APPROFONDIMENTI

Il nuovo Regolamento Generale sulla Protezione dei Dati (GDPR): il ruolo del Data Protection Officer (DPO)

23/03/2017

di Avv. Simone Moretti

Il Reg. (UE) n. 2016/679 del Parlamento Europeo e del Consiglio detta la nuova disciplina in materia di protezione dei dati personali e troverà diretta applicazione negli Stati Membri a partire dal 25 maggio 2018.
Il Regolamento, a fianco alle figure del titolare e del responsabile del trattamento dei dati, istituisce all'art. 37 la nuova figura del Responsabile della Protezione dei Dati (Data Protection Officer o anche DPO).
Tale figura deve essere nominata dal titolare e dal responsabile del trattamento nei seguenti casi:
a) se il trattamento è effettuato da autorità pubbliche;
b) se l'attività principale del titolare o del responsabile del trattamento consiste in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
c) se l'attività principale del titolare o del responsabile è il trattamento di dati di particolari categorie di dati personali (che rivelino l'origine razziale o etnica, le convinzioni religiose o filosofiche, dati biometrici etc.) o dati relativi a condanne penali.
Il Responsabile della Protezione dei dati può essere unico all'interno di un gruppo imprenditoriale, a condizione che egli sia facilmente raggiungibile da ciascuno stabilimento. La definizione di gruppo imprenditoriale offerta dallo stesso Regolamento è piuttosto ampia ed estensiva, consistendo in un gruppo costituito da un'impresa controllante e dalle imprese da questa controllate (art. 4, n. 19). Per comprendere cosa abbia inteso il legislatore comunitario per "impresa controllante" è utile la lettura del considerando n. 37 secondo il quale l'impresa controllante è quella che può esercitare un'influenza dominante sulle controllate in forza della proprietà, della partecipazione finanziaria, delle norme societarie o del potere di fare applicare le norme in materia di protezione dei dai personali. Anche il mero collegamento tra due imprese, laddove implichi una gestione comune del trattamento, può essere incluso nel concetto di gruppo imprenditoriale e consente pertanto la nomina di un unico DPO.
I compiti del DPO sono elencati all'art. 39 del Regolamento e consistono nel:
a) informare e fornire consulenza in merito agli obblighi derivanti dal Regolamento;
b) sorvegliare l'applicazione del Regolamento e delle politiche in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità (c.d. accountability), la sensibilizzazione e la formazione del personale che partecipa ai trattamenti;
c) fornire pareri circa la valutazione d'impatto sulla protezione dei dati;
d) cooperare con l'autorità di controllo;
e) fungere da punto di contratto per l'autorità di controllo per questioni connesse al trattamento (v. consultazione preventiva ex art. 36 Reg.).
Il titolare e il responsabile del trattamento devono coinvolgere il DPO in tutte le questioni riguardanti la protezione dei dati personali e fornirgli le risorse necessarie per l'assolvimento dei compiti elencati dall'art. 39 del Regolamento, ma non possono fornirgli indicazioni in merito all'esecuzione dei propri compiti. Il DPO è infatti una figura indipendente, che riporta direttamente al "vertice gerarchico" del titolare e del responsabile del trattamento dei dati. Il DPO non è una figura esclusiva, in quanto può svolgere anche altri compiti e funzioni, a condizione che essi non diano adito a un conflitto di interessi.
Il 13 dicembre 2016 il Gruppo dei Garanti UE ha emesso alcune linee guida e raccomandazioni aventi ad oggetto la figura del DPO. Le linee guida forniscono indicazioni utili circa le qualità personali e le caratteristiche che il DPO deve possedere, tra le quali un livello di competenza adeguato al tipo di trattamento effettuato; sanciscono inoltre i principi di indipendenza e inamovibilità, alla luce dei quali il DPO deve svolgere i propri compiti.
Vengono inoltre fornite alcune importanti indicazioni per l'interpretazione del concetto di monitoraggio su larga scala, che come abbiamo visto rappresenta uno dei casi in cui la nomina del DPO diviene obbligatoria. In particolare per comprendere se ci si trovi di fronte ad un monitoraggio di tale specie, occorre prendere in considerazione: il numero di persone interessate, il volume dei dati, la durata o la permanenza dell'attività di elaborazione dei dati e l'estensione geografica dell'attività di trasformazione. Le linee guida forniscono anche alcuni utili esempi di monitoraggio su larga scala che comprendono l'elaborazione dei dati del paziente nel corso normale delle attività di un ospedale, il trattamento dei dati di viaggio nel trasporto pubblico locale, il trattamento dei dati dei clienti delle compagnie di assicurazione e delle banche, il trattamento dei dati sul traffico telefonico da parte della compagnie telefoniche.
Il Regolamento dovrà essere implementato dai soggetti interessati tra poco più di un anno: gli adempimenti richiesti sono tutt'altro che formali e sono improntati ad un nuova visione della protezione dei dati personali non più incentrata sui diritti dell'interessato ma sugli obblighi di gravanti sul titolare e sul responsabile del trattamento dei dati personali. La nuova figura del DPO, quale soggetto indipendente di vigilanza e controllo e punto di raccordo con l'autorità garante, si inserisce in questa nuova prospettiva e dovrebbe consentire una verifica costante e ravvicinata della corretta applicazione del Regolamento GDPR.

