Come già rilevato, il Regolamento pone a tutela della persona e dei suoi dati anche la responsabilità civile, al fine di ripristinare il patrimonio giuridico del danneggiato.

Nel considerando 146 il Legislatore europeo formula alcune osservazioni, utili anche ai fini dell’interpretazione delle disposizioni legislative.

In particolare, si afferma che il titolare del trattamento o il responsabile del trattamento dovrebbe risarcire i danni cagionati ad una persona da un trattamento non conforme, ma dovrebbe essere esonerato da tale responsabilità se dimostra che l’evento dannoso non gli è in alcun modo imputabile. Si ha trattamento non conforme al regolamento anche nel caso in cui il trattamento non sia conforme agli atti delegati e agli atti di esecuzione adottati in conformità del GDPR, e alle disposizioni del diritto degli Stati membri che ne specificano le disposizioni.

E’ poi l’articolo 82 del Regolamento che disciplina nello specifico il risarcimento del danno per violazione della privacy.

Esso sancisce al primo paragrafo che chiunque subisca un danno materiale o immateriale (patrimoniale o non patrimoniale) causato da una violazione del regolamento, ha diritto ad ottenere il risarcimento del danno dal titolare o dal responsabile del trattamento.
 
Viene così riconosciuta espressamente l’ammissibilità anche del danno non patrimoniale, e vengono identificati gli elementi necessari per la nascita dell’obbligazione risarcitoria: la condotta (attiva o omissiva) violativa del regolamento, il danno, il rapporto eziologico tra questi. L’ammissibilità del risarcimento del danno non patrimoniale risponde all’obiettivo, sancito dal considerando 146, di garantire il pieno ed effettivo risarcimento del danno subito.
Saranno tenuti al risarcimento del danno, in alternativa, il titolare o il responsabile del trattamento. A tal fine, si ricordi che il titolare del trattamento è il soggetto che determina la finalità e i mezzi del trattamento dei dati, mentre il responsabile è il soggetto che tratta i dati personali per conto del titolare (artt. 4, 24 e 28 GDPR).

Il legislatore pone al centro della fattispecie il soggetto debole del rapporto, costruendo la disposizione attorno al danneggiato ed al suo diritto al risarcimento.

E’ il paragrafo secondo a stabilire quando è il titolare del trattamento a dover corrispondere il risarcimento del danno, o quando invece è il responsabile del trattamento a doverlo corrispondere. Il titolare del trattamento risponde quando è coinvolto nel trattamento che, violando il regolamento, ha cagionato il danno; il responsabile del trattamento risponde per il danno cagionato solo se non ha adempiuto agli obblighi del regolamento che siano specificamente diretti nei suoi confronti, o ha agito in modo difforme o addirittura contrario rispetto alle legittime istruzioni impartitegli dal titolare del trattamento.

Il titolare e il responsabile del trattamento vanno esenti da responsabilità se dimostrano che l’evento dannoso non è in alcun modo a loro imputabile (par. 3). Si tratta quindi, al pari delle fattispecie di cui agli artt. 2050 e 2054 c.c., di una ipotesi di inversione dell’onere della prova. La ragione dell’inversione dell’onere della prova risiede nel fatto che il trattamento dei dati è attività considerata pericolosa; ciononostante essa è consentita dall’ordinamento perché utile, con conseguente compensazione del rischio tramite gli obblighi a carico delle imprese di garantire la sicurezza dei trattamenti. In conclusione, anche per proteggere il soggetto debole del rapporto, che normalmente va individuato nel titolare dei dati personali, sono il titolare ed il responsabile del trattamento a dover dimostrare che l’evento dannoso non è a loro imputabile.

Nel chiedere il risarcimento del danno, il titolare dei dati dovrà quindi provare l’esistenza del danno, la sussistenza di una condotta in violazione della normativa a tutela dei dati personali, e la relazione causale tra i primi due elementi; per liberarsi dalla responsabilità risarcitoria, il titolare o il responsabile del trattamento deve provare che l’evento dannoso non è in alcun modo a lui imputabile.

Nel caso in cui più titolari o responsabili del trattamento, o il titolare ed il responsabile, siano coinvolti nello stesso trattamento e siano insieme responsabili del danno patito, essi sono responsabili in solido (si veda anche l’art. 2055 c.c.). L’espressione “coinvolgimento” vuole far riferimento a qualsiasi forma di partecipazione. Ne consegue che il soggetto o i soggetti lesi potranno domandare anche ad uno solo dei danneggianti l’intero ammontare del danno, e questi sarà tenuto a corrisponderglielo, salva poi la possibilità di rivalersi nei confronti del coobbligato in solido della quota a lui imputabile (paragrafo 5). Tale previsione ha la finalità di garantire l’effettivo e tempestivo risarcimento all’interessato.

Secondo il Regolamento, le azioni legali per l’esercizio del diritto al risarcimento del danno devono essere promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui l’interessato risiede abitualmente, salvo che il titolare o il responsabile del trattamento sia un’autorità pubblica di uno Stato membro nell’esercizio dei pubblici poteri (art. 79, par. 2).  In Italia, la competenza spetta in via ordinaria al giudice civile, fatto sempre salvo, in sintonia con quanto stabilito dal regolamento, il criterio del riparto di giurisdizione tra giudice ordinario ed amministrativo di cui agli artt. 103 Cost. e 7 Codice del processo amministrativo.