Dinanzi alla Corte di Giustizia Europea è attualmente in corso un interessantissima causa avente ad oggetto un trattamento illecito di dati personali avvenuto in Bulgaria.
Nello specifico, a seguito della diffusione della notizia di un accesso non autorizzato al sistema informatico dell’Agenzia nazionale delle entrate Bulgara per effetto del quale una serie di informazioni fiscali e previdenziali di milioni di individui sarebbero state diffuse on-line, numerose persone hanno citato in giudizio l’Agenzia delle Entrate per ottenere il risarcimento dei danni morali patiti.
Ad essere richiamati sono gli artt. 24 e 32 GDPR per non aver l’Agenzia garantito “idonei standard di sicurezza” mediante l’adozione di adeguate misure tecniche ed organizzative.
Nel caso che oggi ci occupa, nel giudizio promosso da una contribuente, viene anche richiesto il risarcimento del conseguente danno morale, manifestatosi sotto forma di apprensioni e timori per un futuro uso improprio dei dati personali trafugati.
La difesa dell’Agenzia si fonda sul fatto di non aver ricevuto alcuna richiesta dalla ricorrente contenente l’indicazione specifica dei dati personali che esattamente fossero stati oggetto di accesso, e sul fatto che essa, scoperto il data breach, avrebbe tempestivamente convocato i vertici con gli esperti a tutela dei diritti e degli interessi dei cittadini, oltre che sul fatto che mancherebbe un nesso di causalità tra l’attacco informatico ed il danno lamentato, avendo invece l’Agenzia implementato tutti i sistemi di gestione delle procedure e quelli per la sicurezza delle informazioni, conformemente alle norme internazionali vigenti in materia.
Il Tribunale bulgaro di primo grado ha rigettato la domanda, ritenendo che la diffusione on-line dei dati non sarebbe imputabile all’Agenzia, e soprattutto che l’onere della prova sull’adeguatezza delle misure adottate gravasse sulla contribuente e non sull’Agenzia convenuta e che, infine, nessun danno morale fosse risarcibile.
Alla luce di tale decisione, la contribuente ha impugnato la decisione di primo grado dinanzi alla Corte suprema amministrativa, sostenendo che il giudice di primo grado avesse errato nel ripartire l’onere della prova rispetto alla mancata adozione delle misure di sicurezza.
Le questioni pregiudiziali sottoposte dal giudice del rinvio alla Corte di giustizia europea si possono riassumere nelle seguenti cinque:
- se gli articoli 24 e 32 GDPR debbano essere interpretati nel senso che è sufficiente che abbia avuto luogo una divulgazione o un accesso non autorizzati ai dati personali, ai sensi dell’articolo 4, punto 12, del medesimo regolamento, da parte di persone che non sono dipendenti dell’amministrazione del titolare del trattamento e non sono soggette al suo controllo, per ritenere che le misure tecniche e organizzative adottate non siano adeguate;
- quale debba essere, in caso di risposta negativa alla prima questione, l’oggetto e la portata del controllo giurisdizionale di legittimità nell’esame dell’adeguatezza delle misure tecniche e organizzative adottate dal titolare del trattamento ai sensi dell’articolo 32 GDPR;
- qualora la risposta alla prima questione fosse negativa, se il principio di responsabilità di cui agli articoli 5, par. 2, e 24 GDPR, in combinato disposto con il considerando 74 di tale regolamento, debba essere interpretato nel senso che, in un procedimento giudiziario conformemente all’articolo 82, paragrafo 1, del citato regolamento, incombe sul titolare del trattamento l’onere di provare che le misure tecniche e organizzative sono adeguate ai sensi dell’articolo 32 dello stesso regolamento;
- se l’art. 82, par. 3, GDPR debba essere interpretato nel senso che la divulgazione o l’accesso non autorizzati a dati personali configura un evento che non è in alcun modo imputabile a quest’ultimo e che gli consente di essere esonerato dalla responsabilità;
- se l’art. 82, parr. 1 e 2, GDPR, in combinato disposto con i considerando 85 e 146 di tale regolamento, debba essere interpretato nel senso che, in un caso come quello di specie, in cui ha avuto luogo una compromissione della protezione dei dati personali, verificatasi sotto forma dell’accesso non autorizzato e nella diffusione di dati personali mediante un “attacco hacker”, le sole inquietudini e ansie e i soli timori provati dalla persona interessata in merito ad un eventuale futuro uso improprio dei dati personali rientrino nella nozione di danno morale, che deve essere interpretata estensivamente, e facciano sorgere il diritto al risarcimento, qualora tale uso improprio non sia stato accertato e/o la persona interessata non abbia subito alcun ulteriore danno.
Le conclusioni dell’Avvocato Generale
Qualche giorno fa, il 27 aprile 2023, l’Avvocato Generale Giovanni Pitruzzella, ha depositato le sue conclusioni sottolineando che il titolare del trattamento dei dati personali è responsabile della sicurezza dei dati e deve adottare misure tecniche e organizzative adeguate per garantire la protezione dei dati personali. In caso di violazione dei dati personali, il titolare del trattamento può essere ritenuto responsabile, a meno che non dimostri di aver adottato tutte le misure tecniche e organizzative adeguate per prevenire la violazione. Inoltre, l’Avvocato Generale ha sottolineato che la responsabilità del titolare del trattamento non può essere esclusa solo perché l’evento è stato causato da un soggetto esterno alla sua sfera di controllo, come un attacco informatico. La negligenza del titolare del trattamento dei dati personali potrebbe essere all’origine dell’attacco informatico, agevolandolo a causa dell’assenza o dell’inadeguatezza delle misure di sicurezza dei dati personali che quest’ultimo è tenuto ad attuare.
