Corte giustizia 14.12.2023, C-340/21, in un’azione di danni a seguito di intrusione nei database dell’amministraizone finanziaria bulgara:
le questioni pregiudiziali dal foro bulgaro:
«1) Se gli articoli 24 e 32 del [RGPD] debbano essere interpretati nel senso che è sufficiente che abbia avuto luogo una divulgazione o un accesso non autorizzati ai dati personali, ai sensi dell’articolo 4, punto 12, del [RGPD], da parte di persone che non sono dipendenti dell’amministrazione del titolare del trattamento e non sono soggette al suo controllo, per ritenere che le misure tecniche e organizzative adottate non siano adeguate.
2) In caso di risposta negativa alla prima questione, quale debba essere l’oggetto e la portata del controllo giurisdizionale di legittimità nell’esame dell’adeguatezza delle misure tecniche e organizzative adottate dal titolare del trattamento ai sensi dell’articolo 32 del [RGPD].
3) In caso di risposta negativa alla prima questione, se il principio di responsabilità di cui agli articoli 5, paragrafo 2, e 24 [del RGPD], in combinato disposto con il considerando 74 di tale regolamento, debba essere interpretato nel senso che, in un procedimento giudiziario conformemente all’articolo 82, paragrafo 1, del citato regolamento, incombe sul titolare del trattamento l’onere di provare che le misure tecniche e organizzative sono adeguate ai sensi dell’articolo 32 del [RGPD].
Se una perizia possa essere considerata un mezzo di prova necessario e sufficiente per determinare se le misure tecniche e organizzative adottate dal titolare del trattamento, in un caso come quello di specie, fossero adeguate, qualora l’accesso e la divulgazione non autorizzati di dati personali siano conseguenza di un “attacco hacker”.
4) Se l’articolo 82, paragrafo 3, del [RGPD] debba essere interpretato nel senso che la divulgazione o l’accesso non autorizzati a dati personali ai sensi dell’articolo 4, paragrafo 12, di tale regolamento che, come nel caso di specie, ha avuto luogo mediante un “attacco hacker” da parte di persone che non sono dipendenti dell’amministrazione del titolare del trattamento e che non sono soggette al suo controllo configura un evento che non è in alcun modo imputabile a quest’ultimo e che gli consente di essere esonerato dalla responsabilità.
5) Se l’articolo 82, paragrafi 1 e 2, del [RGPD], in combinato disposto con i considerando 85 e 146 di tale regolamento, debba essere interpretato nel senso che, in un caso come quello di specie, in cui ha avuto luogo una compromissione della protezione dei dati personali, verificatasi sotto forma dell’accesso non autorizzato e nella diffusione di dati personali mediante un “attacco hacker”, le sole inquietudini e ansie e i soli timori provati dalla persona interessata in merito ad un eventuale futuro uso improprio dei dati personali rientrino nella nozione di danno immateriale, che deve essere interpretata estensivamente, e facciano sorgere il diritto al risarcimento, qualora tale uso improprio non sia stato accertato e/o la persona interessata non abbia subito alcun ulteriore danno».
Risposte della CG:
<<1) .. una divulgazione non autorizzata di dati personali o un accesso non autorizzato a tali dati da parte di «terzi», ai sensi dell’articolo 4, punto 10, di tale regolamento, non sono sufficienti, di per sé, per ritenere che le misure tecniche e organizzative attuate dal titolare del trattamento in questione non fossero «adeguate», ai sensi di tali articoli 24 e 32. [alquanto ovvio]
2) L’articolo 32 del regolamento 2016/679
dev’essere interpretato nel senso che:
l’adeguatezza delle misure tecniche e organizzative attuate dal titolare del trattamento ai sensi di tale articolo deve essere valutata dai giudici nazionali in concreto, tenendo conto dei rischi connessi al trattamento di cui trattasi e valutando se la natura, il contenuto e l’attuazione di tali misure siano adeguati a tali rischi. [alquanto ovvio]
3) Il principio di responsabilità del titolare del trattamento, enunciato all’articolo 5, paragrafo 2, del regolamento 2016/679 e concretizzato all’articolo 24 di quest’ultimo,
deve essere interpretato nel senso che:
nell’ambito di un’azione di risarcimento fondata sull’articolo 82 di tale regolamento, al titolare del trattamento di cui trattasi incombe l’onere di dimostrare l’adeguatezza delle misure di sicurezza da esso attuate ai sensi dell’articolo 32 di detto regolamento. [già più interessante, visto che l’art. 82.3 3. secondo cui <<Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile>>, non è chiarissimo nel porre un’inversione dell’onere della prova come i nostri art. 2047 segg. c.c.].
4) L’articolo 32 del regolamento 2016/679 e il principio di effettività del diritto dell’Unione
devono essere interpretati nel senso che:
al fine di valutare l’adeguatezza delle misure di sicurezza che il titolare del trattamento ha attuato ai sensi di tale articolo, una perizia giudiziaria non può costituire un mezzo di prova sistematicamente necessario e sufficiente. [alquanto ovvio]
5) L’articolo 82, paragrafo 3, del regolamento 2016/679
deve essere interpretato nel senso che:
il titolare del trattamento non può essere esonerato dal suo obbligo di risarcire il danno subito da una persona, ai sensi dell’articolo 82, paragrafi 1 e 2, di tale regolamento, per il solo fatto che tale danno deriva da una divulgazione non autorizzata di dati personali o da un accesso non autorizzato a tali dati da parte di «terzi», ai sensi dell’articolo 4, punto 10, di detto regolamento, dato che tale responsabile deve allora dimostrare che il fatto che ha provocato il danno in questione non gli è in alcun modo imputabile. [alquanto ovvio]
6) L’articolo 82, paragrafo 1, del regolamento 2016/679
deve essere interpretato nel senso che:
il timore di un potenziale utilizzo abusivo dei suoi dati personali da parte di terzi che un interessato nutre a seguito di una violazione di tale regolamento può, di per sé, costituire un «danno immateriale», ai sensi di tale disposizione>>. [interessante]