Pubblicazioni

Solamente qualche giorno fa – ordinanza n. 26805 del 12.09.2022 - la Corte di Cassazione è intervenuta per fare ancora una volta chiarezza sulle differenze semantiche e ontologiche esistenti tra il danno biologico, il danno morale e la personalizzazione. Termini polisemici e di frequente mal interpretati.

Nel richiedere la liquidazione del danno non patrimoniale spesso le parti incorrono in confusione nel nominare in modo diverso concetti uguali o nel richiedere più volte uno stesso nocumento indicandolo sotto diverse nomenclature.

Il corretto inquadramento di queste componenti che appartengono ad un unico genus – cioè quello del danno non patrimoniale - è indispensabile al fine di applicare in modo appropriato i criteri per la loro liquidazione, anche in virtù delle modifiche di recente apportate dall’Osservatorio di Milano alle tabelle meneghine.

Una prima precisazione va fatta con riferimento al danno biologico che i più fanno coincidere con il danno alla salute.

In realtà, come ben chiarito dalla Suprema Corte nella sentenza n. 7513 del 2018, il danno alla salute non va considerato, e in questo senso è d’accordo anche la medicina legale italiana, come nocumento fisico in re ipsa ma piuttosto quale compromissione delle abilità della vittima nello svolgimento di tutte le sue attività quotidiane.

Sotto tale profilo il Dott. Rossetti, relatore della citata pronuncia ricordava che “In questo senso si espresse già quasi vent'anni fa (ma inascoltata) la Società Italiana di Medicina Legale, la quale in esito al Congresso nazionale tenuto nel 2001 definì il danno biologico espresso nella percentuale di invalidità permanente, come "la menomazione (...) all'integrità psico-fisica della persona, comprensiva degli aspetti personali dinamico-relazionali (...), espressa in termini di percentuale della menomazione dell'integrità psicofisica, comprensiva della incidenza sulle attività quotidiane comuni a tutti".”

Pertanto per danno biologico è da intendersi il danno alla salute nei suoi riflessi dinamico relazionali. Prosegue la Cassazione “Non, dunque, che il danno alla salute “comprenda” pregiudizi dinamico-relazionali dovrà dirsi; ma piuttosto che il danno alla salute è un danno “dinamico relazionale”. Se non avesse conseguenzedinamico relazionali”, la lesione della salute non sarebbe nemmeno un danno medico-legalmente apprezzabile e giuridicamente risarcibile.”

Dunque l’incidenza di una menomazione permanente sulle quotidiane attività dinamico-relazionali della vittima non è un danno diverso dal danno biologico ma è proprio ciò che lo compone.

Nell’ambito della lesione della salute e dei suoi profili dinamico-relazionali vi possono essere conseguenze comuni a tutte i soggetti che hanno quel grado di invalidità e conseguenze peculiari che abbiano cioè reso il pregiudizio subito dalla vittima diverso e maggiore rispetto ai casi similari.

