800 561720
La Corte di Giustizia dell’Unione Europea, mediante la recente decisione nella causa C-340/21, ha formalizzato un’interpretazione del GDPR particolarmente interessante, aprendo, di fatto, la strada, al risarcimento del danno immateriale derivante dalle semplici inquietudini, ansie e timori che una determinata violazione dei dati personali possa avere ulteriori, future, conseguenze negative.
L’attacco informatico al NAP
La controversia ha origine da una violazione dei dati personali subita dalla Agenzia nazionale per le entrate pubbliche della Bulgaria (Natsionalna agentsia za prihodite, “NAP”), ente che, fra le altre cose, si occupa dell’identificazione, salvaguardia e recupero dei crediti pubblici, in qualità di titolare del trattamento dei dati. Nel luglio 2019, in seguito ad un attacco hacker al sistema informatico della NAP, venivano compromessi i dati di più di sei milioni di persone fisiche, di nazionalità bulgara o straniera. Taluni di questi dati erano oggetto di pubblicazione su internet.
L’azione in giudizio
A fronte della violazione subita dal NAP, centinaia di persone hanno proposto azioni di risarcimento dei danni morali che sarebbero derivati dalla divulgazione dei loro dati personali. Fra queste persone, una ricorrente ha adito il Tribunale amministrativo della città di Sofia, richiedendo al NAP una somma pari a 510 euro in considerazione del danno immateriale subito. Secondo la ricorrente, il danno consisterebbe “nel timore che i suoi dati personali che sono stati pubblicati senza il suo consenso siano oggetto di un utilizzo abusivo, in futuro, o che essa subisca un ricatto, un’aggressione, o addirittura un rapimento”.
Il giudice di primo grado, tuttavia, respingeva il ricorso, sulla base del fatto che la ricorrente non aveva dimostrato l’inerzia della NAP quanto all’adozione di misure di sicurezza adeguate.
Il rinvio pregiudiziale
La ricorrente si rivolgeva quindi alla Corte suprema amministrativa bulgara, sostenendo la presenza di un errore di diritto nella ripartizione dell’onere della prova relativo alle misure di sicurezza.
La Corte bulgara decideva di rinviare alla Corte di Giustizia dell’Unione Europea (CGUE) le seguenti questioni pregiudiziali:
- Se la constatazione della sopravvenienza di una violazione di dati personali consenta, di per sé, di concludere che le misure attuate dal titolare del trattamento siano inadeguate;
- Sulla portata del controllo che i giudici nazionali devono effettuare per valutare l’adeguatezza delle misure di sicurezza adottate dal titolare;
- Sulle norme applicabili che regolano l’onere della prova;
- Se l’attacco informatico ad opera di terze parti possa esonerare il titolare del trattamento dalla sua responsabilità per il danno causato all’interessato;
- se le sole inquietudini e ansie e i soli timori provati da una persona rispetto al fatto che i propri dati personali possano essere oggetto di un utilizzo abusivo in futuro, possano, di per sé, costituire un «danno immateriale», ai sensi dell’articolo 82, paragrafo 1, del GDPR.
Sulla responsabilità del titolare in caso di breach
Rispetto alla prima questione pregiudiziale, la CGUE è chiara nel disporre che da una violazione subita non è possibile automaticamente dedurre l’inadeguatezza delle misure di sicurezza adottate dal titolare.
Lo stesso GDPR, infatti, richiede l’implementazione di un sistema di sicurezza adeguato ai rischi, senza però la pretesa che gli stessi possano essere eliminati del tutto (sarebbe, nella maggior parte dei casi, utopico). Il considerando 83, semmai, prevede che questi siano, per quanto possibile, limitati (“il titolare del trattamento o il responsabile del trattamento dovrebbe valutare i rischi inerenti al trattamento e attuare misure per limitare tali rischi”).
Sulla responsabilità del titolare per danni da attacco informatico
Parlando di responsabilità del titolare, la Corte chiarisce che, in caso di violazione derivante da un attacco informatico ad opera di terze parti (quali, ad esempio, dei cyber-criminali), il titolare del trattamento può esimersi dalla propria responsabilità (e quindi dal suo obbligo di risarcire il danno subito da una persona), solo se è in grado di dimostrare che non sussiste alcun nesso di causalità tra la sua eventuale violazione dell’obbligo di protezione dei dati e il danno subito dalla persona fisica.
Di per sé, quindi, un attacco informatico esterno non esonera il titolare dalla sua responsabilità ex articolo 82 del GDPR.
Sull’operato dei giudici nazionali e sull’onere della prova
A proposito dell’operato dei giudici nazionali, la CGUE, richiamando l’articolo 32 par. 1 del GDPR, asserisce che spetta a questi ultimi assicurarsi che le misure di sicurezza adottate dal titolare del trattamento siano idonee a garantire la sicurezza.
In particolare, incombe sui giudici “effettuare un esame di tali misure nel merito” considerando:
- quanto disposto dal sopracitato articolo 32;
- le circostanze proprie del caso di specie;
- gli elementi di prova di cui tali giudici dispongono.
L’onere di provare che le misure oggetto di esame dei giudici siano adeguate, invece, spetta direttamente ai titolari del trattamento, sulla base di quanto disposto dall’articolo 24 par. 1 del GDPR, letto alla luce del considerando 74 (“il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure”).
L’articolo 82 e le condizioni di risarcibilità del danno
Giungiamo quindi all’aspetto più innovativo della decisione della Corte: la risarcibilità del danno immateriale.
In primo luogo i giudici si concentrano sulla formulazione dell’articolo 82 che, ricordiamo, prevede che “chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”.
Dal disposto normativo si ricavano le tre condizioni necessarie per il risarcimento del danno:
- l’esistenza di un danno subito;
- l’esistenza di una violazione del regolamento;
- l’esistenza di un nesso di causalità tra tale danno e tale violazione.
Sulla risarcibilità del danno immateriale
In merito al danno immateriale, quindi, il GDPR non specifica le singole fattispecie che possono concorrere a determinarlo. Pertanto, in considerazione dell’ampio tenore della norma, la Corte conclude che anche il semplice timore che i dati personali possano essere oggetto di un futuro utilizzo abusivo da parte di terzi, può costituire danno immateriale risarcibile.
A sostegno di tale interpretazione, i giudici richiamano gli obiettivi del GDPR, fra cui quello di garantire un “livello elevato di protezione delle persone fisiche”. Tale livello di tutela può essere garantito solo includendo, fra i danni immateriali rientranti nell’articolo 82, “le situazioni in cui un interessato si avvale unicamente del suo timore che i suoi dati siano oggetto di un utilizzo abusivo da parte di terzi, in futuro”.
Spetta ai giudici nazionali aditi, di volta in volta, verificare che il timore fatto valere sia effettivamente fondato, in base alle circostanze specifiche del caso.
Se ti interessa restare informato sulle più recenti pronunce della CGUE in relazione all’interpretazione del GDPR, nonché sulle novità maggiormente impattanti sull’operato di professionisti della privacy e Data Protection Officer, iscriviti alla newsletter dell’Associazione: clicca qui.
Fonti:
https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:62021CN0340
