Strada in discesa per i risarcimenti da privacy violata: scatta l’indennizzo del danno morale anche per il solo timore di un potenziale utilizzo dei dati sottratti da cybercriminali e l’interessato gode dell’inversione dell’onere della prova (è l’impresa/p.a. che deve dimostrare di avere adottato misure adeguate, e se non ce la fa, allora, deve versare il ristoro). Sono questi i principi applicati dalla Corte di giustizia dell’Unione europea (Cgue), con la sentenza del 14/12/2023 nella causa C-340/21, che spalanca la strada alle richieste di danni immateriali a fronte di incidenti informatici (data breach). La Corte accetta un’impostazione proposta in altre cause dall’avvocato generale della Cgue (si veda ItaliaOggi dell’8/11/2023).
Non sono da escludersi, quindi, azioni di classe o rappresentative anche per fatti pregressi nel limite del termine di prescrizione di 5 anni del diritto al risarcimento.
Nel caso sottoposto al vaglio della Cgue la protagonista è stata l’Agenzia delle entrate bulgara, che nel 2019 ha subito un data breach, in conseguenza del quale i dati di milioni di persone sono stati pubblicati su internet. Molti interessati hanno promosso cause per il risarcimento del danno immateriale. I giudici bulgari hanno, dunque, posto alla Cgue alcuni quesiti relativi alla interpretazione delle disposizioni sul risarcimento dei danni previste Regolamento sulla privacy (UE) n. 2016/679 (Gdpr).
La prima risposta della Cgue sembra andare incontro alle aspettative di imprese e p.a.: la pronuncia, infatti, afferma che il fatto di avere subito una violazione dei dati non dimostra automaticamente l’inadeguatezza delle misure tecniche e organizzative adottate dalle stesse imprese e p.a.. In sostanza se c’è stato un data breach, questo non significa per ciò solo che imprese e p.a. abbiano violato le norme del Gdpr sulla sicurezza. E per ottenere il risarcimento non basta la prova del data breach: occorre anche valutare l’adeguatezza delle misure. Qui si apre un altro fronte e cioè se, ai fini del risarcimento, debba essere il danneggiato a provare l’inadeguatezza delle misure oppure se, per non pagare i danni, siano imprese e p.a. a dover provare di avere assunto misure adeguate. E qui il problema, è tutto di imprese e p.a., in quanto la Cgue sostiene che sono imprese e p.a. a dover provare l’adeguatezza delle misure di sicurezza a scudo dei dati. Il danneggiato, pertanto, fruisce di uno scivolo probatorio, potendo stare a vedere che cosa riesce a provare il proprio avversario e scommettendo sul fatto che quest’ultimo non riesca a convincere il giudice della appropriatezza dei sistemi.
Sul punto, La Cgue aggiunge che è compito dei giudici nazionali della causa per danni accertare l’adeguatezza delle misure, appurando caso per caso, se natura, tipo e attuazione dei sistemi siano idonei a fronteggiare i rischi. Sul punto, anche se nel dispositivo della sentenza non è riportato, va ricordato che imprese e p.a. possono valutare l’adeguatezza dei sistemi tenendo conto anche dei relativi costi.
In ogni caso anche per il giudice valutare l’adeguatezza delle misure non è cosa facile. Secondo la Cgue, i giudici potranno appoggiarsi a una perizia tecnica, ma non hanno l’obbligo di farlo sistematicamente, potendo ricorrere anche ad altri mezzi, come ad esempio l’accertamento contenuto in un provvedimento del Garante della privacy.
Se non è raggiunta la prova della idoneità delle misure, il giudice potrà condannare al risarcimento del danno imprese e p.a. che di fatto hanno agevolato la sottrazione dei dati e l’uso indebito da parte dei terzi.
Imprese e p.a., dunque, sono responsabili anche del fatto del cybercriminale e per loro la via d’uscita è strettissima: per non pagare i danni da abuso dei dati da parte di terzi, imprese e p.a. devono dare la prova difficilissima che il danno non sia in alcun modo loro imputabile.
Quanto al danno risarcibile, la Cgue infligge un’altra batosta a imprese e p.a., affermando che non è necessario aspettare il verificarsi di un danno: anche il solo timore di un potenziale uso improprio dei dati da parte di terzi, imputabile a imprese e p.a. prive delle adeguate misure di sicurezza previste dal Gdpr, integra un danno morale, di cui si può chiedere il risarcimento.
Certo il danneggiato deve dare prova del danno, ma la nozione ampia fornita dalla Cgue può alimentare un filone di richieste seriali, soprattutto quando il data breach colpisce imprese e p.a. che detengono quantità elevate di dati di un numero alto di interessati.
Antonio Ciccia Messina, ItaliaOggi