M

Questo sito fa uso di cookie tecnici per migliorare l’esperienza di navigazione degli utenti e per raccogliere informazioni sull’utilizzo del sito stesso. Per maggiori informazioni si veda la Cookie Policy.

Attacco hacker: il mero timore di utilizzo abusivo di dati può costituire un danno risarcibile

La Corte di Giustizia Europea con la propria sentenza nella causa C-340/21 si è pronunciata in merito ad alcune rilevanti questioni sollevate con domanda di pronuncia pregiudiziale dalla Varhoven administrativen sad (Corte Suprema Amministrativa, Bulgaria), con riferimento agli obblighi del Titolare del trattamento dei dati in materia di adozione di misure di sicurezza e alla possibilità di riconoscere in capo all’interessato un danno immateriale, dovuto al mero timore di un potenziale utilizzo abusivo dei dati.

La vicenda trae origine da un attacco informatico perpetrato nei confronti di un’agenzia nazionale bulgara, di cui è stata data notizia attraverso i media, i quali hanno altresì rivelato che alcuni dati personali relativi a milioni di persone erano stati pubblicati su internet. In molti hanno avanzato richieste risarcitorie nei confronti dell’agenzia nazionale, lamentando un danno immateriale derivato dal timore di un potenziale utilizzo abusivo dei loro dati personali.

Le domande azionate dai diversi interessati sono giunte sino alla Corte Suprema Amministrativa bulgara, che ha ritenuto necessario interrogare la Corte di Giustizia Europea sulle seguenti questioni:

  1. se sia sufficiente che abbia avuto luogo una divulgazione o un accesso non autorizzati a dati personali da persone che non siano dipendenti dell’amministrazione del titolare del trattamento e non sono soggette al suo controllo, per ritenere che le misure tecniche e organizzative adottate non siano adeguate;
  2. se incombe sul titolare del trattamento l’onere di provare che le misure tecniche e organizzative adottate sono adeguate ai sensi dell’art. 32 GDPR;
  3. se una perizia possa costituire un mezzo di prova necessario e sufficiente per determinare se le misure tecniche e organizzative impiegate fossero adeguate, in caso di attacco hacker;
  4. se la divulgazione o l’accesso non autorizzati in caso di attacco hacker da parte di soggetti estranei alla sfera di controllo del titolare configura di per sé un evento non imputabile al titolare stesso, con conseguente esonero dalla responsabilità;
  5. se le sole inquietudini o ansie e i soli timori provati dall’interessato in merito ad un eventuale futuro uso improprio dei dati personali rientrino nella nozione di danno immateriale e facciano sorgere il diritto al risarcimento.

La Corte di Giustizia Europea ha preso posizione su tutte le questioni, stabilendo:

