Aristotelis Zervos
Aristotelis Zervos, direttore editoriale di 2B Advice, unisce competenze giuridiche e giornalistiche in Protezione dei datiConformità informatica e regolamentazione dell'IA.
Una recente sentenza della Corte federale di giustizia (BGH) fa chiarezza in merito ai danni morali ai sensi dell'art. 82 GDPR in caso di fuga di dati presso un ex incaricato del trattamento. L'articolo che segue analizza le dichiarazioni chiave della sentenza.
Fuga di dati dal processore dopo la fine del contratto
Nella cosiddetta fuga di dati di Deezer, i dati degli utenti dell'omonimo servizio di streaming musicale sono stati rubati dopo la scadenza del contratto con un fornitore di servizi esterno e messi in vendita sulla darknet.
Fatti specifici del caso: la convenuta, con sede in Francia, gestisce un servizio di streaming musicale online. Fino alla scadenza del contratto, il 1° dicembre 2019, il responsabile esterno del trattamento della convenuta era la società O. Il 30 novembre 2019, quest'ultima ha informato la convenuta via e-mail che il suo sito web e i dati in esso contenuti (“il vostro sito e tutti i dati del sito”) sarebbero stati cancellati il giorno successivo. La società O. ha dichiarato per la prima volta che ciò era effettivamente accaduto in un'e-mail del 22 febbraio 2023, dopo che si era venuti a conoscenza del fatto che ignoti hacker avevano messo in vendita sulla darknet i dati degli utenti del servizio della convenuta dal novembre 2022. I record di dati risalivano al 2019 e non erano stati cancellati dalla società O. subito dopo la fine dell'ordine, come concordato con la convenuta, ma erano stati trasferiti dall'ambiente di produzione a un ambiente di prova dai dipendenti della società O. e poi catturati dagli hacker o trasmessi dai dipendenti della società O. senza autorizzazione. La convenuta ha informato le persone interessate dall'incidente dopo che ne è venuta a conoscenza.
Il ricorrente è un utente del servizio della convenuta. I suoi dati sono memorizzati nel profilo cliente della convenuta. Il record di dati a cui si è avuto accesso nell'incidente in questione conteneva il nome, il cognome, il sesso, l'indirizzo e-mail e la lingua del ricorrente, nonché la data di registrazione.
Mentre il Tribunale regionale e il Tribunale superiore hanno inizialmente respinto il ricorso, il BGH ha parzialmente annullato la sentenza e l'ha rinviata al Tribunale superiore di Dresda per una nuova decisione.
La persona responsabile deve essere in grado di fornire una conferma documentata della cancellazione.
Il BGH chiarisce che il Persone responsabili rimane il „padrone del trattamento dei dati“ anche dopo aver incaricato dei responsabili del trattamento esterni e non può semplicemente trasferire i propri obblighi di protezione dei dati al fornitore di servizi. Soprattutto alla fine del Elaborazione dell'ordine deve assicurarsi attivamente che l'ex incaricato del trattamento non conservi più alcun dato personale. Non è quindi sufficiente concludere un contratto ai sensi dell'art. 28. GDPR e affidarsi alla promessa di cancellazione del fornitore di servizi. Sono invece necessarie misure concrete di gestione dell'uscita. Ad esempio, è necessario regolamentare contrattualmente e verificare concretamente che tutti i dati trasferiti vengano restituiti o cancellati e che vengano cancellate anche le eventuali copie.
Secondo il BGH, il controllo attivo della cancellazione è decisivo: la Persone responsabili non deve accontentarsi di semplici garanzie contrattuali, ma deve fare quanto necessario per garantire che i dati vengano effettivamente cancellati.
In pratica, ciò significa ottenere una conferma di cancellazione esplicita e documentata dal fornitore di servizi, invece di accettare semplicemente un annuncio via e-mail non vincolante. Può trattarsi, ad esempio, di un registro di cancellazione, di una dichiarazione scritta o di un certificato di audit.
Il mancato monitoraggio del processore comporta una responsabilità
In questo caso, il contratto prevedeva la conferma della cancellazione entro 21 giorni. L'incaricato del trattamento aveva solo annunciato che avrebbe cancellato il „sito web e tutti i dati”. Il completamento non è stato confermato in alcun momento.
Al più tardi allo scadere del termine, la Persone responsabili di seguire la vicenda. Lo ha fatto solo anni dopo e dopo che la fuga di notizie era diventata nota, troppo tardi. In questo modo ha violato i principi di limitazione della conservazione e di sicurezza di cui all'art. 5, par. 1, lett. e e all'art. 32 del Codice Civile. GDPR, che è disciplinato dall'art. 28, comma 3, lettera g). GDPR essere concretizzato, in quanto si è verificata una conservazione continua non autorizzata da parte dell'elaboratore.
