Adeguatezza misure tecnico-organizzative del titolare trattamento dati personali e danno da violazione del GDPR

Responsabilità

Brevi note a margine di CGUE, 14 dicembre 2023, C-340/21

Il caso e le questioni del rinvio pregiudiziale alla Corte di giustizia

La Corte di giustizia con la sentenza del 14 dicembre 2023 C-340/21 offre una interpretazione degli degli artt. 5.2, 24 e 32, nonché dell’art. 82, del GDPR in materia di adeguatezza delle misure adottate dal titolare del trattamento dei dati personali e relativa responsabilità per data breach.

Si tratta di una decisione di particolare interesse anche relativamente all’ambito del trattamento dei dati sanitari posto che, in ambito medico, l’osservanza delle disposizioni relative al trattamento dei dati rileva non solo ai fini dell’applicazione della disciplina del GDPR, ma anche del rispetto del Codice di deontologia medica (v. ad es. artt. 9 e 10 cod. deont.).

La decisione concerne una controversia tra un cittadino bulgaro e la Natsionalna agentsia za prihodite (l’Agenzia nazionale bulgara delle entrate) in merito al risarcimento del danno immateriale che il cittadino lamentava aver subito a causa di una presunta violazione da parte dell’Agenzia degli obblighi legali su questa gravanti in qualità di titolare del trattamento dei dati personali.

Precisamente, In data 15 luglio 2019, i media hanno dato notizia di un attacco hacker, a causa del quale i dati personali di circa 6 milioni di persone archiviati nel sistema informatico della Natsionalna agentsia za prihodite sono stati resi visibili online. In conseguenza alla violazione dei propri dati personali, un cittadino bulgaro ha presentato ricorso all’Administrativen sad Sofia-grad al fine di ottenere il risarcimento del danno immateriale sofferto (commisurato nella somma di euro 510).

A seguito del rigetto della domanda risarcitoria, il cittadino bulgaro ha adito il Varhoven administrativen sad che, data la necessità di interpretare la normativa europea in materia, ha sottoposto alla Corte di giustizia cinque questioni pregiudiziali:

  • (i) se la divulgazione non autorizzata di dati personali (o un accesso non autorizzato) da parte di terzi (ex art. 4 n. 10 GDPR) sia di per sé sufficiente a dimostrare che le misure tecniche e organizzative adottate dal titolare del trattamento non siano «adeguate» ai sensi degli artt. 24 e 32 GDPR
  • (ii) qualora il solo accesso o la divulgazione non autorizzata dei dati non siano ritenuti dalla Corte sufficienti a dimostrare l’inadeguatezza delle misure tecniche adottate dal titolare del trattamento, allora se l’adeguatezza delle misure tecniche e organizzative attuate dal titolare del trattamento (ex art. 32 GDPR) debba essere valutata in concreto dai giudici nazionali tenendo conto dei rischi connessi al trattamento
  • (iii) se il principio di responsabilità del titolare del trattamento ex artt. 5.2 e 24 GDPR (alla luce del 74° considerando), debba essere interpretato nel senso che, nell’ambito di un’azione di risarcimento ex art. 82 GDPR, incomba sul titolare del trattamento l’onere di dimostrare l’adeguatezza delle misure di sicurezza attuate (ai sensi dell’art. 32 GDPR). Nonché, se una perizia giudiziaria possa costituire un mezzo di prova (necessario e) sufficiente a valutare l’adeguatezza delle misure di sicurezza che il titolare del trattamento ha adottato
  • (iv) se il titolare del trattamento possa ritenersi esonerato dall’ obbligo di risarcire il danno (ex art. 82.3 GDPR) per il sol fatto che tale danno deriva da una divulgazione non autorizzata di dati personali o da un accesso non autorizzato a tali dati da parte di «terzi» (ex art. 4 n. 10 GDPR)
  • (v) se il solo timore di un potenziale utilizzo abusivo dei dati personali da parte di terzi che un interessato nutre a seguito di una violazione del Regolamento possa, di per sé, costituire un “danno immateriale” risarcibile, ai sensi dell’art. 82 GDPR.

