20.11.25
Nel 2019 in Bulgaria un attacco hacker contro l’Agenzia pubblica delle Entrate ha portato alla pubblicazione di dati personali su internet di migliaia di persone. La causa che ne è derivata ha portato alla richiesta di un risarcimento per i danni morali subiti.
La Corte di Giustizia nella causa C-340/21 ha affermato che l’accesso illecito ai dati personali da parte di terzi comporta la responsabilità per colpa presunta del titolare del trattamento e può dar luogo a danno morale risarcibile. Ma a determinate condizioni.
Tutto comincia il 15 luglio 2019 quando i media bulgari diffondono la notizia di un accesso non autorizzato al sistema informatico dell’Agenzia nazionale delle entrate (NAP) e la conseguente pubblicazione su internet delle informazioni fiscali e previdenziali di milioni di persone.
Ne segue una causa civile per risarcimento del danno morale, manifestatosi sotto forma di apprensioni e timori per un futuro uso improprio dei suoi dati personali da parte degli interessati, citando nel ricorso la NAP. Avrebbe violato le norme nazionali, nonché l’obbligo di adottare adeguate misure per garantire idonei standard di sicurezza nel trattamento dei dati personali in qualità di titolare del trattamento.
In primo grado il giudice aveva rigettato la domanda, ritenendo che la diffusione dei dati non fosse imputabile all’agenzia. L’Appello alla Corte Suprema amministrativa ha portato la stessa a chiedere alla Corte di giustizia UE quando sussistono le condizioni per il risarcimento del danno morale in questi particolari casi, alla luce del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016.
Secondo la Corte il titolare del trattamento è obbligato a mettere in atto misure tecniche e organizzative adeguate per garantire che il trattamento dei dati personali sia conforme al regolamento europeo dei dati.
Le argomentazioni della Corte riguardano da un lato la verifica delle violazioni al trattamento dei dati, le responsabilità del Titolare del Trattamento e come può esonerarsi da responsabilità. Infine, un’indicazione sulla risarcibilità del danno morale.