Il BGH ritiene che questa omissione costituisca una violazione del GDPR da parte del responsabile del trattamento. Infatti, ai sensi dell'articolo 82, paragrafo 3 GDPR porta il Persone responsabili l'onere della prova di non essere colpevole. In questo caso, la società convenuta non poteva discolparsi, in quanto poteva essere accusata almeno di una lieve negligenza nel controllo della cancellazione. In particolare, non è stato utile indicare la sola cattiva condotta del fornitore di servizi o un attacco hacker. Proprio perché il Persone responsabili non ha ottenuto per tempo la conferma dell'avvenuta cancellazione, i dati sono rimasti disponibili e hanno potuto finire nelle mani sbagliate. Secondo le conclusioni del tribunale, l'incidente dei dati sarebbe stato molto probabilmente evitato se fossero stati effettuati controlli adeguati. Il Persone responsabili è quindi corresponsabile della fuga di dati, anche se l'attacco diretto è stato effettuato da un estraneo.
Nessun limite de minimis per i danni non materiali (art. 82 GDPR)
Nel valutare il risarcimento dei danni, il BGH fa riferimento alla giurisprudenza della Corte di giustizia europea sull'interpretazione dell'art. 82 del trattato CE. GDPR a.
In primo luogo, la Corte conferma che un Violazione contro il GDPR da solo non fa scattare una richiesta di risarcimento danni. Il danno deve essersi effettivamente verificato. Tuttavia, il BGH sottolinea anche che non esiste un „limite de minimis“. In altre parole: Né il diritto nazionale né i tribunali possono richiedere un'ulteriore soglia di rilevanza per i danni immateriali, se la normativa europea sulla protezione dei dati non prevede tale soglia. Qualsiasi danno dimostrabile, come fastidio, disappunto, preoccupazione o timore, derivante da una violazione della protezione dei dati può quindi essere risarcito, a condizione che non sia basato sulla mera immaginazione o su un pericolo puramente ipotetico.
Nella sentenza del 4 maggio 2023 (causa C-300/21), la Corte di giustizia europea ha espressamente chiarito che i sentimenti negativi come la rabbia, il disagio o la paura ai sensi dell'art. 82, par. 1, del Trattato CE non possono essere considerati come sentimenti negativi. GDPR possono essere riconosciuti come danni non rilevanti. Non esiste una soglia di rilevanza specifica. Di conseguenza, i tribunali non possono respingere una richiesta di risarcimento sulla base del fatto che si tratta di un semplice „fastidio quotidiano su Internet“.
In questo caso, la Corte d'appello (Tribunale regionale superiore di Dresda) si era espressa esattamente nello stesso modo, liquidando le preoccupazioni del ricorrente come rischi generici per la vita. Il BGH ha corretto la situazione e ha chiarito inequivocabilmente che una reale perdita di controllo e il fondato timore di un uso improprio devono essere presi sul serio. E questo indipendentemente dal fatto che i dati del ricorrente fossero già stati compromessi in precedenti incidenti.
Suggerimento di lettura: Scraping di Facebook: il BGH riconosce agli utenti un risarcimento danni
La fuga di dati dalla darknet come criterio oggettivo per il verificarsi di un danno
Un elemento centrale del caso era la pubblicazione dei dati sulla darknet. La Corte federale di giustizia afferma che l'offerta di dati personali rubati sulla darknet è un indicatore oggettivo del verificarsi di un danno. In concreto, ciò significa se i dati rimangono presso il fornitore di servizi senza autorizzazione dopo la fine dell'ordine, vengono rubati e poi messi in vendita sulla darknet, ciò costituisce un danno morale ai sensi dell'art. 82 cpv. 1 GDPR prima. I giudici affermano espressamente che questo danno non è annullato dal fatto che gli stessi dati possano essere stati divulgati in precedenza in un'altra fuga di notizie. Ogni nuova perdita di controllo su Dati personali è quindi da considerarsi come un evento indipendente che aumenta il rischio per il colpiti persona e può quindi essere rilevante separatamente per il danno.
Nel caso di Deezer, l'indirizzo e-mail del ricorrente era già comparso in precedenti violazioni di dati. Ciononostante, il BGH ha valutato l'incidente del 2019/2022 come una nuova violazione indipendente: la specifica fuga di notizie presso il processore ha portato a ulteriori informazioni (nome, sesso, lingua), Dati di utilizzo) sono stati resi pubblici in relazione all'indirizzo e-mail. Questo ulteriore bacino di dati nella darknet crea una situazione di rischio considerevole, in quanto i criminali possono utilizzarlo per creare profili mirati per Phishing o furto di identità. Gli hack precedenti non scagionano in alcun modo il responsabile. Al contrario: più fughe di dati dallo stesso soggetto comportano rischi cumulativi e una maggiore probabilità di futuri abusi. Le aziende non possono quindi difendersi sostenendo che una persona interessata non è ulteriormente gravata da un'altra fuga di notizie perché i suoi dati erano già in circolazione.