Ai quesiti sollevati dal giudice del rinvio la Corte ha risposto:

  • (sub i) che, gli artt. 24 e 32 GDPR devono essere interpretati nel senso per cui una divulgazione non autorizzata di dati personali (o un accesso non autorizzato) da parte di terzi (ex art. 4 n. 10 GDPR), non sono di per sé sufficienti a dimostrare che le misure tecniche e organizzative attuate dal titolare del trattamento in questione non fossero “adeguate
  • (sub ii) che, l’art. 32 GDPR deve interpretarsi nel senso che l’adeguatezza delle misure tecniche e organizzative attuate dal titolare del trattamento dev’essere vagliata dai giudici nazionali in concreto, tenendo conto dei rischi connessi al trattamento di cui trattasi e valutando se la natura, il contenuto e l’attuazione delle misure siano adeguate ai rischi
  • (sub iii) che il principio di responsabilità del titolare del trattamento, enunciato all’art. 5.2 e concretizzato all’art. 24 GDPR, deve interpretarsi nel senso che nell’ambito di un’azione di risarcimento fondata sull’art. 82 GDPR, al titolare del trattamento di cui trattasi incombe l’onere di dimostrare l’adeguatezza delle misure di sicurezza da esso attuate ai sensi dell’arti. 32 GDPR; e che quest’ultima disposizione e il principio di effettività del diritto dell’Unione devono essere interpretati nel senso per cui, al fine di valutare l’adeguatezza delle misure di sicurezza che il titolare del trattamento ha attuato, una perizia giudiziaria non può costituire un mezzo di prova sistematicamente necessario e sufficiente
  • (sub iv) che l’art. 82.3 GDPR deve leggersi nel senso che il titolare del trattamento non può essere esonerato dall’obbligo di risarcire il danno subito da una persona per il sol fatto che tale danno deriva da una divulgazione non autorizzata di dati personali o da un accesso non autorizzato a tali dati da parte di «terzi» (ai sensi dell’art. 4 n. 10 RGPD), atteso che, in tale evenienza, il responsabile deve dimostrare che il fatto che ha cagionato il danno non gli è in alcun modo imputabile
  • (sub v) che l’art. 82.1 GDPR deve essere interpretato nel senso che, a seguito di una violazione del Regolamento, il timore di un potenziale utilizzo abusivo da parte dell’interessato dei suoi dati personali da parte di terzi può, di per sé, costituire un danno immateriale.

Una “data breach” non è di per sé sufficiente a rivelare l’inadeguatezza delle misure tecnico-organizzative adottate dal titolare del trattamento

Con questa decisione, la Corte, dopo aver ricordato che le disposizioni di cui agli artt. 24 e 32 RGPD si limitano ad imporre al titolare del trattamento l’adozione di misure tecniche e organizzative destinate (per quanto possibile) ad evitare la violazione dei dati personali, ha evidenziato che l’adeguatezza deve valutarsi nel caso di specie esaminando, di volta in volta, se le misure siano state adottate tenendo conto delle esigenze di protezione dei dati inerenti al trattamento, nonché dei rischi indotti in concreto.

Ciò significa che dette norme non possono, quindi, essere interpretate nel senso che la divulgazione non autorizzata di dati personali, o un accesso non autorizzato da parte di un terzo sia sufficiente a rivelare che le misure adottate dal titolare del trattamento non fossero appropriate, senza consentire a quest’ultimo di fornire prova contraria. L’art. 24 GDPR, difatti, consente espressamente al titolare del trattamento la possibilità di dimostrare la conformità delle misure attuate al Regolamento, possibilità questa di cui sarebbe privato qualora la presunzione fosse da ritenersi iuris et de iure (atteso che, com’è noto, la presunzione assoluta opera già sul piano della fattispecie astratta).

Valutazione dell’adeguatezza delle misure tecnico-organizzative

La Corte, inoltre, ha affermato che l’adeguatezza delle misure tecniche e organizzative adottate dal titolare del trattamento deve valutarsi in due momenti distinti. Segnatamente, in un primo momento, occorre mettere a fuoco in concreto i possibili rischi derivanti dalla violazione dei dati personali, nonché le eventuali conseguenze per i diritti e le libertà delle persone fisiche, soppesando il grado di probabilità (e di gravità) dei rischi individuati. 

In un secondo momento, occorre verificare se le misure attuate siano adeguate rispetto ai rischi, tenendo conto dello stato dell’arte, dei costi di attuazione, nonché della natura, della portata, del contesto e delle finalità del trattamento (cfr. art. 25 GDPR).

