Non è l'interessato a dover provare il danno ma colui che l'ha provocato
a dover provare di aver fatto tutto il possibile per evitarlo -
risarcibile il danno non patrimoniale - pagano il titolare ed il
responsabile
Art. 15 Danni
cagionati per effetto del trattamento
1. Chiunque cagiona danno ad altri per effetto del trattamento di dati
personali è tenuto al risarcimento ai sensi dell'articolo 2050 del
codice civile.
2. Il danno non patrimoniale è risarcibile anche in caso di violazione
dell'articolo 11.
L’art. 2050 c.c. parla di "attività pericolosa" (’elevata potenzialità
di danno, per la natura dell’attività o dei mezzi di lavoro
utilizzati). Il trattamento dati viene dune qualificato come esercizio
di attività pericolosa.
Da questa qualificazione deriva un’importante conseguenza circa l’onere
della prova. Solitamente chi si ritine danneggiato da un fatto illecito,
deve provare la responsabilità di colui che ha commesso il fatto.
Nell’ipotesi regolata dall’art. 2050 è sancito invece il “principio
dell’inversione dell’onere della prova”. Sulla base di questo principio
il danneggiato deve provare solo il fatto storico, mentre colui che
effettua il trattamento, e che quindi ha causato il fatto dannoso, a
fini liberatori, deve dimostrare di aver adottato tutte le misure idonee
ad evitarlo.
La prova è particolarmente rigorosa, in quanto non è sufficiente la sola
dimostrazione, in negativo, di non aver commesso alcuna violazione della
legge o delle regole di comune prudenza, ma è necessaria la prova
positiva di aver impiegato ogni cura o misura atta ad impedire l’evento
dannoso.
NB: è risarcibile anche il danno non patrimoniale.
RESPONSABILITA' CIVILE E PENALE
Aspetti di responsabilità penale
Così recita l’art. 169 del TESTO UNICO PRIVACY:
Omessa adozione di misure necessarie alla sicurezza dei dati
1. Chiunque, essendovi tenuto, omette di adottare le misure minime
previste dall'articolo 33 è punito con l'arresto sino a due anni o con
l'ammenda da diecimila euro a cinquantamila euro.
2. All'autore del reato, all'atto dell'accertamento o, nei casi
complessi, anche con successivo atto del Garante, è impartita una
prescrizione fissando un termine per la regolarizzazione non eccedente
il periodo di tempo tecnicamente necessario, prorogabile in caso di
particolare complessità o per l'oggettiva difficoltà dell'adempimento e
comunque non superiore a sei mesi.
Nei sessanta giorni successivi allo scadere del termine, se risulta
l'adempimento alla prescrizione, l'autore del reato è ammesso dal
Garante a pagare una somma pari al quarto del massimo dell'ammenda
stabilita per la contravvenzione. L'adempimento e il pagamento
estinguono il reato.
L'organo che impartisce la prescrizione e il pubblico ministero
provvedono nei modi di cui agli articoli 21, 22, 23 e 24 del decreto
legislativo 19 dicembre 1994, n. 758, e successive modificazioni, in
quanto applicabili.
Aspetti di responsabilità
civile
Art. 2050 c.c.
Il TESTO UNICO PRIVACY qualifica il trattamento dei dati come attività
pericolosa, art. 2050 c.c.
E ' prevista pertanto una inversione dell'onere della prova nell'azione
risarcitoria ex articolo 2043 c.c.: l'operatore è tenuto a fornire la
prova di avere applicato le misure tecniche di sicurezza più idonee a
garantire la sicurezza dei dati detenuti.
A livello pratico questo significa che l’azienda, il professionista, la
PA ecc., per evitare ogni responsabilità deve dimostrare di aver
adottato "tutte le misure idonee ad evitare il danno", e quindi di aver
messo in essere tutte le misure di sicurezza al meglio possibile (la
miglior tecnologia disponibile). Il che non è affatto facile da
dimostrare...
Art. 2049 c.c.
In generale poi a carico dell'azienda risulta comunque la responsabilità
ex art art. 2049 c.c., ovvero la responsabilità prevista in capo a
padroni e committenti.
L’art. 2049 difatti recita: "padroni e committenti sono responsabili per
i danni arrecati dal fatto illecito dei loro domestici e commessi
nell'esercizio delle incombenze cui sono adibiti".
Legge n. 547/1993
Crimini informatici commessi da dipendenti ed addebitabili all’azienda
La legge 547/93 ha introdotto nel nostro ordinamento vari "crimini
informatici", ovvero l’attentato a impianti informatici di pubblica
utilità, falsificazione di documenti informatici, accesso abusivo ad un
sistema informatico o telematico, detenzione e diffusione abusiva di
codici di accesso a sistemi informatici o telematici, diffusione di
programmi diretti a danneggiare o interrompere un sistema informatico,
violazione di corrispondenza telematica, intercettazione di e-mail,
danneggiamento di sistemi informatici o telematici (...).
Il datore di lavoro rischia di essere ritenuto in concorso con il
dipendente a lui subordinato che ha commesso il crimine informatico, per
non aver posto in essere tutte le misure di prevenzione e controllo
idonee a garantire la sicurezza del trattamento dei dati.
La mancata adozione di tutte le misure idonee a ridurre al minimo i
rischi viene considerata difatti un agevolazione alla commissione del
crimine.
CHI
E' TENUTO AL RISARCIMENTO?
I soggetti tenuti al risarcimento dei danni causati dal trattamento dei
dati personali, sono il "titolare" (ossia colui "cui competono le
decisioni in ordine alle finalità del trattamento" e "della sicurezza")
ed il "responsabile" (ossia colui che è preposto dal titolare al
trattamento dei dati, avendo "esperienza, capacità ed affidabilità" tale
da fornire "idonea garanzia del pieno rispetto delle disposizioni di
legge in materia di trattamento, ivi compreso il profilo relativo alla
sicurezza"). |