Update | Danno morale e data breach: la recente pronuncia della Corte di giustizia europea
Danno morale e data breach: la Corte di Giustizia dell’UE (CGUE) è stata chiamata ad interpretare alcuni articoli del Regolamento europeo in materia di protezione dei dati (“GDPR”) al fine di definire le condizioni di risarcibilità del danno a un soggetto i cui dati personali, in possesso di un’agenzia pubblica, erano stati oggetto di pubblicazione su Internet a seguito di un attacco hacker.
La Corte in particolare ha stabilito che:
- in caso di divulgazione non autorizzata di dati personali o di accesso non autorizzato ai dati (come nelle ipotesi di attacchi da parte di criminali informatici) i giudici devono esaminare in concreto l’adeguatezza delle misure di sicurezza non potendo dedurre automaticamente che le stesse fossero inadeguate ai sensi degli articoli 24 e 32 GDPR;
- l’onere di dimostrare l’adeguatezza delle misure ricade in capo al titolare del trattamento e il ricorso a una perizia giudiziaria non può costituire un mezzo di prova sistematicamente necessario e sufficiente;
- il titolare può essere chiamato a risarcire il danno subìto dalle persone fisiche anche nelle ipotesi in cui il fatto sia stato commesso da criminali informatici, a meno che riesca a dimostrare che tale danno non gli è in alcun modo imputabile;
- il timore di un potenziale futuro utilizzo improprio dei dati personali dell’interessato da parte di terzi può costituire di per sé un danno morale che dà diritto a un risarcimento.
Il caso nasce da una notizia diffusa dai media secondo cui l’agenzia nazionale per le entrate pubbliche bulgara (la NAP) che si occupa della salvaguardia e del recupero dei crediti ha subìto un attacco hacker che ha comportato la pubblicazione online di dati personali di più di sei milioni di persone fisiche, di nazionalità bulgara o straniera.
A seguito dell’evento numerosi interessati hanno citato in giudizio la NAP per il risarcimento dei danni morali e tra questi un interessato ha richiesto il pagamento di danni per un importo di poco più di € 500,00 (in moneta locale 1000 BGN).
Per leggere la sentenza completa, clicca qui.