Dal punto di vista del BGH, una fuga di notizie dalla darknet segna quindi un chiaro punto di svolta: il danno si è verificato al più tardi dal momento della pubblicazione clandestina illegale. In pratica, i tribunali affermano regolarmente i danni non materiali in tali costellazioni. La vendita di dati personali sulla darknet rappresenta il „caso peggiore“ in termini di violazione della protezione dei dati.
Perdita di controllo e timori fondati come danno immateriale
In precedenti procedimenti, ad esempio in merito alla fuga di dati da Facebook, la Corte Federale di Giustizia ha già stabilito che la mera perdita del controllo su Dati personali possono costituire un danno non patrimoniale. Anche senza un danno economico concreto, la rabbia e la sensazione di essere alla mercé di altri dopo una violazione dei dati possono giustificare un risarcimento. In questa sentenza, il BGH fa un ulteriore passo avanti e si concentra sui timori personali della persona colpita.
Il querelante ha dichiarato di essere preoccupato per il furto d'identità da quando è stata resa nota la fuga di notizie, Phishing e chiamate ed e-mail pubblicitarie non richieste. Secondo il BGH, tali timori giustificati possono „di per sé” costituire un danno non patrimoniale, a condizione che la Parti interessate dimostrare in modo plausibile le loro conseguenze negative. Il fattore decisivo è che i timori non siano puramente ipotetici, ma oggettivamente comprensibili. È proprio questo il caso: se il nome e l'indirizzo e-mail vengono scambiati sulla darknet, è molto probabile che vengano utilizzati in modo improprio per scopi fraudolenti (ad esempio, e-mail di spam o phishing). Le preoccupazioni del ricorrente erano quindi facilmente comprensibili e realisticamente giustificate dal punto di vista di un terzo ragionevole.
Il Tribunale regionale superiore aveva sostenuto che il ricorrente non aveva cambiato il suo indirizzo e-mail nonostante gli incidenti, il che implicava un grave onere. Il BGH ha respinto questa argomentazione come un approccio errato che equivale a una soglia di rilevanza inammissibile. Infatti, anche in assenza di reazioni esterne come un cambio di e-mail, una persona può essere sottoposta a un notevole stress interno. Il fattore decisivo sono gli effetti psicologici dimostrabili (ad esempio, ansia persistente, disturbi del sonno, stress). Di conseguenza, il BGH ha chiarito che la perdita di controllo sui propri dati in relazione al giustificato timore di un uso improprio nel caso specifico costituisce un danno non materiale risarcibile. La valutazione contraria del tribunale di primo grado era quindi giuridicamente errata.
Interessi nella sentenza dichiarativa per eventuali danni futuri
Oltre ai danni in sé, la richiesta di sentenza dichiarativa dell'attore è stata importante nel procedimento. Egli voleva che il tribunale dichiarasse che la società convenuta era responsabile anche di eventuali danni materiali futuri derivanti dalla fuga di dati. Il contesto è l'incertezza sul fatto che i dati rubati possano portare a perdite finanziarie solo a distanza di anni, ad esempio se vengono utilizzati per frodi sulla darknet. Il Tribunale regionale superiore di Dresda ha negato l'esistenza di un interesse legittimo a tale accertamento, affermando, tra l'altro, che è passato molto tempo e che potrebbe essere difficile dimostrare la causalità in un momento successivo.
Der BGH sieht dies jedoch anders und rügt die Ablehnung des Feststellungsinteresses durch die Vorinstanz. Er verweist darauf, dass bei der Verletzung absoluter Rechte (wie des Rechts auf Datenschutz, Art. 8 GRCh) schon die bloße Möglichkeit eines künftigen Schadenseintritts genügt, um ein Feststellungsinteresse zu bejahen. Eine hohe Eintrittswahrscheinlichkeit ist nicht erforderlich. Selbst wenn seit dem Vorfall einige Jahre vergangen sind, schließt das einen späteren Missbrauch der Daten nicht aus. Insbesondere das Vorhandensein von personenbezogenen Daten im Darknet begründet objektiv die Möglichkeit zukünftiger Schäden, beispielsweise durch Identitätsbetrug, noch Jahre nach dem Leak.
