Il timore dell’illecito utilizzo di dati rubati dagli hacker è un danno immateriale risarcibile

La Corte di Giustizia dell’Unione Europea, con la sentenza resa nella causa C-340/2021, ha statuito che: "il timore di un potenziale utilizzo abusivo dei propri dati personali da parte di terzi, che un interessato nutre a seguito di una violazione del GDPR può, di per sé, costituire un "danno immateriale", risarcibile ai sensi dell'art. 82 §.1 del GDPR".

IL CASO

Nel 2019, i media bulgari rilevarono che a seguito di un attacco hacker all’AGE erano stati rubati e diffusi online i dati di 6 milioni di contribuenti.
A seguito di ciò, centinaia di contribuenti fecero una class action per essere risarciti dal fisco.

In particolare, la ricorrente X chiese un indennizzo ai sensi dell’art. 82 GDPR, rappresentando di aver subito un danno immateriale consistente nel timore che i suoi dati personali fossero stati pubblicati senza il suo consenso e potessero essere oggetto di un utilizzo abusivo, in futuro. Infine, rappresentava il timore di poter subire un ricatto, un’aggressione, o addirittura un rapimento.

In prime cure, il TAR bulgaro respinse le sue pretese evidenziando che non esisteva un nesso di causalità tra il danno immateriale lamentato e l’attacco informatico subito, poiché il fisco aveva prodotto tutti i documenti atti a dimostrare di aver adottato: “tutte le misure necessarie, a monte, per prevenire la violazione dei dati personali contenuti nel suo sistema informatico nonché, a valle, per limitare gli effetti di tale violazione e per rassicurare i cittadini”.

La Corte Suprema amministrativa, nutrendo dubbi in proposito, aveva sollevato un’articolata e lunga pregiudiziale alla Corte di Giustizia dell’Unione Europea principalmente volta a chiarire se «il fatto che la violazione di dati personali risulti da un atto commesso da terzi, nel caso di specie da un attacco informatico, costituisca un fattore che esonera sistematicamente il titolare del trattamento di tali dati dalla sua responsabilità per il danno causato all’interessato» e se il mero timore dell’uso illecito dei dati dell’interessato gli dia diritto ad un risarcimento per danno immateriale.

LA DECISIONE DELLA CORTE DI GIUSTIZIA

L’art. 24 del GDPR impone a tutti i titolari del trattamento dei dati (nel caso di specie l’AGE bulgara), di adottare tutte le misure tecniche ed organizzative per garantire che il trattamento avvenga conformemente ai principi dettati dalla normativa.

Tali misure devono garantire un livello di sicurezza ai sensi dell’art. 32 GDPR adeguato ai suddetti rischi, tenendo conto dello stato dell’arte e dei costi di attuazione, della natura, del contesto e delle finalità del trattamento di cui trattasi.
Spetta al titolare del trattamento dimostrare di avere ottemperato a questi oneri.

Partendo dalle suddette disposizioni normative, la CGUE afferma, dunque, che ai sensi dell’art. 32 l’adeguatezza delle misure tecniche e organizzative attuate dal titolare del trattamento ai sensi di tale articolo deve essere valutata dai giudici nazionali in concreto, tenendo conto dei rischi connessi al trattamento di cui trattasi e valutando se la natura, il contenuto e l’attuazione di tali misure siano adeguati a tali rischi.

La CGUE osserva, inoltre, che, nel caso di violazione del suddetto articolo, trova applicazione il successivo art. 82, sulla scorta del quale il titolare del trattamento nel caso si configuri la violazione deve risarcire l’interessato e, per andare esente da responsabilità, deve dimostrare che l’evento dannoso non gli è in alcun modo imputabile.

Ciò detto, la CGUE, precisando che la nozione di danno deve essere intesa in senso “ampio”, ha statuito, alla luce dell’art. 82 GDPR, che è lecito che sia risarcibile anche un danno immateriale laddove esso “da un lato, è collegato a un utilizzo abusivo da parte di terzi dei suoi dati personali che si è già prodotto, alla data della sua domanda di risarcimento, o, dall’altro, è collegato alla paura percepita da tale persona che un siffatto utilizzo possa prodursi, in futuro”.

Buone vacanze!

Vi comunichiamo che lo Studio Legale SLS – Lawyers rimarrà chiuso dal 5 al 27 agosto 2023. Vi auguriamo di trascorrere serene e rigeneranti vacanze estive. Sarà un piacere, a partire dal 28 agosto 2023, continuare il percorso assieme a Voi tutti.

Antonino Salsone e lo Staff di SLS – Lawyers