Conclusioni dell’avvocato generale nella causa C-340/21 | Natsionalna agentsia za prihodite

Per essere esonerato da responsabilità, il titolare del trattamento deve dimostrare che l’evento dannoso non gli è in alcun modo imputabile. Il timore di un futuro uso improprio dei dati personali può costituire un danno morale che dà diritto a un risarcimento solo a condizione che si tratti di un danno emotivo reale e certo e non di un semplice disagio o fastidio In data 15 luglio 2019 i media bulgari diffondevano la notizia di un accesso non autorizzato al sistema informatico dell’Agenzia nazionale delle entrate bulgara (NAP) e che differenti informazioni fiscali e previdenziali di milioni di persone fossero state pubblicate su internet. Numerose persone, tra cui V.B., convenivano in giudizio la NAP per il risarcimento del danno morale, manifestatosi sotto forma di apprensioni e timori per un futuro uso improprio dei suoi dati personali. Secondo V.B., la NAP aveva violato le norme nazionali, nonché l’obbligo di adottare adeguate misure per garantire idonei standard di sicurezza nel trattamento dei dati personali in qualità di titolare del trattamento. Il giudice di primo grado rigettava la domanda, ritenendo che la diffusione dei dati non fosse imputabile all’agenzia, che l’onere della prova sull’adeguatezza delle misure gravasse su V.B. e che nessun danno morale fosse risarcibile. Adita in appello, la Corte Suprema amministrativa sottoponeva alla Corte di Giustizia alcune questioni pregiudiziali per l’interpretazione del regolamento generale sulla protezione dei dati1 al fine di delineare le condizioni di risarcibilità del danno morale ad un soggetto i cui dati personali, in possesso di un’Agenzia pubblica, sono stati oggetto di pubblicazione su internet a seguito di un attacco hacker.

Segue nell'allegato