CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:820

Edizione provvisoria

CONCLUSIONI DELL’AVVOCATO GENERALE

ANTHONY MICHAEL COLLINS

presentate il 26 ottobre 2023 (1)

Cause riunite C‑182/22 e C‑189/22

JU (C‑182/22)

SO (C‑189/22)

contro

Scalable Capital GmbH

[Domanda di pronuncia pregiudiziale proposta dall’Amtsgericht München (Tribunale circoscrizionale di Monaco di Baviera, Germania)]

«Rinvio pregiudiziale – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento (UE) 2016/679 – Articolo 82, paragrafo 1 – Diritto al risarcimento del danno causato dal trattamento di dati effettuato in violazione di tale regolamento – Danno immateriale – Furto di dati – Furto o usurpazione d’identità»

I. Introduzione

1. Con due ricorsi in gran parte identici, proposti da JU contro la Scalable Capital GmbH (in prosieguo: la «Scalable Capital») (causa C‑182/22) e da SO contro la Scalable Capital (causa C‑189/22), i ricorrenti chiedono il risarcimento del danno immateriale per il dolore e la sofferenza che essi affermano di aver patito a causa di ciò che il giudice del rinvio descrive come il furto (2), da parte di terzi ignoti, dei loro dati personali conservati in un’applicazione di trading gestita dalla Scalable Capital. Ad oggi, detti terzi non hanno ancora utilizzato i dati per scopi fraudolenti o di altro tipo. L’Amtsgericht München (Tribunale circoscrizionale di Monaco di Baviera, Germania) chiede alla Corte indicazioni sull’interpretazione della nozione di danno immateriale di cui all’articolo 82 del regolamento (UE) 2016/679 (3) e sulle condizioni per il risarcimento di siffatto danno. Esso chiede, in particolare, se il furto di tali dati corrisponda al «furto (...) d’identità» di cui al considerando 75 del RGPD.

II. Contesto normativo – Diritto dell’Unione

2. Il considerando 75 del RGPD è così formulato:

«I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo; se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l’esercizio del controllo sui dati personali che li riguardano (...)».

3. Il considerando 85 del RGPD dichiara quanto segue:

«Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che [le] riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata. (…)».

4. Il considerando 146 del RGPD è formulato nei seguenti termini:

«Il titolare del trattamento o il responsabile del trattamento dovrebbe risarcire i danni cagionati a una persona da un trattamento non conforme al presente regolamento (...). Il concetto di danno dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di giustizia in modo tale da rispecchiare pienamente gli obiettivi del presente regolamento. (…) Gli interessati dovrebbero ottenere pieno ed effettivo risarcimento per il danno subito (…)».

5. L’articolo 82 del RGPD, intitolato «Diritto al risarcimento e responsabilità» così dispone:

«1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.

2. Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.

3. Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile.

(…)».

III. Controversie nei procedimenti principali e questioni pregiudiziali

6. JU e SO hanno aperto depositi titoli in un’applicazione di trading gestita dalla Scalable Capital. Al fine di verificare la loro identità, JU e SO hanno registrato dati personali nell’applicazione, fra i quali nome, data di nascita, recapito postale e di posta elettronica, nonché una copia digitale delle loro carte d’identità (4). È pacifico che soggetti ignoti, autori del reato, hanno rubato tali dati.

7. L’Amtsgericht München (Tribunale circoscrizionale di Monaco di Baviera) ritiene che la sensibilità dei dati rubati non sia affatto irrilevante e che JU e SO abbiano diritto a un risarcimento ai sensi dell’articolo 82 del RGPD. Ritenendo che l’importo del risarcimento da accordare a JU e SO dipenda dall’interpretazione dell’articolo 82 del RGPD, esso ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:

«1) Se l’articolo 82 del [RGPD] debba essere interpretato nel senso che il diritto al risarcimento del danno, anche nell’ambito della quantificazione della sua entità, non ha carattere sanzionatorio e non ha, in particolare, una funzione dissuasiva generale o speciale, bensì solo una funzione indennitaria e, se del caso, satisfattiva.

2.a) Se debba ritenersi, ai fini della quantificazione del diritto al risarcimento del danno immateriale, che il diritto al risarcimento abbia anche una funzione satisfattiva individuale – intesa, nel caso in esame, come la persistenza, nella sfera privata della persona lesa, dell’interesse a vedere perseguita la condotta che ha cagionato il danno – oppure se tale diritto abbia una mera funzione indennitaria – intesa, nel caso in esame, come la funzione di compensare i pregiudizi subiti.

2.b.1) Qualora si ammetta che il diritto al risarcimento del danno immateriale abbia una funzione tanto indennitaria quanto satisfattiva, se ai fini della sua quantificazione debba ritenersi che la funzione indennitaria abbia, rispetto alla funzione satisfattiva, una priorità strutturale o almeno derivante dal rapporto tra regola ed eccezione. Se ciò implichi che la funzione satisfattiva sia ipotizzabile solo in caso di lesioni caratterizzate da dolo o colpa grave.

2.b.2) Ove il diritto al risarcimento del danno immateriale non abbia una funzione satisfattiva: se nella sua quantificazione solo le violazioni dei dati commesse con dolo o colpa grave rivestano un’importanza supplementare nella valutazione dei fattori che hanno contribuito alla causazione dell’evento dannoso.

3) Se, ai fini della quantificazione del risarcimento del danno immateriale, occorra ammettere l’esistenza di un rapporto di priorità strutturale o almeno di regola ed eccezione, nel quale il pregiudizio risultante da una violazione dei dati ha un’importanza minore rispetto al dolore e al pregiudizio correlati ad una lesione personale.

4) Se il giudice nazionale, in caso di riconoscimento della sussistenza di un danno, in considerazione della non gravità dello stesso, abbia la facoltà di accordare un risarcimento di entità sostanzialmente modica che possa essere pertanto, in base alle circostanze, considerato meramente simbolico dalla parte lesa o in generale.

5) Se, ai fini della valutazione delle conseguenze del risarcimento del danno immateriale, debba ritenersi che il furto di identità di cui al considerando 75 del [RGPD] si verifichi solo nel caso in cui l’autore del reato abbia effettivamente assunto l’identità dell’interessato, sostituendosi a quest’ultimo in qualsiasi modo, oppure se un simile furto di identità si verifichi già per effetto della disponibilità medio tempore, da parte degli autori del reato, di dati che rendono identificabile l’interessato».

IV. Procedimento dinanzi alla Corte

8. Con decisione del 19 aprile 2022, il presidente della Corte di giustizia ha riunito le cause C‑182/22 e C‑189/22 ai fini delle fasi scritta e orale del procedimento, nonché della sentenza.

9. Il 1º giugno 2022 il presidente della Corte ha respinto la domanda di anonimizzazione del presente procedimento, presentata dalla Scalable Capital ai sensi dell’articolo 95, paragrafo 2, del regolamento di procedura della Corte di giustizia.

10. SO, la Scalable Capital, l’Irlanda e la Commissione europea hanno presentato osservazioni scritte.

11. Mi occuperò anzitutto delle eccezioni di irricevibilità sollevate avverso le questioni pregiudiziali, per poi suggerire alla Corte, conformemente alla sua richiesta, una risposta alla quinta questione.

V. Valutazione

A. Ricevibilità

12. Secondo la Scalable Capital, la perdita del controllo di dati personali, non accompagnata da ulteriori conseguenze per l’interessato, non fa sorgere un danno immateriale ai sensi dell’articolo 82, paragrafo 1, del RGPD. Il testo, l’impianto generale e la finalità dell’articolo 82 del RGPD non depongono a favore dell’esistenza di una presunzione ai sensi della quale siffatto danno si concretizzerebbe a seguito di una perdita del controllo di tal genere. Il giudice del rinvio sarebbe quindi incorso in errore avendo presunto che JU e SO abbiano subito un danno immateriale. Le domande di pronuncia pregiudiziale sarebbero, pertanto, irrilevanti ai fini della decisione dei ricorsi di cui è investito il giudice del rinvio e, quindi, irricevibili.

13. La Commissione ritiene che la rilevanza della quinta questione ai fini della decisione dei ricorsi pendenti dinanzi al giudice del rinvio non sia chiara. Il giudice del rinvio si limita a fare riferimento alle divergenti interpretazioni del diritto ad opera delle parti e osserva che «il furto d’identità si verifica solo quando qualcuno usa i dati ottenuti illegalmente per simulare l’identità dell’interessato». Inoltre, con la quinta questione non si chiede alla Corte di interpretare una specifica disposizione del RGPD.

14. Conformemente a una giurisprudenza costante della Corte, le questioni relative all’interpretazione del diritto dell’Unione proposte dal giudice nazionale godono di una presunzione di rilevanza. Il rigetto, da parte della Corte, di tali domande è possibile soltanto qualora appaia in modo manifesto che l’interpretazione del diritto dell’Unione richiesta non ha alcun rapporto con l’effettività o l’oggetto del procedimento principale, qualora la questione sia di tipo ipotetico o, ancora, qualora la Corte non disponga degli elementi di fatto e di diritto necessari per rispondere in modo utile alle questioni che le sono sottoposte (5).

