Sulla pronuncia della Corte di Giustizia nella causa C-340/21 sul risarcimento dei danni derivanti dal timore di un uso improprio di dati personali illecitamente sottratti

di Sergio Perrotta

Il quesito è stato sottoposto alla Corte di Giustizia in riferimento a una vicenda che trae origine dalla sottrazione di dati personali custoditi presso il sistema informatico dell’Agenzia nazionale per le entrate pubbliche bulgara (NAP) dovuta ad un attacco hacker, che ha spinto alcuni cittadini bulgari ad agire contro la NAP per il risarcimento dei danni.

Il Tribunale amministrativo bulgaro ha rigettato il ricorso proposto dai ricorrenti per diversi motivi: in primo luogo, in quanto l’accesso alla banca dati della NAP è imputabile ad una pirateria informatica commessa da terzi; in secondo luogo, in quanto non è stata dimostrata la mancata adozione, da parte della NAP, delle misure di sicurezza, oltre al fatto che nessun danno, ad avviso del Tribunale, si è perpetrato nei confronti di chi ha agito.

Il provvedimento è stato impugnato innanzi alla Corte suprema amministrativa, che ha sospeso il procedimento, rimettendo le seguenti questioni pregiudiziali alla Corte di Giustizia:

«1)      Se gli articoli 24 e 32 del [RGPD] debbano essere interpretati nel senso che è sufficiente che abbia avuto luogo una divulgazione o un accesso non autorizzati ai dati personali, ai sensi dell’articolo 4, punto 12, del [RGPD], da parte di persone che non sono dipendenti dell’amministrazione del titolare del trattamento e non sono soggette al suo controllo, per ritenere che le misure tecniche e organizzative adottate non siano adeguate.

2)      In caso di risposta negativa alla prima questione, quale debba essere l’oggetto e la portata del controllo giurisdizionale di legittimità nell’esame dell’adeguatezza delle misure tecniche e organizzative adottate dal titolare del trattamento ai sensi dell’articolo 32 del [RGPD].

3)      In caso di risposta negativa alla prima questione, se il principio di responsabilità di cui agli articoli 5, paragrafo 2, e 24 [del RGPD], in combinato disposto con il considerando 74 di tale regolamento, debba essere interpretato nel senso che, in un procedimento giudiziario conformemente all’articolo 82, paragrafo 1, del citato regolamento, incombe sul titolare del trattamento l’onere di provare che le misure tecniche e organizzative sono adeguate ai sensi dell’articolo 32 del [RGPD].

Se una perizia possa essere considerata un mezzo di prova necessario e sufficiente per determinare se le misure tecniche e organizzative adottate dal titolare del trattamento, in un caso come quello di specie, fossero adeguate, qualora l’accesso e la divulgazione non autorizzati di dati personali siano conseguenza di un “attacco hacker”.

4)      Se l’articolo 82, paragrafo 3, del [RGPD] debba essere interpretato nel senso che la divulgazione o l’accesso non autorizzati a dati personali ai sensi dell’articolo 4, paragrafo 12, di tale regolamento che, come nel caso di specie, ha avuto luogo mediante un “attacco hacker” da parte di persone che non sono dipendenti dell’amministrazione del titolare del trattamento e che non sono soggette al suo controllo configura un evento che non è in alcun modo imputabile a quest’ultimo e che gli consente di essere esonerato dalla responsabilità.

5)      Se l’articolo 82, paragrafi 1 e 2, del [RGPD], in combinato disposto con i considerando 85 e 146 di tale regolamento, debba essere interpretato nel senso che, in un caso come quello di specie, in cui ha avuto luogo una compromissione della protezione dei dati personali, verificatasi sotto forma dell’accesso non autorizzato e nella diffusione di dati personali mediante un “attacco hacker”, le sole inquietudini e ansie e i soli timori provati dalla persona interessata in merito ad un eventuale futuro uso improprio dei dati personali rientrino nella nozione di danno immateriale, che deve essere interpretata estensivamente, e facciano sorgere il diritto al risarcimento, qualora tale uso improprio non sia stato accertato e/o la persona interessata non abbia subito alcun ulteriore danno».

Tra le questioni sopra elencate, merita di essere segnalata quella concernente la configurabilità di un danno immateriale derivante dal possibile utilizzo abusivo dei dati personali illecitamente sottratti. In senso positivo si è espresso l’Avvocato Generale sostenendo che il timore di un uso improprio dei dati personali può configurarsi come un danno morale, pertanto risarcibile, salvo in ogni caso la necessità della dimostrazione di avere subìto il danno.

La Corte di Giustizia, in linea con quanto affermato dall’Avvocato Generale, ha ritenuto configurabile un «danno immateriale» in caso di “timore di un potenziale utilizzo abusivo dei dati personali da parte di terzi”. E ciò per diverse ragioni. In primo luogo, vi è la mancata distinzione, da parte dell’art. 82 del regolamento, della fattispecie che possono dar luogo ad un danno immateriale. In secondo luogo, il considerando n. 85 elenca i danni che possono essere subìti, tra i quali vi è anche quello che deriva dalla «perdita di controllo» sui dati.

Quanto alla quantificazione, l’art. 82 si limita a riconoscere il diritto del soggetto ad ottenere il risarcimento del danno in caso di violazione di quanto previsto dal regolamento, senza indicare i criteri per la quantificazione. Al considerando 146, invece, viene stabilito che il risarcimento deve essere “pieno ed effettivo” («Gli interessati dovrebbero ottenere pieno ed effettivo risarcimento per il danno subito»).

Quali, dunque, i riflessi della pronuncia della Corte sull’ordinamento italiano?

Nel nostro ordinamento, secondo l’orientamento giurisprudenziale (App. Aquila, 3 marzo 2022, n. 337; Cass., 10 novembre 2020, n. 25164), il danno immateriale rientra nella categoria del danno morale, cosicché ai fini della quantificazione, il giudice dovrà attenersi ai principi di liquidazione previsti e perciò provvedervi in via equitativa.

Resta sullo sfondo, sebbene di particolare rilievo, la questione concernente la prova dell’inadeguatezza delle misure adottate dal titolare del trattamento dei dati attraverso una perizia giudiziaria.

Sul punto la Corte si è espressa in senso negativo assumendo che la perizia non possa costituire un mezzo di prova necessario e sufficiente per dimostrare l’inadeguatezza delle misure adottate dal titolare del trattamento dei dati in base a quanto previsto dall’art. 32 e al principio di effettività, sebbene trattandosi di aspetti processuali, la scelta della rilevanza del mezzo di prova è comunque rimessa ai singoli Stati membri.

Per quanto riguarda l’ordinamento italiano, è evidente che, in ambito processuale, la valutazione circa l’adeguatezza o meno delle misure adottate dal titolare del trattamento dei dati al fine di evitare attacchi hacker non potrà prescindere dall’effettuazione di una consulenza tecnica volta a verificare quali strumenti siano stati adottati dal punto di vista informativo, ma potrà avere rilevanza anche la prova testimoniale volta per esempio a verificare le modalità con cui si è potuta realizzare la violazione (es. fattore umano) e la prova documentale costituita, se del caso, dalla predisposizione di protocolli in base ai modelli organizzativi richiesti dal D. lgs. n. 231 del 2001.