Vai al contenuto
Home » Gdpr e principio di responsabilizzazione

Gdpr e principio di responsabilizzazione

  • Gdpr

Malgrado poggi su meccanismi sanzionatori di tipo tradizionale, il principio di responsabilizzazione introdotto con il Reg. UE 2016/679 differisce notevolmente dalla tradizionale responsabilità  giuridica.

La responsabilità giuridica tradizionale nel Gdpr

Nel Regolamento UE 679/16 emerge la differenza tra la tradizionale responsabilità giuridica ed il nuovo principio di responsabilizzazione previsto dal Gdpr.

Con la responsabilità tradizionale, sorge in capo al soggetto titolare/responsabile del trattamento l’obbligo di risarcire chiunque subisca un danno quale conseguenza della violazione delle norme del regolamento. Questo secondo quanto previsto dall’art. 82 reg. La violazione della disciplina regolamentare, alla quale segua il sorgere di un danno causalmente ricollegato alla violazione stessa, comporta per il titolare del trattamento la nascita di un’obbligazione.

Per danno deve intendersi non la violazione dei dati in sé – il danno evento – ma il pregiudizio patito dal soggetto in conseguenza diretta di tale violazione (danno conseguenza). Possibile, inoltre, ipotizzare il sorgere di un danno risarcibile anche dalla sola lesione dei dati, se ricollegabile alla lesione di diritti costituzionalmente garantiti.

Gdpr e principio di responsabilizzazione: il risarcimento dei danni

Il Regolamento, in ogni caso, prevede che il responsabile del trattamento risponda dei danni causati solo se non ha adempiuto agli obblighi previsti dalla normativa. È prevista, inoltre, la possibilità per il titolare di essere esonerato da ogni responsabilità, se dimostra che il danno non è in alcun modo imputabile alla propria condotta.

È proprio quest’ultima particolarità a consentire una considerazione. Il tipo di responsabilità in esame si avvicina a quella prevista dall’art. 2050 c.c. per le attività pericolose. Ugualmente, si avvicina a quanto previsto dalla previgente legge di conversione italiana in tema di privacy. Infatti, tipico di tale responsabilità è l’inversione dell’onere della prova a carico del soggetto agente, il quale deve dimostrare la non imputabilità dell’evento dannoso per escludere la propria responsabilità, come previsto dall’art. 82 del Regolamento UE.

Infine, in tema di conseguenze, la violazione degli obblighi normativi comporta in capo al titolare l’obbligo di risarcire il soggetto danneggiato. La responsabilità in esame opera pertanto solo nel caso in cui il danno cagionato derivi da un trattamento che violi le norme del Regolamento.

Il nuovo principio di responsabilizzazione

Con il principio di responsabilizzazione il titolare del trattamento dei dati è il soggetto al quale viene affidato il compito di garantire il rispetto della normativa. Deve inoltre provare di aver fatto tutto il possibile per assicurare la sicurezza e la correttezza del trattamento.

Il titolare deve dimostrare, anche per mezzo dell’organizzazione aziendale, del registro dei trattamenti, e la predisposizione di modelli, di aver posto in essere tutto quanto previsto e possibile per assicurare e garantire la correttezza del trattamento. Tali comportamenti sono fondamentali al fine di evitare possibili violazioni dei dati. Ancora, il titolare deve analizzare la propria attività ed i rischi ad essa connessi per poter capire quali possano essere le misure da adottare per prevenire la probabilità che un evento dannoso si verifichi.

Il nuovo principio non prevede l’indicazione delle misure da adottare. Tra le altre, non c’è più la previsione di specifiche misure di sicurezza, utili a scongiurare, se applicate, l’eventuale sanzione. Al contrario si lascia libertà di decisione al titolare del trattamento. Al titolare viene richiesto di fare e il poter dimostrare di aver fatto tutto il possibile per evitare il danno.

Dovere di conformazione del titolare

Come evidenziava il lavoro della Commissione Art. 29, nel parere n. 3 del 2010 si prevedeva che “il titolare del trattamento dei dati debba essere in grado di dimostrare di avere adottato un processo complessivo di misure giuridiche, organizzative, tecniche, per la protezione dei dati personali, anche attraverso l’elaborazione di specifici modelli organizzativi e che debba dimostrare in modo positivo e proattivo che i trattamenti di dati effettuati sono adeguati e conformi al regolamento europeo in materia di privacy”.

Il titolare deve pertanto dimostrare in modo positivo ed effettivo che i trattamenti di dati effettuati siano adeguati e conformi al regolamento europeo in materia di privacy. Le modalità con le quali le effettua sono lasciate alla discrezionalità del titolare.

La differenza tra responsabilità giuridica tradizionale ed il principio di responsabilizzazione sta pertanto anche nel diverso approccio del soggetto. La prima poggia sul divieto di ledere la sfera giuridica altrui ed il conseguente obbligo di risarcimento in caso di violazione. La responsabilità tradizionale sorge dopo l’avvenuta violazione delle norme del regolamento, con la produzione di un danno ingiusto.

Il Dovere di conformazione del titolare del trattamento

Al contrario, il principio di responsabilizzazione si caratterizza per far sorgere, in capo al titolare, il dovere di conformare il proprio operato alle disposizioni normative, lasciando libertà di scelta nelle modalità. Il momento è pertanto precedente l’eventuale violazione.

Il soggetto valuta il rischio, rispetto ad una moltitudine di fattori – tipologia di dati, soggetti, diritti coinvolti, mezzi per raccolta e conservazione – ed appronta tutte le misure necessarie per evitare future violazioni. In tal modo il responsabile dovrebbe assicurare un corretto utilizzo dei dati, nel rispetto dei fini dichiarati per la raccolta.

Hai bisogno di una consulenza in materia? Contattaci per avere maggiori informazioni.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

error: