La Corte di Giustizia dell’Unione europea (la “CGUE” o la “Corte”), con la sentenza resa nella causa C-340/21, VB v. Natsionalna agentsia za prihodite (la “Sentenza”), il 14 dicembre scorso, si è pronunciata sulle condizioni per il risarcimento dei danni immateriali derivanti dalla pubblicazione di dati personali su Internet a seguito di un attacco hacker, costituente una violazione di dati personali ai sensi del Regolamento (UE) 2016/679 (il “GDPR” o il “Regolamento”). La Corte ha accolto l’interpretazione secondo cui anche il mero timore dell’interessato di un potenziale futuro utilizzo abusivo dei propri dati personali da parte di terzi può di per sé costituire un “danno immateriale” risarcibile ai sensi dell’art. 82 del GDPR. Il titolare del trattamento, infatti, non può essere esonerato dal suo obbligo di risarcire il danno subito dall’interessato per il solo fatto che tale danno derivi da una divulgazione non autorizzata di dati personali o da un accesso non autorizzato a tali dati da parte di “terzi” quali criminali informatici. La Sentenza, inoltre, riconoscendo un risarcimento pari ad un importo di circa 500,00 euro, conferma che – contrariamente al prevalente orientamento della giurisprudenza italiana[1] – il danno è risarcibile anche se non raggiunge una soglia minima. Secondo la Corte, infatti, quest’ultima contrasterebbe sia con il principio di effettività del danno (che richiede che venga risarcito nella sua integrità, non essendoci nel Regolamento alcuna norma che imponga al soggetto interessato l’obbligo di sopportare il danno alla privacy), che con il principio di uniformità (poiché, altrimenti, la soglia minima sarebbe interpretata diversamente da parte di ciascuno Stato membro). Il regime di responsabilità introdotto dall’art. 82 del GDPR Prima di analizzare il caso da cui trae origine la sentenza della CGUE e le conclusioni cui è approdata, si richiama, nelle parti che qui interessano, il disposto dell’art. 82 del GDPR. Nello specifico, la norma, al suo primo comma, riconosce il diritto ad ottenere il risarcimento dal titolare del trattamento o dal responsabile del trattamento a chiunque abbia subito un danno materiale o immateriale a causa di una violazione del Regolamento. Vi sono, dunque, tre condizioni che devono sussistere affinché possa essere riconosciuto un diritto al risarcimento del danno ai sensi dell’art. 82 del Regolamento: L’art. 82(3) del GDPR esclude la responsabilità in caso di non imputabilità, al titolare o al responsabile, dell’evento dannoso[2]. Nell’ordinamento italiano, un’analoga previsione si rinviene anche nell’art. 2050 c.c.[3]., in forza del quale, il trattamento dei dati personali è considerato, per sua natura o, meglio, per la natura dei mezzi adoperati, quale attività pericolosa. Nel trattamento di dati vi è dunque un rischio intrinseco che titolare e responsabile del trattamento devono tenere presente e, conseguentemente, sono tenuti ad adottare le più opportune precauzioni per limitare quanto più possibile il rischio. L’art. 82 del Regolamento deve infine essere letto in combinato disposto con gli artt. 5, 24 e 32 del GDPR, che pongono in capo al titolare del trattamento l’obbligo di accountability, ossia di adottare – tenuto conto dello stato dell’arte, dei costi di attuazione, della natura, dell’oggetto, del contesto, delle finalità del trattamento e del rischio di probabilità e gravità per i diritti e le libertà delle persone fisiche – misure tecniche ed organizzative adeguate ed efficaci per garantire e dimostrare la conformità del trattamento al GDPR. I fatti oggetto di causa La vicenda trae origine da un accesso abusivo al sistema informatico dell'Agenzia nazionale per le entrate pubbliche bulgara (la “NAP”), a seguito del quale sono stati diffusi online i dati personali di oltre sei milioni di interessati. Fra questi, una ricorrente ha adito il Tribunale amministrativo della città di Sofia, chiedendo il risarcimento di una somma pari a 