Il BGH chiarisce che le considerazioni sulla diminuzione della probabilità di accadimento o sulle difficoltà di prova in futuro influiscono al massimo sulle prospettive di successo di una successiva azione di adempimento, ma non sull'ammissibilità dell'azione dichiarativa. In altre parole: se la Parti interessate La questione se il ricorrente sarà in grado di provare il danno specifico in futuro è di secondaria importanza nel procedimento dichiarativo. Piuttosto, è importante dargli la possibilità di garantire i suoi diritti ora, nel caso in cui si verifichi un danno. Di conseguenza, il BGH ha ritenuto ammissibile la domanda di sentenza dichiarativa nel caso Deezer e ha incaricato l'OLG di prendere una nuova decisione in merito.
Per Parti interessate Ciò significa che non devono aspettare che si verifichi effettivamente un danno materiale dopo una fuga di dati. Come misura cautelativa, è possibile far dichiarare da un tribunale che il Persone responsabili è responsabile di eventuali danni futuri.
Il rafforzamento delle misure di conformità è sempre più importante
La sentenza del BGH sulla fuga di dati di Deezer ha conseguenze pratiche significative. Persone responsabili Le entità sono tenute a rivedere le proprie misure di conformità nell'ambito della protezione dei dati e delle Elaborazione dell'ordine da rafforzare. La gestione delle uscite per i fornitori di servizi sta diventando un aspetto particolarmente importante: le aziende devono garantire che tutti i dati personali siano adeguatamente cancellati o restituiti quando un incaricato del trattamento viene licenziato. La conferma documentata della cancellazione da parte del fornitore di servizi è obbligatoria e non facoltativa. Le mancanze in questo campo possono portare a casi di responsabilità civile a distanza di anni.
Allo stesso tempo, la sentenza chiarisce che le fughe di dati legate alla darknet rappresentano un rischio di responsabilità significativamente maggiore. Se i dati rubati appaiono sulla darknet, la Corte federale di giustizia ritiene che ciò comporti quasi inevitabilmente un danno immateriale risarcibile. Parti interessate può invocare la perdita di controllo e le comprensibili paure di abuso senza che la Persone responsabili possono essere considerati come semplici sciocchezze. Le aziende devono quindi adottare misure preventive in conformità con l'art. 32. GDPR regolarmente, prendere in considerazione il monitoraggio della darknet da parte di servizi specializzati, se necessario, e preparare piani di risposta agli incidenti, compresa una strategia di comunicazione e le modalità di gestione delle richieste di cui all'art. 82, in caso di emergenza.
Infine, la decisione dimostra che anche le precedenti violazioni dei dati non danno carta bianca. Ogni nuovo incidente può dare origine a richieste di risarcimento indipendenti e aumenta il rischio cumulativo di abusi. Persone responsabili farebbero bene a prendere sul serio le perdite multiple conosciute e ad assumere un potenziale di rischio maggiore, invece di sperare in un sollievo. Devono anche aspettarsi che Parti interessate oltre ai danni specifici, anche una richiesta di risarcimento per danni futuri. In pratica, ciò significa che la gestione del rischio a lungo termine e, se necessario, gli accantonamenti finanziari (accantonamenti, assicurazione informatica) stanno diventando sempre più importanti.
Volete rendere la vostra elaborazione degli ordini „a prova di BGH“, soprattutto per quanto riguarda l'offboarding?
È proprio qui che nella pratica si verificano spesso gli incidenti con i dati: Mancano le conferme di cancellazione, ci sono copie in ambienti di test/staging, le responsabilità non sono chiare e le prove sono incomplete.
Ailance vi supporta nella gestione del vostro panorama AV in modo strutturato: dalla selezione e valutazione dei fornitori di servizi alla checklist di uscita a prova di audit, compresa la verifica dell'intero panorama AV. Cancellazione.
2B Advice vi fornisce assistenza legale e operativa: rivediamo e ottimizziamo i vostri contratti di elaborazione degli ordini (Art. 28 GDPR), sviluppare una pratica Misure tecniche e organizzative (TOM) e i processi di offboarding, supportarvi nella risposta agli incidenti (inclusa la comunicazione, la gestione delle parti interessate e delle autorità) e aiutarvi a ridurre al minimo il rischio di reclami ai sensi dell'art. 82 del GDPR. GDPR.
Iniziate subito: fissiamo un incontro veloce per scoprire dove si trova il rischio maggiore nella configurazione dei fornitori e dell'offboarding e come potete ridurlo al minimo con controlli chiari, conferme di cancellazione solide e processi puliti e trasparenti. Documentazione raggiungere rapidamente un livello di resilienza.
Aristotelis Zervos è direttore editoriale di 2B Advice, avvocato e giornalista esperto di protezione dei dati, GDPRconformità informatica e governance dell'IA. Pubblica regolarmente articoli di approfondimento sulla regolamentazione dell'IA, sulla conformità al GDPR e sulla gestione del rischio. Per saperne di più su di lui, visitate il sito Pagina del profilo dell'autore.
German 
English 
Italian 
French