Risarcibile il timore dell’illecito utilizzo dei dati sensibili hackerati

Con la rilevate, recente sentenza del 14 dicembre 2023, sulla causa C-340/21, la Corte di Giustizia dell’Unione Europea si è pronunciata sul risarcimento del danno in caso di furto di dati, stabilendo che è risarcibile, in qualità di danno immateriale, anche solo il rischio ed il timore che i dati oggetto di furto vengano utilizzati illecitamente.

La decisione rappresenta un’ulteriore pietra miliare nella giurisprudenza in materia di protezione dei dati personali e ne sottolinea l’importanza cruciale, arretrando la soglia della risarcibilità del danno non già al fatto vero e proprio dell’utilizzo dei dati rubati, ma al solo fatto che i dati sottratti illecitamente siano esposti al rischio di utilizzo abusivo: quasi una sorta di danno in re ipsa, per il solo fatto che i dati siano stati sottratti.

Le istanze di risarcimento del danno immateriale all’Agenzia Entrate bulgara per furto di dati

Il caso in questione coinvolgeva l’Agenzia nazionale per le entrate pubbliche bulgara, collegata al Ministero delle Finanze e da esso incaricata dell’identificazione, salvaguardia e recupero dei crediti pubblici. Agendo in qualità di titolare autonomo del trattamento dei datil’Agenzia era stata vittima di un attacco informatico, che aveva portato alla pubblicazione su Internet di dati personali di milioni di interessati, a seguito del quale erano state intentate azioni giudiziarie a pioggia, da parte degli interessati, per il risarcimento del danno immateriale, nel timore diffuso di un loro possibile utilizzo illecito da parte di criminali informatici.

Le questioni pregiudiziali sollevate dalla Corte amministrativa suprema della Bulgaria

La Corte amministrativa suprema bulgara aveva sollevato diverse questioni pregiudiziali, richiedendo alla Corte di Giustizia dell’Unione europea di chiarire le condizioni per il risarcimento del danno immateriale in casi simili, ovvero quando un’agenzia pubblica, titolare del trattamento, venga attaccata con conseguente esfiltrazione dei dati e pubblicazione sul web.

La CGUE risponde che in primis va valutata in concreto l’adeguatezza delle misure di sicurezza

La CGUE ha risposto sottolineando che, in caso di divulgazione non autorizzata o accesso non autorizzato ai dati personali, è fondamentale esaminare l’adeguatezza delle misure di sicurezza adottate dal responsabile del trattamento. Non è possibile, infatti, determinare che queste non erano adeguate solo perché vi è stato un data breach, ma l’analisi va svolta in concreto, entrando nel merito, con onere della prova relativamente all’adeguatezza delle misure a carico del titolare del trattamento.

In caso di falle i danneggiati dal furto dati vanno risarciti anche per il solo timore del loro abuso

Viceversa, nell’ipotesi in cui la divulgazione non autorizzata o l’accesso non autorizzato avvengano ad opera di terzi, a seguito di un attacco informatico, il titolare del trattamento può essere obbligato a risarcire le persone che hanno subito un danno ed altresì può essere considerato risarcibile, come danno immateriale, anche solo il timore di un potenziale utilizzo abusivo dei dati ottenuti a seguito di attacco informatico.

L’importanza e l’ampia portata del recente pronunciamento della Corte di giustizia dell’Unione europea vanno ben oltre una mera sentenza legale. Esso infatti rappresenta un significativo progresso nell’ambito della protezione della privacy, riconoscendo la complessità intrinseca delle sfide legate alla sicurezza informatica e sottolineando la necessità cruciale di responsabilizzare gli attori coinvolti nella gestione dei dati personali.

 

Riassumendo

Ricapitolando, la complessità della sicurezza informatica è sottolineata dal fatto che, in caso di divulgazione non autorizzata o accesso non autorizzato ai dati personali, come detto la Corte di giustizia ha evidenziato la necessità di un’analisi approfondita sull’adeguatezza delle misure di sicurezza adottate dai titolari del trattamento. Questo approccio meticoloso riconosce che la sicurezza dei dati è un processo dinamico che richiede valutazioni continue e misure adeguate per fronteggiare minacce in continua evoluzione.

