In materia di protezione delle persone con riguardo al trattamento dei dati personali e alla circolazione di tali dati, la Corte di Giustizia dell’Unione Europea, con la Sentenza del 14 dicembre 2023, ha dichiarato che: 1) gli artt. 24 e 32 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), devono essere interpretati nel senso che una divulgazione non autorizzata di dati personali o un accesso non autorizzato a tali dati da parte di «terzi», ai sensi dell’art. 4, punto 10, di tale regolamento, non sono sufficienti, di per sé, per ritenere che le misure tecniche e organizzative attuate dal titolare del trattamento in questione non fossero «adeguate», ai sensi di tali artt. 24 e 32; 2) l’art. 32 del regolamento 2016/679 dev’essere interpretato nel senso che l’adeguatezza delle misure tecniche e organizzative attuate dal titolare del trattamento ai sensi di tale articolo dev’essere valutata dai giudici nazionali in concreto, tenendo conto dei rischi connessi al trattamento di cui trattasi e valutando se la natura, il contenuto e l’attuazione di tali misure siano adeguati a tali rischi; 3) il principio di responsabilità del titolare del trattamento, enunciato all’art. 5, § 2, del regolamento 2016/679 e concretizzato all’art. 24 di quest’ultimo, dev’essere interpretato nel senso che, nell’ambito di un’azione di risarcimento fondata sull’art. 82 di tale regolamento, al titolare del trattamento di cui trattasi incombe l’onere di dimostrare l’adeguatezza delle misure di sicurezza da esso attuate ai sensi dell’art. 32 di detto regolamento; 4) l’art. 32 del regolamento 2016/679 e il principio di effettività del diritto dell’Unione devono essere interpretati nel senso che, al fine di valutare l’adeguatezza delle misure di sicurezza che il titolare del trattamento ha attuato ai sensi di tale articolo, una perizia giudiziaria non può costituire un mezzo di prova sistematicamente necessario e sufficiente; 5) l’art. 82, § 3, del regolamento 2016/679 dev’essere interpretato nel senso che il titolare del trattamento non può essere esonerato dal suo obbligo di risarcire il danno subito da una persona, ai sensi dell’art. 82, §§ 1 e 2, di tale regolamento, per il solo fatto che tale danno deriva da una divulgazione non autorizzata di dati personali o da un accesso non autorizzato a tali dati da parte di «terzi», ai sensi dell’art. 4, punto 10, di detto regolamento, dato che tale responsabile deve allora dimostrare che il fatto che ha provocato il danno in questione non gli è in alcun modo imputabile; 6) l’art. 82, § 1, del regolamento 2016/679 dev’essere interpretato nel senso che il timore di un potenziale utilizzo abusivo dei suoi dati personali da parte di terzi che un interessato nutre a seguito di una violazione di tale regolamento può, di per sé, costituire un «danno immateriale», ai sensi di tale disposizione.
Nel caso specifico, alla Corte veniva chiesta una pronuncia pregiudiziale sull’interpretazione dell’articolo 5, paragrafo 2, degli articoli 24 e 32, nonché dell’articolo 82, paragrafi da 1 a 3, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; in prosieguo: il «RGPD»).
Tale domanda veniva presentata nell’ambito di una controversia insorta tra VB (persona fisica) e la NAP (Natsionalna agentsia za prihodite – Agenzia nazionale per le entrate pubbliche, Bulgaria) in merito al risarcimento del danno immateriale che tale persona sosteneva di aver subito a causa di una presunta violazione da parte di tale autorità pubblica dei suoi obblighi legali in qualità di titolare del trattamento dei dati personali.
L’articolo 5 del richiamato regolamento, rubricato «Principi applicabili al trattamento di dati personali», prevede quanto segue: «1. I dati personali sono: a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato (“liceità, correttezza e trasparenza”); (…) f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (“integrità e riservatezza”). 2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo (“responsabilizzazione”)».
L’articolo 24 di detto regolamento, rubricato «Responsabilità del titolare del trattamento», prevede quanto segue: «1. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario. 2. Se ciò è proporzionato rispetto alle attività di trattamento, le misure di cui al paragrafo 1 includono l’attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento. 3. L’adesione ai codici di condotta di cui all’articolo 40 o a un meccanismo di certificazione di cui all’articolo 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento».
L’articolo 32 del RGPD, rubricato «Sicurezza del trattamento», prevede quanto segue: «1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. 2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. 3. L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo. (…)».
L’articolo 82 di detto regolamento, intitolato «Diritto al risarcimento e responsabilità», ai paragrafi da 1 a 3 così recita: «1. Chiunque subisca un danno materiale o causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. 2. Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. (…) 3. Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile».
