Per la responsabilità civile privacy, le imprese sono presunte colpevoli. I titolari del trattamento (imprese, ma anche amministrazioni e professionisti) rispondono dei danni causati da violazioni delle norme sulla privacy, patiti da una persona di cui trattano i dati. Salvo che riescano a convincere il giudice che l’evento dannoso non è in alcun modo loro imputabile: cosa stratosfericamente complicata. Se è capitato un danno vuol dire che a monte è qualcosa è andato storto, qualcosa che il titolare del trattamento non è stato in grado di prevenire. E da qui l’imputabilità quasi automatica a carico del titolare del trattamento.
Prendiamo l’esempio di una esfiltrazione di dati a carico di una P.a. La sottrazione delle informazioni prova di per sé che il sistema informatico della P.a. era vulnerabile. In una ipotetica causa per danno, la persona danneggiata deve affermare di essere stata danneggiata e deve dimostrare tipo e valore del danno patito. La persona interessata non è tenuta a provare che il danno è derivato da un’azione od omissione dell’ente e neppure il dolo o la colpa dell’ente.
La situazione è ribaltata e la P.a., per dimostrare che il danno non era imputabile, deve dimostrare, ad esempio, che ha fatto tutto quanto possibile in base alle conoscenze tecniche alla data del fatto. E anche a riguardo della prova del danno, ci sono orientamenti giurisprudenziali disponibili a riconoscere il risarcimento di danni di piccolo importo, svicolando l’interessato da un eccessivo rigore.
C’è, infine, un articolo del Gdpr (il n. 80) che, abbinato alla disciplina di tutela dei consumatori, ammette le associazioni rappresentative a fare causa, anche per danni, per conto delle persone interessate e anche senza una formale delega: ci sono alcune sentenze di tribunali di paesi Ue che interpretano la norma come direttamente applicabile. Con la conseguenza che possono aprirsi filoni di contenzioso avviati da enti esponenziali di categorie tesi a risarcimenti a pioggia per volumi di importo complessivo molto elevato, anche se di importo unitario basso.
Fonte: