Il timore dell’illecito utilizzo di dati rubati dagli hacker è un danno immateriale risarcibile
18 Dicembre 2023
L'art. 82 §.1 GDPR deve essere interpretato nel senso che il timore di un potenziale utilizzo abusivo dei suoi dati personali da parte di terzi che un interessato nutre a seguito di una violazione di tale regolamento può, di per sé, costituire un «danno immateriale», ai sensi di tale disposizione. È quanto deciso dallaEU:C:2023:986, C-340/21 il 14 dicembre. Il caso Nel 2019, i media bulgari rilevarono che a seguito di un attacco hacker all'AGE erano stati rubati e diffusi online i dati di 6 milioni di contribuenti. Centinaia di loro fecero una class action per essere risarciti dal fisco, tra cui anche l'odierna ricorrente che chiese un indennizzo ai sensi dell'art. 82 GDPR: «il suo danno immateriale consisterebbe nel timore che i suoi dati personali che sono stati pubblicati senza il suo consenso siano oggetto di un utilizzo abusivo, in futuro, o che essa subisca un ricatto, un'aggressione, o addirittura un rapimento» (neretto,nda). In prime cure, il TAR bulgaro respinse le sue pretese evidenziando che non esisteva un nesso di causalità tra il danno immateriale lamentato e l'attacco informatico subito e che il fisco aveva prodotto tutti i documenti atti a dimostrare di aver adottato «tutte le misure necessarie, a monte, per prevenire la violazione dei dati personali contenuti nel suo sistema informatico nonché, a valle, per limitare gli effetti di tale violazione e per rassicurare i cittadini». La Corte Suprema amministrativa, nutrendo dubbi in proposito, aveva sollevato un'articolata e lunga pregiudiziale principalmente volta a chiarie se «il fatto che la violazione di dati personali risulti da un atto commesso da terzi, nel caso di specie da un attacco informatico, costituisca un fattore che esonera sistematicamente il titolare del trattamento di tali dati dalla sua responsabilità per il danno causato all'interessato» e se il mero timore dell'uso illecito dei dati dell'interessato gli dia diritto ad un risarcimento per danno immateriale. Responsabilità della PA per i furti di dati da attacco informatico In primis, l'art. 24 GDPR impone a tutti i titolari del trattamento dei dati, come l'AGE bulgara nella fattispecie, di adottare tutte le misure tecniche ed organizzative per garantire che il trattamento avvenga conformemente ai principi dettati dal GDPR. «A tal fine, detto articolo 24 elenca, al suo paragrafo 1, un certo numero di criteri da prendere in considerazione per valutare l'adeguatezza di siffatte misure, vale a dire la natura, l'ambito di applicazione, il contesto e le finalità del trattamento nonché i rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche. Tale disposizione aggiunge che dette misure sono riesaminate e aggiornate qualora necessario». Tali misure devono garantire un livello di sicurezza ai sensi dell'art. 32 GDPR adeguato ai suddetti rischi, tenendo conto dello stato dell'arte e dei costi di attuazione, della natura, del contesto e delle finalità del trattamento di cui trattasi. Spetta al titolare del trattamento dimostrare di avere ottemperato a questi oneri e «la conformità delle attività di trattamento con tale regolamento, compresa l'efficacia delle misure, le quali dovrebbero tener conto dei criteri, connessi alle caratteristiche del trattamento in questione e al rischio presentato da quest'ultimo, che sono altresì enunciati ai suoi articoli 24 e 32. Del pari, secondo il considerando 76 di tale regolamento, la probabilità e la gravità del rischio dipendono dalle specificità del trattamento in questione e tale rischio dovrebbe essere oggetto di una valutazione obiettiva» (neretto,nda). In conclusione, la CGUE afferma che ai sensi dell'art.32 «l'adeguatezza delle misure tecniche e organizzative attuate dal titolare del trattamento ai sensi di tale articolo deve essere valutata dai giudici nazionali in concreto, tenendo conto dei rischi connessi al trattamento di cui trattasi e valutando se la natura, il contenuto e l'attuazione di tali misure siano adeguati a tali rischi. (…) Il principio di responsabilità del titolare del trattamento, enunciato all'articolo 5, paragrafo 2, del regolamento 2016/679 e concretizzato all'articolo 24 di quest'ultimo, deve essere interpretato nel senso che nell'ambito di un'azione di risarcimento fondata sull'articolo 82 di tale regolamento, al titolare del trattamento di cui trattasi incombe l'onere di dimostrare l'adeguatezza delle misure di sicurezza da esso attuate ai sensi dell'articolo 32 di detto regolamento» (neretto,nda). Infatti, il titolare del trattamento, conformemente al principio di integrità e di riservatezza dei dati personali dettato da questa disposizione, deve provvedere alla loro elaborazione garantendone detta sicurezza ex art. 32 ivi «compresa la protezione da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali, mediante misure tecniche o organizzative adeguate e deve essere in grado di dimostrare che tale principio è rispettato». La perizia giudiziaria non è un mezzo necessario e sufficiente a dimostrare l'adozione delle misure La CGUE ricorda l'autonomia processuale di cui gode ciascun Stato membro: è loro ampia discrezionalità statuire le regole procedurali nel rispetto dei principi di equivalenza e di effettività, stabilendo quindi anche i mezzi di prova per valutare l'adeguatezza di dette misure di sicurezza. La CGUE però rimarca che «una norma procedurale nazionale in forza della quale sarebbe sistematicamente «necessario» che i giudici nazionali disponessero una perizia giudiziaria potrebbe contrastare con il principio di effettività. Infatti, il ricorso sistematico a una siffatta perizia può rivelarsi superfluo alla luce delle altre prove detenute dal giudice adito, in particolare, come indicato dal governo bulgaro nelle sue osservazioni scritte, alla luce dei risultati di un controllo del rispetto delle misure di protezione dei dati personali effettuato da un'autorità indipendente e stabilita per legge, purché tale controllo sia recente, poiché dette misure, conformemente all'articolo 24, paragrafo 1, del RGPD, devono essere riesaminate e aggiornate se necessario». Inoltre il principio di effettività sarebbe violato se il giudice interno desumesse tale adeguatezza esclusivamente ed ipso iure da una perizia giudiziaria, dato che il diritto ad un ricorso effettivo, su cui si fonda anche l'equo processo, ai sensi dell'art.79 GDPR impone che «un giudice imparziale effettui una valutazione obiettiva dell'adeguatezza delle misure in questione, anziché limitarsi a tale deduzione». Onere risarcitorio del titolare del trattamento per danni provocati da terzi L'art. 82 GDPR stabilisce l'onere di risarcire l'interessato da una deroga al regolamento stesso e che il titolare, per essere esonerato, debba dimostrare che l'evento dannoso non gli è in alcun modo imputabile. Rientrerebbe nei casi di esonero, perciò, in linea di massima, anche il danno provocato da un terzo, ossia da chi non è un dipendente del titolare: «ai sensi dell'articolo 4, punto 10, di tale regolamento, tale violazione non può essere imputata al titolare del trattamento, a meno che quest'ultimo non abbia reso possibile detta violazione violando un obbligo previsto dal GDPR, e in particolare l'obbligo di protezione dei dati cui è tenuto in forza dell'articolo 5, paragrafo 1, lettera f), e degli articoli 24 e 32 del medesimo regolamento» (neretto,nda). Alla luce di tutto quanto sinora esplicato e di una lettura letterale, sistematica e teleologica dell'art.82 è lecito che sia risarcibile anche un danno immateriale laddove esso «da un lato, è collegato a un utilizzo abusivo da parte di terzi dei suoi dati personali che si è già prodotto, alla data della sua domanda di risarcimento, o, dall'altro, è collegato alla paura percepita da tale persona che un siffatto utilizzo possa prodursi, in futuro». Infatti la nozione di danno deve essere interpretata in senso lato sì che escludere questo tipo di danno immateriale dal diritto al risarcimento snaturerebbe la ratio del GDPR e delle tutele in esso contenute sinora richiamate così come emerge anche dall'orientamento recente e costante della prassi della CGUE (EU:C:2023:537, 370 e 2). (Fonte: Diritto e Giustizia) |
