Data breach e risarcimento dei danni: il nuovo approdo della CGUE

Data breach e risarcimento dei danni: il nuovo approdo della CGUE
La Corte di Giustizia dell’UE (“CGUE”), con la sentenza nella causa C-340/2021 resa nota il 14 dicembre, ha aggiunto un importante tassello interpretativo all’art. 82 del Regolamento UE 2016/679 (“GDPR”) aprendo le porte alla possibilità di ritenere costituente danno immateriale il mero timore per un uso abusivo (ma solo eventuale e futuro) dei dati personali. La CGUE ha inoltre fornito alcuni chiarimenti in relazione alla responsabilità del titolare per i danni arrecati agli interessati in caso di data breach.

Il regime di responsabilità introdotto dall’art. 82 del GDPR

Prima di approfondire le più interessanti conclusioni a cui è approdata la CGUE nella sentenza in esame, appare necessario richiamare, nelle parti che qui interessano, la disposizione che è stata oggetto di interpretazione: l’art. 82 del GDPR sancisce infatti al primo comma che: “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”; inoltre ai sensi del comma 3: “Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità […] se dimostra che l'evento dannoso non gli è in alcun modo imputabile”.

Da quanto richiamato, come noto, l’art. 82 ha introdotto un regime di responsabilità civile fondato su una presunzione di colpa del titolare del trattamento con conseguente inversione dell’onere probatorio (sulla scorta di quanto già era previsto nella disciplina italiana previgente di cui all’oggi abrogato art. 15 del D.Lgs. 196/2003 – cd. “Codice Privacy” che applicava al trattamento dei dati personali il regime di responsabilità previsto dall’art. 2050 per l’esercizio di attività pericolose).

In sostanza, è il titolare del trattamento a dover dimostrare (in piena ottica di accountability), a seguito di una violazione degli obblighi discendenti dal GDPR e di un danno cagionato (sia esso materiale o immateriale), di aver adottato tutte le misure idonee a prevenirlo o attenuarlo. Il collegamento evidente, dunque, è agli artt. 24 e 32 del GDPR che pongono in capo al titolare del trattamento l’obbligo di adottare misure di sicurezza adeguate ed efficaci per garantire ed essere in grado di dimostrare la conformità del trattamento al GDPR.

La decisione nella causa C-340/2021

Il caso

Come accennato in premessa, la controversia è sorta tra un interessato e l’Agenzia nazionale bulgara per le entrate pubbliche Bulgaria (“Autorità” o “Titolare del trattamento”) in merito al risarcimento del danno immateriale che tale interessato ha sostenuto di aver subito a causa di una presunta violazione da parte dell’Autorità dei suoi obblighi legali in qualità di titolare del trattamento dei dati personali; violazione che sarebbe occorsa a seguito di un attacco informatico da parte di hacker ignoti e della successiva pubblicazione, in rete, dei dati personali illecitamente carpiti.

L’interessato, in particolare, ha sostenuto di aver subito un danno immateriale concretizzantesi nel timore di possibili utilizzi abusivi dei suoi dati personali nel futuro; e che il Titolare fosse tenuto a rispondere di tali danni per il solo fatto che le misure di sicurezza approntate non sono state sufficienti a respingere l’attacco informatico subito (in seguito, “Data Breach”). Di tali questioni interpretative è stata pertanto investita la CGUE.

Responsabilità del titolare e onere probatorio in caso di Data Breach

La CGUE ha risposto al secondo quesito relativo all’interpretazione dell’art. 82 del GDPR in combinato disposto con gli artt. 24 e 32 del medesimo Regolamento in merito alla responsabilità civile del titolare per data breach da parte di terzi, criminali informatici.

Sul punto, la CGUE ha ribadito come tale violazione non può essere imputata al titolare del trattamento, a meno che quest’ultimo non abbia reso possibile detta violazione violando un obbligo previsto dal GDPR: e pertanto, coerentemente con l’impianto del GDPR ispirato al principio di accountability, la breccia nell’apparato di sicurezza predisposto dal titolare non comporta una responsabilità assoluta di quest’ultimo, potendo egli dimostrare che il fatto che ha provocato il danno in questione non gli è in alcun modo imputabile (poichè, in altre parole, le misure di sicurezza predisposte erano idonee e adeguate e la minaccia esterna non poteva essere prevenuta; e poichè, inoltre, il titolare si è attivato tempestivamente per mitigare le conseguenze dannose in conformità al GDPR).

La CGUE ha precisato peraltro che l’adeguatezza di siffatte misure deve essere valutata in concreto, esaminando se tali misure siano state attuate da detto titolare tenendo conto dei diversi criteri previsti dai menzionati articoli e delle esigenze di protezione dei dati specificamente inerenti al trattamento di cui trattasi nonché ai rischi indotti da quest’ultimo.

Prova del danno immateriale derivante dal timore di un potenziale uso abusivo dei dati personali

In merito al primo quesito, la CGUE ha stabilito che le preoccupazioni, le ansie e i timori sofferti da un interessato a causa di un possibile futuro uso improprio dei dati (nel caso di specie, sottratti a seguito di un attacco informatico) potrebbero costituire un danno immateriale a tutti gli effetti risarcibile.

L’orientamento della CGUE fa leva sul Considerando 146 del GDPR, nella parte in cui viene affermato che: “Il concetto di danno dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di giustizia in modo tale da rispecchiare pienamente gli obiettivi del presente regolamento”. Sulla base di ciò, la CGUE rimarca la nozione ampia di danno, tale da ricomprendervi, alla luce anche di precedenti decisioni della Corte, non solo un danno già prodotto con l’utilizzo illecito dei dati personali, ma la stessa paura percepita dall’interessato che un siffatto utilizzo possa prodursi, in futuro.

Proprio questa parte della decisione ha un impatto molto significativo, poiché ansie, preoccupazioni e paure rappresentano solitamente il primo danno subito da un interessato, indipendentemente dal fatto che i dati vengano effettivamente utilizzati in modo improprio in una fase successiva.

Tuttavia, a chiosa di quanto sin qui osservato, la CGUE ha sottolineato che, da un lato, è l’interessato a dover dimostrare di aver realmente sofferto di tali preoccupazioni e ansie ed è compito del giudice nazionale adito di verificare che tale timore possa essere considerato fondato, nelle circostanze specifiche di cui trattasi e nei confronti dell’interessato; dall’altro, richiamata la precedente sentenza del 4 maggio 2023, n. 72, sent. nella causa C-300/21 (Österreichische Post), che la violazione di specifici obblighi discendenti dal GDPR non comporta necessariamente un danno e, per fondare un diritto al risarcimento, deve sussistere un nesso di causalità tra la violazione di cui trattasi e il danno subito (il quale, ad ogni modo, non deve superare una determinata soglia di gravità, come chiaramente emerge dalla domanda di risarcimento presentata dall’interessato nel caso in esame, per la esigua somma di circa 510 euro).

Avv. Lorenzo Baudino Bessone

Newsletter

Iscriviti per ricevere i nostri aggiornamenti

* campi obbligatori