In un tempo in cui l’evoluzione digitale sta compiendo progressi quasi giornalieri fanno da contrappunto gli episodi, sempre più frequenti, di furto dei dati personali, per cui si ampia il dibattito dottrinale e nelle aule di giustizia dei vari stati europei sull’effettività delle tutele risarcitorie riconosciute agli interessati, anche alla luce delle disposizioni contenute nel Regolamento UE 2016/679.
Un precedente che può fare la storia
Attualmente, risultano pendenti innanzi alla Corte di Giustizia Europea due distinti procedimenti (C-182/22 e C-189/22), successivamente riuniti, che riguardano proprio il diritto al risarcimento dei danni derivanti dal furto dei dati personali in un caso di data breach.
Tutto prende le mosse dall’iniziativa promossa, davanti agli organi giudiziari tedeschi, da due cittadini bavaresi che avendo fornito i propri dati (tra cui la copia delle loro carte di identità) ad una società di trading online, con cui avevano stipulato un contratto di deposito titoli, ne avevano subito il furto da parte di terzi, rimasti ancora ignoti, con conseguente richiesta di risarcimento del danno immateriale subito.
L’aspetto che ha, quindi, portato il tribunale bavarese alla richiesta di intervento della Corte europea riguardava, nello specifico, la necessità di ricevere corrette indicazioni circa l’interpretazione della nozione di danno immateriale di cui all’art. 82 del regolamento UE 2016/679, nonché sulle condizioni per il riconoscimento del diritto al ristoro del danno, specificando infine se il furto dei dati debba corrispondere o meno al furto di identità descritto dal considerando 75 del RGPD.
In pratica, si aveva necessità di comprendere se, ai fini risarcitori, fosse o meno necessario che il furto dei dati personali sensibili fosse poi tramutato in un effettivo utilizzo da parte dell’autore del reato dell’identità personale del soggetto.
I riferimenti normativi
Le previsioni normative che risultano coinvolte nella questione sottoposta all’esame della Corte sono tutte contenute nel testo del regolamento UE 2016/679, ivi inclusi anche alcuni “considerando” preliminari.
L’articolo 82 del GDPR, su cui peraltro verte la richiesta di interpretazione, presenta il titolo di “Diritto al risarcimento e responsabilità” e stabilisce espressamente che: “1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. 2. Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento. 3. Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile”.
Vi è poi il considerando 75 del RGPD che recita: “I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo; se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l’esercizio del controllo sui dati personali che li riguardano”.
Il successivo considerando 85 del RGPD afferma che: “Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata”.
Infine, il considerando 146 del RGPD stabilisce che: “Il titolare del trattamento o il responsabile del trattamento dovrebbe risarcire i danni cagionati a una persona da un trattamento non conforme al presente regolamento (…). Il concetto di danno dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di giustizia in modo tale da rispecchiare pienamente gli obiettivi del presente regolamento. (…) Gli interessati dovrebbero ottenere pieno ed effettivo risarcimento per il danno subito.”
Le conclusioni depositate dall’Avvocato Generale Collins
Secondo le conclusioni recentemente depositate dall’Avvocato Generale Collins nei richiamati procedimenti riuniti, l’art. 82 conferma chiaramente il diritto al risarcimento del danno per chiunque abbia subito un danno da violazione dei precetti del RGPD, ripartendo la responsabilità fra il titolare del trattamento e/o il responsabile dello stesso, ma poi non individua né la natura né tantomeno la forma di questo danno.
A tal fine, non vengono neppure richiamate le normative nazionali, quindi, è legittimo sostenere che la figura del danno immateriale debba essere considerata come forma autonoma del diritto dell’Unione ed essere interpretata in modo uniforme in tutti gli Stati membri.
Nel proporre la soluzione alla questione prospettata, l’Avvocato Generale suggerisce che l’articolo 82, paragrafo 1, del regolamento (UE) 2016/679, debba essere interpretato nel senso che il furto, da parte di un autore del reato ignoto, di dati personali sensibili di un interessato può far sorgere il diritto al risarcimento del danno immateriale qualora sia fornita la prova di una violazione del regolamento generale sulla protezione dei dati, dell’esistenza di un danno concretamente subito e di un nesso di causalità tra il danno e tale violazione.
Si sottolinea altresì che, per il risarcimento nel caso di furto dei dati personali, debbano comunque ricorrere tre condizioni:
1) che le persone fisiche abbiano il controllo dei dati personali che le riguardano;
2) che agli interessati sia impedito l’esercizio del controllo sui dati personali;
3) o che persone fisiche perdano il controllo dei dati personali.
C’è da dire, inoltre, che il GDPR non prevede un regime di responsabilità oggettiva mentre, con riguardo alla quantificazione del danno, il risarcimento deve essere pieno ed effettivo, senza che sia necessario il raggiungimento di un certo grado di gravità, ma con esclusione di tutti quei pregiudizi meramente potenziali o collegati a banali sofferenze per la perdita dei dati personali.
Infine – prosegue l’A.G. nelle sue conclusioni – ai fini della concessione del risarcimento non è necessario che l’autore del reato abbia assunto l’identità dell’interessato, e il possesso di dati identificativi dell’interessato non costituisce, di per sé, un furto d’identità.
È evidente che questa interpretazione, se dovesse trovare conferma nella pronuncia della Corte di Giustizia, porterebbe ad un ampliamento delle possibilità di richiesta di risarcimento del danno in tutti quei casi di personal data breach, con appropriazione dei dati da parte di terzi, anche se poi non sia seguito un effettivo utilizzo dei dati rubati.