Con sentenza del 14.12.2023 (causa C‑340/21), la Corte UE si è pronunciata in via pregiudiziale su richiesta della Corte Suprema della Bulgaria, affermando che la violazione dei principi sanciti dal GDPR comporta il risarcimento dei danni, anche immateriali, subiti dagli interessati.
Pertanto, in caso di data breach, il titolare del trattamento è obbligato a risarcire agli interessati anche i danni non patrimoniali se non riesce a dimostrare di aver adottato misure di sicurezza adeguate a prevenire l’attacco informatico.
Il caso
Nel 2019, l’Agenzia Nazionale per le Entrate Pubbliche della Bulgaria (NAP) ha subito un attacco al proprio sistema informatico, in seguito al quale i dati personali di circa 6 milioni di persone sono stati illecitamente pubblicati su internet.
Dopo aver appreso la notizia, alcuni dei soggetti interessati dalla violazione hanno proposto un’azione risarcitoria contro la NAP, chiedendo il ristoro del danno morale provocato dalla divulgazione dei loro dati personali.
Il danno in questione veniva identificato nel timore che i dati personali pubblicati senza consenso potessero essere oggetto di ulteriori utilizzi abusivi, come quello di pianificare un ricatto, un’aggressione o addirittura un rapimento.
A sostegno di tale domanda, i ricorrenti affermavano che l’attacco informatico (data breach) sarebbe stato causato dall’inadeguatezza delle misure di sicurezza informatiche che NAP, in qualità di titolare del trattamento, avrebbe avuto l’obbligo di implementare.
L’Agenzia bulgara si è difesa esibendo la documentazione volta a dimostrare di aver adottato tutte le misure necessarie per prevenire l’accesso ai dati contenuti nel suo sistema e, dopo l’attacco, di essersi attivata tempestivamente per limitare gli effetti della violazione e per rassicurare i cittadini. Inoltre, secondo NAP, non esisteva alcun nesso di causalità tra il danno immateriale lamentato e la violazione, dato che anche la stessa NAP sarebbe stata vittima dell’attacco compiuto da pirati informatici.
Il rinvio pregiudiziale alla CGUE
Dopo una prima sentenza favorevole a NAP, è seguito un ricorso alla Corte Suprema Amministrativa della Bulgaria, nell’ambito del quale i Giudici bulgari hanno deciso di sospendere il procedimento e di sottoporre la questione alla CGUE.
In particolare, i Giudici nazionali hanno chiesto alla Corte Europea di chiarire se il fatto stesso di aver subito un attacco informatico sia sufficiente, di per sé, per ritenere che le misure tecniche e organizzative attuate dal titolare del trattamento non fossero «adeguate».
Inoltre, è stato chiesto alla Corte se, in base all’art. 82 del GDPR, il timore di un potenziale utilizzo abusivo dei dati personali che un interessato nutre a seguito di un data breach può costituire un «danno immateriale» risarcibile.
I principi enunciati dalla CGUE
Esaminata la questione alla luce dei principi stabiliti dal GDPR, la Corte ha escluso che il solo fatto di aver subito un accesso non autorizzato ai dati personali sia sufficiente per ritenere che le misure tecniche e organizzative attuate dal titolare del trattamento non fossero «adeguate».
Al riguardo, la Corte ha ricordato che l’adeguatezza delle misure tecniche e organizzative attuate dal titolare deve essere valutata dai giudici nazionali in concreto, tenendo conto dei rischi connessi al trattamento di cui trattasi e valutando se la natura, il contenuto e l’attuazione di tali misure siano adeguate in relazione a tali rischi.
Rispetto al danno risarcibile, la Corte ha affermato che, nell’ambito di un’azione risarcitoria fondata sulla violazione del GDPR, il titolare del trattamento è tenuto a dimostrare l’adeguatezza delle misure di sicurezza attuate e può essere esonerato dal suo obbligo di risarcire il danno agli interessati solo se riesce a dimostrare che il fatto che ha provocato il danno in questione non gli è in alcun modo imputabile. Pertanto, l’essere vittima di un attacco informatico realizzato da terzi non basta a escludere la responsabilità del titolare del trattamento.
Infine, per quanto riguarda il danno immateriale risarcibile al soggetto interessato, la Corte ha riconosciuto che, in base all’art. 82 del GDPR, “il timore di un potenziale utilizzo abusivo dei suoi dati personali da parte di terzi che un interessato nutre a seguito di una violazione di tale regolamento può, di per sé, costituire un «danno immateriale», ai sensi di tale disposizione”.
Ilaria Feriti