Con una recente pronuncia, la Corte di giustizia dell’Unione europea si è pronunciata sul risarcimento del danno in caso di furto di dati, stabilendo che è risarcibile, in qualità di danno immateriale, anche solo il rischio ed il timore che i dati che sono stati oggetto di furto vengano utilizzati illecitamente.
La sentenza C-340/21 rappresenta un’ulteriore pietra miliare nella giurisprudenza in materia di protezione dei dati personali e ne sottolinea l’importanza cruciale, arretrando la soglia della risarcibilità del danno non già al fatto vero e proprio dell’utilizzo dei dati rubati, ma al solo fatto che i dati sottratti illecitamente siano esposti al rischio di utilizzo abusivo: quasi una sorta di danno in re ipsa, per il solo fatto che i dati siano stati sottratti.
Indice
1. Il caso trattato: danno in caso di furto di dati
Il caso in questione coinvolge l’Agenzia nazionale per le entrate pubbliche bulgara, collegata al Ministero delle Finanze e da esso incaricata dell’identificazione, salvaguardia e recupero dei crediti pubblici. Agendo in qualità di titolare autonomo del trattamento dei dati, l’Agenzia è stata vittima di un attacco informatico, che ha portato alla pubblicazione su Internet di dati personali di milioni di interessati, a seguito del quale sono state intentate azioni giudiziarie a pioggia, da parte degli interessati, per il risarcimento del danno immateriale, nel timore diffuso di un possibile utilizzo illecito di tali dati da parte di criminali informatici.
La Corte amministrativa suprema bulgara ha sollevato diverse questioni pregiudiziali, richiedendo alla Corte di Giustizia dell’Unione europea di chiarire le condizioni per il risarcimento del danno immateriale in casi simili, ovvero quando un’agenzia pubblica, titolare del trattamento, venga attaccata con conseguente esfiltrazione dei dati e pubblicazione sul web.
La Corte di giustizia ha risposto sottolineando che, in caso di divulgazione non autorizzata o accesso non autorizzato ai dati personali, è fondamentale esaminare l’adeguatezza delle misure di sicurezza adottate dal responsabile del trattamento. Non è possibile, infatti, determinare che le misure di sicurezza non erano adeguate solo perché vi è stato un data breach, ma l’analisi va svolta in concreto, entrando nel merito, con onere della prova relativamente all’adeguatezza delle misure a carico del titolare del trattamento.
Viceversa, nell’ipotesi in cui la divulgazione non autorizzata o l’accesso non autorizzato avvengano ad opera di terzi, a seguito di un attacco informatico, il titolare del trattamento può essere obbligato a risarcire le persone che hanno subito un danno ed altresì può essere considerato risarcibile, come danno immateriale, anche solo il timore di un potenziale utilizzo abusivo dei dati ottenuti a seguito di attacco informatico.
L’importanza e l’ampia portata della recente decisione della Corte di giustizia dell’Unione europea vanno ben oltre una mera sentenza legale. La sentenza C-340/21 rappresenta un significativo progresso nell’ambito della protezione della privacy, riconoscendo la complessità intrinseca delle sfide legate alla sicurezza informatica e sottolineando la necessità cruciale di responsabilizzare gli attori coinvolti nella gestione dei dati personali.
La complessità della sicurezza informatica è stata sottolineata dal fatto che, in caso di divulgazione non autorizzata o accesso non autorizzato ai dati personali, la Corte di giustizia ha evidenziato la necessità di un’analisi approfondita sull’adeguatezza delle misure di sicurezza adottate dai titolari del trattamento. Questo approccio meticoloso riconosce che la sicurezza dei dati è un processo dinamico che richiede valutazioni continue e misure adeguate per fronteggiare minacce in continua evoluzione.
La decisione sottolinea inoltre l’importanza di considerare il “danno immateriale” derivante dal timore di un potenziale utilizzo abusivo dei dati personali da parte di terzi, in seguito a violazioni del regolamento generale sulla protezione dei dati (GDPR). Questo concetto allarga il campo di visione rispetto a un danno tangibile, riconoscendo che il solo timore di un possibile impatto negativo può costituire un danno di per sé.