La ripartizione degli oneri probatori all’interno del giudizio in caso di azione risarcitoria per danno morale
Gli oneri probatori all’interno del giudizio in caso di azione risarcitoria per danno morale vengono ripartiti in modo specifico secondo il Regolamento (UE) 2016/679. L’articolo 82, paragrafo 3, del Regolamento prevede un regime favorevole al danneggiato, disponendo una forma di inversione dell’onere della prova della colpa del danneggiante. Ciò significa che, in piena simmetria con l’inversione dell’onere della prova per quanto attiene all’adeguatezza delle misure adottate, il legislatore ha previsto che il titolare del trattamento si trovi nella migliore posizione per offrire la prova liberatoria per dimostrare che l’evento dannoso non gli è in alcun modo imputabile. Questo regime favorisce il danneggiato, consentendogli di non dover provare la colpa del titolare del trattamento, ma piuttosto ponendo a quest’ultimo l’onere di dimostrare di aver adottato tutte le misure tecniche e organizzative adeguate per prevenire la violazione dei dati personali.
I criteri di imputabilità della responsabilità al titolare del trattamento
Secondo il Regolamento (UE) 2016/679, i criteri di imputabilità della responsabilità al titolare del trattamento includono la necessità per il titolare del trattamento di adottare misure tecniche e organizzative adeguate per garantire la sicurezza dei dati personali. In caso di violazione dei dati personali, il titolare del trattamento può essere ritenuto responsabile a meno che non dimostri di aver adottato tutte le misure tecniche e organizzative adeguate per prevenire la violazione. Questo implica che il titolare del trattamento deve essere in grado di dimostrare di aver rispettato gli obblighi derivanti dagli articoli 24 e 32 del Regolamento, adottando misure effettivamente adeguate per proteggere i dati personali. Inoltre, il titolare del trattamento deve dimostrare di aver fatto tutto il possibile per ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di violazione.
L’importanza di dimostrare l’adeguatezza delle misure tecniche e organizzative
Dimostrare l’adeguatezza delle misure tecniche e organizzative attuate ai sensi del GDPR è di fondamentale importanza poiché il regolamento richiede che i titolari del trattamento dei dati adottino misure adeguate per garantire la protezione dei dati personali. In caso di violazione dei dati personali, la dimostrazione dell’adeguatezza di tali misure può influenzare la responsabilità del titolare del trattamento e il risarcimento dei danni.
In particolare, dimostrare l’adeguatezza delle misure tecniche e organizzative può influenzare i seguenti aspetti:
- responsabilità legale: il GDPR richiede che i titolari del trattamento adottino misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato ai rischi presenti. Dimostrare l’adeguatezza di tali misure può influenzare la valutazione della responsabilità legale in caso di violazione dei dati personali;
- risarcimento dei danni: la dimostrazione dell’adeguatezza delle misure tecniche e organizzative può influenzare la valutazione dei danni subiti dalle persone interessate. Se le misure sono considerate adeguate, potrebbe ridursi l’entità del danno e il relativo risarcimento;
- controllo giurisdizionale: la dimostrazione dell’adeguatezza delle misure tecniche e organizzative può influenzare il controllo giurisdizionale della conformità delle misure applicate ai requisiti del regolamento GDPR.
In estrema sintesi, risulta alquanto evidente che dimostrare l’adeguatezza delle misure tecniche e organizzative è cruciale per garantire la conformità alle normative sulla protezione dei dati, ridurre la responsabilità legale e mitigare i potenziali danni derivanti da violazioni dei dati personali.
Responsabilità presunta nel trattamento dei dati e prospettive sull’art. 82 GDPR
Secondo l’avvocato Pitruzzella, la responsabilità derivante dall’illecito trattamento di dati personali, come delineata nell’articolo 82 del Regolamento, assume la forma di una responsabilità aggravata per colpa presunta. Questa interpretazione conduce alla possibilità per il titolare del trattamento di presentare una prova liberatoria, una prerogativa non ammessa nella responsabilità oggettiva, dimostrando di aver compiuto ogni sforzo per ripristinare rapidamente la disponibilità e l’accesso ai dati personali.
Nel caso in cui un titolare del trattamento subisca un attacco da parte di criminali informatici, l’evento dannoso potrebbe essere considerato non imputabile direttamente al titolare del trattamento. Tuttavia, non si può escludere che la negligenza del titolare del trattamento nei confronti delle misure di sicurezza dei dati abbia agevolato l’attacco.
Qualora la Corte di giustizia adottasse un’interpretazione che automaticamente esonerasse il titolare del trattamento dalla responsabilità quando la violazione del Regolamento è causata da terzi, come indicato nell’articolo 82, paragrafo 3, tale interpretazione potrebbe contrastare con l’obiettivo di protezione perseguito dal Regolamento. Ciò perché limiterebbe la responsabilità ai casi in cui la violazione è attribuibile a individui sottoposti all’autorità e/o al controllo del titolare del trattamento, indebolendo così i diritti degli interessati.
Daniele Giordano
Ultimi post di Daniele Giordano (vedi tutti)
- Verso una regolamentazione consapevole: analisi del Codice di Buone Pratiche sull’intelligenza artificiale generale - Novembre 15, 2024
- L’armonizzazione degli standard per l’AI Act: verso una conformità normativa sicura e affidabile - Ottobre 31, 2024
- Consultazione della Commissione Europea sull’accesso ai dati delle piattaforme - Ottobre 29, 2024
- Sanzione del Garante Privacy a Postel S.p.A.: prevenzione e corretta segnalazione della violazione in caso di data breach - Ottobre 23, 2024
- Sul valore probatorio delle firme elettroniche nel processo - Ottobre 18, 2024