Data breach, è risarcibile il danno per furto dei dati personali a seguito di attacco cyber?
Secondo consolidato orientamento della Cassazione la lesione è risarcibile solo in presenza dei requisiti di “serietà del danno” e “gravità della lesione” ma le più recenti sentenze della CGUE sottolineano il carattere “potenziale” del pregiudizio
In questi giorni ha fatto notizia l’attacco cybercriminale ai sistemi di una nota azienda che opera in ambito sanitario, con sottrazione illecita di dati e documenti personali che sono stati pubblicati nel dark web. Purtroppo, i casi di rischio di diffusione non autorizzato dei dati personali anche appartenenti a minori, rende ancora più grave e cogente il tema della cybersicurity, non solo in ambito sanitario.
In un panorama digitale sempre più complesso, è inevitabile che le aziende affrontino violazioni dei dati personali. Ogni entità italiana, che sia piccola impresa o multinazionale, è soggetta a questo rischio; perciò, il tema del risarcimento danni per violazione degli obblighi di protezione dei dati personali è di grande attualità e sarà sempre più cogente. Quando le misure di sicurezza adottate si rivelano inadeguate rispetto al livello di rischio e si verifica una distruzione, una perdita, una modifica, una divulgazione o un accesso illecito a dati personali (cd. “ data breach ”), si pone un duplice problema: quali siano le conseguenze legali, in termini di responsabilità, per il titolare (e per l’eventuale responsabile) del trattamento e quale sia il risarcimento del danno richiedibile dal lato dell’interessato del trattamento che vede i propri dati illecitamente diffusi.
Se poi si tratta di dati sanitari, come nel caso in questione, il tema diventa delicato, perché le informazioni coinvolte nel data breach sono spesso rappresentate da dati personali particolari che attengono ad informazioni inerenti alla salute dei pazienti. L’attacco hacker di tipo “ ransomware ” recentemente subito da una nota azienda non è il primo, diverse aziende sanitarie sparse nel territorio italiano lo hanno già subito.
La Corte di Cassazione si è pronunciata diverse volte sulla risarcibilità del danno non patrimoniale derivante dalla violazione delle norme in materia di protezione dei dati personali, ora accogliendo la richiesta (sentenza n. 11020/2021), ora rigettandola (ordinanza n. 16402 del 10 giugno 2021) a seconda o meno della gravità e serietà del danno subito.
Già sotto la vigenza del codice privacy (d. lgs. 196/2003) la Suprema Corte aveva stabilito che per essere risarcibile il danno doveva avere il requisito della gravità, non essendo sufficiente la semplice violazione delle disposizioni privacy da parte del Titolare del trattamento (Cass. 222/2016). Successivamente, con pronuncia 17383/2020, i giudici hanno ribadito che il danno non patrimoniale derivante da violazione del GDPR, pur determinando la violazione di un diritto umano fondamentale tutelato ai sensi della Costituzione e della CEDU, deve provocare una compromissione grave e seria per l’interessato, non essendo sufficiente la violazione delle prescrizioni in materia di protezione dei dati personali per determinare il diritto a ottenere un risarcimento.
La più recente sentenza emessa il 12 maggio 2023, n. 13073 dalla Sezione Prima Civile della Corte di Cassazione ha affrontato un caso cruciale relativo alla violazione dei dati personali da parte di un Comune e alle conseguenti responsabilità in materia di risarcimento dei danni.
Nel caso in esame, il Comune in questione aveva commesso un errore consistente nella pubblicazione accidentale, sul proprio sito istituzionale, di una determina concernente il pignoramento di uno stipendio di una sua dipendente. Tale divulgazione ha chiaramente violato le norme di protezione dei dati personali previste dal Regolamento (UE) 2016/679.
Nonostante la pronta reazione del Comune per rimuovere i dati incriminati nelle 24 ore, il Tribunale di prima istanza ne ha stabilito la responsabilità, imponendo quindi il risarcimento del danno. Tale decisione è stata confermata anche dalla Corte d’Appello, innescando così il ricorso del Comune alla Corte di Cassazione. Quest’ultima, respingendo il ricorso del Comune, ha sottolineato l’importanza del danno non patrimoniale risarcibile in casi di violazione dei dati personali.