Il principio fondamentale che emerge è che la protezione dei dati personali non è solo una priorità, ma una responsabilità che deve essere affrontata con la massima serietà da parte di coloro che gestiscono tali dati. La decisione rafforza l’idea che la tutela della privacy è una componente essenziale dell’era digitale e che il settore pubblico e privato deve adottare misure proattive per garantire la sicurezza e l’integrità dei dati personali.
In sintesi, questa decisione segna un progresso fondamentale verso un approccio più robusto e responsabile alla gestione dei dati personali nell’ambiente digitale in continua evoluzione. Riflette la consapevolezza crescente dell’importanza della sicurezza informatica e della protezione dei dati, promuovendo un contesto in cui la privacy degli individui è una priorità non negoziabile.
Potrebbero interessarti anche:
2. I principi stabiliti dalla sentenza
1) Gli articoli 24 e 32 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), devono essere interpretati nel senso che:
una divulgazione non autorizzata di dati personali o un accesso non autorizzato a tali dati da parte di «terzi», ai sensi dell’articolo 4, punto 10, di tale regolamento, non sono sufficienti, di per sé, per ritenere che le misure tecniche e organizzative attuate dal titolare del trattamento in questione non fossero «adeguate», ai sensi di tali articoli 24 e 32.
2) L’articolo 32 del regolamento 2016/679 dev’essere interpretato nel senso che:
l’adeguatezza delle misure tecniche e organizzative attuate dal titolare del trattamento ai sensi di tale articolo deve essere valutata dai giudici nazionali in concreto, tenendo conto dei rischi connessi al trattamento di cui trattasi e valutando se la natura, il contenuto e l’attuazione di tali misure siano adeguati a tali rischi.
3) Il principio di responsabilità del titolare del trattamento, enunciato all’articolo 5, paragrafo 2, del regolamento 2016/679 e concretizzato all’articolo 24 di quest’ultimo, deve essere interpretato nel senso che:
nell’ambito di un’azione di risarcimento fondata sull’articolo 82 di tale regolamento, al titolare del trattamento di cui trattasi incombe l’onere di dimostrare l’adeguatezza delle misure di sicurezza da esso attuate ai sensi dell’articolo 32 di detto regolamento.
4) L’articolo 32 del regolamento 2016/679 e il principio di effettività del diritto dell’Unione devono essere interpretati nel senso che:
al fine di valutare l’adeguatezza delle misure di sicurezza che il titolare del trattamento ha attuato ai sensi di tale articolo, una perizia giudiziaria non può costituire un mezzo di prova sistematicamente necessario e sufficiente.
5) L’articolo 82, paragrafo 3, del regolamento 2016/679 deve essere interpretato nel senso che:
il titolare del trattamento non può essere esonerato dal suo obbligo di risarcire il danno subito da una persona, ai sensi dell’articolo 82, paragrafi 1 e 2, di tale regolamento, per il solo fatto che tale danno deriva da una divulgazione non autorizzata di dati personali o da un accesso non autorizzato a tali dati da parte di «terzi», ai sensi dell’articolo 4, punto 10, di detto regolamento, dato che tale responsabile deve allora dimostrare che il fatto che ha provocato il danno in questione non gli è in alcun modo imputabile.
6) L’articolo 82, paragrafo 1, del regolamento 2016/679 deve essere interpretato nel senso che:
il timore di un potenziale utilizzo abusivo dei suoi dati personali da parte di terzi che un interessato nutre a seguito di una violazione di tale regolamento può, di per sé, costituire un «danno immateriale», ai sensi di tale disposizione.
Vuoi ricevere aggiornamenti costanti?
Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!
Scegli quale newsletter vuoi ricevere
Autorizzo l’invio di comunicazioni a scopo commerciale e di marketing nei limiti indicati nell’informativa.
Cliccando su “Iscriviti” dichiari di aver letto e accettato la privacy policy.
Grazie per esserti iscritto alla newsletter.
Scrivi un commento
Accedi per poter inserire un commento