In prossimità dell’entrata in vigore delle norme del GDPR (General Data Protection Regulation), ossia il nuovo Regolamento Europeo n. 679/2016, è bene ribadire che nella nuova configurazione data dalla normativa UE il principio chiave è la liceità del trattamento dei dati se e in quanto l’interessato ha dato un esplicito consenso al trattamento. In tale prospettiva il dato personale assume natura di merce che il titolare del trattamento può utilizzare, valutare, trasmettere sempre però sulla base del rispetto dei principi generali di proporzionalità, adeguatezza, pertinenza e non eccedenza rispetto alle finalità per cui il consenso al trattamento fu reso.
Laddove, invece, il consenso dell’interessato viene revocato il dato ripristina la sua natura di diritto indisponibile, rientrando nell’ambito del perimetro dei diritti della persona non più intesa in senso tradizionale, nome, immagine, reputazione ecc., ma nell’ambito più vasto delle sue relazioni e rapporti ossia dell’idea pubblica che ciascuno ha di sé o di quella che ritiene dovrebbe essere e che la pubblicità del dato, invece, lede. Il dato personale, quindi, nella nuova prospettiva della normativa europea è un elemento metagiuridico in quanto se trattato con il consenso è merce, ma se il consenso viene revocato allora si ripristina, in forza di tale atto di manifestazione di volontà la natura di diritto indisponibile.
Oggi la trasmissione dei dati è, di fatto, illimitata e incontrollata, anche in presenza della revoca del consenso non è affatto probabile che il dato scompaia dai social network o dai motori di ricerca.
La responsabilità (“accountability”) del titolare del trattamento, resta sempre e comunque in solido con il data Protection Officer in quanto è esclusa se la prova dell’azione svolta e delle misure adottate sono coerenti e conformi con “……le prescrizioni del regolamento” se sono state adottate le corrispondenti “……. misure tecniche che organizzative”. In tali casi saremo in presenza di una scriminante per la responsabilità penale e amministrativa, quest’ultima rispetto alle azioni esperibili dall’autorità garante, ma non certamente rispetto a quella civile che si fonda sulla responsabilità ex art. 2051c.c., del danno cagionato dalle cose in custodia (dati), che anche se gestiti in conformità alle prescrizioni del regolamento e alle relative misure tecniche ed organizzative comporta responsabilità se non si dà la prova ( con inversione dell’onere della prova) che il danno si è prodotto per caso fortuito.
Inoltre la responsabilità del titolare del trattamento è configurabile anche sotto il diverso profilo della responsabilità per culpa in eligendo ai sensi dell’art. 2049 del Codice civile, norma che prescrive che i padroni e i committenti ( titolari del trattamento dei dati) sono sempre responsabili per i danni arrecati dal fatto illecito dei loro dipendenti ( D.P.O. interni) o incaricati (D.P.O. professionisti o società di servizio), quindi o in base al rapporto di dipendenza o di collaborazione professionale.
di Michele Gorga, avvocato