Bulgaria, attacco hacker e diffusione di dati personali: quando il danno morale è risarcibile?

Nel 2019 in Bulgaria un attacco hacker contro l’Agenzia pubblica delle Entrate ha portato alla pubblicazione di dati personali su internet di migliaia di persone. La causa che ne è derivata ha portato alla richiesta di un risarcimento per i danni morali subiti.

La Corte di Giustizia nella causa C-340/21 ha affermato che l’accesso illecito ai dati personali da parte di terzi comporta la responsabilità per colpa presunta del titolare del trattamento e può dar luogo a danno morale risarcibile. Ma a determinate condizioni.

Attacco Hacker all’Agenzia entrate bulgara: la causa per danno morale

Tutto comincia il 15 luglio 2019 quando i media bulgari diffondono la notizia di un accesso non autorizzato al sistema informatico dell’Agenzia nazionale delle entrate (NAP) e la conseguente pubblicazione su internet delle informazioni fiscali e previdenziali di milioni di persone.

Ne segue una causa civile per risarcimento del danno morale, manifestatosi sotto forma di apprensioni e timori per un futuro uso improprio dei suoi dati personali da parte degli interessati, citando nel ricorso la NAP. Avrebbe violato le norme nazionali, nonché l’obbligo di adottare adeguate misure per garantire idonei standard di sicurezza nel trattamento dei dati personali in qualità di titolare del trattamento.

In primo grado il giudice aveva rigettato la domanda, ritenendo che la diffusione dei dati non fosse imputabile all’agenzia. L’Appello alla Corte Suprema amministrativa ha portato la stessa a chiedere alla Corte di giustizia UE quando sussistono le condizioni per il risarcimento del danno morale in questi particolari casi, alla luce del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016.

Diffusione dei dati personali e risarcimento del danno morale: il parere della Corte di Giustizia

Secondo la Corte il titolare del trattamento è obbligato a mettere in atto misure tecniche e organizzative adeguate per garantire che il trattamento dei dati personali sia conforme al regolamento europeo dei dati.

Le argomentazioni della Corte riguardano da un lato la verifica delle violazioni al trattamento dei dati, le responsabilità del Titolare del Trattamento e come può esonerarsi da responsabilità. Infine, un’indicazione sulla risarcibilità del danno morale.

• il verificarsi di una «violazione dei dati personali» non è di per sé sufficiente per concludere che le misure tecniche e organizzative attuate dal responsabile del trattamento non erano «adeguate» a garantire la protezione dei dati.
• nel verificare l’adeguatezza delle misure, il giudice nazionale deve controllarne il contenuto e il modo in cui sono state applicate e dei loro effetti pratici;
• l’onere della prova sull’adeguatezza delle misure incombe sul titolare del trattamento. Spetta all’ordinamento giuridico interno di ciascuno Stato membro determinare i metodi di prova ammissibili e il loro valore probatorio, compresi i mezzi istruttori.
• il fatto che la violazione del regolamento sia stata commessa da un terzo non costituisce di per sé un motivo per esonerare il responsabile del trattamento da responsabilità: per l’esonero da responsabilità il titolare del Trattamento (qui la NAP) deve dimostrare, con un livello di prova elevato, che l’evento dannoso non gli è in alcun modo imputabile.
• Quanto al risarcimento del danno morale, il pregiudizio consistente nel timore di un potenziale futuro uso improprio dei suoi dati personali, di cui l’interessato abbia dimostrato la sussistenza, può costituire un danno morale che dà diritto a un risarcimento a condizione che si tratti di un danno emotivo reale e certo, e non di un semplice disagio o fastidio.