Il Regolamento UE 679/2016 (“GDPR”) si pone come obiettivo quello di tutelare la protezione e la riservatezza dei dati personali e affida all’interessato un ruolo proattivo nel controllo dei trattamenti aventi ad oggetto dati personali a lui riferiti, conferendogli una serie di diritti previsti nel Capo III del GDPR, in particolare:
- Diritto all’informazione, ossia di essere informato sugli elementi del trattamento indicati agli artt. 13 e/o 14 del GDPR;
- Diritto di accesso che consiste nella possibilità per l’interessato di chiedere al titolare del trattamento la conferma che sia o meno in corso un trattamento dei suoi dati e, in tal caso di:
- ottenere le informazioni sul trattamento;
- accedere ai dati;
- richiederne copia;
- Dritto di rettifica, ossia di ottenere la rettifica e/o l’integrazione dei dati personali;
- Dritto di revoca del consenso al trattamento dei dati, ove richiesto e conferito;
- Diritto di opposizione ai trattamenti basati sul legittimo interesse o sull’interesse pubblico perseguito dal titolare del trattamento;
- Diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici o che incida in modo analogo significativamente sull’interessato;
- Diritto all’oblio, ossia di ottenere dal titolare del trattamento la cancellazione dei dati personali senza ingiustificato ritardo;
- Diritto di ottenere la limitazione del trattamento esercitabile in alcune specifiche ipotesi: ad esempio ’interessato contesta l’esattezza dei dati personali e richieda che i trattamenti di tali dati siano limitati durante il periodo necessario al Titolare per verificarne l’esattezza;
- Diritto alla portabilità dei dati personali forniti al titolare, ossia il diritto di riceverli in un formato strutturato, di uso comune e leggibile da dispositivo automatico e di trasmetterli a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento che li ha raccolti.
In concreto, quali strumenti ha l’Interessato per tutelarsi?
Richiesta al Titolare del trattamento
L’interessato può innanzitutto far valere i suoi diritti direttamente nei confronti del titolare del trattamento senza particolari formalità. Il titolare del trattamento è a sua volta tenuto a gestire proattivamente tali richieste: deve quindi essere innanzitutto pronto a riceverle nei modi che l’interessato ritiene più opportuni, a valutare adeguatamente e a fornire riscontro entro un mese, oppure a comunicare entro tale medesimo termine l’eventuale ritardo (ad esempio nel caso di richieste numerose e/o complesse) che non può comunque superare i due mesi dalla ricezione della richiesta. Il Titolare inoltre dovrà dare riscontro all’interessato anche qualora la sua richiesta non sia attuabile (ad esempio non è possibile acconsentire alla cancellazione dei dati per sussistenza in capo al titolare di obblighi di legge che ne prevedono la conservazione).
Il titolare poi deve adottare misure appropriate per fornire le informazioni e le risposte alle richieste dell’interessato “in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori”. Tali informazioni devono essere fornite per iscritto o con altri mezzi, anche eventualmente elettronici. Laddove l’interessato abbia presentato la richiesta mediante mezzi elettronici, il titolare è tenuto a fornire riscontro, ove possibile, con mezzi elettronici, salvo diversa indicazione dell’interessato medesimo.
Reclamo al Garante
L’interessato ha inoltre diritto di proporre reclamo all’autorità garante in merito alle modalità in cui i suoi dati personali vengono trattati dal titolare del trattamento. In sostanza, con il reclamo, l’interessato può decidere di rivolgersi all’autorità Garante per lamentare una violazione della disciplina in materia di protezione dei dati personali e per richiedere quindi una verifica dell‘Autorità. Il reclamo è un atto circostanziato cui segue un’istruttoria preliminare del garante e l’eventuale avvio di un successivo procedimento amministrativo formale che può portare anche all’adozione dei provvedimenti sanzionatori nei confronti dei titolari/responsabili coinvolti. Il reclamo inoltre può essere sottoscritto direttamente dall’interessato oppure, per suo conto, da un avvocato, un procuratore, un organismo, un’organizzazione o un’associazione senza scopo di lucro.
Ricorso all’autorità giudiziaria
L’art. 140 bis del Codice privacy prevede che “qualora ritenga che i diritti di cui gode sulla base della normativa in materia di protezione dei dati personali siano stati violati, l’interessato può proporre reclamo al Garante o ricorso dinanzi all’Autorità giudiziaria”.
