Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del Codice Civile che recita “Responsabilità per l'esercizio di attività pericolose - Chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno”.

Nello specifico va chiarito che nell'ordinamento italiano, il trattamento dei dati personali è considerato, per sua natura o (più verosimilmente) per la natura dei mezzi adottati, quale attività pericolosa e quindi se non prova di avere adottato tutte le misure idonee ad evitare il danno, il trattamento dei dati viene così ad essere inquadrato nell’ambito delle attività pericolose e quindi chiunque tratti dati personali deve adottare (e dimostrare) che nell’ambito delle suddette attività adotta ogni tipo di cautela e misura di sicurezza.

È questa la premessa indispensabile per capire quanto sostenuto dall'avvocato generale della Corte di Giustizia Ue (Cgue), che nelle sue conclusioni del 26/10/2023 relative alle cause riunite C182/22 e C189/22 ha presentato un'interpretazione del Regolamento EU 679/2016 in materia di trattamento dei dati personali molto favorevole agli interessati.

‍

Nella vicenda in questione due investitori hanno aperto depositi titolo presso un’applicazione di trading on line e hanno dovuto registrare i dati personali (nome, data di nascita, indirizzo fisico e indirizzo di posta elettronica) per verificare la loro identità.

La società titolare dell’applicazione in oggetto ha subito un cyberattacco con esfiltrazione dei dati personali.

I dati al momento delle conclusioni non erano ancora stati usati dai criminali, che potenzialmente (termine caro ai giuristi in ambito privacy), avrebbero potuti usarli per qualsiasi scopo.

Sulla base delle premesse di cui sopra, l’avvocato generale della Corte di Giustizia Ue (Cgue) ha avanzato una richiesta risarcitoria sulla base del fatto che non c'è bisogno di aspettare un effettivo furto dell'identità (bastando il furto dei dati) per richiedere il danno, essendo il furto già causa di alto rischio potenziale, e quindi da solo motivo di richiesta di risarcimento danno immateriale.

Nello specifico gli investitori che hanno usato l’applicazione hanno fatto causa alla società di trading, chiedendo il risarcimento del danno immateriale per il dolore e la sofferenza patito a causa dell'esfiltrazione dei dati, conservati nell'applicazione di trading.

Il tribunale, chiamato a decidere la controversia, ha chiesto alla Cgue l'esatta interpretazione di alcune norme del Gdpr, rilevanti nel caso concreto.

In particolare, il giudice della controversia principale ha chiesto se per avere diritto al risarcimento dei danni immateriali, l'autore dell'illecito deve avere usato effettivamente i dati sottratti o, invece, se il furto risarcibile si verifichi già solo per effetto della disponibilità, da parte degli autori del reato, di dati che rendono identificabile l'interessato.

Le valutazioni di merito partono dal fatto che il regolamento EU 679/2016, nei Considerando, vengono poste alcune considerazioni che sollevano il dubbio riguardo la distinzione tra furto di dati e furto di identità: solo il secondo tipo di furto implica l'effettivo utilizzo delle informazioni sottratte.

In ogni caso, anche se non costituisce un furto o un'usurpazione d'identità, il mero furto di dati personali può comportare un danno immateriale e un diritto al risarcimento dei relativi danni.

‍

Fonte: https://www.federprivacy.org/strumenti/accesso-ristretto/l-interessato-puo-chiedere-i-danni-all-impresa-che-ha-subito-un-cyberattacco-con-esfiltrazione-dei-suoi-dati-personali

A cura di:

‍