TUTELA DEI DATI PERSONALI
Corte di Giustizia UE: responsabilità del titolare del trattamento per danno causato a terzi dal proprio dipendente in violazione delle istruzioni impartite.
La Corte di Giustizia UE ha fornito le corrette interpretazioni degli articoli 82, 83 e 29 del GDPR nel caso di avvocato tedesco che aveva lamentato presso una società la continua ricezione di comunicazioni a scopi marketing anche a seguito della avvenuta revoca dei consensi. L’interessato ha dunque avviato una causa di risarcimento del danno da trattamento dei dati personali nella quale la società ha sostenuto che la violazione era imputabile a un dipendente che aveva violato il rigoroso sistema di tutela implementato dalla società per evitare le chiamate indesiderate e le istruzioni sul trattamento impartite ai sensi dell’articolo 29 del GDPR.
Investita dal giudice nazionale tedesco, che ha richiesto la interpretazione dell’articolo 82 del GDPR in tema di esonero della responsabilità del titolare del trattamento, la CGUE sul punto ha risposto che l’articolo 82 del GDPR deve essere interpretato nel senso che non può essere sufficiente che il titolare del trattamento, per essere esonerato dalla sua responsabilità ai sensi del paragrafo 3 di detto articolo (che recita: “Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità se dimostra che l’evento dannoso non gli è in alcun modo imputabile»), faccia valere che il danno di cui trattasi è stato causato dall’errore di una persona che agisce sotto la sua autorità, a norma dell’articolo 29 di tale regolamento. Se così fosse, il danneggiato dovrebbe agire nei confronti diretti dell’autore della violazione, depotenziando il suo diritto al risarcimento del danno.
La Corte precisa che le circostanze dell’esonero da responsabilità di cui all’articolo 82, paragrafo 3, del RGPD devono essere strettamente limitate a quelle in cui il titolare del trattamento è in grado di dimostrare, da parte sua, la mancanza di imputabilità del danno. Pertanto, in caso di violazione di dati personali commessa da una persona che agisce sotto la sua autorità, detto titolare può beneficiare di tale esonero unicamente se prova che non sussiste alcun nesso di causalità tra l’eventuale violazione dell’obbligo di protezione dei dati e il danno subito dall’interessato (in altri termini: la violazione da parte del dipendente deve essere finalizzata al perseguimento di scopi suoi propri ed estranei alle mansioni e alle istruzioni cui egli è tenuto).
La Corte UE enuncia anche ulteriori e importanti principi in tema di risarcimento del danno da trattamento, tra i quali i seguenti:
(1) una violazione di disposizioni del GDPR che conferiscono diritti alla persona interessata non è di per sé sufficiente a costituire un «danno immateriale», indipendentemente dal grado di gravità del danno subito da tale persona e dalla prova di tale danno;
(2) per determinare l’importo dovuto a titolo di risarcimento di un danno fondato sull’articolo 82 del GDPR, da un lato, non si devono applicare mutatis mutandis i criteri di fissazione dell’importo delle sanzioni amministrative pecuniarie previsti dall’articolo 83 del GDPR e, dall’altro, non si deve tener conto – come aggravante che invece si applica all’applicazione delle sanzioni amministrative - del fatto che più violazioni del GDPR riconducibili ad una stessa operazione di trattamento riguardino la persona che richiede il risarcimento.
Investita dal giudice nazionale tedesco, che ha richiesto la interpretazione dell’articolo 82 del GDPR in tema di esonero della responsabilità del titolare del trattamento, la CGUE sul punto ha risposto che l’articolo 82 del GDPR deve essere interpretato nel senso che non può essere sufficiente che il titolare del trattamento, per essere esonerato dalla sua responsabilità ai sensi del paragrafo 3 di detto articolo (che recita: “Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità se dimostra che l’evento dannoso non gli è in alcun modo imputabile»), faccia valere che il danno di cui trattasi è stato causato dall’errore di una persona che agisce sotto la sua autorità, a norma dell’articolo 29 di tale regolamento. Se così fosse, il danneggiato dovrebbe agire nei confronti diretti dell’autore della violazione, depotenziando il suo diritto al risarcimento del danno.
La Corte precisa che le circostanze dell’esonero da responsabilità di cui all’articolo 82, paragrafo 3, del RGPD devono essere strettamente limitate a quelle in cui il titolare del trattamento è in grado di dimostrare, da parte sua, la mancanza di imputabilità del danno. Pertanto, in caso di violazione di dati personali commessa da una persona che agisce sotto la sua autorità, detto titolare può beneficiare di tale esonero unicamente se prova che non sussiste alcun nesso di causalità tra l’eventuale violazione dell’obbligo di protezione dei dati e il danno subito dall’interessato (in altri termini: la violazione da parte del dipendente deve essere finalizzata al perseguimento di scopi suoi propri ed estranei alle mansioni e alle istruzioni cui egli è tenuto).
La Corte UE enuncia anche ulteriori e importanti principi in tema di risarcimento del danno da trattamento, tra i quali i seguenti:
(1) una violazione di disposizioni del GDPR che conferiscono diritti alla persona interessata non è di per sé sufficiente a costituire un «danno immateriale», indipendentemente dal grado di gravità del danno subito da tale persona e dalla prova di tale danno;
(2) per determinare l’importo dovuto a titolo di risarcimento di un danno fondato sull’articolo 82 del GDPR, da un lato, non si devono applicare mutatis mutandis i criteri di fissazione dell’importo delle sanzioni amministrative pecuniarie previsti dall’articolo 83 del GDPR e, dall’altro, non si deve tener conto – come aggravante che invece si applica all’applicazione delle sanzioni amministrative - del fatto che più violazioni del GDPR riconducibili ad una stessa operazione di trattamento riguardino la persona che richiede il risarcimento.