I due rimedi sono però alternativi, ovvero l’Interessato deve scegliere se rivolgersi al Garante o al Giudice e una volta fatta la scelta non è possibile virare per l’opzione alternativa se la domanda riguarda le medesime parti e i medesimi fatti.
La scelta di rivolgersi al giudice può essere determinata dall’intento di ottenere un equo risarcimento dei danni subiti dall’interessato a seguito della violazione dei propri diritti.
Il risarcimento dei danni
Il GDPR prevede che “Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata”. (… considerando 85).
L’art. 82 intitolato «Diritto al risarcimento e responsabilità», ai paragrafi 1 e 2 recita:
1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.
2. Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. (…)
Una recente sentenza della Corte di Giustizia ha fornito importanti indicazioni sui danni risarcibili.
La Sentenza della Corte di Giustizia UE (Terza Sezione) 4 maggio 2023 nella causa C‑300/21
I FATTI
Una società austriaca che vende contatti di persone fisiche a fini di marketing ha raccolto nel corso degli anni informazioni sulle affinità politiche della popolazione austriaca. Con l’ausilio di un algoritmo che tiene conto di diversi criteri sociali e demografici, essa ha definito «indirizzi di gruppi destinatari». I dati così generati sono stati venduti a diverse organizzazioni per consentire loro di effettuare invii pubblicitari mirati. Nell’ambito della sua attività, la società ha trattato dati che, per estrapolazione statistica, l’hanno indotta a dedurre un’elevata affinità di un soggetto con un determinato partito politico austriaco. Tale informazione non è stata trasmessa a terzi, ma il ricorrente, che non aveva acconsentito al trattamento dei suoi dati personali, si è sentito offenso dal fatto che gli era stata attribuita un’affinità con il partito in questione.
L’interessato non aveva pertanto subito di fatto alcun danno, patrimoniale o morale.
LA PRONUNCIA
La Corte di Giustizia, partendo dalla formulazione dell’art. 82 GDPR, rileva che l’esistenza di un «danno» che sia stato «subito» costituisce una delle condizioni del diritto al risarcimento previsto da detta disposizione, pertanto, non si può ritenere che qualsiasi «violazione» delle disposizioni del GDPR conferisca, di per sé, detto diritto al risarcimento a favore dell’interessato.
In primo luogo è necessario quindi che l’Interessato provi di avere subito un danno, non è sufficiente lamentare la violazione dei propri diritti.
Per la quantificazione del danno subito si applicheranno le norme nazionali e spetterà al giudice nazionale valutare se le modalità previste nel diritto interno per la determinazione giudiziale del risarcimento dovuto non rendano in pratica impossibile o eccessivamente difficile l’esercizio dei diritti conferiti dal diritto dell’Unione.
In tale contesto, la Corte richiama il considerando 146, che fa riferimento alla necessità di garantire un «pieno ed effettivo risarcimento per il danno subito» e un risarcimento pecuniario deve essere considerato «pieno ed effettivo» se consente di compensare integralmente il danno concretamente subito a causa della violazione del GDPR, senza che sia necessario, ai fini di una siffatta compensazione integrale, imporre il versamento di un risarcimento punitivo.
I giudici nazionali devono applicare le norme interne di ciascuno Stato membro relative all’entità del risarcimento pecuniario, purché siano rispettati i principi di equivalenza e di effettività del diritto dell’Unione
Il risarcimento del danno non può però essere subordinato al raggiungimento di una determinata soglia.
Di fatto, quindi, accertato il danno e il nesso causale con la violazione dei diritti garantiti dal GDPR, il Giudice dovrà stabilire l’entità del risarcimento sulla base dei principi noti del diritto interno, garantendo all’Interessato un ristoro pieno ed effettivo.
***
L’Interessato che lamenti una lesione dei propri diritti ha dunque la possibilità di scegliere tra più soluzioni, di cui la prima ovvero la richiesta nei confronti del Titolare è sempre esperibile e consigliabile anche al fine di comprendere l’effettivo perimetro della violazione per poi decidere se orientarsi verso il reclamo al Garante o il ricorso al giudice.