In una sentenza del 4 ottobre 2024, il Tribunale regionale di Lubecca ha trattato in modo esaustivo la responsabilità ai sensi dell'art. 82 del Regolamento generale sulla protezione dei dati (GDPR) in caso di violazioni della protezione dei dati. La decisione contiene principi chiave sull'imputabilità del trattamento illecito dei dati, sull'interpretazione del concetto di danno e sulle possibilità di esonero per i responsabili del trattamento. La questione centrale è stata quella di stabilire a quali condizioni un responsabile del trattamento è responsabile per le violazioni attribuibili alle azioni di un incaricato o subincaricato.
Fuga di dati da un elaboratore subappaltato
La convenuta, gestore di una piattaforma di streaming musicale in Europa, aveva trasferito i dati dei clienti a un incaricato del trattamento, che a sua volta lavorava con un subincaricato. Tuttavia, non esisteva alcun accordo tra l'incaricato e il subincaricato, come richiesto dall'art. 28 del GDPR.
Dopo che la convenuta ha interrotto la collaborazione con il suo elaboratore, si è verificata una fuga di dati presso il sub-elaboratore, nel corso della quale sono stati sottratti dati personali che sono stati successivamente pubblicati sulla darknet. I dati interessati comprendevano nome e cognome, nome utente, data di nascita, indirizzo e-mail, dati sull'utilizzo del servizio D., sesso, lingua e Paese. È stata colpita anche la UserID, ovvero una sequenza di numeri assegnata dal convenuto, che viene attribuita individualmente ai singoli utenti.
L'attore, un utente della piattaforma di streaming del convenuto, ha chiesto danni morali e ha sostenuto di temere un uso improprio dei propri dati a causa della fuga di notizie. Inoltre, la pubblicazione dei dati sulla darknet doveva essere considerata una violazione indipendente del loro diritto all'autodeterminazione informativa.
Suggerimento di lettura: BSI aggiorna gli standard minimi per la registrazione degli attacchi informatici
Tribunale: il trattamento illecito dei dati ai sensi dell'art. 82 GDPR deve essere interpretato in modo ampio
- Attribuzione del responsabile della violazione
Il tribunale ha ritenuto che il concetto di coinvolgimento nel trattamento illecito dei dati ai sensi dell'art. 82 del GDPR debba essere interpretato in senso ampio. È sufficiente che il responsabile del trattamento sia stato coinvolto nella serie di operazioni che hanno portato all'atto che ha causato il danno, nel senso di una conditio sine qua non. "Il concetto di coinvolgimento nel trattamento illecito dei dati ai sensi del GDPR non richiede necessariamente che il responsabile del trattamento sia stato direttamente coinvolto nel processo che ha causato il danno", ha affermato la Corte regionale.In questo caso, il tribunale ha ritenuto che il convenuto fosse coinvolto nel trasferimento illegale di dati a un responsabile del trattamento non soggetto a obblighi sufficienti. La mancanza di un contratto ai sensi dell'art. 28 (4) del GDPR ha stabilito l'illegalità del trasferimento dei dati.
- Possibilità di scagionare la persona responsabile
Ai sensi dell'art. 82, par. 3, del GDPR, un responsabile del trattamento può discolparsi dimostrando di essere esente da colpa. Tuttavia, il tribunale ha sottolineato che ciò vale anche per il proprio contributo alla causa. La convenuta non è stata in grado di dimostrare che i dati sono stati trasmessi all'incaricato del trattamento senza alcuna colpa. In particolare, è stato negligente trasmettere i dati personali senza verificare sufficientemente gli obblighi del destinatario ai sensi della legge sulla protezione dei dati."Se la divulgazione è stata negligente, il responsabile è responsabile anche se non era direttamente coinvolto nel processo che ha causato il danno", hanno concluso i giudici.
- Definizione di danno e risarcibilità del danno immateriale
Il tribunale ha seguito la precedente giurisprudenza della Corte di giustizia europea (CGUE), secondo la quale il danno non materiale ai sensi dell'art. 82 del GDPR potrebbe anche risiedere nella preoccupazione giustificata di un possibile uso improprio dei dati. Non esiste un limite de minimis. I timori e le preoccupazioni del ricorrente - ad esempio per gli attacchi di phishing - sono stati riconosciuti come danni morali risarcibili.
Inoltre, il tribunale ha ritenuto che la pubblicazione di dati personali sulla darknet costituisse un danno in sé. Questa violazione del diritto all'autodeterminazione informativa è stata considerata come una perdita di controllo sui propri dati, che giustifica il risarcimento dei danni.
- Valutazione dei danni
Il tribunale ha riconosciuto all'attore un risarcimento per dolore e sofferenza pari a 350 euro. Da un lato, ha tenuto conto della pubblicazione di dati personali sensibili e dell'ansia che ne è derivata. D'altra parte, non era stato subito un danno economico significativo e i dati avevano permesso di trarre solo conclusioni limitate sulla persona del ricorrente.
Le parti responsabili sopportano un maggiore rischio di responsabilità
La sentenza del Tribunale regionale di Lubecca chiarisce i severi requisiti del GDPR in merito alla responsabilità delle aziende nel trattamento dei dati personali. L'estensione del concetto di partecipazione e l'ampia attribuzione di azioni da parte di terzi, comprese quelle contrarie alle istruzioni, aumentano significativamente i rischi di responsabilità per i responsabili del trattamento.
Il riconoscimento del danno immateriale sotto forma di timori e preoccupazioni e la classificazione della perdita di controllo sui dati personali come danno indipendente segnano un ulteriore passo avanti nello sviluppo della responsabilità ai sensi dell'art. 82 del GDPR. Ciò rende necessario per le aziende implementare misure tecniche, organizzative e contrattuali complete al fine di rispettare gli obblighi di protezione dei dati e ridurre al minimo i rischi di responsabilità.
Fonte: Sentenza del Tribunale regionale di Lubecca (15 O 216/23) del 04/10/2024