Home
Network ALL-IN
Quotidiano
Specializzazioni
Rubriche
Strumenti
Fonti
27 aprile 2023
L’accesso illecito ai dati personali da parte di terzi può dar luogo a danno morale risarcibile solo se…

…si tratta di un danno emotivo reale e certo e non di un semplice disagio o fastidio. Inoltre, il titolare del trattamento deve dimostrare che l'evento dannoso non gli è in alcun modo imputabile per essere esonerato da responsabilità per colpa presunta.

La Redazione

La controversia trae origine dalla richiesta di risarcimento del danno morale avanzata da alcune persone a seguito della notizia di un accesso non autorizzato al sistema informatico dell'Agenzia nazionale delle Entrate bulgara (NAP) e della conseguente pubblicazione su internet di informazioni fiscali e previdenziali di milioni di cittadini. Secondo gli istanti, il danno morale si manifestava sotto forma di apprensioni e timori per un futuro uso improprio dei suoi dati personali.
Rigettata la domanda in primo grado, la Corte Suprema amministrativa, adita in appello, sottoponeva alla CGUE alcune questioni pregiudiziali circa l'interpretazione del Reg. UE 2016/679 al fine di delineare le condizioni di risarcibilità del danno morale ad un soggetto i cui dati personali, in possesso di un'Agenzia pubblica, sono stati oggetto di pubblicazione su internet a seguito di un attacco hacker.

Nelle sue conclusioni nella causa C-340/21 del 27 aprile 2023, l'Avvocato generale Pitruzzella ritiene che il verificarsi di una «violazione dei dati personali» non è di per sé sufficiente per concludere che le misure tecniche e organizzative attuate dal responsabile del trattamento non erano «adeguate» a garantire la protezione dei dati.

La scelta delle misure da parte del titolare del trattamento, avvenuta tenendo conto di una serie di fattori, è soggetta a un eventuale controllo giurisdizionale di conformità. Nel verificare l'adeguatezza delle misure, precisa l'Avvocato, il giudice nazionale deve effettuare un controllo che si estende all'analisi concreta sia del contenuto di tali misure sia del modo in cui sono state applicate e dei loro effetti pratici.
In merito all'onere della prova circa l'adeguatezza delle misure, l'Avvocato afferma che esso incombe sul titolare del trattamento. In particolare, spetta all'ordinamento giuridico interno di ciascuno Stato membro determinare i metodi di prova ammissibili e il loro valore probatorio, compresi i mezzi istruttori.

Nelle sue conclusioni, l'Avvocato puntualizza inoltre che il titolare del trattamento non è esonerato da eventuali responsabilità per il fatto che la violazione del regolamento sia stata commessa da un terzo. Egli dovrà comunque dimostrare, con un livello di prova elevato, che l'evento dannoso non gli è in alcun modo imputabile poiché la fattispecie di illecito trattamento di dati personali ha natura di responsabilità aggravata per colpa presunta. Pertanto, discende la possibilità per il titolare del trattamento di offrire una prova liberatoria.

L'Avvocato conclude affermando che:

giurisprudenza

«il pregiudizio consistente nel timore di un potenziale futuro uso improprio dei suoi dati personali, di cui l'interessato abbia dimostrato la sussistenza, può costituire un danno morale che dà diritto a un risarcimento. Ciò a condizione che si tratti di un danno emotivo reale e certo, e non di un semplice disagio o fastidio».