Il tema è stato analizzando prendendo spunto dall’ormai abrogato articolo 15 Cod. Privacy in raffronto con l’articolo 82 GDPR. Quest’ultima norma identifica nel Titolare e nel Responsabile i soggetti passivamente legittimati al risarcimento del danno (materiale o immateriale). La norma prevede sì una responsabilità solidale tra Titolari, co-Titolari, Responsabili e co-Responsabili, ma solo se detti soggetti risultino essere tutti coinvolti e tutti responsabili; nulla invece viene detto sulla solidarietà tra Titolare e/o Responsabile e persone fisiche designate e/o autorizzate.

Da un lato, la specifica espressione (questa sì, indicata a chiare lettere nel detto emendamento) secondo cui l’attribuzione dei compiti e delle funzioni è assegnata dal Titolare e dal Responsabile a soggetti subordinati che “operano sotto la loro autorità” e sempre “sotto la propria responsabilità”; dall’altro, nello stesso provvedimento legislativo (il citato D.Lgs. 10 agosto 2018, n. 101) si riscontra l’abrogazione del vecchio art. 15 e l’introduzione del nuovo art. 2-quaterdecies. Rileverebbe quindi una responsabilità verticistica in base al più generale principio della accountability dei soggetti titolati.

Sul secondo quesito, relativo all’ambito della rivalsa, si nota un riferimento nel corpo dell’art. 82, comma 5 GDPR , ma con i seguenti importanti distinguo: ci si muove nell’ambito dei rapporti “di vertice” (tra Titolari e Responsabili) e non si argomenta di una “totale” rivalsa bensì solo di una rivalsa sulla rispettiva “quota parte”. In ogni caso, a fronte di quella che appare l’assenza di norme specifiche, riteniamo si possano seguire le norme generali che attengono alla fattispecie della rivalsa nei confronti di un dipendente.

Nelle azioni per il recupero dell’equivalente del danno causato per colpa (negligenza, imperizia o inosservanza delle disposizioni di servizio), sono necessari, a parere di chi scrive, diversi steps preliminari: la rivalsa deve avvenire a seguito di uno specifico iter sanzionatorio nel rispetto delle norme dello Statuto dei lavoratori e del CCNL di riferimento; potrebbe essere necessario incardinare un’azione giudiziaria per ottenere un titolo esecutivo pienamente esercitabile. È sempre da escludere un’azione unilaterale del Titolare e/o del Responsabile del trattamento in mancanza di un iter disciplinare correttamente e legittimamente incardinato; la stessa va esclusa nel caso le risultanze del procedimento evidenziassero ipotesi di caso fortuito o forza maggiore.