Sentenza della Corte nella causa C-340/21 | Natsionalna agentsia za prihodite

L’Agenzia nazionale per le entrate pubbliche bulgara (NAP) è collegata al Ministro delle Finanze bulgaro. Essa è incaricata, segnatamente, dell’identificazione, della salvaguardia e del recupero dei crediti pubblici. In tale contesto, essa è titolare del trattamento di dati personali. Il 15 luglio 2019 i media hanno diffuso la notizia di un’intrusione nel sistema informatico della NAP rivelando che, in seguito a tale attacco informatico, taluni dati personali relativi a milioni di persone erano stati pubblicati su internet. In molti hanno proposto azioni in giustizia contro la NAP chiedendo il risarcimento del danno immateriale che sarebbe derivato dal timore di un potenziale utilizzo abusivo dei loro dati personali. La Corte amministrativa suprema bulgara sottopone alla Corte di giustizia diverse questioni pregiudiziali relative all’interpretazione del regolamento generale sulla protezione dei dati (RGPD).

Essa chiede precisazioni quanto alle condizioni per il risarcimento del danno immateriale invocato da una persona i cui dati personali, in possesso di un’agenzia pubblica, siano stati oggetto di pubblicazione su internet a seguito di un attacco di criminali informatici. Nella sua sentenza, la Corte risponde quanto segue: ? in caso di divulgazione non autorizzata di dati personali o di accesso non autorizzato a tali dati, i giudici non possono dedurre da questo solo fatto che le misure di sicurezza adottate dal titolare del trattamento non fossero adeguate. I giudici devono esaminare l’adeguatezza di tali misure in concreto. È al titolare del trattamento che incombe di provare che le misure di sicurezza adottate fossero adeguate. 

Nell’ipotesi in cui la divulgazione non autorizzata di dati personali o l’accesso non autorizzato di tali dati siano stati commessi da «terzi» (quali i criminali informatici), il titolare del trattamento può essere tenuto a risarcire le persone che hanno subito un danno, salvo se riesce a dimostrare che tale danno non gli è in alcun modo imputabile. Il timore di un potenziale utilizzo abusivo dei suoi dati personali da parte di terzi che una persona nutre a seguito di una violazione del RGPD può, di per sé, costituire un «danno immateriale».