Con una recente sentenza, la Corte di Giustizia dell’Unione Europea (“CGUE”) si è espressa per la prima volta sull’interpretazione dell’32 del GDPR e sull’obbligo di adottare adeguate misure di sicurezza privacy nel contesto di un data breach.
La CGUE ha concluso che la presenza di una violazione di dati, a fronte di una divulgazione o accesso non autorizzati, non è di per sé sufficiente per ritenere che le misure tecniche e organizzative attuate dal titolare del trattamento non siano «adeguate», ai sensi degli artt. 24 e 32 del GDPR.
La vicenda
La vicenda trae origine dalla domanda di pronuncia pregiudiziale formulata da un tribunale bulgaro, nell’ambito di una controversia instaurata tra una cittadina di nazionalità bulgara e la NAP, autorità collegata al Ministero delle Finanze bulgaro.
A seguito di un attacco hacker che aveva colpito il sistema informatico dalla NAP, i dati personali di più di 6 milioni di persone, tra cui quelli della ricorrente, erano stati pubblicati su Internet. La ricorrente aveva quindi chiamato in causa la NAP chiedendo il risarcimento dei danni subiti e sostenendo una violazione degli obblighi di sicurezza posti in capo alla NAP, in qualità di titolare del trattamento.
Sulla vicenda, il giudice ricorrente ha quindi deciso di coinvolgere la CGUE al fine di chiarire, tra le altre, le seguenti questioni:
- se la constatazione di una violazione di dati personali possa automaticamente indicare l’inadeguatezza delle misure adottate, in conformità con gli articoli 24 e 32 del GDPR; e
- quale debba essere l’oggetto e la portata del controllo giurisdizionale di legittimità nell’esame dell’adeguatezza delle misure tecniche e organizzative adottate dal titolare del trattamento ai sensi dell’articolo 32.
L’interpretazione della CGUE sull’inadeguatezza delle misure di sicurezza da cui deriva un data breach
Dopo aver analizzato i fatti di causa, la CGUE si è espressa nel seguente modo:
Sulla prima questione, la CGUE precisa che la lettura combinata degli artt. 24 e 32 del GDPR dimostra che tale regolamento istituisce un regime di gestione dei rischi e che esso non pretende affatto di eliminare i rischi di violazione dei dati personali.
L’adeguatezza delle misure di sicurezza deve essere quindi valutata in concreto, esaminando se tali misure siano state attuate tenendo conto dei diversi criteri previsti dai menzionati articoli e delle esigenze di protezione dei dati specificamente inerenti al trattamento di cui trattasi nonché ai rischi indotti da quest’ultimo. Su queste premesse, la Corte conclude chiarendo che gli articoli 24 e 32 del GDPR devono essere interpretati nel senso che non sia sufficiente che abbia luogo un data breach per ritenere che le misure tecniche e organizzative attuate dal titolare del trattamento in questione non siano adeguate.
Sul secondo quesito, la CGUE sostiene che – in base all’interpretazione dell’art. 32 l’adeguatezza delle misure tecniche e organizzative debba essere valutata in due tempi: (i) da un lato, valutando in concreto ex ante il grado di probabilità dei rischi indotti dal trattamento e il loro grado di gravità; (ii) dall’altro se le misure attuate dal titolare del trattamento siano adeguate a tali rischi, tenuto conto dello stato dell’arte, dei costi di attuazione nonché della natura, della portata, del contesto e delle finalità di tale trattamento. I giudici nazionali devono quindi valutare l’adeguatezza delle misure tecniche e organizzative attuate dal titolare in concreto, tenendo conto dei rischi connessi al trattamento di cui trattasi e valutando se la natura, il contenuto e l’attuazione di tali misure siano adeguati a tali rischi.
La rilevanza della sentenza per le Autorità Garanti Privacy
Le conclusioni della sentenza hanno importanti conseguenze non solo per i giudici nazionali, ma anche per le Autorità Garanti, che per prime sono chiamate a esaminare le violazioni di dati personali a loro notificate.
Applicando per analogia i medesimi principi espressi dalla CGUE, nella valutazione di un data breach anche le Autorità Garanti dovranno infatti svolgere un’analisi specifica del contenuto delle misure di sicurezza, del modo in cui sono state applicate e dei loro effetti pratici, sulla base delle prove a loro disposizione e delle circostanze del caso specifico. A contrario, quindi, in caso l’Autorità contesti l’idoneità e efficacia delle misure di sicurezza, le stesse saranno tenute a fornire motivazioni specifiche e dettagliate a supporto della loro contestazione.
Su un tema simile potrebbero interessarvi: “Pubblicata la versione 2.0 delle Linee Guida dell’EDPB 09/2022”, e “DLA Piper GDPR Fines and Data Breach Survey: January 2024 | DLA Piper”
