione Europea: «chiunque subisca un danno cagionato da un trattamento illecito o da qualsiasi altro atto incompatibile con le disposizioni nazionali di attuazione della presente direttiva abbia il diritto di ottenere il risarcimento del pregiudizio subito dal responsabile del trattamento»