  1. L’adeguatezza delle misure tecniche e organizzative adottate dal titolare deve essere valutata in concreto dal Giudice. Sul punto, la Corte precisa che l’art. 24 GDPR prevede un obbligo generale di adottare misure tecniche e organizzative adeguate a garantire la conformità del trattamento al GDPR stesso e individua una serie di indici necessari per valutare tale adeguatezza: la natura, l’ambito di applicazione, il contesto e la finalità del trattamento nonché i rischi aventi probabilità e gravità diversi per i diritti e le libertà delle persone fisiche. Inoltre, l’Art. 32 GDPR, precisando gli obblighi del titolare in merito alla sicurezza del trattamento, stabilisce altresì che ai fini dell’adozione delle opportune misure, si deve tenere conto della natura e delle finalità del trattamento di cui trattasi. Pertanto, atteso il generale principio di adeguatezza, che di per sé presuppone sempre una valutazione, nonché i diversi indici di cui all’art. 34 GDPR, non può mai sussistere un automatismo tale da impedire un’analisi del caso concreto.
  2. Cade sul titolare l’obbligo di provare che le misure di sicurezza adottate fossero adeguate. La Corte giunge a tale conclusione tramite l’analisi delle norme di cui agli artt. 5, 24 e 32 GDPR, dai quali risulterebbe senza dubbio che grava sul titolare l’onere di provare che i dati personali sono trattati in modo tale da garantire una loro adeguata sicurezza. Il titolare, infatti, in forza del principio di responsabilità deve accertarsi e garantire che vengano adottate le misure di sicurezza di cui al GDPR e deve altresì essere in grado di dimostrare che tali principi sono stati rispettati.
  3. Una perizia giudiziaria non può costituire un mezzo di prova sistematicamente necessario e sufficiente. La Corte precisa che ciascuno Stato membro, nella propria autonomia, può consentire anche l’impiego di una perizia per la valutazione circa l’adeguatezza delle misure di sicurezza impiegate dal trattamento. Ciò detto, una norma che preveda sempre e comunque il ricorso a tale strumento, si porrebbe in netto contrasto con il principio di effettività. Infatti, il ricorso sistematico a tale strumento potrebbe rivelarsi superfluo alla luce delle prove a disposizione del giudice, soprattutto ove presente un controllo sulle misure impiegate effettuato da un’autorità indipendente e stabilita per legge.
  4. Il titolare deve dimostrare che il fatto che ha provocato il danno non gli è imputabile. A tale conclusione la Corte giunge dall’esame dell’ art. 82 GDPR, ove si prevede che il titolare risponde per il danno cagionato dal suo trattamento che violi il GDPR stesso, dell’ art. 146 GDPR, che prevede l’obbligo di risarcimento di tale danno, salvo che il titolare dimostri che l’evento dannoso non gli è imputabile,   e dell’ art. 4 GDPR, ove si stabilisce che in caso di attacchi informatici di terzi, tale violazione non può essere imputata al titolare, salvo che questi non abbia reso possibile tale violazione violando un obbligo del GDPR. Pertanto, non vi può essere nessun automatismo e l’assenza di qualsiasi riconducibilità del danno alla condotta del titolare dovrà sempre essere accertata, soprattutto per quanto concerne l’assenza di violazioni degli obblighi di cui al GDPR.
  5. Il mero timore di un potenziale utilizzo abusivo di dati personali può costituire un danno immateriale risarcibile. La Corte precisa che l’art. 82 GDPR prevede che chiunque subisca un danno materiale o immateriale a causa di una violazione del GDPR stesso, ha diritto ad ottenere il relativo risarcimento e che tale norma non prevede né che il danno per essere risarcibile abbia raggiunto un certo livello di gravità, né tantomeno esclude il timore da solo dovuto a un possibile utilizzo illecito non possa essere risarcito.

La pronuncia in esame offre fondamentali spunti per tutti gli operatori del settore privacy, imponendo sugli stessi specifici adempimenti tutti volti a mitigare quanto più possibile non solo rischi di attacchi hacker, ma anche possibili condanne al risarcimento di un danno che può configurarsi quale mero timore.

Più precisamente, il titolare deve agire in maniera scrupolosa in un’ottica di prevenzione di possibili accessi o divulgazioni non consentite, valutando attentamente l’idoneità delle misure che decide di adottare. Un importante aiuto in tal senso può essere di certo costituito da una valutazione del rischio, grazie alla quale il titolare può valutare da sé – prima che lo facciano altri – l’idoneità delle misure adottate e, anche a seconda della tipologia dei dati trattati, ottenere un parere preventivo dell’autorità nazionale competente. Tali misure, oltre ad assicurare una maggiore sicurezza del trattamento, costituiscono fondamentali mezzi per agevolmente replicare a eventuali pretese risarcitorie ed evitare di sostenere le ingenti spese, soprattutto in caso di giudizio, di una perizia.

Data di pubblicazione
29.01.2024
Argomento trattato
Data Protection

Iscrizione Newsletter

Share