TUTELA DEI DATI PERSONALI
Corte di Giustizia UE: in caso di furto di dati personali (anche non utilizzati illecitamente) devono risarcire il danno anche i soggetti – privati o pubblici – detentori dei dati.
La Scalable Capital, una società di diritto tedesco, gestisce una «trading app» nella quale i ricorrenti avevano aperto un conto. A tal fine, questi ultimi hanno salvato alcuni dati personali sui loro rispettivi conti, in particolare il loro nome, la loro data di nascita, il loro indirizzo postale, il loro indirizzo di posta elettronica nonché una copia digitale della loro carta d’identità, versando poi un importo necessario all’apertura di tali conti di diverse migliaia di euro.
I dati personali nonché i dati relativi al portafoglio di titoli dei ricorrenti sono stati poi oggetto di furto da parte di terzi la cui identità è rimasta sconosciuta. Inoltre, non è stato accertato se i suddetti dati personali siano stati oggetto o meno di un uso fraudolento.
In tale contesto, i ricorrenti hanno adito l’Amtsgericht München (Tribunale circoscrizionale, Monaco di Baviera, Germania), giudice del rinvio, con un ricorso volto ad ottenere il risarcimento del danno immateriale che essi affermano di aver subito a causa del furto dei loro dati personali.
La Corte di Giustizia UE ha fornito nuovi criteri interpretativi e applicativi dell’articolo 82 del GDPR sul risarcimento del danno, confermando in priamo luogo che il diritto al risarcimento previsto da tale disposizione svolge una funzione esclusivamente compensativa e il risarcimento pecuniario fondato su detta disposizione deve consentire di compensare integralmente il danno subito.
La Corte chiarisce anche che per configurarsi e far sorgere il diritto al risarcimento del danno immateriale ai sensi dell’art. 82 del GDPR, la nozione di «furto d’identità» implica che l’identità di una persona interessata dal furto di dati personali sia effettivamente usurpata da un terzo. Tuttavia, il risarcimento di un danno immateriale causato dal furto di dati personali non può essere limitato ai casi in cui è dimostrato che un siffatto furto di dati ha successivamente dato luogo a un furto o a un’usurpazione d’identità. Sono dunque risarcibili anche i furti di dati non ancora usati per sostituirsi effettivamente all’interessato.
Sulla base dei principi forniti dalla Corte UE, inoltre, sono tenuti a risarcire il danno non solo gli autori del furto dei dati, ma anche i soggetti privati pubblici che hanno subito la violazione dei dati e l’esfiltrazione e tale ampliamento soggettivo della platea dei soggetti tenuti implica forti impatti finanziari. Se è vero, infatti, che la Corte ricorda che la condanna al risarcimento non deve assumere carattere punitivo o esemplare, è altrettanto vero che nell’ambito della determinazione dell’importo dovuto a titolo di risarcimento di un danno immateriale il danno causato da una violazione di dati personali non è, per sua natura, meno grave di una lesione personale.
I dati personali nonché i dati relativi al portafoglio di titoli dei ricorrenti sono stati poi oggetto di furto da parte di terzi la cui identità è rimasta sconosciuta. Inoltre, non è stato accertato se i suddetti dati personali siano stati oggetto o meno di un uso fraudolento.
In tale contesto, i ricorrenti hanno adito l’Amtsgericht München (Tribunale circoscrizionale, Monaco di Baviera, Germania), giudice del rinvio, con un ricorso volto ad ottenere il risarcimento del danno immateriale che essi affermano di aver subito a causa del furto dei loro dati personali.
La Corte di Giustizia UE ha fornito nuovi criteri interpretativi e applicativi dell’articolo 82 del GDPR sul risarcimento del danno, confermando in priamo luogo che il diritto al risarcimento previsto da tale disposizione svolge una funzione esclusivamente compensativa e il risarcimento pecuniario fondato su detta disposizione deve consentire di compensare integralmente il danno subito.
La Corte chiarisce anche che per configurarsi e far sorgere il diritto al risarcimento del danno immateriale ai sensi dell’art. 82 del GDPR, la nozione di «furto d’identità» implica che l’identità di una persona interessata dal furto di dati personali sia effettivamente usurpata da un terzo. Tuttavia, il risarcimento di un danno immateriale causato dal furto di dati personali non può essere limitato ai casi in cui è dimostrato che un siffatto furto di dati ha successivamente dato luogo a un furto o a un’usurpazione d’identità. Sono dunque risarcibili anche i furti di dati non ancora usati per sostituirsi effettivamente all’interessato.
Sulla base dei principi forniti dalla Corte UE, inoltre, sono tenuti a risarcire il danno non solo gli autori del furto dei dati, ma anche i soggetti privati pubblici che hanno subito la violazione dei dati e l’esfiltrazione e tale ampliamento soggettivo della platea dei soggetti tenuti implica forti impatti finanziari. Se è vero, infatti, che la Corte ricorda che la condanna al risarcimento non deve assumere carattere punitivo o esemplare, è altrettanto vero che nell’ambito della determinazione dell’importo dovuto a titolo di risarcimento di un danno immateriale il danno causato da una violazione di dati personali non è, per sua natura, meno grave di una lesione personale.