Un nuovo orizzonte di risarcimento per le violazioni dei dati personali

Il caso Scalable Capital (C-182/22) discusso in questo periodo presso le aule della Corte di Giustizia dell’Unione Europea promette di essere una pietra angolare per quanto riguarda il  risarcimento dei danni nei casi di furto di dati personali e potrebbe aprire la strada ad una più ampia gamma di richieste risarcitorie in seguito ad un cosiddetto data breach (qualsiasi violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati, Art. 4(12) GDPR). L’avvocato Generale Collins infatti ha espressamente sottolineato come, da una più puntale e corretta lettura dell’art. 82 del (1) GDPR che recita: “ Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.” ne deriverebbe la possibilità concreta e compiuta di vedersi risarciti i c.d. danni non materiali derivanti dal furto di dati personali. Nel caso di specie, infatti, due investitori hanno promosso un’azione legale contro Scalable Capital GmbH, sostenendo di aver subito danni non materiali a causa del furto dei loro dati personali da parte di autori ignoti. Tali informazioni erano state registrate nell’applicazione di trading online gestita dalla società per la verifica dell’identità degli utenti. La piattaforma ha subito un attacco informatico e, nonostante non siano emersi utilizzi effettivi dei dati, gli investitori hanno avanzato richiesta di risarcimento per il disagio e la sofferenza provocati dalla violazione della sicurezza.

Nel ricostruire ed analizzare la vicenda, l’Avvocato Generale evidenzia quindi come il richiamato articolo 82(1) del Regolamento Generale sulla Protezione dei Dati (GDPR) preveda appunto sia il risarcimento per danni materiali, sia per quelli non materiali, derivanti da violazioni del GDPR. Collins distingue quindi chiaramente da un lato il furto di dati, e dall’altro il furto di identità, precisando che solo quest’ultimo comporta l’utilizzo effettivo delle informazioni sottratte. Di conseguenza, secondo tale ricostruzione, il semplice furto di dati personali può causare un danno non materiale, quale il disagio di sapere le proprie informazioni in mano a soggetti sconosciuti non autorizzati, e conferire pertanto il diritto al risarcimento, anche in assenza di un effettivo utilizzo dei dati da parte degli autori dell’illecito.

In attesa della decisione della Corte, ciò che viene evidenziato è quindi come l’articolo 82(1) del GDPR debba essere interpretato nel senso che il furto di dati personali da parte di autori ignoti può generare il diritto al risarcimento per danni non materiali, a condizione che sia dimostrata la violazione del GDPR, il danno effettivamente subito e l’esistenza di un nesso causale tra il danno e la violazione. Inoltre, si è evidenziato come non sia necessario che gli autori del reato assumano l’identità della persona colpita e che il possesso dei dati che identificano direttamente la persona non costituisca un furto di identità.

Se pertanto tale interpretazione sarà effettivamente adottata dalla decisione della Corte di Giustizia dell’Unione Europea, questa promette di avere un impatto di grandissima portata, in quanto estenderà considerevolmente la possibilità di richiedere il risarcimento in casi di violazione dei dati con esfiltrazione, anche in assenza di un effettivo utilizzo dei dati sottratti. Gli interessati soggetti indentificati o identificabili attraverso i dati eventualmente sottratti potranno avanzare importanti richieste risarcitorie alle società attaccate, fondate sul danno immateriale subito a causa della perdita di controllo dei propri dati personali, delineando così una prospettiva più chiara per la salvaguardia dei diritti degli interessati in circostanze analoghe.

Fonti: Federprivacy, EULawLive