Con una recente sentenza, il tribunale austriaco ha aperto la strada del risarcimento danni per tutti gli interessati i cui dati personali siano stati oggetto di pregiudizio, facilitando la procedura e ricordandoci la concretezza del GDPR
Garantire l’effettività di un trattamento dei dati sicuro, cioè a norma del GDPR, necessita di un sistema di risarcimento del danno efficace, pertanto azionabile facilmente. Questo è stato uno dei punti di più difficile realizzazione del Regolamento, che ha trovato nelle sanzioni salatissime il
metodo preferito di disincentivazione dei comportamenti contrari alle proprie norme.
Garantire l’effettività di un trattamento dei dati sicuro, cioè a norma del GDPR, necessita di un sistema di risarcimento del danno efficace, pertanto azionabile facilmente. Questo è stato uno dei punti di più difficile realizzazione del
Regolamento, che ha trovato nelle sanzioni salatissime il metodo preferito di disincentivazione dei comportamenti contrari alle proprie norme.
Ad ogni modo, non mancano situazioni in cui un trattamento dei dati illegittimo possa configurare ipotesi di danno, anche molto gravi: si pensi, ad esempio, al caso in cui venga eliminato per errore, oppure modificato con negligenza, un dato sanitario prima della somministrazione di un’anestesia e che ciò causi la morte del paziente.
Ma ci sono anche ipotesi di danno più lievi, che comunque mantengono una loro dignità e che pertanto vanno tutelate. Sono ipotesi che producono in capo al soggetto leso una perdita modesta, ma spesso non rivendicata in sede giudiziale perché le spese processuali superano gli eventuali benefici del risarcimento. Proprio seguendo questo ragionamento, non sono rare le ipotesi in cui un soggetto in una posizione di forza decida di ledere, lievemente, i diritti tutelati dal GDPR di una moltitudine di soggetti, provocando un danno diffuso, cioè comune a più individui, che difficilmente verrà rivendicato dinanzi a un giudice. In questo modo, lo spregiudicato autore del danno otterrà vantaggi importanti, pari alla somma di tutti i danni individuali non risarciti.
In previsione di questa ipotesi il legislatore europeo ha inserito nel GDPR un articolo (art. 80 GDPR), che tutela la parte debole assicurandole la possibilità di delegare la propria azione giudiziale a un organismo, associazione senza scopo di lucro o un’organizzazione, che possono ottenere il risarcimento per conto del soggetto leso.
Oppure, sempre a norma del medesimo articolo, un ente ha il diritto di proporre un reclamo al Garante per la protezione dei dati personali e di esercitare i diritti dell’interessato, cioè del soggetto leso.
Queste modalità di tutela sono state utilizzate raramente, ma, dopo l’invito del Parlamento Ue ad avvalersi di tale articolo, un tribunale austriaco ha aperto la strada attivando tale strumento in una lite tra associazione di consumatori e imprenditore. Il giudice del tribunale ha rilevato due aspetti interessati dell’articolo 80 GDPR.
Il primo, già accennato, è che le associazioni possono agire in giudizio anche senza la delega dei singoli e ottenere provvedimenti a favore della generalità degli interessati.
Il secondo, è che possono agire anche se manca l’armonizzazione della norma al GDPR, ricordando che il rango giuridico di questo testo è di Regolamento Europeo, pertanto – e concretamente – può essere applicato direttamente nei tribunali degli Stati membri (a differenza di una Direttiva Europea, che richiede una Legge interna dello Stato membro per esercitare effettivamente la sua azione).
In conclusione, questa sentenza muove un passo in avanti verso la realizzazione dell’ambita“circolazione sicura dei dati”, obiettivo primario del GDPR, dando efficacia ad uno strumento potente, ma poco considerato, quale l’articolo 80, e riportando il risarcimento per violazione del trattamento dei dati personali al centro della tutela dei diritti dell’interessato.
Daniele Dhoor Singh