Puntualizzato il contesto normativo, la Corte passava a precisare che la NAP era un’autorità collegata al Ministro delle Finanze bulgaro. Nell’ambito dei suoi compiti, consistenti, tra l’altro, nell’identificazione, nella salvaguardia e nel recupero dei crediti pubblici, essa era titolare del trattamento di dati personali, ai sensi dell’articolo 4, punto 7, del RGPD.
La Corte ricordava che il 15 luglio 2019 i media avevano diffuso la notizia che aveva avuto luogo un accesso non autorizzato al sistema informatico della NAP e che, in seguito a tale attacco hacker, taluni dati personali contenuti in detto sistema erano stati pubblicati su internet.
Tali eventi avevano interessato più di sei milioni di persone fisiche di nazionalità bulgara o straniera ed alcune centinaia di esse avevano proposto nei confronti della NAP azioni di risarcimento dei danni morali derivati dalla divulgazione dei loro dati personali.
Orbene, la ricorrente nel procedimento principale aveva proposto avanti al Tribunale amministrativo della città di Sofia un ricorso diretto ad ottenere il risarcimento dei danni sulla base dell’articolo 82 del RGPD dalla NAP.
A sostegno della propria domanda, la ricorrente aveva affermato di aver subito un danno immateriale derivante dalla violazione di dati personali, ai sensi dell’articolo 4, punto 12, del RGPD, più in particolare una violazione della sicurezza che sarebbe stata causata da una violazione della NAP degli obblighi ad essa incombenti in forza, in particolare, dell’articolo 5, paragrafo 1, lettera f), nonché degli articoli 24 e 32 di tale regolamento. Il suo danno immateriale consisterebbe nel timore che i suoi dati personali che sono stati pubblicati senza il suo consenso siano oggetto di un utilizzo abusivo, in futuro, o che essa subisca un ricatto, un’aggressione, o addirittura un rapimento.
A sua difesa, la NAP aveva evidenziato di aver adottato tutte le misure necessarie, a monte, per prevenire la violazione dei dati personali contenuti nel suo sistema informatico nonché, a valle, per limitare gli effetti di tale violazione e per rassicurare i cittadini. Inoltre, secondo la NAP, non esisteva alcun nesso di causalità tra il danno immateriale lamentato e detta violazione. Infine, essa sosteneva che, avendo a sua volta subito un danno doloso da parte di persone che non erano suoi dipendenti, non poteva essere considerata responsabile delle relative conseguenze dannose.
Il Tribunale aveva rigettato il ricorso avendo ritenuto che l’accesso non autorizzato alla banca dati della NAP derivasse da una pirateria informatica commessa da terzi e, dall’altro, che la ricorrente nel procedimento principale non avesse dimostrato l’inerzia della NAP quanto all’adozione di misure di sicurezza. Inoltre, il Giudice bulgaro sentenziava nel senso che la ricorrente non avesse subito un danno immateriale tale da far sorgere il diritto al risarcimento.
La ricorrente nel procedimento principale proponeva ricorso per cassazione avverso tale decisione avanti alla Corte Suprema Amministrativa della Bulgaria. A sostegno dell’impugnazione, la ricorrente deduceva che il giudice di primo grado avesse commesso un errore di diritto nella ripartizione dell’onere della prova relativo alle misure di sicurezza adottate dalla NAP e che quest’ultima non avesse dimostrato la sua assenza di inerzia al riguardo. Inoltre, la ricorrente nel procedimento principale sosteneva che il timore di possibili utilizzi abusivi dei suoi dati personali nel futuro costituisse un danno immateriale reale, e non ipotetico. A sua difesa, la NAP contestava ciascuno di tali argomenti.
La Corte Suprema Amministrativa decideva di sospendere il procedimento e di sottoporre alla Corte di giustizia UE le seguenti questioni pregiudiziali:
«1) Se gli articoli 24 e 32 del [RGPD] debbano essere interpretati nel senso che è sufficiente che abbia avuto luogo una divulgazione o un accesso non autorizzati ai dati personali, ai sensi dell’articolo 4, punto 12, del [RGPD], da parte di persone che non sono dipendenti dell’amministrazione del titolare del trattamento e non sono soggette al suo controllo, per ritenere che le misure tecniche e organizzative adottate non siano adeguate.
2) In caso di risposta negativa alla prima questione, quale debba essere l’oggetto e la portata del controllo giurisdizionale di legittimità nell’esame dell’adeguatezza delle misure tecniche e organizzative adottate dal titolare del trattamento ai sensi dell’articolo 32 del [RGPD].
