La Corte di Giustizia dell’Unione Europea si è recentemente espressa, nella causa C-340/21, sulle condizioni per il risarcimento dei danni immateriali derivanti dalla pubblicazione di dati personali su internet a seguito di un attacco hacker, costituente una violazione di dati personali ai sensi Regolamento UE 679/2016.
In particolare, secondo la Corte, il timore dell’interessato di un potenziale utilizzo abusivo dei dati personali da parte di terzi che una persona nutre a seguito di un data breach può, di per sé, costituire un “danno immateriale” risarcibile. Infatti, il titolare del trattamento non può essere esonerato dal suo obbligo di risarcire il danno subito dall’interessato, ai sensi dell’articolo 82 del GDPR, per il solo fatto che tale danno derivi da una divulgazione non autorizzata di dati personali o da un accesso non autorizzato a tali dati da parte di “terzi” quali criminali informatici.
La vicenda e le questioni pregiudiziali sollevate dal giudice nazionale
La vicenda trae origine da un accesso abusivo al sistema informatico dell’equivalente bulgaro dell’Agenzia delle entrate. L’Agenzia è incaricata, segnatamente, dell’identificazione, della salvaguardia e del recupero dei crediti pubblici e tratta, di conseguenza e in qualità di titolare del trattamento, una mole considerevole di dati personali riferibili ai contribuenti bulgari e non.
A seguito del suddetto attacco informatico, un vero e proprio data breach che ha comportato la pubblicazione di dati personali riferibili a milioni di soggetti interessati su internet, in molti hanno intrapreso azioni contro l’Agenzia, chiedendo il risarcimento del danno immateriale che sarebbe derivato dal timore di un potenziale utilizzo abusivo dei loro dati personali.
La Corte amministrativa suprema bulgara ha sottoposto alla Corte diverse questioni pregiudiziali relative all’interpretazione del GDPR, inoltrando una domanda di pronuncia pregiudiziale ai sensi dell’articolo 267 del Trattato sul Funzionamento dell’Unione Europea. Il tribunale bulgaro ha chiesto precisazioni in merito alle condizioni per il risarcimento del danno immateriale invocato da una persona i cui dati personali, in possesso di un’agenzia pubblica, siano stati oggetto di pubblicazione su internet a seguito di un attacco di criminali informatici.
A sostegno della propria domanda di risarcimento, la ricorrente sosteneva di aver subito un danno immateriale derivante da una violazione di dati personali, ai sensi dell’articolo 4(12) del GDPR, più in particolare una violazione della sicurezza che sarebbe stata causata da una violazione dell’Agenzia degli obblighi ad essa incombenti in forza, in particolare, dell’articolo 5(1)(f), nonché degli articoli 24 e 32 del Regolamento. In buona sostanza, il danno immateriale lamentato dalla ricorrente consisterebbe nel timore che i suoi dati personali che sono stati pubblicati senza il suo consenso siano oggetto di un utilizzo abusivo, in futuro, o che essa subisca un ricatto, un’aggressione, o addirittura un rapimento.
Poiché l’Administrativen sad Sofia-grad (Tribunale amministrativo della città di Sofia) aveva respinto il ricorso della ricorrente nel procedimento principale, quest’ultima aveva proposto ricorso per cassazione avverso detta decisione dinanzi al Varhoven administrativen sad (Corte suprema amministrativa, Bulgaria), giudice del rinvio nella presente causa.
I principi di diritto della CGUE sul risarcimento dei danni da data breach
Di seguito possono essere riassunti i principi di diritto elaborati dalla CGUE con riferimento alle questioni pregiudiziali sollevate dal Supremo tribunale bulgaro con riferimento alle condizioni per il risarcimento del danno immateriale:
- il titolare del trattamento non può essere esonerato dal suo obbligo di risarcire il danno subito dall’interessato, ai sensi dell’articolo 82 del GDPR, per il solo fatto che tale danno deriva da una divulgazione non autorizzata di dati personali o da un accesso non autorizzato a tali dati da parte di “terzi” quali criminali informatici, dato che il titolare deve dimostrare che il fatto che ha provocato il danno in questione non gli è in alcun modo imputabile;
- al fine di valutare l’adeguatezza delle misure di sicurezza che il titolare del trattamento ha attuato ai sensi dell’articolo 32 del GDPR, una perizia giudiziaria non può costituire un mezzo di prova sistematicamente necessario e sufficiente;
- il timore di un potenziale utilizzo abusivo dei propri dati personali da parte di terzi che una persona nutre a seguito di una violazione del GDPR può, di per sé, costituire un “danno immateriale”.
