Tempo di lettura: ~ 6 min.
GDPR e regime di responsabilità e risarcimento danni nel trattamento di dati personali
Il GDPR (regolamento generale europeo sulla protezione dei dati) prevede, all’articolo 82, un regime di responsabilità e di risarcimento danni nell’ambito del trattamento didati personali di persone fisiche, ai sensi del quale:
«1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.
2. Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento».
E così, per sintetizzare, per i danni materiali o immateriali causati da un trattamento non conforme alle norme del GDPR, le ipotesi previste sono di responsabilità:
- del titolare del trattamento, che risponde sempre, anche per culpa in eligendo e in vigilando, quindi relativamente alla scelta dei soggetti del trattamento cui abbia deciso di affidarsi, così come per la mancata supervisione e vigilanza sul mantenimento dei necessari requisiti in capo agli stessi;
- del responsabile del trattamento, ma solo laddove non si sia attenuto alle istruzioni impartite dal titolare oppure abbia agito in maniera difforme da quanto previsto dal GDPR.
Titolare o Responsabile saranno, invece, esonerati dalla responsabilità laddove dimostrino che l'evento dannoso non è in alcun modo a loro imputabile.
Quanto al profilo risarcitorio, nei capoversi successivi, la medesima norma specifica che:
«Qualora più titolari del trattamento o responsabili del trattamento oppure entrambi il titolare del trattamento e il responsabile del trattamento siano coinvolti nello stesso trattamento e siano, ai sensi dei paragrafi 2 e 3, responsabili dell'eventuale danno causato dal trattamento, ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l'intero ammontare del danno, al fine di garantire il risarcimento effettivo dell'interessato».
In un simile contesto, è di sicuro interesse comprendere se sia possibile — e in quale misura — prevedere profili di responsabilità anche per l’interessato, cioè la persona fisica (utente).
Sul punto, anche se con espresso riferimento all’àmbito dei sistemi di intelligenza artificiale (AI), già nel febbraio 2022, lo European Data Protection Board (EDPB) si era pronunciato sottolineando l’importanza e la necessità di una previsione di responsabilità anche in capo agli utenti finali, con riferimento al funzionamento sicuro del sistema di AI.
1 https://edpb.europa.eu/system/files/2022-02/edpb_letter_ai_liability_out2022-0009_1.pdf
2 A. Capoluongo, An Artificial Intelligence Odissey, https://www.cyberlaws.it/2023/ai_odissey/
Alcuni esempi di giurisprudenza sul tema GDPR e
regime di responsabilità e risarcimento danni nel trattamento di dati personali
Alcuni esempi di giurisprudenza sul tema GDPR e
regime di responsabilità e risarcimento danni nel trattamento di dati personali
Per meglio comprendere la portata della responsabilità dell'utente-interessato, prendiamo in esame — per pragmatismo di fruizione a livello linguistico — del materiale giurisprudenziale della vicina Italia.
Le due pronunce sono riferibili allo specifico àmbito bancario, con riferimento a casi di phishing, ossia a quel tipo di «frode informatica finalizzata all'ottenimento di dati personali sensibili (password, numero di carta di credito ecc.) e perpetrata attraverso l'invio di un messaggio di posta elettronica a nome di istituti di credito, finanziarie, agenzie assicurative, in cui si invita l'utente, generalmente al fine di derubarlo, a comunicare tali informazioni riservate» 3.
Giova ricordare che, ai sensi della normativa in materia di data protection (articolo 4 del GDPR), rientra nell’alveo di dato personale qualsiasi informazione riguardante una persona fisica identificata o identificabile, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. Pertanto, anche uno user-id ed una password rientrano pienamente in tale definizione.
In tal senso, l’ordinanza 7214 del 13 marzo 20234 della Cassazione (massima istanza giudiziaria), confermando la pronuncia della Corte d’Appello di Palermo e ribaltando la sentenza di primo grado del Tribunale di Palermo, stabiliva la responsabilità dei correntisti e non dell’istituto (Poste Italiane) in caso di truffa mediante phishing.
Nello specifico la Corte, richiamando tra le altre cose il contenuto del foglio informativo 5 consegnato ai correntisti, nonché gli avvisi presenti sul sito web delle Poste circa i rischi di frodi informatiche, evidenziava il comportamento imprudente e negligente degli interessati consistito nel digitare i propri codici personali (verosimilmente) richiesti mediante un’e-mail fraudolenta.
Al contempo, la Cassazione ha evidenziato come Poste Italiane avesse adottato «un sistema di sicurezza tale da impedire l’accesso ai dati personali del correntista da parte di terzi», che i livelli di sicurezza di tali sistemi informatici «sono stati “certificati” da appositi enti certificatori secondo i più rigorosi e affidabili standard internazionali» e che l’utilizzazione del servizio on line poteva avvenire «esclusivamente attraverso l’inserimento di vari codici segreti in possesso dell’utente e sconosciuti allo stesso personale di Poste Italiane».
