Privacy: quali sono i rischi di un non corretto trattamento dei dati personali?

Il Garante della Privacy ha più volte richiamato l’attenzione, dapprima, con le “Linee guida in materia di trattamento di dati personali per finalità di pubblicazione e diffusione di atti e documenti di enti locali” (Deliberazione n. 17/07), e poi, con le “Linee guida in materia di trattamento di dati personali contenuti anche in atti e documenti amministrativi, effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web” (Deliberazione 2 marzo 2011), sulle opportune cautele che i soggetti pubblici sono tenuti ad applicare in relazione alle ipotesi in cui effettuino, in attuazione alle disposizioni normative vigenti, attività di comunicazione o diffusione di dati personali sui propri siti istituzionali per finalità di trasparenza, pubblicità dell’azione amministrativa, nonché di consultazione di atti su iniziativa di singoli soggetti.

Ciò tanto più se i dati da trattare all’interno del provvedimento siano di natura sensibile o ultrasensibile (attinenti lo stato di salute o la vita sessuale) o, ancora, parasensibile (cioè quelli dai quali sia possibile ricavare informazioni relative a situazioni di disagio economico-sociale).

E’, a questo proposito, opportuno ricordare la definizione di trattamento del dato, così come operata dall’art. 4 del Dlgs. n. 196/03 (cd. “Codice della Privacy”). Costituisce trattamento “qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati”. Sempre il “Codice della Privacy”, all’art. 15, rubricato “Danni cagionati per effetto del trattamento, prevede che “chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’art. 2050 del Codice civile. Il danno non patrimoniale è risarcibile anche in caso di violazione dell’art. 11.

L’art. 2050 Cc., intitolato “Responsabilità per l’esercizio di attività pericolose”, dispone invece che “chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno.

La lettura del succitato art. 15 del “Codice della Privacy” fa nascere subito 2 quesiti: che senso ha il richiamo all’art. 2050 del Cc. e quale significato assume la qualificazione dell’attività di trattamento dati in termini di attività pericolosa ?

Appare necessaria qualche breve riflessione sul concetto di “attività pericolosa”. Prima degli anni ’80, la giurisprudenza faceva riferimento alle norme del Tulps del 1931 e alla disciplina in materia di infortuni sul lavoro per stabilire se una attività fosse o meno pericolosa: v’era una sorta di catalogazione normativo-legale sull’attività pericolosa. Dagli anni ’80 in poi è stata rifiutata questa catalogazione, attraverso l’introduzione di una specificazione: pericolose sarebbero le attività descritte negli artt. 46 e seguenti, del Tulps (come, per esempio, armi, esplosivi, dinamite, ecc.), ovvero le attività in materia di prevenzione degli infortuni e per la tutela dell’incolumità pubblica, ma lo sarebbero altresì tutte quelle che, o per intrinseca natura, o per i mezzi impiegati, siano suscettibili di arrecare danni a terzi, con la precisazione che da questa attività è probabile (si rinvia alla categoria penalistica della probabilità) che discenda la lesione di diritti tutelati dall’ordinamento.

Il concetto di attività pericolosa, quindi, andrebbe valutato caso per caso.

Ciò posto, occorre anzitutto inquadrare la norma dell’art. 2050 Cc.. Da una parte c’è una tesi, dominante in dottrina, e anche per lo più in giurisprudenza, che descrive la fattispecie come responsabilità per colpa presunta, cioè si tratterebbe di responsabilità aggravata, ma non senza colpa, e dall’altra, v’è invece una tesi che vede nell’art. 2050 Cc. una mera ipotesi di responsabilità oggettiva, ove non rileverebbero assolutamente fattori soggettivi quali la colpa e, pertanto, l’unico elemento in grado di scongiurare l’affermazione di responsabilità sarebbe l’intervento di un fattore esterno, idoneo ad escludere il nesso di causalità tra l’attività pericolosa e l’evento dannoso che si è verificato.

Permanendo il dibattito, ad ogni modo dobbiamo chiederci se l’attività di trattamento dati sia o meno attività pericolosa. La dottrina maggioritaria, tra cui Busnelli, ha parlato di rinvio dell’art. 15 del “Codice della Privacy” all’art. 2050 Cc. di carattere meramente processuale o meglio probatorio. Ciò non significherebbe che l’attività di trattamento sia in sé pericolosa, ma che il Legislatore avrebbe affermato la regola secondo cui, se nell’attività di trattamento di dati viene cagionato un danno, il gestore del trattamento potrà liberarsi invocando la clausola liberatoria di cui all’art. 2050, cioè provare di avere adottato tutte le misure idonee ad evitare il danno. Per altri, invece, il Legislatore avrebbe ritenuto l’attività di trattamento dati come in sé pericolosa, come se fosse pericolosa iuris et de iure, con applicazione integrale dell’art. 2050 Cc..

