Una recente sentenza della Corte di Giustizia dell’Unione Europea fa chiarezza sulle richieste di risarcimento danni in seguito a possibili violazioni della privacy, causata da incidenti informatici o dall’azione di cybercriminali.
Alla luce di quanto affermato dalla Corte di Giustizia nell’ambito della causa C-340/21, anche il solo timore di un potenziale utilizzo abusivo dei dati personali da parte di terzi può costituire un danno immateriale da risarcire.
La sentenza, in particolare, sottolinea che una violazione dei dati personali può provocare danni fisici, materiali o immateriali alle persone fisiche, come una limitazione dei diritti, discriminazione, furto o usurpazione d’identità o vere e proprie perdite finanziarie.
Nel testo della sentenza, precisamente, si legge che:
Il titolare del trattamento non può essere esonerato dal suo obbligo di risarcire il danno subito da una persona [], per il solo fatto che tale danno deriva da una divulgazione non autorizzata di dati personali o da un accesso non autorizzato a tali dati da parte di «terzi» [], dato che tale responsabile deve allora dimostrare che il fatto che ha provocato il danno in questione non gli è in alcun modo imputabile.
Spetta al titolare del trattamento dei dati, quindi, sia notificare la violazione dei dati personali all’autorità di controllo competente in modo tempestivo sia l’onere di dimostrare l’adeguatezza delle misure di sicurezza messe in atto in origine.