In questo caso la Corte, dimostrando maggiore apertura rispetto alle precedenti statuizioni, ha evidenziato il principio secondo cui chiunque subisca un danno materiale o immateriale a causa di una violazione del regolamento ha diritto al risarcimento del danno da parte del titolare o del responsabile del trattamento dei dati proprio in virtù dell’articolo 82 del GDPR. Tale norma è di fondamentale importanza ai fini della valutazione del danno in quanto sancisce al primo comma che: “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”; inoltre ai sensi del comma 3: “Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità […] se dimostra che l’evento dannoso non gli è in alcun modo imputabile”.
Ma ciò che più interessa è quanto sta accadendo contemporaneamente sul fronte europeo.
Le più recenti sentenze della Corte di Giustizia Europea stanno infatti approdando ad un nuovo orientamento proprio sul tema del danno immateriale di carattere c.d. “potenziale” (ancora non verificatosi).
In particolare, la Corte di Giustizia dell’UE (“CGUE”), con la sentenza nella causa C-340/2021 resa nota il 14 dicembre 2023, ha aggiunto un importante tassello interpretativo al medesimo art. 82 del Regolamento UE 2016/679 (“GDPR”) aprendo le porte alla possibilità di ritenere costituente danno immateriale il mero timore per un uso abusivo (ma solo eventuale e futuro) dei dati personali. La CGUE ha inoltre fornito alcuni chiarimenti in relazione alla responsabilità del titolare per i danni arrecati agli interessati in caso di data breach.
L’art. 82 sopra richiamato ha introdotto un regime di responsabilità civile fondato su una presunzione di colpa del titolare del trattamento con conseguente inversione dell’onere probatorio (sulla scorta di quanto già era previsto nella disciplina italiana previgente di cui all’oggi abrogato art. 15 del D.Lgs. 196/2003 – cd. “Codice Privacy” che applicava al trattamento dei dati personali il regime di responsabilità previsto dall’art. 2050 c.c. per l’esercizio di attività pericolose).
Quindi, è il titolare del trattamento a dover dimostrare (in piena ottica di accountability), a seguito di una violazione degli obblighi discendenti dal GDPR e di un danno cagionato (sia esso materiale o immateriale), di aver adottato tutte le misure idonee a prevenirlo o attenuarlo. E ciò come espressamente previsto agli artt. 24 e 32 del GDPR che pongono in capo al titolare del trattamento l’obbligo di adottare misure di sicurezza adeguate ed efficaci per garantire ed essere in grado di dimostrare la conformità del trattamento al GDPR.
Ora, tornando alla controversia all’esame della Corte di Giustizia Europea, la stessa è sorta tra un interessato e l’Agenzia nazionale bulgara per le entrate pubbliche Bulgaria (“Autorità” o “Titolare del trattamento”) in merito al risarcimento del danno immateriale che tale interessato ha sostenuto di aver subito a causa di una presunta violazione da parte dell’Autorità dei suoi obblighi legali in qualità di titolare del trattamento dei dati personali; violazione che sarebbe occorsa a seguito di un attacco informatico da parte di hacker ignoti e della successiva pubblicazione, in rete, dei dati personali illecitamente carpiti.
L’interessato, infatti, sosteneva di aver subito un danno immateriale concretizzantesi nel timore di possibili utilizzi abusivi dei suoi dati personali nel futuro e che il Titolare fosse tenuto a rispondere di tali danni per il solo fatto che le misure di sicurezza approntate non sono state sufficienti a respingere l’attacco informatico subito (in seguito, “Data Breach”).
