Considerato il basso livello di adeguamento da parte di aziende e professionisti al GDPR, ma anche di non poche pubbliche amministrazioni, è verosimile che, a breve, potrebbero iniziare a fioccare le sanzioni da parte del Garante della Privacy nei confronti di chi non si sarà adeguato alla nuova disciplina europea e di chi, nonostante abbia almeno tentato, incappi in un data breach o in altre tipologie di comportamenti non conformi o altre violazioni. E vogliamo ricordare che tra i comportamenti sanzionati non vi è, di per sé, lo smarrimento di una chiavetta o di un cellulare con i dati dei clienti, ma la mancata attivazione delle procedure per avvisarli e le mancate comunicazioni al Garante (e non dobbiamo dimenticare che la segnalazione può partire non solo dal diretto interessato ma anche, ad esempio, da associazioni di consumatori).

Premesso quindi che il destinatario delle sanzioni emesse dal garante è il Titolare del trattamento, qui inteso come la persona fisica o giuridica che aveva la disponibilità dei dati degli Interessati e, di conseguenza, colui sul quale gravano gli obblighi di protezione, il problema sorge in merito alle potenziali richieste di risarcimento danni in sede civile.

È invero opportuno tenere presente che in non pochi articoli del GDPR è espressamente previsto che, a fronte di una violazione, possa essere richiesto anche il risarcimento del danno da parte di chi ne abbia subìto uno. Il GDPR indica espressamente tra i danni risarcibili anche quello non patrimoniale che, senza voler troppo estremizzare, potrebbe configurarsi anche nella ricezione di decine o centinaia di mail o telefonate da parte di chi ha visto sottrarre i suoi contatti nel database di un suo fornitore o cliente.

Si tratta di danni da responsabilità che, in mancanza di un contratto tra le parti, ha natura extracontrattuale, con la conseguente applicazione della relativa disciplina in termini di prescrizione e quantificazione del danno, precisando peraltro (e lasciando alla giurisprudenza il compito di pronunziarsi nelle singole fattispecie), che l’attività di trattamento danni è da qualificarsi “pericolosa” ai sensi dell’art. 2050 CC; da ciò discende una rigorosa valutazione sull’onere probatorio dei titolari del trattamento che dovranno dimostrare “di avere adottato tutte le misure idonee a evitare il danno.”

Fermo il principio che responsabile principale, e quindi destinatario di un’azione di risarcimento danni, è il Titolare, nelle ipotesi in cui al trattamento siano deputati più soggetti nella stessa qualità ovvero in qualità diverse, saranno tutti chiamati a rispondere in solido del danno cagionato, salvo i diritti di rivalsa e l’eventuale ripartizione delle responsabilità interne, peraltro non opponibili al danneggiato. E’ pur vero che la struttura del GDPR lascia la possibilità di individuare livelli e gradi di responsabilità differenziata tra Responsabile, Titolare e Co-titolari, ma facendo salve le normative nazionali e, in ogni caso, un’eventuale azione civile non potrebbe che andare nei confronti di tutti i soggetti interessati, salvo ovviamente ipotesi particolari.

Ovviamente il danno deve essere dimostrato e quantificato; già nel Considerando 146 del GDPR si prevede questa forma riparatoria, concedendo però al Titolare di essere fatto salvo da pretese laddove dimostrasse che l’evento dannoso non gli è in alcun modo imputabile. Come in tutta la normativa, al centro dell’interesse e dell’attenzione del legislatore Europeo, troviamo l’Interessato, vale a dire il soggetto debole; quello i cui dati sono esposti.