L’articolo 82 del GDPR, non proprio per la felicità di imprenditori e professionisti, disciplina il diritto al risarcimento danni da parte di “chiunque” abbia subìto un danno “da una violazione del presente regolamento". È interessante, e da un lato allarmante, che non venga specificato che solo gli interessati da un data breach o da una perdita di loro dati siano legittimati a chiedere i danni, ma si usi il termine “chiunque”. È una formula aperta e fin troppo ampia che, in teoria, apre la possibilità a class actions e cause collettive anche da parte di associazioni di categoria o più semplicemente di consumatori. È ovvio che si parte dall’imprescindibile elemento dell’accertamento di un danno, che dovrà essere dimostrato in concreto e quantificato da parte di chi ne chiedesse il ristoro, ma il rischio che vengano minacciate cause milionarie esiste per ogni impresa, con l’ulteriore pericolo che si avvii una causa nella speranza di giungere ad un accordo extragiudiziale che qualcuno potrebbe accettare nel timore di peggiori conseguenze economiche.

Oltre le sanzioni di natura amministrativa, che il GDPR dice debbano essere "effettive, proporzionate e dissuasive (altro termine pericoloso per gli imprenditori)", i Titolari del Trattamento devono fare conto anche con i risarcimenti individuali per quella che è considerata dalla giurisprudenza attività pericolosa ai sensi dell’art. 2050 Codice Civile.

Ai sensi del richiamato articolo 82 il Titolare “o” il Responsabile del Trattamento possono essere chiamati in giudizio per il risarcimento di un danno. Appare decisamente opportuna la scelta di non inserire una “e” sul punto, generando un’ipotesi di litisconsorzio con le due figure. Le modalità di predisposizione del GDPR, infatti, possono permettere l’individuazione delle responsabilità dei due players coinvolti nella vicenda, specialmente quando, in presenza di un Responsabile Esterno del Trattamento, il contratto disciplini minuziosamente ruoli, compiti, obblighi.

Il soggetto che richiede il risarcimento danni, dovrà quindi accertare preventivamente di chi sia la responsabilità per poter agire correttamente ed evitare di essere condannato alle spese legali in favore di chi non è responsabile.

Come potersi esimere da responsabilità?
Titolare e Responsabile potranno farlo dimostrando di avere adoperato tutte le misure idonee ad evitare il danno, come previsto dall’art. 2050 norma di carattere generale, ma il GDPR va oltre e sancisce per il Titolare quella che è una presunzione di colpevolezza quando lo chiama a rispondere del danno quando il Trattamento violi il Regolamento. Ergo, già possiamo concludere, un mancato adeguamento è un elemento sufficiente per sancire la responsabilità. Viceversa il Responsabile risponde dei danni solo quando non ha adempiuto agli obblighi del GDPR su di lui gravanti, ovvero ha agito in maniera difforme a legittime istruzioni impartitegli. La sua responsabilità civile nei confronti di terzi sembra debba muovere da quello che è a tutti gli effetti un inadempimento contrattuale.

Ovvio che tutto ciò non esclude una responsabilità solidale delle parti quando le scelte e le violazioni dipendono da responsabilità di entrambe, salvo rivalersi all’interno del loro rapporto interno che non è opponibile ai terzi.