Pertanto, secondo la Corte, se per un verso, il titolare del trattamento dispone di un certo margine di discrezionalità nel selezionare le misure tecniche e organizzative adeguate al rischio (ex art. art. 32.1 GDPR), per converso, un giudice domestico deve poter valutare la complessa ponderazione effettuata dal titolare del trattamento e, così, accertare che le misure adottate siano idonee a garantire al livello di sicurezza preteso dalla disciplina del GDPR, tenendo conto delle circostanze del caso concreto nonché degli elementi di prova di cui dispone.

L’onere della prova circa l’adeguatezza delle misure attuate per il trattamento di dati

La Corte, mediante una lettura sistematica degli artt. 5.2, 24.1, e d 32. 1 GDPR, evidenzia poi che grava sul titolare del trattamento l’onere di fornire prova che i dati personali sono stati trattati in modo tale da garantire un adeguato livello di sicurezza rispetto al rischio. Queste disposizioni stabiliscono una regola di applicazione generale, dunque, che in mancanza di indicazione contraria nel GDPR, occorre applicare anche nell’ambito di un’azione di risarcimento ex art. 82.

Più nel dettaglio, la Corte osserva che il Regolamento non prevede norme inerenti all’ammissione e al valore probatorio di un mezzo di prova (qual è, ad es., una perizia giudiziaria), che devono essere applicate dai giudici nazionali investiti di un’azione di risarcimento danni ex art. 82. Dal che, in assenza di puntuali norme UE, spetta al singolo Stato membro fissare le modalità utili a garantire la tutela dei diritti spettanti ai singoli e, più di preciso, la disciplina relativa ai mezzi di prova che consentono di valutare l’adeguatezza delle misure tecniche e organizzative adottate dal titolare (o responsabile) del trattamento, seppur nel rispetto dei principi di equivalenza e di effettività.

Cosicché, una norma procedurale nazionale in ragione della quale risulti imprescindibile per i giudici nazionali disporre di una perizia giudiziaria potrebbe urtare con il principio di effettività. Così, ad esempio, secondo la Corte, il ricorso sistematico a una perizia giudiziaria potrebbe rivelarsi superfluo là dove si riscontrasse la presenza di altre prove detenute dal giudice adito, come le risultanze di un controllo circa il rispetto delle misure di protezione dei dati personali effettuato da un’Autorità indipendente.

Secondo la Corte, inoltre, la disposizione di cui all’art. 82.3 GDPR in linea di principio significa che il responsabile del trattamento deve risarcire il danno causato da una violazione del RGPD connessa al trattamento, nonché che quest’ultimo può essere esonerato dalla responsabilità solo a condizione che fornisca prova che il fatto che ha cagionato il danno non gli sia in alcun modo imputabile. Ne consegue che, quando una violazione di dati personali sia stata commessa da criminali informatici (ossia da “terzi” ex art. 4 n. 10 RGPD), la violazione non può essere imputata al titolare del trattamento, a meno che quest’ultimo non l’abbia resa possibile trasgredendo a un obbligo (ad es. ex artt. 24 e 32) previsto dal Regolamento medesimo.

Risarcibilità del danno bagatellare

Infine, la Corte (in linea con quanto già affermato in un suo precedente del 4 maggio 2023 C-300/21) osserva che l’esistenza di un danno subito rappresenta una tra le condizioni necessarie al sorgere del diritto al risarcimento ex art. 82.1 GDPR (a cui si aggiunge la violazione del Regolamento e la sussistenza di un nesso causale tra danno e violazione). La Corte osserva che la disposizione in parola osta a una norma o a una prassi nazionale che subordini il risarcimento del danno immateriale alla condizione che la lesione subita dall’interessato abbia superato una certa soglia di gravità.

Segnatamente, l’art. 82.1 non distingue tra fattispecie in cui, a seguito di una violazione accertata del GDPR, il danno immateriale lamentato dall’interessato risulti collegato a un utilizzo abusivo da parte di terzi dei suoi dati personali che si è già verificato alla data della domanda di risarcimento, oppure, al timore percepito dall’interessato che l’utilizzo abusivo dei dati possa in futuro verificarsi.

Dalla formulazione della norma non può, pertanto, escludersi che la nozione di “danno immateriale” ricomprenda la situazione in cui l’interessato invoca, al fine di ottenere il risarcimento ex art. 82 GDPR, la paura che i suoi dati personali siano oggetto di un futuro utilizzo abusivo da parte di terzi, a causa della già avveratasi violazione del Regolamento.