Danni cagionati all'interessato dal mancato rispetto della legge sulla Privacy

Non è l'interessato a dover provare il danno ma colui che l'ha provocato a dover provare di aver fatto tutto il possibile per evitarlo - risarcibile il danno non patrimoniale - pagano il titolare ed il responsabile

Art. 15 Danni cagionati per effetto del trattamento

1. Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile.

2. Il danno non patrimoniale è risarcibile anche in caso di violazione dell'articolo 11.

L’art. 2050 c.c. parla di "attività pericolosa" (’elevata potenzialità di danno, per la natura dell’attività o dei mezzi di lavoro utilizzati). Il trattamento dati viene dunque qualificato come esercizio di attività pericolosa.

Da questa qualificazione deriva un’importante conseguenza circa l’onere della prova. Solitamente chi si ritine danneggiato da un fatto illecito, deve provare la responsabilità di colui che ha commesso il fatto.

Nell’ipotesi regolata dall’art. 2050 è sancito invece il “principio dell’inversione dell’onere della prova”. Sulla base di questo principio il danneggiato deve provare solo il fatto storico, mentre colui che effettua il trattamento, e che quindi ha causato il fatto dannoso, a fini liberatori, deve dimostrare di aver adottato tutte le misure idonee ad evitarlo.

La prova è particolarmente rigorosa, in quanto non è sufficiente la sola dimostrazione, in negativo, di non aver commesso alcuna violazione della legge o delle regole di comune prudenza, ma è necessaria la prova positiva di aver impiegato ogni cura o misura atta ad impedire l’evento dannoso.

NB: è risarcibile anche il danno non patrimoniale.







RESPONSABILITA' CIVILE E PENALE





Aspetti di responsabilità penale





Così recita l’art. 169 del TESTO UNICO PRIVACY:

Omessa adozione di misure necessarie alla sicurezza dei dati

1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 è punito con l'arresto sino a due anni o con l'ammenda da diecimila euro a cinquantamila euro.

2. All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l'oggettiva difficoltà dell'adempimento e comunque non superiore a sei mesi.

Nei sessanta giorni successivi allo scadere del termine, se risulta l'adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo dell'ammenda stabilita per la contravvenzione. L'adempimento e il pagamento estinguono il reato.

L'organo che impartisce la prescrizione e il pubblico ministero provvedono nei modi di cui agli articoli 21, 22, 23 e 24 del decreto legislativo 19 dicembre 1994, n. 758, e successive modificazioni, in quanto applicabili.





Aspetti di responsabilità civile





Art. 2050 c.c.

Il TESTO UNICO PRIVACY qualifica il trattamento dei dati come attività pericolosa, art. 2050 c.c.

E ' prevista pertanto una inversione dell'onere della prova nell'azione risarcitoria ex articolo 2043 c.c.: l'operatore è tenuto a fornire la prova di avere applicato le misure tecniche di sicurezza più idonee a garantire la sicurezza dei dati detenuti.

A livello pratico questo significa che l’azienda, il professionista, la PA ecc., per evitare ogni responsabilità deve dimostrare di aver adottato "tutte le misure idonee ad evitare il danno", e quindi di aver messo in essere tutte le misure di sicurezza al meglio possibile (la miglior tecnologia disponibile). Il che non è affatto facile da dimostrare...

Art. 2049 c.c.

In generale poi a carico dell'azienda risulta comunque la responsabilità ex art art. 2049 c.c., ovvero la responsabilità prevista in capo a padroni e committenti.

L’art. 2049 difatti recita: "padroni e committenti sono responsabili per i danni arrecati dal fatto illecito dei loro domestici e commessi nell'esercizio delle incombenze cui sono adibiti".





Legge n. 547/1993

Crimini informatici commessi da dipendenti ed addebitabili all’azienda

La legge 547/93 ha introdotto nel nostro ordinamento vari "crimini informatici", ovvero l’attentato a impianti informatici di pubblica utilità, falsificazione di documenti informatici, accesso abusivo ad un sistema informatico o telematico, detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici, diffusione di programmi diretti a danneggiare o interrompere un sistema informatico, violazione di corrispondenza telematica, intercettazione di e-mail, danneggiamento di sistemi informatici o telematici (...).

Il datore di lavoro rischia di essere ritenuto in concorso con il dipendente a lui subordinato che ha commesso il crimine informatico, per non aver posto in essere tutte le misure di prevenzione e controllo idonee a garantire la sicurezza del trattamento dei dati.

La mancata adozione di tutte le misure idonee a ridurre al minimo i rischi viene considerata difatti un agevolazione alla commissione del crimine.







CHI E' TENUTO AL RISARCIMENTO?

I soggetti tenuti al risarcimento dei danni causati dal trattamento dei dati personali, sono il "titolare" (ossia colui "cui competono le decisioni in ordine alle finalità del trattamento" e "della sicurezza") ed il "responsabile" (ossia colui che è preposto dal titolare al trattamento dei dati, avendo "esperienza, capacità ed affidabilità" tale da fornire "idonea garanzia del pieno rispetto delle disposizioni di legge in materia di trattamento, ivi compreso il profilo relativo alla sicurezza").

Informazioni:

Professionista esperto nel settore Privacy alle aziende per le regioni  Abruzzo e Marche
Dott. De Santis A.
Tel 347/8585975
Roseto degli Abruzzi/Silvi Marina (Teramo)