La decisione sottolinea inoltre l’importanza di considerare il “danno immateriale” derivante dal timore di un potenziale utilizzo abusivo dei dati personali da parte di terzi, in seguito a violazioni del regolamento generale sulla protezione dei dati (GDPR). Questo concetto allarga il campo di visione rispetto a un danno tangibile, riconoscendo che il solo timore di un possibile impatto negativo può costituire un danno di per sé.

Il principio fondamentale che emerge è che la protezione dei dati personali non è solo una priorità, ma una responsabilità che deve essere affrontata con la massima serietà da parte di coloro che gestiscono tali dati. La decisione rafforza l’idea che la tutela della privacy è una componente essenziale dell’era digitale e che il settore pubblico e privato devono adottare misure proattive per garantire la sicurezza e l’integrità dei dati personali.

In sintesi, questa decisione segna un progresso fondamentale verso un approccio più robusto e responsabile alla gestione dei dati personali nell’ambiente digitale in continua evoluzione. Riflette la consapevolezza crescente dell’importanza della sicurezza informatica e della protezione dei dati, promuovendo un contesto in cui la privacy degli individui è una priorità non negoziabile.

 

I principi stabiliti dalla sentenza

Ma ecco, nel dettaglio, i chiarimenti della Corte di Giustizia europea.

 Gli articoli 24 e 32 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), devono essere interpretati nel senso che: una divulgazione non autorizzata di dati personali o un accesso non autorizzato a tali dati da parte di «terzi», ai sensi dell’articolo 4, punto 10, di tale regolamento, non sono sufficienti, di per sé, per ritenere che le misure tecniche e organizzative attuate dal titolare del trattamento in questione non fossero «adeguate», ai sensi di tali articoli 24 e 32.

L’articolo 32 del regolamento 2016/679 dev’essere interpretato nel senso che: l’adeguatezza delle misure tecniche e organizzative attuate dal titolare del trattamento ai sensi di tale articolo deve essere valutata dai giudici nazionali in concreto, tenendo conto dei rischi connessi al trattamento di cui trattasi e valutando se la natura, il contenuto e l’attuazione di tali misure siano adeguati a tali rischi.

Il principio di responsabilità del titolare del trattamento, enunciato all’articolo 5, paragrafo 2, del regolamento 2016/679 e concretizzato all’articolo 24 di quest’ultimo, deve essere interpretato nel senso che: nell’ambito di un’azione di risarcimento fondata sull’articolo 82 di tale regolamento, al titolare del trattamento di cui trattasi incombe l’onere di dimostrare l’adeguatezza delle misure di sicurezza da esso attuate ai sensi dell’articolo 32 di detto regolamento.

L’articolo 32 del regolamento 2016/679 e il principio di effettività del diritto dell’Unione devono essere interpretati nel senso che: al fine di valutare l’adeguatezza delle misure di sicurezza che il titolare del trattamento ha attuato ai sensi di tale articolo, una perizia giudiziaria non può costituire un mezzo di prova sistematicamente necessario e sufficiente.

L’articolo 82, paragrafo 3, del regolamento 2016/679 deve essere interpretato nel senso che: il titolare del trattamento non può essere esonerato dal suo obbligo di risarcire il danno subito da una persona, ai sensi dell’articolo 82, paragrafi 1 e 2, di tale regolamento, per il solo fatto che tale danno deriva da una divulgazione non autorizzata di dati personali o da un accesso non autorizzato a tali dati da parte di «terzi», ai sensi dell’articolo 4, punto 10, di detto regolamento, dato che tale responsabile deve allora dimostrare che il fatto che ha provocato il danno in questione non gli è in alcun modo imputabile.

L’articolo 82, paragrafo 1, del regolamento 2016/679 deve essere interpretato nel senso che: il timore di un potenziale utilizzo abusivo dei suoi dati personali da parte di terzi che un interessato nutre a seguito di una violazione di tale regolamento può, di per sé, costituire un «danno immateriale», ai sensi di tale disposizione.

close
Blog Giuridico
VUOI RIMANERE AGGIORNATO?

Iscriviti per ricevere una email ogni volta che verrà pubblicato un articolo in Blog Giuridico

Condividi sui Social

Potrebbero interessarti anche...

0 Commenti
Inline Feedbacks
View all comments