La responsabilità civile da illecito trattamento dei dati personali

This research thesis addresses the issue of civil liability for unlawful processing of personal data (art. 82 GDPR). The research aims to demonstrate that, while the right to privacy is an essentially personal right, the right to data protection is, only partially, a subjective right. In order to provide more effective protection tools, it is necessary to abandon the purely individualistic conception, which involves a system of responsibility based on the action of the individual. In particular, when processing involves profiling and big data, ethical and social development purposes should also be guaranteed. The right to data protection should, therefore, take more account of collective risks and the accountability system should be complemented by greater transparency obligations and a system of more penetrating and incisive controls by supervisory authorities. The first part of the thesis focuses on the evolution that has led to the affirmation of the right to data protection, as an expression of the right to privacy, taking into account the technological context in which this recognition has matured. The analysis retraces the main theories of U.S. doctrine and jurisprudence that have contributed to the affirmation of the right to privacy, to show that it is understood in an essentially personalistic key. The historical evolution traces the stages of European and national legislation on data regulation and culminates with an analysis that highlights how the right to data protection, the right to privacy, the right to personal identity, the right to self-determination are intertwined. In the second chapter, we show that the exponential evolution of technological tools of the modern era undermines the conception of the right to data protection in an essentially personalistic key. In particular, the creation of the internet, computer platforms, social networks, the development of artificial intelligence and predictive algorithms, are likely to make completely inefficient and inadequate a system of protection based on a purely personalistic conception of the right to data protection. The collective/social risks of data processing are analyzed, illustrating the main theories of surveillance. In the third chapter, the subjects referred to in Article 82 GDPR and the principles of processing are analyzed. The analysis shows that the protection mechanism still based on consent determines a strong loss of effectiveness of the data protection system. The GDPR focuses on the figure of the controller, who is burdened by significant obligations, in particular that of accountability. The controller is required to carry out a risk assessment activity in order to implement technical and organizational measures to avoid or mitigate risks. He is required to constantly monitor the processes of his business activity that involve the use of data and is required to comply with the principles of the GDPR. The last part of the research deals with the nature and discipline of liability for unlawful processing of personal data. The thesis delves into the risk management model designed by the GDPR, according to which the controller must adopt a proactive approach in preventing risks through an organizational structure that, at all levels and in all areas of competence, takes the necessary measures to ensure that personal data are always processed lawfully. Lastly, the research explores the issue of the damages resulting from unlawful processing, with specific reference to the issue of immaterial damages. In the European doctrine there is a heated debate around the problem of compensability, both in terms of definition and quantification, of immaterial damages resulting from unlawful processing.

La tesi affronta il tema della responsabilità civile da illecito trattamento dei dati personali (art. 82 GDPR). Il lavoro si pone l’obbiettivo di dimostrare che, mentre il diritto alla privacy è un diritto essenzialmente personalistico, il diritto alla protezione dei dati è, solo parzialmente, un diritto soggettivo. Per poter predisporre strumenti di tutela più efficaci, è necessario abbandonare la concezione prettamente individualista, che comporta un sistema di responsabilità ad azione del singolo. In particolare, quando i trattamenti involgono attività di profilazione e big data, dovrebbero essere garantite anche finalità di sviluppo etico e sociale. Il diritto alla protezione dei dati dovrebbe, dunque, considerare maggiormente i rischi collettivi e il sistema di accountability dovrebbe essere integrato da obblighi di trasparenza maggiori e da un sistema di controlli più penetranti ed incisivi da parte delle autorità di controllo. La prima parte del lavoro si concentra sull’evoluzione che ha portato all’affermazione del diritto alla protezione dei dati, quale espressione del diritto alla privacy, tenendo in considerazione il contesto tecnologico in cui tale riconoscimento è maturato. L’analisi ripercorre le principali teorie della dottrina e della giurisprudenza statunitensi che hanno contribuito all’affermazione del diritto alla privacy, per dimostrare che esso viene inteso in chiave essenzialmente personalistica. L’evoluzione storica ripercorre le tappe legislative europee e nazionali sulla disciplina dei dati e culmina con un’analisi dei punti di contatto tra diritto alla protezione dei dati, il diritto alla riservatezza, il diritto all’identità personale, il diritto all’autodeterminazione. Nel secondo capitolo, si evidenzia che l’evoluzione esponenziale degli strumenti tecnologici dell’epoca moderna mette in crisi la concezione del diritto alla protezione dei dati in chiave essenzialmente personalistica. In particolare, la creazione di internet, le piattaforme informatiche, i social network, lo sviluppo dell’intelligenza artificiale e gli algoritmi predittivi, rischiano di rendere del tutto inefficiente e inadeguato un sistema di tutela basato su una concezione meramente personalistica del diritto alla protezione dei dati. Si analizzano i rischi collettivi/sociali del trattamento dei dati, illustrando le principali teorie della sorveglianza. Nel terzo capitolo si analizzano le figure soggettive di cui all’art. 82 GDPR e i principi del trattamento. L’analisi evidenzia che il meccanismo di tutela ancora fondato sul consenso determina una forte perdita di effettività del sistema di tutela dei dati. Il GDPR si focalizza maggiormente sulla figura del titolare, su cui gravitano obblighi pregnanti, in particolare quello di accountability. Il titolare è tenuto a svolgere un’attività di ponderazione dei rischi per mettere in atto misure tecniche e organizzative per evitarli o mitigarli. Egli è tenuto a monitorare costantemente i processi della sua attività imprenditoriale che involgono l’utilizzo di dati ed è tenuto a conformare la propria attività nell’osservanza dei principi del GDPR. L’ultima parte del lavoro di ricerca tratta della natura della responsabilità per illecito trattamento dei dati personali. La tesi approfondisce il modello di gestione del rischio disegnato dal GDPR, secondo cui il titolare deve mantenere un approccio proattivo nel prevenire i rischi, dotandosi di una struttura organizzativa che, a tutti i livelli e aree di competenza, adotti le necessarie misure per garantire che i dati personali siano trattati sempre in modo lecito. Da ultimo il lavoro di ricerca approfondisce il problema dei danni risarcibili a seguito di trattamento illecito, con riferimento specifico alla questione dei danni non patrimoniali.