Nel 2019 in Bulgaria un attacco hacker contro l’Agenzia pubblica delle Entrate ha portato alla pubblicazione di dati personali su internet di migliaia di persone. La causa che ne è derivata ha portato alla richiesta di un risarcimento per i danni morali subiti.
La Corte di Giustizia nella causa C-340/21 ha affermato che l’accesso illecito ai dati personali da parte di terzi comporta la responsabilità per colpa presunta del titolare del trattamento e può dar luogo a danno morale risarcibile. Ma a determinate condizioni.
Attacco Hacker all’Agenzia entrate bulgara: la causa per danno morale
Tutto comincia il 15 luglio 2019 quando i media bulgari diffondono la notizia di un accesso non autorizzato al sistema informatico dell’Agenzia nazionale delle entrate (NAP) e la conseguente pubblicazione su internet delle informazioni fiscali e previdenziali di milioni di persone.
Ne segue una causa civile per risarcimento del danno morale, manifestatosi sotto forma di apprensioni e timori per un futuro uso improprio dei suoi dati personali da parte degli interessati, citando nel ricorso la NAP. Avrebbe violato le norme nazionali, nonché l’obbligo di adottare adeguate misure per garantire idonei standard di sicurezza nel trattamento dei dati personali in qualità di titolare del trattamento.
In primo grado il giudice aveva rigettato la domanda, ritenendo che la diffusione dei dati non fosse imputabile all’agenzia. L’Appello alla Corte Suprema amministrativa ha portato la stessa a chiedere alla Corte di giustizia UE quando sussistono le condizioni per il risarcimento del danno morale in questi particolari casi, alla luce del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016.
Diffusione dei dati personali e risarcimento del danno morale: il parere della Corte di Giustizia
Secondo la Corte il titolare del trattamento è obbligato a mettere in atto misure tecniche e organizzative adeguate per garantire che il trattamento dei dati personali sia conforme al regolamento europeo dei dati.
Le argomentazioni della Corte riguardano da un lato la verifica delle violazioni al trattamento dei dati, le responsabilità del Titolare del Trattamento e come può esonerarsi da responsabilità. Infine, un’indicazione sulla risarcibilità del danno morale.
- il verificarsi di una «violazione dei dati personali» non è di per sé sufficiente per concludere che le misure tecniche e organizzative attuate dal responsabile del trattamento non erano «adeguate» a garantire la protezione dei dati.
- nel verificare l’adeguatezza delle misure, il giudice nazionale deve controllarne il contenuto e il modo in cui sono state applicate e dei loro effetti pratici;
- l’onere della prova sull’adeguatezza delle misure incombe sul titolare del trattamento. Spetta all’ordinamento giuridico interno di ciascuno Stato membro determinare i metodi di prova ammissibili e il loro valore probatorio, compresi i mezzi istruttori.
- il fatto che la violazione del regolamento sia stata commessa da un terzo non costituisce di per sé un motivo per esonerare il responsabile del trattamento da responsabilità: per l’esonero da responsabilità il titolare del Trattamento (qui la NAP) deve dimostrare, con un livello di prova elevato, che l’evento dannoso non gli è in alcun modo imputabile.
- Quanto al risarcimento del danno morale, il pregiudizio consistente nel timore di un potenziale futuro uso improprio dei suoi dati personali, di cui l’interessato abbia dimostrato la sussistenza, può costituire un danno morale che dà diritto a un risarcimento a condizione che si tratti di un danno emotivo reale e certo, e non di un semplice disagio o fastidio.
Cibersicurezza e protezione dei dati: informazione e formazione per il professionista della Security
Come proteggersi da un attacco Hacker?
InSic suggerisce la consultazione del seguente Libro di EPC Editore:
Cybersecurity e cyberwarfare
Caria Giovanni Battista, Iaselli Michele
Libro
Edizione: gennaio 2023
L’opera che vede come curatori e in parte anche autori Michele Iaselli e Giovanni Caria con il coinvolgimento di esperti di sicurezza informatica e giuristi specializzati nel settore, ha come focus la cyberwar intesa come l’uso di computer e di reti per attaccare o difendersi nel cyberspazio e più nello specifico la cyberwarfare intesa come attacchi informatici condotti non contro singole aziende, ma contro intere nazioni.
Per formarsi in materia di CyberSecurity, consigliamo il Corso di Istituto informa:
Cyber Security e Cyber Strategy Aziendale
data di inizio 27/06/2023
Corso di formazione che esplora i concetti fondamentali in tema di cyber security anche alla luce dei recenti mutamenti normativi introdotti (es. Direttiva NIS, GDPR, ecc.), con particolare riferimento alle metodologie di valutazione dei rischi ed alle best practices internazionali.
Valido come Aggiornamento per “Professionista della security”, “DPO”, “HSE Manager” e “Auditor/Esperto 231” certificati da ICMQ/CERSA (8 crediti formativi)
Coordinamento editoriale Portale InSic.it -redattore giuridico
Laurea in Giurisprudenza in Diritto europeo (LUISS Guido Carli 2006) e Master in “Gestione integrata di salute e sicurezza nell’evoluzione del mondo del lavoro” INAIL-Sapienza (I° Ed. 2018-19).
Formatore certificato in salute e sicurezza sul lavoro dal 2017 per Istituto Informa e RLS per EPC Editore.
Esperto in sicurezza sul lavoro e amministratore del Gruppo Linkedin Ambiente&Sicurezza sul Lavoro.
Content editor e Social media per InSic.it su Linkedin e X (ex Twitter).
Contatti:
Linkedin
Mail: a.mazzuca@insic.it