Art. 82 GDPR — Diritto al risarcimento e responsabilità

Commento

Il diritto al risarcimento

L'art. 82 GDPR è il fondamento del diritto al risarcimento del danno per violazioni del Regolamento. Il par. 1 prevede che chiunque subisca un danno materiale o immateriale causato da una violazione del Regolamento abbia diritto a ottenere il risarcimento del danno dal titolare o dal responsabile. È diritto civile autonomo, esercitabile davanti al giudice ordinario ex art. 79. Il considerando 146 sottolinea il principio di tutela integrale.

Danno materiale e immateriale (par. 1)

Il danno risarcibile include sia il danno materiale (perdite economiche, costi di mitigazione, danno emergente e lucro cessante) sia il danno immateriale (danno morale, perdita di controllo sui propri dati, lesione della reputazione, ansia, stress). La CGUE (sentenza UI vs Österreichische Post C-300/21) ha precisato: non basta lamentare violazione, serve danno effettivo. Ma non c'è soglia minima: anche danni modesti sono risarcibili se provati.

Responsabilità di titolari e responsabili (par. 2-4)

Il par. 2 prevede che il titolare risponda dei danni causati dai propri trattamenti che violino il Regolamento. Il par. 3 prevede che il responsabile risponda solo se ha violato gli obblighi specifici del Regolamento per il responsabile o se ha agito in modo difforme dalle istruzioni legittime del titolare. La regola distribuisce la responsabilità: il titolare è responsabile primario; il responsabile risponde di propri inadempimenti.

Esonero e prove (par. 3)

Il par. 3 disciplina l'esonero: titolare/responsabile non risponde se dimostra che l'evento dannoso non gli è in alcun modo imputabile. L'onere della prova è del titolare/responsabile (inversione probatoria): chi è chiamato in giudizio deve dimostrare l'assenza di responsabilità. Il regime di prova facilita la posizione dell'interessato. La giurisprudenza ha richiesto prova rigorosa.

Responsabilità in solido

Il par. 4 prevede responsabilità in solido: titolare e responsabile (o più titolari/responsabili) coinvolti nello stesso trattamento sono responsabili in solido per l'intero danno. L'interessato può chiedere il risarcimento totale a uno qualsiasi, che poi ha azione di regresso interno. La regola facilita il recupero per l'interessato, sposta il rischio sui rapporti interni tra operatori.

Giurisprudenza CGUE su quantum

La giurisprudenza CGUE su quantum è in evoluzione: sentenze UI vs Österreichische Post (2023), Krankenversicherung Nordrhein (2023), Natsionalna agentsia za prihodite (2023). Principi consolidati: danno effettivo (non nominale), nessuna soglia minima, quantificazione proporzionata. Per data breach, importi crescenti (da centinaia a migliaia di euro per interessato; sentenze recenti hanno riconosciuto anche danni morali per migliaia di euro).

Regola pratica e checklist operativa

Compliance art. 82: per operatori: (i) gestione attiva del rischio risarcimento; (ii) assicurazioni privacy (cyber, professional liability); (iii) procedure di gestione dei reclami; (iv) breach response efficace per ridurre danni; (v) contratti art. 28 chiari su responsabilità tra titolare e responsabile. Per interessati: documentare il danno, considerare azione collettiva.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.