Corte di Giustizia UE: il timore di un potenziale utilizzo abusivo di dati personali può, di per sé, costituire un danno immateriale.

Nella sentenza sul caso C-340/21 | Natsionalna agentsia za prihodite la Corte di Giustizia della UE ha chiarito che in caso di attacco informatico il mero timore di un potenziale utilizzo abusivo di dati personali abilita gli interessati ad agire per il risarcimento del danno immateriale.

Il caso nasce dalla intrusione nel sistema informatico della Agenzia per le Entrate Bulgara con la diffusione successiva su Internet dei dati personali relativi a milioni di persone, alcune delle quali hanno citato in giudizio l’Agenzia chiedendo il risarcimento del danno immateriale che sarebbe derivato dal timore di un potenziale utilizzo abusivo dei loro dati personali. Nella sua sentenza, la Corte fissa i seguenti principi:

• in caso di divulgazione non autorizzata di dati personali o di accesso non autorizzato a tali dati, i giudici non possono dedurre da questo solo fatto che le misure di sicurezza adottate dal titolare del trattamento non fossero adeguate. I giudici devono esaminare l’adeguatezza di tali misure in concreto (principio molto importante e di favore per i titolari del trattamento: non è la prima volta che la Corte UE impone verifiche in concreto e non di principio alle Corti nazionali);
• È al titolare del trattamento che incombe di provare che le misure di sicurezza adottate fossero adeguate;
• Nell’ipotesi in cui la divulgazione non autorizzata di dati personali o l’accesso non autorizzato di tali dati siano stati commessi da «terzi» (quali i criminali informatici), il titolare del trattamento può essere tenuto a risarcire le persone che hanno subito un danno, salvo se riesce a dimostrare che tale danno non gli è in alcun modo imputabile;
• il timore di un potenziale utilizzo abusivo dei suoi dati personali da parte di terzi che una persona nutre a seguito di una violazione del RGPD può, di per sé, costituire un «danno immateriale».