Per essere esonerato da responsabilità, il titolare del trattamento deve dimostrare che l’evento dannoso non gli è in alcun modo imputabile. Il timore di un futuro uso improprio dei dati personali può costituire un danno morale che dà diritto a un risarcimento solo a condizione che si tratti di un danno emotivo reale e certo e non di un semplice disagio o fastidio…
In data 15 luglio 2019 i media bulgari diffondevano la notizia di un accesso non autorizzato al sistema informatico dell’Agenzia nazionale delle entrate bulgara (NAP) e che differenti informazioni fiscali e previdenziali di milioni di persone fossero state pubblicate su internet. Numerose persone, tra cui V.B., convenivano in giudizio la NAP per il risarcimento del danno morale, manifestatosi sotto forma di apprensioni e timori per un futuro uso improprio dei suoi dati personali. Secondo V.B., la NAP aveva violato le norme nazionali, nonché l’obbligo di adottare adeguate misure per garantire idonei standard di sicurezza nel trattamento dei dati personali in qualità di titolare del trattamento. Il giudice di primo grado rigettava la domanda, ritenendo che la diffusione dei dati non fosse imputabile all’agenzia, che l’onere della prova sull’adeguatezza delle misure gravasse su V.B. e che nessun danno morale fosse risarcibile. Adita in appello, la Corte Suprema amministrativa sottoponeva alla Corte di Giustizia alcune questioni pregiudiziali per l’interpretazione del regolamento generale sulla protezione dei dati1 al fine di delineare le condizioni di risarcibilità del danno morale ad un soggetto i cui dati personali, in possesso di un’Agenzia pubblica, sono stati oggetto di pubblicazione su internet a seguito di un attacco hacker.
Nelle conclusioni rese in data odierna, l’Avvocato generale Giovanni Pitruzzella premette che il titolare del trattamento è obbligato a mettere in atto misure tecniche e organizzative adeguate per garantire che il trattamento dei dati personali sia conforme al regolamento. L’adeguatezza di tali misure va determinata in considerazione della natura, dell’ambito di applicazione, del contesto, delle finalità di trattamento e della probabilità e gravità dei rischi per i diritti e le libertà delle persone fisiche, in base a una valutazione caso per caso.
In primo luogo, l’Avvocato generale ritiene che il verificarsi di una «violazione dei dati personali» non è di per sé sufficiente per concludere che le misure tecniche e organizzative attuate dal responsabile del trattamento non erano «adeguate» a garantire la protezione dei dati. Nella scelta delle misure, il titolare del trattamento deve tenere conto di una serie di fattori, tra i quali lo «stato dell’arte», che consente una limitazione del livello tecnologico delle misure a ciò che è ragionevolmente possibile al momento dell’adozione, anche in considerazione dei costi di attuazione. La scelta del titolare del trattamento è soggetta a un eventuale controllo giurisdizionale di conformità. La valutazione dell’adeguatezza di tali misure deve basarsi su un bilanciamento tra gli interessi dell’interessato e gli interessi economici e la capacità tecnologica del titolare del trattamento, nel rispetto del principio generale di proporzionalità.
In secondo luogo, l’Avvocato generale precisa che, nel verificare l’adeguatezza delle misure, il giudice nazionale deve effettuare un controllo che si estende all’analisi concreta sia del contenuto di tali misure sia del modo in cui sono state applicate e dei loro effetti pratici. Il controllo giurisdizionale dovrà tener conto, pertanto, di tutti i fattori contenuti nel regolamento. Tra questi, l’adozione di codici di condotta o di sistemi di certificazione può offrire un utile elemento di valutazione ai fini dell’assolvimento dell’onere probatorio, con la precisazione che il titolare del trattamento ha l’onere di provare di aver adottato concretamente le misure previste dal codice di condotta, mentre la certificazione costituisce di per sé prova della conformità al regolamento dei trattamenti effettuati. Poiché le misure devono essere riesaminate e aggiornate se necessario, il giudice dovrà valutare anche questa circostanza.
In terzo luogo, l’Avvocato generale precisa che l’onere della prova sull’adeguatezza delle misure incombe sul titolare del trattamento. In base al principio dell’autonomia procedurale, spetta all’ordinamento giuridico interno di ciascuno Stato membro determinare i metodi di prova ammissibili e il loro valore probatorio, compresi i mezzi istruttori.
In quarto luogo, il fatto che la violazione del regolamento sia stata commessa da un terzo non costituisce di per sé un motivo per esonerare il responsabile del trattamento da responsabilità. Per essere esonerato da responsabilità, il titolare del trattamento deve dimostrare, con un livello di prova elevato, che l’evento dannoso non gli è in alcun modo imputabile. La fattispecie di illecito trattamento di dati personali ha, infatti, natura di responsabilità aggravata per colpa presunta. Dal che discende la possibilità per il titolare del trattamento di offrire una prova liberatoria.
Infine, secondo l’Avvocato generale il pregiudizio consistente nel timore di un potenziale futuro uso improprio dei suoi dati personali, di cui l’interessato abbia dimostrato la sussistenza, può costituire un danno morale che dà diritto a un risarcimento. Ciò a condizione che si tratti di un danno emotivo reale e certo, e non di un semplice disagio o fastidio.