3) In caso di risposta negativa alla prima questione, se il principio di responsabilità di cui agli articoli 5, paragrafo 2, e 24 [del RGPD], in combinato disposto con il considerando 74 di tale regolamento, debba essere interpretato nel senso che, in un procedimento giudiziario conformemente all’articolo 82, paragrafo 1, del citato regolamento, incombe sul titolare del trattamento l’onere di provare che le misure tecniche e organizzative sono adeguate ai sensi dell’articolo 32 del [RGPD]. Se una perizia possa essere considerata un mezzo di prova necessario e sufficiente per determinare se le misure tecniche e organizzative adottate dal titolare del trattamento, in un caso come quello di specie, fossero adeguate, qualora l’accesso e la divulgazione non autorizzati di dati personali siano conseguenza di un “attacco hacker”.
4) Se l’articolo 82, paragrafo 3, del [RGPD] debba essere interpretato nel senso che la divulgazione o l’accesso non autorizzati a dati personali ai sensi dell’articolo 4, paragrafo 12, di tale regolamento che, come nel caso di specie, ha avuto luogo mediante un “attacco hacker” da parte di persone che non sono dipendenti dell’amministrazione del titolare del trattamento e che non sono soggette al suo controllo configura un evento che non è in alcun modo imputabile a quest’ultimo e che gli consente di essere esonerato dalla responsabilità.
5) Se l’articolo 82, paragrafi 1 e 2, del [RGPD], in combinato disposto con i considerando 85 e 146 di tale regolamento, debba essere interpretato nel senso che, in un caso come quello di specie, in cui ha avuto luogo una compromissione della protezione dei dati personali, verificatasi sotto forma dell’accesso non autorizzato e nella diffusione di dati personali mediante un “attacco hacker”, le sole inquietudini e ansie e i soli timori provati dalla persona interessata in merito ad un eventuale futuro uso improprio dei dati personali rientrino nella nozione di danno immateriale, che deve essere interpretata estensivamente, e facciano sorgere il diritto al risarcimento, qualora tale uso improprio non sia stato accertato e/o la persona interessata non abbia subito alcun ulteriore danno.
Con particolare riferimento a quest’ultima questione, il giudice del rinvio chiedeva, in sostanza, se l’articolo 82, paragrafo 1, del RGPD doveva essere interpretato nel senso che il timore di un potenziale utilizzo abusivo dei suoi dati personali da parte di terzi che un interessato nutre a seguito di una violazione di tale regolamento potesse, di per sé, costituire un «danno immateriale», ai sensi di tale disposizione.
In primo luogo, la Corte ha osservato che l’articolo 82, paragrafo 1, del RGPD, prevede che «[c]hiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento».
Pertanto, la Corte ha affermato che “dalla formulazione dell’articolo 82, paragrafo 1, del RGPD emerge chiaramente che l’esistenza di un «danno» «subito» costituisce una delle condizioni del diritto al risarcimento previsto da tale disposizione, al pari dell’esistenza di una violazione di tale regolamento e di un nesso di causalità tra tale danno e tale violazione, essendo queste tre condizioni cumulative”.
Inoltre, la Corte ha interpretato l’articolo 82, paragrafo 1, del RGPD “nel senso che esso osta a una norma o a una prassi nazionale che subordina il risarcimento di un «danno immateriale», ai sensi di tale disposizione, alla condizione che il danno subito dall’interessato abbia raggiunto un certo grado di gravità”.
La Corte ha sottolineato che che “l’articolo 82, paragrafo 1, del RGPD non opera una distinzione tra fattispecie in cui, a seguito di una violazione accertata di disposizioni di tale regolamento, il «danno immateriale» lamentato dall’interessato, da un lato, è collegato a un utilizzo abusivo da parte di terzi dei suoi dati personali che si è già prodotto, alla data della sua domanda di risarcimento, o, dall’altro, è collegato alla paura percepita da tale persona che un siffatto utilizzo possa prodursi, in futuro”.
Per la Corte, dunque, “la formulazione dell’articolo 82, paragrafo 1, del RGPD non esclude che la nozione di «danno immateriale» contenuta in tale disposizione comprenda una situazione, come quella considerata dal giudice del rinvio, in cui l’interessato invoca, al fine di ottenere un risarcimento sulla base di tale disposizione, il suo timore che i suoi dati personali siano oggetto di un futuro utilizzo abusivo da parte di terzi, a causa della violazione di tale regolamento che si è verificata”.
Sulla scorta di tanto, la Corte di Giustizia UE ha risposto alla quinta questione dichiarando che “l’articolo 82, paragrafo 1, del RGPD deve essere interpretato nel senso che il timore di un potenziale utilizzo abusivo dei suoi dati personali da parte di terzi che un interessato nutre a seguito di una violazione di tale regolamento può, di per sé, costituire un «danno immateriale», ai sensi di tale disposizione”.
