L'ABC del GDPR: diritti, mezzi di ricorso, responsabilità e sanzioni amministrative pecuniarie

Il Capo VIII del GDPR è composto dagli articoli compresi tra il numero 77 e 84 e riguarda i diritti, i mezzi di ricorso, le responsabilità e le sanzioni applicabili in caso di violazione del Regolamento.

1. Diritto di proporre reclamo all’autorità di controllo (articolo 77)

Questo diritto consente all'interessato che ritiene di essere coinvolto in un trattamento in violazione del GDPR di proporre un reclamo all'autorità di controllo dello Stato membro in cui risiede abitualmente, dello Stato membro in cui lavora oppure quella del luogo in cui si è verificata la presunta violazione. Una volta avanzato il reclamo, l’autorità di controllo deve informare il reclamante dello stato o comunque dell'esito del reclamo. Il modello per la presentazione del reclamo è disponibile sul sito del Garante italiano, al link https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4535524.

2.Diritto a un ricorso giurisdizionale effettivo nei confronti dell’autorità di controllo (articolo 78)

Cosa accade se l’autorità di controllo adotta una decisione giuridicamente vincolante riguardante un interessato? Questo avrà il diritto di avanzare un ricorso giurisdizionale effettivo contro tale decisione, che potrà essere proposto anche nel caso in cui l’autorità di controllo competente non tratti un reclamo (articolo 77) o comunque non informi l’interessato dello stato o dell'esito di un reclamo da questo proposto. 

Il termine entro il quale l'autorità di controllo deve informare l'interessato è di tre mesi: superati questi, l'interessato può esercitare questo diritto.

Per avanzare il ricorso, l’azione andrà promossa di fronte alle autorità giurisdizionali dello Stato membro in cui è stabilita l'autorità di controllo. 

3. Diritto a un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento o del responsabile del trattamento (articolo 79)

Il ricorso giurisdizionale effettivo può essere proposto anche nei confronti del titolare del trattamento o del responsabile del trattamento: l’interessato può esercitare tale diritto ogni volta che ritenga che i diritti di cui gode in base al GDPR sono stati violati a seguito di un trattamento, rivolgendosi all'autorità giurisdizionale dello Stato membro in cui il titolare del trattamento o il responsabile del trattamento hanno uno stabilimento. L'altro foro competente, alternativo al primo, è dato dall'autorità giurisdizionale dello Stato membro in cui l'interessato risiede abitualmente. Il secondo foro però non è utilizzabile se il titolare del trattamento o il responsabile del trattamento sono un'autorità pubblica di uno Stato membro nell'esercizio dei pubblici poteri.

In Italia vi è una particolarità: ai sensi dell’articolo 140-bis del Codice privacy l’interessato deve scegliere tra proporre reclamo al Garante e proporre ricorso di fronte all’autorità giudiziaria: le due forme di tutela sono alternative.

4. Rappresentanza degli interessati (articolo 80)

L’interessato può dare mandato a un organismo, organizzazione o associazione senza scopo di lucro attivi nel settore della protezione dei diritti e della libertà degli interessati con riguardo alla protezione dei dati personali: il mandato è per esercitare i diritti previsti per conto dell'interessato.

Inoltre, i singoli Stati membri possono prevedere la possibilità per i soggetti di cui sopra di proporre, a prescindere dal conferimento del mandato, un reclamo all'autorità di controllo competente e di esercitare i diritti previsti dagli articoli 78 e 79 se ritengono che i diritti previsti dal GDPR di un interessato sono stati violati.

In relazione all’articolo 80 paragrafo 2 si è espressa la Corte di Giustizia europea nella causa C‑319/20 (Facebook c. l’Unione federale tedesca delle centrali e delle associazioni di consumatori).

5. Sospensione delle azioni (articolo 81)

Cosa accade se azioni con il medesimo oggetto e relative al trattamento dello stesso titolare o dello stesso responsabile pendono di fronte a più autorità giurisdizionali in diversi Stati? L’autorità giurisdizionale che viene a conoscenza della causa pendente deve contattare l’altra autorità per confermare l'effettiva esistenza di tale azione. Se effettivamente esiste una causa pendente, qualunque autorità giurisdizionale che viene adita successivamente può sospendere l’azione. 

6. Diritto al risarcimento (articolo 82)

Questo articolo è fondamentale e si apre come segue: «chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere un risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento».

Al secondo paragrafo poi si distingue tra la responsabilità del titolare del trattamento e quella del responsabile del trattamento. Il primo è responsabile per il danno cagionato dal suo trattamento in violazione del GDPR, mentre il secondo è responsabile solo se non ha adempiuto agli obblighi del GDPR specificamente diretti ai responsabili del trattamento o se ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.

In caso di più soggetti coinvolti nella violazione, questi saranno responsabili in solido, in modo che l'interessato sia risarcito in modo effettivo. Tuttavia, il soggetto che ha pagato l'intero risarcimento ha diritto di reclamare dagli altri la parte di risarcimento corrispondente alla loro parte di responsabilità. Le autorità competenti sono quelle individuate in base all'articolo 79, paragrafo 2.

Per chiedere il risarcimento, il danneggiato deve provare la violazione del GDPR, il danno (che può essere sia patrimoniale che morale) e il nesso di causalità. Prima del GDPR il tema era regolato in Italia dall’articolo 15 del Codice privacy, che richiamava a sua volta l’articolo 2050 del Codice civile, riguardante le attività pericolose. In tema di risarcimento del danno, è utile tenere a mente il principio di effettività del risarcimento del danno.

Il titolare o il responsabile saranno esonerati, a norma del paragrafo 2, solo se dimostrano che l'evento dannoso non è a loro in alcun modo imputabile: dunque non va provata la condotta illecita, ma spetta a titolari e responsabili dimostrare che il nesso di causalità è stato interrotto e che quindi il danno non gli è imputabile. Sul tema del risarcimento, sono molto interessanti le conclusioni presentate il 27 aprile 2023 dall’Avvocato Generale UE nella causa C-340/21, alle quali si rimanda. 

7. Sanzioni amministrative pecuniarie (articolo 83 e articolo 84)

Le sanzioni amministrative pecuniarie devono essere in ogni singolo caso effettive, proporzionate e dissuasive. Pertanto vanno analizzate le circostanze caso per caso, tenendo conto degli elementi elencati al paragrafo 2 dalla lettera a) alla lettera k) dell'articolo 83.

A seconda della violazione, la sanzione può essere fino a: 1) 10.000.000 euro o fino al 2% del fatturato mondiale totale annuo dell'esercizio precedente per le imprese, se è superiore a 10.000.000; oppure 2)  20.000.000 euro o fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente per le imprese, se è superiore a 20.000.000. La mancata osservanza delle sanzioni non pecuniarie inflitte può portare a una ulteriore sanzione pecuniaria. Inoltre, ai sensi dell’articolo 84 GDPR, gli Stati membri possono introdurre ulteriori sanzioni, purché queste siano effettive, proporzionate e dissuasive.

8. Conclusione

Il Capo VIII è estremamente importante in quanto contiene diritti essenziali per gli interessati: per un maggiore approfondimento si rimanda alla lettura integrale degli articoli, dei relativi considerando e delle sentenze sul tema.