Sul punto, la CGUE ha ribadito come tale violazione non possa essere imputata al titolare del trattamento, a meno che quest’ultimo non abbia reso possibile detta violazione violando un obbligo previsto dal GDPR; pertanto, coerentemente con l’impianto del GDPR ispirato al principio di accountability, la breccia nell’apparato di sicurezza predisposto dal titolare non comporta una responsabilità assoluta di quest’ultimo, potendo egli dimostrare che il fatto che ha provocato il danno in questione non gli è in alcun modo imputabile (poichè, in altre parole, le misure di sicurezza predisposte erano idonee e adeguate e la minaccia esterna non poteva essere prevenuta; e poichè, inoltre, il titolare si è attivato tempestivamente per mitigare le conseguenze dannose in conformità al GDPR).
La CGUE ha ribadito il concetto secondo cui l’adeguatezza di siffatte misure deve essere valutata in concreto, esaminando se tali misure siano state attuate da detto titolare tenendo conto dei diversi criteri previsti dai menzionati articoli e delle esigenze di protezione dei dati specificamente inerenti al trattamento di cui trattasi nonché ai rischi indotti da quest’ultimo. E fin qui nulla di nuovo.
Tuttavia, ciò che rileva è quanto stabilito dalla Corte in merito al primo quesito. Secondo la CGUE infatti le preoccupazioni, le ansie e i timori sofferti da un interessato a causa di un possibile futuro uso improprio dei dati (nel caso di specie, sottratti a seguito di un attacco informatico) potrebbero costituire un danno immateriale a tutti gli effetti risarcibile.
L’orientamento della CGUE invoca il contenuto del “ Considerando 146” del GDPR, nella parte in cui viene affermato che: “Il concetto di danno dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di giustizia in modo tale da rispecchiare pienamente gli obiettivi del presente regolamento” e il contenuto del considerando 85 del GPDR che indica che “una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, (…) o qualsiasi altro danno economico o sociale significativo”. Da tale elenco esemplificativo risulta evidente che il legislatore europeo ha voluto includere in tali nozioni, in particolare, la semplice “perdita di controllo” sui loro dati, a seguito di una violazione del GDPR, quand’anche un utilizzo abusivo dei dati di cui trattasi non si sia verificato concretamente a danno di dette persone.
Sulla base di ciò, la CGUE rimarca la nozione ampia di danno, tale da ricomprendervi, alla luce anche di precedenti decisioni della Corte, non solo un danno già prodotto con l’utilizzo illecito dei dati personali, ma la stessa paura percepita dall’interessato che un siffatto utilizzo possa prodursi, in futuro.
Ebbene proprio questa interpretazione della Corte ha un impatto molto significativo, poiché ansie, preoccupazioni e paure rappresentano solitamente il primo danno subito da un interessato, indipendentemente dal fatto che i dati vengano effettivamente utilizzati in modo improprio in una fase successiva.
Tuttavia, a conclusione di quanto osservato, la CGUE ha voluto sottolineare che, da un lato, è l’interessato a dover dimostrare di aver realmente sofferto di tali preoccupazioni e ansie ed è compito del giudice nazionale adito di verificare che tale timore possa essere considerato fondato, nelle circostanze specifiche di cui trattasi e nei confronti dell’interessato; dall’altro, richiamata la precedente sentenza del 4 maggio 2023, n. 72, sent. nella causa C-300/21 (Österreichische Post), che la violazione di specifici obblighi discendenti dal GDPR non comporta necessariamente un danno e, per fondare un diritto al risarcimento, deve sussistere un nesso di causalità tra la violazione di cui trattasi e il danno subito.
Non ci resta quindi che attendere di leggere le decisioni dei nostri giudici di merito che si susseguiranno su questa delicatissima materia, di grande attualità.
I principi di diritto ora espressi dalla CGUE dovranno necessariamente coordinarsi con il consolidato orientamento della Suprema Corte di Cassazione secondo cui, anche in tema di data breach , il danno, per essere risarcibile, deve rispondere ai requisiti di “ serietà del danno ” e di “ gravità della lesione ”, non identificandosi lo stesso con la mera lesione dell’interesse tutelato dall’ordinamento, ma con le conseguenze di tale lesione, potendo poi essere provato anche attraverso presunzioni.
_____
*A cura dell’Avv. Maria Bruschi – responsabile Dipartimento di Azioni Collettive di A.L. Assistenza Legale