Mentre le prime vengono liquidate dietro mera dimostrazione del grado di invalidità, le seconde richiedono la prova concreta ed effettiva del maggior pregiudizio subito onde ottenerne il risarcimento mediante personalizzazione del danno. Ed infatti “In applicazione di tali princìpi, questa Corte ha già stabilito che soltanto in presenza di circostanze "specifiche ed eccezionali", tempestivamente allegate dal danneggiato, le quali rendano il danno concreto più grave, sotto gli aspetti indicati, rispetto alle conseguenze ordinariamente derivanti dai pregiudizi dello stesso grado sofferti da persone della stessa età, è consentito al giudice, con motivazione analitica e non stereotipata, incrementare le somme dovute a titolo risarcitorio in sede di personalizzazione della liquidazione (Sez. 3, Sentenza n. 23778 del 07/11/2014; Sez. 3, Sentenza n. 24471 del 18/11/2014).”

Il danno morale, infine, è costituito invece dai[1] “..pregiudizi che non hanno fondamento medico-legale, perché non aventi base organica ed estranei alla determinazione medico-legale del grado percentuale di invalidità permanente, rappresentati dalla sofferenza interiore (quali, ad esempio, il dolore dell'animo, la vergogna, la disistima di sé, la paura, la disperazione).”

Il danno morale è quindi una categoria autonoma[2] rispetto al danno biologico e si sostanzia nella rappresentazione di uno stato d'animo di sofferenza interiore del tutto autonomo e indipendente dalle vicende dinamico-relazionali della vita del danneggiato e che costituiscono come detto l’essenza del danno biologico.

L’autonomia di questa categoria – e il suo non automatico riconoscimento – si è riverberata nella revisione delle Tabelle di Milano che nella loro versione del 2021 specificano e distinguono nella liquidazione del danno non patrimoniale la componente biologico/relazionale e quella morale.

Nella pronuncia di settimana scorsa la Corte di Cassazione ha quindi chiarito l’operazione che gli operatori del diritto si trovano a dover fare nel momento della liquidazione delle poste risarcitorie e cioè dividere il danno non patrimoniale nelle sue componenti dinamico/relazionale (id est il danno biologico, se del caso personalizzato) e quella morale. Ed infatti “il giudice di merito dovrà:

1) accertare l'esistenza, nel singolo caso di specie, di un eventuale concorso del danno dinamico-relazionale e del danno morale;

2) in caso di positivo accertamento dell'esistenza (anche) di un danno da sofferenza morale, determinare il quantum risarcitorio applicando integralmente le tabelle di Milano, che preved(eva)ono la liquidazione di entrambe le voci di danno, ma pervenivano, per il danno biologico - prima dell'ultima, necessaria modificazione all'indicazione di un valore monetario automaticamente e complessivamente unitario (costituito dalla somma aritmetica di entrambe le voci di danno);

3) in caso di negativo accertamento, e di conseguente esclusione della componente morale del danno, considerare la sola voce del danno biologico (espressamente ed esclusivamente definito dal legislatore, fin dall'anno 2000, come danno dinamico/relazionale), depurata dall'aumento tabellarmente previsto per il danno morale secondo le percentuali ivi indicate, e liquidando, conseguentemente il solo aspetto dinamico-relazionale del danno;

4) in caso di positivo accertamento dei presupposti per la cd. personalizzazione del danno secondo gli stringenti criteri indicati dalla sentenza 7513/2018, procedere all'aumento fino al 30% del valore del solo danno biologico, depurato, analogamente a quanto indicato al precedente punto 3, dalla componente morale, automaticamente (ma erroneamente) inserita in tabella, giusta il disposto normativo di cui al già ricordato art. 138, punto 3, del novellato codice delle assicurazioni.”

4.15   Di conseguenza la personalizzazione del danno:

- andrà riconosciuta solo dietro specifica e concreta dimostrazione “di circostanze "specifiche ed eccezionali", tempestivamente allegate dal danneggiato, le quali rendano il danno concreto più grave, sotto gli aspetti indicati, rispetto alle conseguenze ordinariamente derivanti dai pregiudizi dello stesso grado sofferti da persone della stessa età.”[3]

- se dimostrata, andrà liquidata mediante aumento “fino al 30% del valore del solo danno biologico[4] e non prendendo a riferimento il danno non patrimoniale nella sua unitarietà. 

 

[1] Cass. Civ. sent. n. 7513 del 2018 

[2] Cass. Civ. ordinanza n. 15733 del 17.05.2022

[3] Civile Ord. Sez. 3 Num. 7513 Anno 2018

[4] Cass. civ. Sez. III, Ord., 12.09.2022, n. 26805


Leggi di più