V’è da chiedersi, dunque, che tipo di responsabilità descriva dalla previsione di cui all’art. 15, per effetto del rinvio operato all’art. 2050 Cc.. Si tratta di responsabilità soggettiva, aggravata per effetto del rinvio all’art. 2050 (è necessario, cioè, dimostrare di avere adottato tutte le misure idonee ad evitare il danno) o di responsabilità oggettiva ?

Si ripropone, quindi, lo stesso dibattito prima cennato intorno all’art. 2050, con la peculiarità che lo stesso “Codice della Privacy” fissa per il gestore dell’attività di trattamento dei dati alcuni principi generali volti ad impedire che si verifichino eventi dannosi, con regole di condotta che nella loro applicazione virtuosa mirerebbero ad evitare eventi dannosi.

Ora, l’art. 2050 fa riferimento a “tutte le misure idonee ad evitare il danno”, mentre il “Codice della Privacy” parla di misure minime, da un lato (artt. 33-36), e di misure idonee, dall’altro (art. 31).

L’art. 31 del “Codice della Privacy”, infatti, prevede che debbano essere adottate le misure idonee, anche  in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, ecc..

Ora, a prescindere dalla misure di sicurezza idonee, si ritiene che il titolare del trattamento debba comunque garantire l’osservanza delle misure minime di sicurezza, contenute nell’Allegato “B” (il D.P.S.) di cui agli artt. 33 e seguenti.

Ed allora, quali misure sarà necessario adottare, le misure minime o quelle idonee ? E che cosa sarà necessario dimostrare ?

Sembra corretto dover ritenere, a tal proposito, che il primo livello di sicurezza da adottare sia il livello delle misure minime, mentre il secondo livello sia quello delle misure idonee. Ed infatti, fermo restando che, qualora non vengano adottate le misure minime, le responsabilità sono anche di natura penale (cfr. testualmente l’art. 169 del “Codice della Privacy”), pare verosimile dover puntualizzare che il datore di lavoro debba dar prova di aver adottato delle misure che appaiono ragionevoli nel caso concreto, in relazione all’attività svolta, alle dimensioni dell’Ente, al luogo ove lo stessa si trova.

Il criterio di imputazione della responsabilità appare, dunque, fondato sulla colpa. Il titolare del trattamento, comportandosi con la diligenza dovuta, dovrà quindi adottare tutte quelle misure che appaiono idonee a fronteggiare il rischio ed, eventualmente, anche solo a ridurlo al minimo, come previsto dall’art. 31. In tal senso si può affermare che vi sia una significativa coincidenza tra la normativa del “Codice della Privacy” e l’art. 2050 Cc. in parte qua, perché il “Codice della Privacy” impone di adottare misure minime e misure di cautela che lo sviluppo tecnologico mette a disposizione dei gestori delle attività di trattamento, che è come dire lo stesso risultato cui tende proprio l’art. 2050 Cc., allorquando, con riferimento al momento storico, impone di adottare tutte le misure idonee ad evitare il verificarsi di eventi dannosi.

di Alberto Bicocchi


Tags assigned to this article:
privacy

Related Articles

Ici: la corretta determinazione di un’area edificabile

Nell’Ordinanza n. 7732 del 28 marzo 2018 della Corte di Cassazione, oggetto della presente trattazione sono le modalità per il

Tarsu: le modalità di applicazione nel caso di rifiuti da imballaggio

Nella Sentenza n. 11451 dell’11 maggio 2018della Corte di Cassazione viene trattata la tematica dell’applicazione della Tarsu sui rifiuti da

Inps: in una Circolare le modalità di valorizzazione dei periodi di contribuzione figurativa dei dipendenti pubblici

L’Inps, con la Circolare n. 81 del 22 aprile 2015, ha fornito chiarimenti in merito alle modalità di valorizzazione dei

Non ci sono commenti per questo articolo

Scrivi un commento
No Comments Yet! You can be first to comment this post!

Only registered users can comment.