NEWS

Il modello dell’accountability del Gdpr richiede un sistema di assicurazione generale della responsabilità civile

Il modello dell’accountability del Gdpr richiede un sistema di assicurazione generale della responsabilità civile. Lo stato delle cose ci fa dire che, ormai, bisogna essere pronti a discutere della necessità/opportunità di un sistema di assicurazione obbligatoria della responsabilità civile per danni derivanti dal data processing. Così come bisogna essere pronti a meccanismi di indennizzo forfettizzato e a procedure apposite di media-conciliazione delle controversie in materia di sinistri da circolazione dei dati.


È facile concordare sul fatto che la normativa sulla data protection è plasmata, pezzo per pezzo, sul bilanciamento di opposti interessi, nel quadro della accettazione (per legge) del costo sociale di un’attività rischiosa, ma consentita poiché indispensabile per la crescita socio-economica.

Trattare i dati personali travalica gli interessi dell’individuo. Qualche volta c’è la pregiudiziale del consenso dell’interessato, quale conditio sine qua non del trattamento. Altre, molte altre volte si prescinde dal consenso dell’interessato e la base giuridica del trattamento fa appello a interessi pubblici o privati, che sostengono di per sé il trattamento dei dati a prescindere dall’adesione del soggetto cui si riferiscono.

Altrettanto banale è considerare che i dati personali sono, al contempo, prodotto finito e materia prima di un ciclo produttivo che fornisce i servizi della società dell’informazione. Ciò conferma, se ce ne fosse bisogno, che l’economia e i protagonisti delle attività economiche hanno necessità di approvvigionarsi di dati e di commercializzare i dati.

Se così è e, quindi, se siamo di fronte ad una “attività pericolosa consentita”, ci si chiede se sia effettiva ed anche se sia equa una cornice di tutele affidata solo ed esclusivamente alle iniziative dei singoli.

Spieghiamoci meglio. Il Gdpr, certamente, disegna un quadro di garanzie che, da una parte, si basa sulla sensibilità e consapevolezza del data controller, il quale, pungolato da sanzioni di stordente severità, dovrebbe minimizzare i danni per gli interessati; questo stesso quadro, dall’altra parte, lascia per lo più all’iniziativa del singolo l’innesco delle tutele nei casi concreti. È il singolo, infatti, che deve promuovere una causa civile, con tutto quel che questo si trascina dietro.

Non ultimi, gli effetti disincentivanti derivanti dalla considerazione delle modalità di erogazione dei servizi della giustizia, dell’intrinseca alea del contenzioso, degli oneri economici di gestione della lite.

Così, qualcuno si tutela, tantissimi non fanno nulla. (Ndr: Federprivacy ha stabilito da tempo specifiche convenzioni per polizze assicurative a copertura dei rischi sui dati personali) Se nel breve periodo questo deficit di tutela effettiva non ridonda in conseguenze negative, nel medio e nel lungo periodo si rischia la diffusione della convinzione della ineffettività della normativa nel suo complesso.

L’agenda, per reagire a un doppio esito negativo (ineffettività della normativa e calo di adesione sociale alla normativa stessa), deve prevedere modalità di neutralizzazione proattiva della flessione di efficacia e di accettazione della disciplina del trattamento dei dati.

Alcuni interventi sono erogabili a legislazione vigente. Ci si riferisce a: 1) un sistema di assicurazione obbligatoria della responsabilità civile da sinistri occorsi nel trattamento del dato; 2) procedure di conciliazione formali e appositi, con mediatori specializzati nella data protection; 3) indennizzi forfettizzati degli interessati, sulla falsariga di discipline previste in ambiti consumeristici.

Quali sarebbero gli effetti di questi interventi?

L’assicurazione civile obbligatoria trasforma l’alea del sinistro in costo d’impresa e catalizza anche gli assessment necessari per ottenere le coperture. D’altra parte l’interessato gode di una sistema di assicurazione generale e sviluppa un approccio di maggiore fiducia rispetto ai meccanismi di produzione ed elaborazione dei dati.

Le procedure di conciliazione, rapide e snelle, devono garantire un percorso di agibilità di massa degli strumenti di tutela, senza gli inconvenienti del ricorso a un farraginoso procedimento giudiziario.

L’indennizzo forfettario, salvo rigorosa prova del maggior danno a carico dell’interessato, comporta una semplificazione del rapporto litigioso, di cui possono avvantaggiarsi entrambi i contendenti.

Note Autore

Antonio Ciccia Messina Antonio Ciccia Messina

Professore a contratto di "Tutela della privacy e trattamento dei dati Digitali” presso l'Università della Valle d’Aosta. Avvocato, autore di Italia Oggi e collaboratore giornali e riviste giuridiche e appassionato di calcio e della bellezza delle parole.

Prev Data Breach: valutazione e procedura di gestione
Next Tra trasparenza e minimizzazione, la ricetta della compliance al Gdpr nella p.a. è nella governance dei dati

Privacy Day Forum 2024, il trailer della giornata

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy