NUMERO 1 - 2023


Violazione in materia di tutela dei dati personali profili di responsabilità civile

Violation regarding the protection of personal data: civil liability profiles

Mariafrancesca Cocuccio, Ricercatore di diritto privato, Università degli Studi di Messina

Sommario

1. Premessa. - 2. La responsabilità civile per illecito trattamento dei dati personali alla luce del nuovo GDPR (General Data Protection Regulation). –3. Segue. Il principio dell’accountability (o principio di responsabilizzazione). - 4. Onere probatorio. – 5. Dati bancari e tutela risarcitoria. – 6. Dati particolari (ex dati sensibili) e ipotesi di trattamento lecito in ambito bancario.

Sintesi

Il presente lavoro intende fornire qualche spunto di riflessione su un argomento quale quello della responsabilità civile in caso di trattamento illecito dei dati personali. Ai fini della ripartizione interna della responsabilità tra titolare e responsabile si deve tenere conto della misura in cui il danno è stato causato dalle rispettive condotte. Gli stessi potranno liberarsi da responsabilità dimostrando che non vi è stata alcuna violazione, (cioè, che il trattamento non si è posto al di fuori del perimetro di liceità delineato dal Regolamento), che non erano disponibili misure tecniche atte a mitigare il rischio o che i costi delle misure di prevenzione erano eccessivi rispetto a una bassa probabilità e/o gravità del rischio. Particolare attenzione è dedicata alla tipologia dei dati bancari e alle situazioni di trattamento lecito dei dati particolari (sensibili) da parte dell’istituto bancario.

Abstract

The work aims to provide some food for thought on a topic such as civil liability in case of unlawful processing of personal data. For the purposes of the internal allocation of responsibility between controller and processor, account must be taken of the extent to which the damage was caused by their respective conduct. They will be able to free themselves from liability by demonstrating that there was no violation, (that is, that the treatment did not take place outside the perimeter of lawfulness outlined by the Regulation), that not technical measures were available to mitigate the risk or that the costs of the prevention measures were excessive compared to a low probability and / or severity of the risk. Particular attention is paid to the type of bank data and to situations of lawful processing of particular (sensitive) data by the bank.

Newsletter

Iscriviti, dopo aver letto la nostra Informativa privacy, se vuoi ricevere la nostra newsletter ed essere aggiornato sulle nostre ultime novità e attività.