Il 20 giugno 2024, la Corte di Giustizia dell’Unione Europea (CGUE) ha emesso una sentenza significativa riguardante il diritto al risarcimento per danni derivanti dalla violazione del Regolamento Generale sulla Protezione dei Dati (Reg. UE 2016/679 GDPR).
La sentenza ha avuto origine dalle domande di pronuncia pregiudiziale proposte dal Tribunale di Monaco di Baviera (Amtsgericht München) nell’ambito di due controversie che hanno visto coinvolti due individui (JU e SO) contro la società Scalable Capital GmbH. Al centro della decisione vi è stata l’interpretazione delle nozioni di “furto d’identità” e di “danno immateriale” previste dal GDPR.
Il caso: dati rubati da un’applicazione di trading
Il caso ha avuto origine dal ricorso di JU e SO i quali avevano aperto un conto online su un’applicazione di “trading” gestita dalla Scalable Capital GmbH.
Nel 2020 alcuni hacker, di identità rimasta sconosciuta, sono riusciti ad ottenere l’accesso ai dati sensibili dei ricorrenti e ai relativi portafogli titoli. I ricorrenti hanno perciò lamentato il furto dei loro dati personali ed hanno richiesto, davanti al Tribunale di Monaco di Baviera, un risarcimento per il danno immateriale subito nei confronti della società titolare del trattamento dei dati.
La questione pregiudiziale: il furto di dati personali corrisponde al “furto d’identità”?
Il quesito rivolto dai giudici tedeschi alla Corte di Giustizia UE riveste carattere centrale. Difatti, si trattava in primo luogo di stabilire se la condotta degli hacker rientrasse nella nozione di “furto o usurpazione d’identità” di cui ai considerando 75 e 85 del Regolamento (UE) 2016/679 (GDPR).
In altri termini, alla Corte si chiedeva di chiarire se il furto di identità sia configurabile già per effetto della disponibilità, da parte degli autori del reato, di dati che rendono identificabile l’interessato, oppure debba ritenersi che tale furto si verifichi solo nel caso in cui l’autore del reato abbia effettivamente assunto l’identità dell’interessato, sostituendosi a quest’ultimo in qualsiasi modo.
In secondo luogo, ai fini della valutazione delle conseguenze connesse a un furto d’identità, il Tribunale di Monaco interpellava la Corte anche per specificare le condizioni e i criteri della quantificazione del danno immateriale. Occorre rilevare che il diritto al risarcimento è previsto all’articolo 82 del GDPR, ma la definizione e l’entità del “danno immateriale” non sono chiaramente delineate, lasciando spazio a molteplici interpretazioni.
La decisione della Corte
La CGUE ha colto l’occasione per chiarire diversi aspetti cruciali riguardanti la natura del risarcimento per danno immateriale, approfondendo anche cosa debba intendersi per “furto di identità” ai sensi del Regolamento UE.
Difatti, anche detta nozione non è definita dal GDPR, ma è richiamata dai considerando 75 e 85 dello stesso, che prevedono un elenco di rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento dei dati personali, nonché di danni fisici, materiali o immateriali, che le violazioni dei dati personali possono provocare. Questi rischi o danni possono includere, appunto, discriminazioni, furto o usurpazione d’identità, perdite finanziarie e pregiudizio alla reputazione.
La Corte conferma che i termini “furto d’identità” e “usurpazione d’identità” sono considerati intercambiabili e non distinti tra loro, ma implicano, a suo giudizio, la volontà di appropriarsi dell’identità di una persona i cui dati sono stati precedentemente rubati.
Di conseguenza, il semplice accesso o l’acquisizione di controllo da parte di hacker sui dati personali, come è accaduto nel caso di specie, sebbene configurino certamente un furto di dati, non sono di per sé sufficienti a concretizzare un furto o un’usurpazione d’identità.
Sul punto, la Corte conclude che il furto di dati personali non costituisce, di per sé, un furto o un’usurpazione d’identità.
Tuttavia, ciò non significa, prosegue la Corte, che il semplice furto di dati non faccia comunque sorgere il diritto al risarcimento del danno immateriale patito: quest’ultimo non deve essere limitato ai soli casi in cui si dimostra che i dati rubati sono successivamente utilizzati per un’effettiva usurpazione d’identità, ma deve essere garantito ogni qualvolta sono soddisfatte tre condizioni:
- trattamento di dati personali in violazione del GDPR;
- danno subito dall’interessato;
- nesso di causalità tra il trattamento di dati in violazione e il danno subito.
A tal proposito, la Corte ha confermato che l’articolo 82 del GDPR prevede un risarcimento avente funzione esclusivamente compensativa. Ciò significa che il risarcimento pecuniario deve consentire di compensare integralmente il danno derivato dalla violazione del Regolamento e non ha, invece, una funzione meramente punitiva o dissuasiva.
Inoltre, il livello di gravità e l’eventuale carattere doloso della violazione non devono influenzare l’importo del risarcimento per danni immateriali. Quest’ultimo deve essere determinato unicamente in base al danno concreto subito dagli interessati in maniera tale da garantire un risarcimento “pieno ed effettivo”, tenuto conto, inoltre, che un siffatto danno non debba considerarsi, per sua natura, meno grave di una lesione personale.
Implicazioni della sentenza: un rafforzamento delle tutele
Questa sentenza offre una chiarificazione importante sulla nozione di “furto d’identità” nel contesto del GDPR, ampliando la protezione dei diritti degli interessati e sottolineando l’importanza di adottare misure adeguate a garantire la conformità al Regolamento UE.
Tale decisione non solo avrà un impatto significativo sulle politiche di gestione dei dati delle aziende, incentivandole a rafforzare le proprie misure di sicurezza, ma segna anche una vittoria importante per i diritti individuali nell’era digitale. Da una parte, aziende e organizzazioni responsabili del trattamento saranno maggiormente consapevoli del rischio di dover risarcire danni immateriali anche in caso di furto di dati e pur in assenza di un utilizzo effettivo degli stessi per usurpare l’identità altrui. D’altra parte, la decisione ha confermato che il diritto al risarcimento per danni immateriali è una componente essenziale del GDPR, stabilendo che qualsiasi violazione dello stesso comporta un obbligo di risarcimento per i danni concreti subiti, indipendentemente dall’intenzionalità o dalla gravità della violazione, così rafforzando la protezione dei cittadini europei in punto di tutela dei loro dati personali.
In conclusione, è probabile che la sentenza della Corte di Giustizia dell’Unione Europea del 20 giugno 2024 costituirà un precedente importante per future cause legali riguardanti violazioni dei dati personali avvenute tramite l’utilizzo di applicazioni online. E, allo stesso tempo, i cittadini europei potranno sentirsi più tutelati, sapendo che la protezione dei loro diritti è estesa anche all’eventualità di sottrazione dei loro dati e non solo, o non necessariamente, della loro identità.
Teresa Franza