Corte di Giustizia dell’Unione Europea, sentenza del 14 dicembre 2023 nella causa C‑340/21
Il 15 luglio 2019 i media hanno rivelato che aveva avuto luogo un accesso non autorizzato al sistema informatico della NAP e che, in seguito a tale attacco hacker, taluni dati personali contenuti in detto sistema erano stati pubblicati su internet. Più di sei milioni di persone fisiche, di nazionalità bulgara o straniera, sono state interessate da tali eventi. Alcune centinaia di esse, tra cui la ricorrente nel procedimento principale, hanno proposto, contro la NAP, azioni di risarcimento dei danni morali che sarebbero derivati dalla divulgazione dei loro dati personali.
La Corte (Terza Sezione) ha dichiarato:
1) Gli articoli 24 e 32 del regolamento (UE) 2016/679 devono essere interpretati nel senso che una divulgazione non autorizzata di dati personali o un accesso non autorizzato a tali dati da parte di «terzi», ai sensi dell’articolo 4, punto 10, del regolamento 2016/679, non sono sufficienti, di per sé, per ritenere che le misure tecniche e organizzative attuate dal titolare del trattamento in questione non fossero «adeguate», ai sensi degli articoli 24 e 32 del medesimo regolamento.
2) L’articolo 32 del regolamento dev’essere interpretato nel senso che l’adeguatezza delle misure tecniche e organizzative attuate dal titolare del trattamento ai sensi di tale articolo deve essere valutata dai giudici nazionali in concreto, tenendo conto dei rischi connessi al trattamento di cui trattasi e valutando se la natura, il contenuto e l’attuazione di tali misure siano adeguati a tali rischi.
3) Il principio di responsabilità del titolare del trattamento, enunciato all’articolo 5, paragrafo 2, del regolamento 2016/679 e concretizzato all’articolo 24 di quest’ultimo, deve essere interpretato nel senso che nell’ambito di un’azione di risarcimento fondata sull’articolo 82 di tale regolamento, al titolare del trattamento di cui trattasi incombe l’onere di dimostrare l’adeguatezza delle misure di sicurezza da esso attuate ai sensi dell’articolo 32 di detto regolamento.
4) …5) L’articolo 82, paragrafo 3, del regolamento 2016/679 deve essere interpretato nel senso che il titolare del trattamento non può essere esonerato dal suo obbligo di risarcire il danno subito da una persona, ai sensi dell’articolo 82, paragrafi 1 e 2, di tale regolamento, per il solo fatto che tale danno deriva da una divulgazione non autorizzata di dati personali o da un accesso non autorizzato a tali dati da parte di «terzi», ai sensi dell’articolo 4, punto 10, di detto regolamento, dato che tale responsabile deve allora dimostrare che il fatto che ha provocato il danno in questione non gli è in alcun modo imputabile.
6) L’articolo 82, paragrafo 1, del regolamento 2016/679 deve essere interpretato nel senso che il timore di un potenziale utilizzo abusivo dei suoi dati personali da parte di terzi che un interessato nutre a seguito di una violazione di tale regolamento può, di per sé, costituire un «danno immateriale», ai sensi di tale disposizione.