Il rischio di abusi su dati personali può costituire danno immateriale
Secondo la Corte di giustizia dell’Unione europea l’esposizione di dati personali al rischio di utilizzo abusivo può costituire in sé un danno immateriale. Con la sentenza sulla causa C-340/21 i giudici Ue hanno affermato che tale danno potenziale emerge quando i dati personali in possesso di una banca dati pubblica non sono adeguatamente protetti da adeguati strumenti di sicurezza mettendo a rischio la tutela degli stessi da un loro uso illecito da parte della criminalità informatica.
Il caso a quo
Il caso riguarda l’Agenzia nazionale per le entrate pubbliche bulgara collegata al Ministro delle Finanze e che è incaricata dell’identificazione, della salvaguardia e del recupero dei crediti pubblici. In tale contesto, essa è titolare del trattamento di dati personali. A seguito di un attacco informatico taluni dati personali relativi a milioni di persone erano stati pubblicati su internet. Da cui è derivata una serie di azioni giudiziali mirate al risarcimento del danno immateriale che sarebbe derivato dal timore di un potenziale utilizzo abusivo dei loro dati personali.
Il rinvio pregiudiziale
La Corte amministrativa suprema bulgara ha domandato alla Corte di giustizia di interpretare diverse questioni pregiudiziali sull’interpretazione del regolamento generale sulla protezione dei dati (RGPD). E, in particolare, ha chiesto precisazioni delle condizioni per il risarcimento del danno immateriale invocato da una persona i cui dati personali, in possesso di un’agenzia pubblica, siano stati oggetto di pubblicazione su internet a seguito di un attacco di criminali informatici.
L’interpretazione della Cgue
La Corte Ue ha affermato che, in caso di divulgazione non autorizzata di dati personali o di accesso non autorizzato a tali dati, i giudici non possono dedurre da questo solo fatto che le misure di sicurezza adottate dal titolare del trattamento non fossero adeguate. I giudici devono esaminare l’adeguatezza di tali misure in concreto. È al titolare del trattamento che incombe di provare che le misure di sicurezza adottate fossero adeguate.
Il fatto commesso da un terzo
Nell’ipotesi in cui la divulgazione non autorizzata di dati personali o l’accesso non autorizzato di tali dati siano stati commessi da «terzi» (criminali informatici), il titolare del trattamento può essere tenuto a risarcire le persone che hanno subito un danno, salvo se riesce a dimostrare che tale danno non gli è in alcun modo imputabile. In conclusione, il timore di un potenziale utilizzo abusivo dei propri dati personali da parte di terzi, che una persona nutre a seguito di una violazione del RGPD, può di per sé costituire un «danno immateriale» risarcibile.
