17 febbraio 2025

La Corte di Giustizia dell’Unione Europea con la sentenza del 14 dicembre 2023, nella causa C-340/21, si è espressa in relazione alla responsabilità del titolare del trattamento dei dati personali in caso di data breach, sancendo principi di diritto fondamentali.

Nello specifico, secondo la Corte, il solo timore dell’interessato relativo a un potenziale utilizzo abusivo dei propri dati personali, oggetto di data breach, è di per sé fonte di danno immateriale risarcibile.

Il titolare del trattamento non può infatti essere esonerato dal suo obbligo di risarcire il danno subito dall’interessato, secondo il disposto ex art. 82 del GDPR (Regolamento generale sulla protezione dei dati UE 2016/679), per il solo fatto che il danno deriva da accessi non autorizzati di dati personali da parte di hacker – genericamente, criminali informatici – dovendo egli dimostrare che il fatto che ha provocato il danno non gli è in alcun modo imputabile.

Secondo la Corte, il timore di un potenziale utilizzo abusivo dei propri dati personali da parte di terzi che una persona nutre a seguito di una violazione del GDPR può, di per sé, costituire un “danno immateriale”, qualora l’interessato alleghi il suo timore che i suoi dati personali siano oggetto di un futuro utilizzo abusivo da parte di terzi, come mezzo per svolgere attività fraudolente o con un improprio utilizzo contrario ai principi espressi dal GDPR.

In ogni caso, una divulgazione non autorizzata di dati personali (o un accesso non autorizzato) da parte di terzi, non sono di per sé sufficienti a dimostrare che le misure tecniche e organizzative attuate dal titolare del trattamento in questione non fossero adeguate; è comunque onere del titolare del trattamento dare prova del fatto che le misure di sicurezza adottate fossero adeguate, mentre il giudice dovrà esaminare l’adeguatezza di tali misure in concreto, tenendo conto dei rischi connessi al trattamento e valutando se la natura, il contenuto e l’attuazione di tali misure siano adeguati a tali rischi.

La portata della sentenza è evidente: l’apertura alla risarcibilità del danno immateriale da solo timore delle conseguenze della perdita dei propri dati permetterà alle vittime di attacchi informatici di tutelarsi in giudizio contro il titolare del trattamento anche senza una specifica individuazione e quantificazione del danno, dovendo soltanto dare la prova del timore di un utilizzo improprio dei dati, nel caso attraverso azioni collettive (class action).