510,00 euro in considerazione del danno immateriale subito. Secondo la ricorrente il danno consisterebbe “nel timore che i suoi dati personali che sono stati pubblicati senza il suo consenso siano oggetto di un utilizzo abusivo, in futuro, o che essa subisca un ricatto, un’aggressione, o addirittura un rapimento”[4]. Tuttavia, il giudice di primo grado respingeva il ricorso: secondo il tribunale, infatti, la ricorrente non aveva dimostrato la mancata adozione di misure di sicurezza adeguate da parte della NAP. La ricorrente si rivolgeva, dunque, alla Corte suprema amministrativa bulgara, la quale investiva la CGUE di diverse questioni pregiudiziali, tra le quali: La responsabilità del titolare in caso di data breach La CGUE ha sottolineato che, in caso di divulgazione non autorizzata o accesso non autorizzato ai dati personali, è fondamentale esaminare l’adeguatezza delle misure di sicurezza adottate dal titolare del trattamento. Di per sé, dunque, il solo fatto che vi sia stato un data breach, non può far considerare tali misure come inadeguate, né tantomeno assurgere a presunzione assoluta di responsabilità del titolare. Nel GDPR, infatti, sebbene venga richiesta l’adozione di un sistema di sicurezza adeguato ai rischi, non vi è alcuna pretesa verso una loro completa eliminazione. Con specifico riferimento alla responsabilità del titolare, la Corte ha altresì ribadito[5] che una simile violazione non può essere imputata al titolare del trattamento a meno che quest’ultimo non la abbia resa possibile violando un obbligo previsto dal GDPR. La valutazione dell’adeguatezza delle misure di sicurezza e l’onere della prova La Corte ha peraltro precisato che l’adeguatezza delle misure di sicurezza dev’essere valutata in concreto. Sebbene, infatti, il titolare disponga di un certo margine di discrezionalità per determinare le misure tecniche e organizzative adeguate al fine di garantire un livello di sicurezza proporzionato al rischio (come richiesto dall’art. 32(1) GDPR), la valutazione della loro adeguatezza spetta ai tribunali nazionali. È compito dei Tribunali, infatti, esaminare se tali misure sono state attuate secondo criteri di adeguatezza, efficacia e proporzionalità, tenendo conto delle esigenze di protezione dei dati specificamente inerenti al trattamento di cui trattasi nonché dei rischi indotti da quest’ultimo. Tale verifica di adeguatezza può essere fatta mediante gli strumenti processuali ritenuti più adeguati e conformi all’ordinamento dello Stato membro, anche eventualmente mediante perizie giurate (come richiesto dai giudici bulgari), ma tale strumento non può costituire mezzo di prova necessario e sufficiente. L’onere di provare che tali misure siano adeguate, grava invece, coerentemente con il principio di accountability enunciato all’art. 5 e concretizzato all’art. 24 del GDPR, sul titolare. In ragione di quanto sopra esposto, dunque, le circostanze in cui il titolare del trattamento può pretendere di essere esonerato dalla responsabilità civile in cui incorre ai sensi dell’art. 82 del GDPR, devono essere strettamente limitate a quelle in cui è in grado di dimostrare la mancanza di imputabilità del danno, ossia: Il concetto di “danno immateriale” ai sensi dell’art. 82(1) del GDPR La CGUE ha stabilito che l’art. 82(1) del Regolamento dev’essere interpretato nel senso che le preoccupazioni, le ansie e i timori di un potenziale utilizzo abusivo dei dati personali di un interessato da parte di terzi a seguito di una violazione del GDPR possono, di per sé, costituire un “danno immateriale” a tutti gli effetti risarcibile. L’orientamento della Corte si basa sul Considerando 146 del GDPR, secondo il quale “il concetto di danno dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di giustizia in modo tale da rispecchiare pienamente gli obiettivi del presente regolamento”. La Corte, dunque, rimarca[6] una nozione ampia di danno, che comprende sia un danno già prodotto attraverso l’utilizzo