Criminalità informatica e risarcimento del “danno immateriale”, la sentenza della Corte Ue
Secondo quanto stabilito dalla Corte Ue, il timore di un potenziale utilizzo abusivo di dati personali può, di per sé, costituire un danno immateriale
Il timore di un potenziale utilizzo abusivo di dati personali può, di per sé, costituire un danno immateriale: è quanto stabilito dalla Corte di Giustizia dell’Unione europea, in merito a un caso di criminalità informatica che ha coinvolto l’Agenzia nazionale per le entrate pubbliche bulgara (NAP), collegata al Ministro delle Finanze bulgaro.
Criminalità informatica, la vicenda
L’Agenzia nazionale per le entrate pubbliche bulgara – si legge in una nota della Corte Ue – è incaricata, segnatamente, dell’identificazione, della salvaguardia e del recupero dei crediti pubblici. In tale contesto, essa è titolare del trattamento di dati personali.
Il 15 luglio 2019 i media hanno diffuso la notizia di un’intrusione nel sistema informatico della NAP, rivelando che, in seguito a tale attacco informatico, alcuni dati personali relativi a milioni di persone erano stati pubblicati su internet. In molti, quindi, hanno proposto azioni in giustizia contro la NAP, chiedendo il risarcimento del danno immateriale che sarebbe derivato dal timore di un potenziale utilizzo abusivo dei loro dati personali.
La Corte amministrativa suprema bulgara ha sottoposto, quindi, alla Corte di giustizia diverse questioni pregiudiziali relative all’interpretazione del regolamento generale sulla protezione dei dati (RGPD). In particolare, ha chiesto precisazioni in merito alle condizioni per il risarcimento del danno immateriale invocato da una persona i cui dati personali, in possesso di un’agenzia pubblica, siano stati oggetto di pubblicazione su internet a seguito di un attacco di criminali informatici.
La sentenza della Corte Ue
Questi gli elementi emersi dalla risposta della Corte Ue:
– in caso di divulgazione non autorizzata di dati personali o di accesso non autorizzato a tali dati, i giudici non possono dedurre da questo solo fatto che le misure di sicurezza adottate dal titolare del trattamento non fossero adeguate. I giudici devono esaminare l’adeguatezza di tali misure in concreto.
– È al titolare del trattamento che incombe di provare che le misure di sicurezza adottate fossero adeguate.
– Nell’ipotesi in cui la divulgazione non autorizzata di dati personali o l’accesso non autorizzato di tali dati siano stati commessi da «terzi» (quali i criminali informatici), il titolare del trattamento può essere tenuto a risarcire le persone che hanno subito un danno, salvo se riesce a dimostrare che tale danno non gli è in alcun modo imputabile.
– Il timore di un potenziale utilizzo abusivo dei suoi dati personali da parte di terzi che una persona nutre a seguito di una violazione del RGPD può, di per sé, costituire un «danno immateriale».