Nelle proprie Conclusioni presentate il 27 aprile 2023 nella Causa C‑340/21, l’Avvocato generale della Corte UE, Giovanni Pitruzzella, ha fornito le seguenti indicazioni in materia di responsabilità del titolare del trattamento in caso di violazione dei dati personali per accesso illecito da parte di terzi.
In particolare, l’Avvocato generale ha concluso nel senso che il titolare del trattamento dei dati personali è considerato responsabile per colpa presunta nel caso in cui terzi accedano illegalmente a tali dati, e ciò può comportare un risarcimento per danno morale.
Tuttavia, il titolare del trattamento può essere esonerato da tale responsabilità dimostrando di non essere in alcun modo coinvolto nell’evento dannoso.
Nel caso in cui vi sia il timore di un uso improprio dei dati personali in futuro, ciò potrebbe costituire un danno morale che giustifica un risarcimento solo se si tratta di un danno emotivo reale e certo, e non di un semplice disagio o fastidio.
Nel caso di specie la Corte UE è stata chiamata a definire, in base al regolamento generale sulla protezione dei dati, le condizioni per il risarcimento del danno morale subito da un soggetto il cui dati personali sono stati pubblicati illecitamente su internet da un’agenzia pubblica a seguito di un attacco hacker.
Nelle sue conclusioni, l’Avvocato generale evidenzia come che il titolare del trattamento deve adottare misure tecniche e organizzative adeguate per garantire il rispetto del regolamento. L’adeguatezza di tali misure dipende dalla valutazione caso per caso.
La violazione dei dati personali non implica necessariamente che le misure tecniche e organizzative adottate dal responsabile del trattamento non siano adeguate a garantire la protezione dei dati.
Il giudice nazionale deve invece valutare in concreto l’adeguatezza delle misure di protezione dei dati, analizzando il contenuto delle stesse, il loro modo di applicazione e gli effetti pratici, al fine di garantire la protezione dei dati personali dei soggetti interessati.
Per essere esonerato da responsabilità, il titolare del trattamento deve dimostrare: da un lato, l’adeguatezza delle misure tecniche e organizzative adottate, dall’altro, che l’evento dannoso non gli è in alcun modo imputabile.
Il pregiudizio consistente nel timore di un potenziale futuro uso improprio dei dati personali può costituire un danno morale risarcibile se l’interessato dimostra la sussistenza di tale pregiudizio.
In allegato le Conclusioni dell’Avvocato generale espressamente indicate.