illecito dei dati personali, sia la sola paura percepita dall’interessato che un siffatto utilizzo possa in futuro prodursi. Tuttavia, occorre precisare che l’interessato deve dimostrare di aver realmente sofferto di simili ansie, preoccupazioni e timori e che, di conseguenza, sarà compito del giudice nazionale adito verificare che tali paure possano essere considerate fondate, nelle circostanze specifiche di cui trattasi e nei confronti dell’interessato. Ciò posto, la Corte, richiamata la precedente sentenza del 4 maggio 2023 resa nella causa C-300/21 (Österreichische Post), ha altresì ribadito che la violazione di specifici obblighi discendenti dal GDPR non comporta necessariamente un danno (e, dunque, il sorgere di responsabilità in capo al titolare): per fondare un diritto al risarcimento deve infatti sussistere un nesso di causalità tra la violazione di un obbligo del GDPR e il danno subito e, inoltre, non è necessario che quest’ultimo superi una determinata soglia di gravità. *** La decisione della CGUE rappresenta un’ulteriore pietra miliare nella giurisprudenza in materia di protezione dei dati personali. I principi che ne derivano possono essere sintetizzati come segue: Con la Sentenza, la Corte arretra la soglia di risarcibilità del danno: ad essere risarcibile non è solo il fatto vero e proprio dell’utilizzo illecito dei dati sottratti, ma anche la mera esposizione al rischio di un loro utilizzo abusivo da parte di chi li ha sottratti illecitamente. Infatti, ansie, preoccupazioni e paure rappresentano solitamente il primo danno subito da un interessato. Pertanto, sarà interessante osservare come questa nuova concezione di danno, risarcibile anche se lieve, si ripercuoterà nelle aule dei tribunali italiani ove, la Suprema Corte di cassazione, con un orientamento ormai consolidato, ritiene che il danno, per essere risarcibile, debba rispondere ai requisiti di “gravità della lesione” e “serietà del danno”. La Corte, inoltre, ha evidenziato la necessità di un’analisi approfondita sull’adeguatezza delle misure di sicurezza adottate dai titolari del trattamento. Sarà dunque fondamentale per le aziende investire tempo e risorse nelle attività di prevenzione di data breach e sicurezza del trattamento dei dati personali. [1] Sez. Un. n. 26972/2008, Cass. Sez. III n. 7726/2016, Cass. Sez. VI, ord. n. 17383/2020. In tale ultima ordinanza, la Corte di cassazione ritiene che, ai fini della risarcibilità dei danni ai dati personali, sia necessario che la lesione venga valutata tenendo conto del principio di solidarietà (art. 2 Cost.), per cui vi sarà la tolleranza dei danni lievi e il giudice di merito dovrà condannare al risarcimento solo in caso di danni gravi o serietà della lesione, ossia quando vi sia una perdita di natura personale effettivamente patita dall’interessato. Anche in presenza di una violazione delle prescrizioni di legge, il risarcimento sarà dovuto solo se la violazione della norma offende in modo sensibile la sua portata effettiva. [2] L'avvocato generale della CGUE (Sanchez), relativamente alla problematica del criterio di imputazione della responsabilità dell’art. 82 del GDPR e se l’assenza di colpa o la colpa lieve incida sulla quantificazione del danno alla privacy, rileva come tale norma, prevedendo come esimente che il titolare e/o il responsabile provino che il danno non è loro in alcun modo imputabile, non importa la necessità degli stessi di provare l’esistenza di colpa lieve o l’inesistenza della colpa, poiché l’art. 82 non si basa su una colpa con inversione dell’onere probatorio. Cfr. CGUE, 4 gennaio 2024, C-667/2021. [3] La norma, proprio come il GDPR, prevede un obbligo risarcitorio a meno che non si provi “di aver adottato tutte le misure idonee ad evitare il danno”. [4] Cfr. punto 13 della Sentenza. [5] CGUE 4 maggio 2023, Bundesrepublik Deutschland, C-60/22; CGUE 4 luglio 2023, Meta Platforms e a., C-252/21. [6] CGUE 4 maggio 2023, Österreichische Post, C-300/21.
