La Corte di Giustizia, nella sentenza del 14 dicembre 2023 (causa C-340/21), ha affrontato un caso di criminalità informatica e di divulgazione non autorizzata di dati personali da parte di terzi, ai danni di una società di recupero crediti, affermando che anche il timore di un potenziale utilizzo abusivo di dati personali può, di per sé, costituire un danno immateriale, che va risarcito.
Ha inoltre stabilito i casi in cui un titolare del trattamento (ovvero la società dalla quale i dati sono stati illecitamente divulgati da parte di terzi) possa essere considerato responsabile dell’accesso non autorizzato di terzi, e su chi incomba l‘onere della prova in ordine all’adeguatezza delle misure applicate in concreto a tutela dei dati e dell’accesso abusivo.
La Corte ha quindi chiarito i seguenti principi di diritto:
- in caso di divulgazione non autorizzata di dati personali o di accesso non autorizzato a tali dati, non è possibile dedurre solo da questo fatto che le misure di sicurezza adottate dal titolare del trattamento non fossero adeguate, ma bisogna esaminare l’adeguatezza delle misure in concreto applicate.
- È il titolare del trattamento ad avere l’onere della prova circa l’adeguatezza delle misure di sicurezza adottate
- Nell’ipotesi in cui la divulgazione non autorizzata di dati personali o l’accesso non autorizzato di tali dati siano stati commessi da «terzi» (come i criminali informatici), il titolare del trattamento può essere tenuto a risarcire le persone che hanno subito un danno, a meno che non riesca a dimostrare che tale danno non gli è in alcun modo imputabile.
- Il solo timore di un potenziale utilizzo abusivo dei propri dati personali da parte di terzi, che una persona possa nutrire a seguito di una violazione del GDPR può, di per sé, costituire un danno immateriale.