Affrontiamo oggi un tema molto attuale: quello del nuovo GDPR, ovvero il General Data Protection Regulation, che entrerà in vigore il prossimo 25 maggio 2018 e impatterà anche il settore legale, principalmente per i risarcimenti danni nei casi di violazione.

Il Regolamento Europeo per la Protezione Dati Personali comporta l’introduzione di norme e indicazioni, comuni in tutti gli stati membri, utili a regolamentare la raccolta e il trattamento di dati sensibili, siano essi personali, giudiziari o bancari, con lo scopo di salvaguardare i cittadini e i loro diritti, prevedendo o comunque minimizzando il rischio di violazioni.

La compliance del regolamento, i cui ambiti di applicazione sono i più svariati, comporterà interventi strutturali sui siti web, dal punto di vista del CMS, della cookie law o ancora per l’eventuale invio di newsletters. L’attuazione del GDPR da parte dell’Unione Europea giunge a consolidare il principio di tutela della privacy degli utenti con la definizione di alti standard di protezione e sicurezza dei dati. La nuova normativa, inoltre, si pone come punto d’unione delle diverse leggi in vigore negli stati dell’Unione.

Proprio come già successo qualche anno fa per la cookie law, buone pratiche e la consulenza di esperti informatici possono aiutare imprese, aziende e privati a farsi trovare pronti per questa importante scadenza, che introduce delle nuove figure professionali fra cui il responsabile della protezione dati accanto al titolare e al responsabile del trattamento.

Ma cosa potrebbe accadere in caso di violazione dei dati personali di un utente? Come sancito dall’art. 82, al paragrafo 1, il nuovo regolamento europeo stabilisce che “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”.

Nell’ottobre del 2017 è stata adottata da parte di tutte le autorità garanti per la privacy dei singoli paesi la linea guida n° 253 con lo scopo di fornire criteri comuni di applicazione e interpretazione della nuova normativa, la cui violazione prevede sanzioni anche molto pesanti. Saranno, infatti, le singole autorità garanti dei paesi membri i soggetti chiamati in causa per la definizione di sanzioni e risarcimenti.

Queste linee guida introducono un altro importante aspetto: l’omologazione dei criteri previsti dalle norme, in modo tale che vengano interpretati e applicati in maniera uniforme in tutti gli stati UE, poiché potrebbe capitare che la richiesta di risarcimento danni coinvolga utente di un paese e impresa con sede legale in un paese diverso.

Resta fermo il fatto che da un punto di vista strettamente formale la richiesta di risarcimento danni avverrà in ogni paese davanti alle rispettive autorità giurisdizionali competenti seguendo le specifiche norme in vigore. In Italia, per esempio, la competenza a giudicare su questo nuovo ambito risarcitorio resterà alla magistratura civile.

Il regolamento, infine, è molto preciso anche nel delimitare l’ambito della responsabilità: nei casi in cui la violazione dei dati avvenga per cause in nessun modo imputabili al responsabile del trattamento dati, quest’ultimo viene esonerato dall’obbligo di risarcimento.

Una attenta consulenza legale è dunque più che mai necessaria per affrontare consapevolmente la nascita di un nuovo “sistema” di diritti e di doveri.