- La CGUE aveva già chiarito come l’articolo 82(1) del GDPR potesse applicarsi anche con riferimento a “danni immateriali”, andando a ricomprendere una situazione, come quella considerata dal giudice del rinvio, in cui l’interessato invoca, al fine di ottenere un risarcimento sulla base di tale disposizione, il suo timore che i suoi dati personali siano oggetto di un futuro utilizzo abusivo da parte di terzi, a causa della violazione di tale regolamento che si è verificata.
Secondo la Corte, tale interpretazione letterale è corroborata da una serie di ulteriori indicatori, quali:
- il considerando 146 del GDPR, che verte specificamente sul diritto al risarcimento previsto all’articolo 82(1) e che menziona che «[i]l concetto di danno dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di giustizia in modo da rispecchiare pienamente gli obiettivi» del Regolamento. Di conseguenza, un’interpretazione di “danno immateriale” che escluda le situazioni in cui l’interessato da una violazione fa valere il timore che i suoi dati personali siano oggetto di utilizzo abusivo in futuro non risponderebbe a una concezione ampia di tale nozione, quale intesa dal legislatore dell’Unione;
- il considerando 85 del GPDR che indica che «[u]na violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, (…) o qualsiasi altro danno economico o sociale significativo». Da tale elenco esemplificativo, risulta che il legislatore dell’Unione abbia inteso includere in tali nozioni, in particolare, la semplice “perdita di controllo” sui loro dati, a seguito di una violazione del GDPR, quand’anche un utilizzo abusivo dei dati di cui trattasi non si sia verificato concretamente a danno di dette persone.
Ad ogni modo, è importante sottolineare che, secondo la CGUE, la sola divulgazione non autorizzata di dati personali o di accesso non autorizzato a tali dati non è di per sé sufficiente affinché i giudici possano dedurre che le misure di sicurezza adottate dal titolare del trattamento non fossero adeguate. Infatti, secondo la CGUE, rimane comunque onere dei giudici esaminare l’adeguatezza di tali misure in concreto, tenendo conto dei rischi connessi al trattamento e valutando se la natura, il contenuto e l’attuazione di tali misure siano adeguati a tali rischi. Spetta, in ogni caso, al titolare del trattamento l’onere della prova in merito al fatto che misure di sicurezza adottate fossero adeguate.
Perché questa sentenza genera un rischio maggiore di class action legate a data breach
Poiché il rinvio pregiudiziale consente ai giudici degli Stati membri, nell’ambito di una controversia della quale sono investiti, di interpellare la Corte in merito all’interpretazione del diritto dell’Unione o alla validità di un atto dell’Unione, la CGUE non risolve la controversia nazionale ma spetterà al giudice nazionale – in questo caso, i giudici bulgari – risolvere la causa conformemente ai principi di diritto dettati dalla CGUE.
Tuttavia, questo provvedimento è particolarmente importante per le aziende a cui si applica il GDPR poiché la decisione della CGUE vincolerà egualmente gli altri giudici nazionali ai quali venga sottoposto un problema simile e potrebbe aumentare il rischio di potenziali class action che non ci sono state finora proprio per la difficoltà di provare il danno derivante da data breach. Tuttavia, questa sentenza potrebbe essere una svolta al riguardo.
Sarà quindi necessario per le aziende investire tempo e risorse nelle attività di prevenzione di data breach e sicurezza del trattamento dei dati personali, oltre che trattare con la massima cura e attenzione le richieste eventualmente pervenute dagli interessati.
Ad ogni modo, sarà interessante osservare come i principi di diritto espressi dalla CGUE potranno coniugarsi con il consolidato orientamento della Suprema Corte di Cassazione secondo cui, anche in tema di data breach, il danno, per essere risarcibile, deve rispondere ai requisiti di “serietà del danno” e di “gravità della lesione”, non identificandosi lo stesso con la mera lesione dell’interesse tutelato dall’ordinamento, ma con le conseguenze di tale lesione, potendo poi essere provato anche attraverso presunzioni.
Su un tema simile potrebbe interessarvi “La Cassazione fissa alcuni importanti principi in tema di sanzioni privacy ai sensi del GDPR”.