In conclusione, quindi, la Suprema Corte escludeva la responsabilità di Poste Italiane, rilevando che la stessa aveva adottato un efficiente sistema di sicurezza informatica e al contempo rinvenendo i profili di responsabilità tutti in capo al correntista truffato.
Sempre nel medesimo àmbito, qualche mese prima, si era espresso anche il Tribunale di Napoli, con sentenza n. 10743 del 30 novembre 2022.
Nel caso di specie, i correntisti contestavano l’effettuazione di due bonifici mediante le loro credenziali di internet banking da parte di terzi soggetti non autorizzati. Risultava dalle verifiche che i dati personali erano stati inseriti direttamente dai correntisti accedendo ad un sito fasullo mediante link ricevuto via e-mail da un indirizzo palesemente non appartenente all’istituto bancario di riferimento.
Circa l’istituto, il Tribunale evidenziava come questo avesse approntato sistemi di sicurezza di grado elevato (prevedendo un’autenticazione a due fattori), in linea con quelli ritenuti come i più sicuri anche dallo stesso Arbitro Bancario Finanziario (ABF) in più di una pronuncia.
La sentenza è interessante anche perché, mediante un excursus della normativa in àmbito bancario, aiuta a chiarire come sia cambiato l’orientamento a seguito della normativa oggi applicabile, ossia il D. Lgs. n. 11/2010 di attuazione della Direttiva 2007/64/CE.
Ecco, dunque, che se prima l’istituto bancario era tenuto a dimostrare esclusivamente di avere correttamente adempiuto o che l’impossibilità della prestazione era derivante da causa alla stessa non imputabile, ora per evitare profili di responsabilità andrà provata:
- l’adozione di tutti i sistemi di sicurezza ragionevolmente esigibili, e
- la sussistenza di una colpa grave in capo al correntista.
Nel caso di specie, quindi, trova applicazione l’art. 12 c. 4 del D.Lgs. n. 11/2010, secondo cui “Qualora abbia agito in modo fraudolento o non abbia adempiuto ad uno o più obblighi di cui all'articolo 7, con dolo o colpa grave, l'utente sopporta tutte le perdite derivanti da operazioni di pagamento non autorizzate”.
Un ultimo profilo d’interesse è quello della rilevanza delle caratteristiche personali del soggetto interessato. Nella sentenza in esame, infatti, il Tribunale ha rilevato che trattandosi di un avvocato – quindi soggetto con una preparazione certamente superiore alla media -, lo stesso si sarebbe dovuto rendere conto dell’anomala situazione e potenzialmente anche della natura illecita della stessa.
Si noti che, con le dovute differenze, tale principio si può ritrovare applicato anche in materia di classificazione della clientela (direttiva 2014/65/UE – MiFID 2, Regolamento (UE) 2017/565, D.Lgs. 28 febbraio 1998, n. 58 e Regolamento Intermediari), laddove si prevedono distinte categorie di clientela6 cui corrispondono altrettanti diversi livelli di tutela.
4 Cassazione, ordinanza 7214 del 13 marzo 2023, https://www.aduc.it/generale/files/file/newsletter/2023/aprile/1043406.pdf.
5«il cliente è responsabile della custodia e dell’utilizzo corretto dell’identificativo utente, della parola chiave, del codice diattivazione, del codice dispositivo segreto e della chiave di accesso al servizio e che la mancanza di precauzione da parte del titolare nel mantenere segreti i suoi codici può determinare il rischio di accessi illeciti al servizio e di operazioni fraudolente da parte di terzi», pag. 2 ordinanza ult. cit.
6 Ossia: controparti qualificate, clienti professionali (privati o pubblici) e clienti al dettaglio.
Nello specifico, si definiscono «controparti qualificate» quei clienti in possesso del più alto livello di esperienza, conoscenza e competenza in materia di investimenti, che, pertanto, necessitano del livello di protezione più basso allorquando l'intermediario presta nei loro confronti i servizi di ricezione e trasmissione di ordini e/o negoziazione per conto proprio e/o esecuzione di ordini.
I «clienti professionali» sono, invece, clienti in possesso di esperienze, conoscenze e competenze tali da ritenere che le scelte da essi compiute in materia di investimenti siano prese consapevolmente sulla base di una valutazione corretta dei rischi assunti. I clienti professionali necessitano, quindi, di un livello di protezione intermedio.
Per concludere, dunque, il rimando più importante resta quello ai principi generali e ben noti di buona fede e di diligenza (richiesta dalla situazione concreta), cui si dovranno sempre più affiancare profili di attenzione e formazione in ambito di cybersicurezza e protezione dei dati e delle informazioni.
Contenuto realizzato da Anna Capoluongo
Avvocato, DPO, EDPB's Support Pool of Experts, Vicepresidente I.R.L.E.S.S., membro del GdL sull’intelligenza artificiale (ANORC) e di D&L Network.