15. L’eccezione di irricevibilità di tutte le questioni pregiudiziali sollevata dalla Scalable Capital si basa sulla sua interpretazione dell’articolo 82 del RGPD, sul diritto al risarcimento e sull’asserita assenza di un danno immateriale. Le questioni pregiudiziali vertono sul diritto degli interessati a un risarcimento ai sensi dell’articolo 82 del RGPD. Accertare l’esistenza di un danno è un presupposto necessario al fine di ottenere siffatto risarcimento (6). L’eccezione di irricevibilità delle domande di pronuncia pregiudiziale proposta dalla Scalable Capital entra quindi nel merito dei problemi da esse sollevati. Per loro natura, argomenti che rientrano nel merito delle questioni sollevate in una domanda di pronuncia pregiudiziale non possono incidere sulla ricevibilità di tale domanda (7).

16. Quanto all’obiezione della Commissione relativa alla ricevibilità della quinta questione, non risulta in modo manifesto che tale questione non abbia alcun rapporto con i ricorsi di cui è investito il giudice del rinvio, né che essa sia di natura ipotetica. Il giudice del rinvio è investito di ricorsi per risarcimento danni ai sensi del RGPD. Le parti non concordano sulla questione se il furto di dati personali corrisponda al furto d’identità di cui al considerando 75 del RGPD, né sulla questione se, affinché si verifichi un furto d’identità, è necessario che «l’autore del reato abbia effettivamente assunto l’identità dell’interessato» (8). Nonostante la brevità delle osservazioni del giudice del rinvio sulla quinta questione, dalle domande di pronuncia pregiudiziale emerge che detta questione è legata alle altre quattro questioni sollevate, concernenti la nozione di danno immateriale e il diritto al risarcimento ai sensi dell’articolo 82 del RGPD.

17. Suggerisco pertanto alla Corte di respingere le varie obiezioni mosse alla ricevibilità delle questioni proposte dall’Amtsgericht München (Tribunale circoscrizionale di Monaco di Baviera).

B. Merito

1. Osservazioni delle parti

18. Secondo SO, il considerando 85 del RGPD opera una chiara distinzione tra il furto d’identità e l’usurpazione d’identità. Il furto d’identità presupporrebbe che l’autore del reato possa fare un uso abusivo dell’identità di una persona, inducendo altre persone in errore quanto a tale identità. Un’usurpazione d’identità potrebbe essere commessa a seguito di un furto d’identità. Ne conseguirebbe che il furto d’identità non richiede un effettivo abuso dell’identità di una persona. La natura e la portata dei dati rubati nel caso di specie consentirebbero di presumere l’esistenza di un furto d’identità, il quale fa sorgere il diritto al risarcimento del danno a tale titolo.

19. La Scalable Capital sostiene che un furto d’identità si verifica quando un soggetto fa un uso abusivo dei dati personali di una persona al fine di «simularne» l’identità. Il furto di determinati dati potrebbe comportare o agevolare un furto d’identità ma non costituirebbe, di per sé, un furto d’identità. Un’interpretazione sistematica del considerando 75 del RGPD deporrebbe a favore di tale approccio, dato che gli altri esempi contenuti in tale disposizione indicano che la possibilità di utilizzare determinati dati personali non costituisce un furto d’identità. L’articolo 82 del RGPD ha lo scopo di garantire il risarcimento dei danni effettivamente subiti dai singoli. Un’interpretazione estensiva della nozione di furto d’identità contrasterebbe con tale obiettivo, poiché consentirebbe di fondare un ricorso per risarcimento danni sulla possibilità astratta che, in futuro, possa verificarsi un danno.

20. L’Irlanda sostiene che il furto d’identità si riferisce a circostanze in cui un soggetto assume effettivamente l’identità della persona i cui dati sono stati sottratti. Affinché si verifichi un furto d’identità non sarebbe quindi sufficiente che una parte sia in possesso di dati identificativi di una persona. Il risarcimento del danno immateriale ai sensi dell’articolo 82 del RGPD dovrebbe, in ogni caso, essere valutato in funzione delle circostanze di ciascun caso concreto.

21. La Commissione osserva che il RGPD non definisce il furto d’identità. I considerando 75 e 85 del RGPD menzionano il furto d’identità come un esempio di trattamento di dati personali che potrebbe cagionare un danno fisico, materiale o immateriale. Secondo la Commissione, il furto d’identità richiamato da tali considerando è l’acquisizione illecita di dati al fine di «simulare l’identità» dell’interessato (9). Per dimostrare un furto d’identità, l’intenzione dell’autore del reato di farsi passare per l’interessato dovrebbe essere dimostrata sulla base di azioni concrete o di atti preparatori. Infatti, poiché secondo una giurisprudenza costante il danno deve essere «reale e certo» (10), il mero possesso di dati identificativi dell’interessato, non accompagnato da azioni dirette a farsi passare per tale persona, non costituisce un furto d’identità.

2. Analisi

22. Con la sua quinta questione, il giudice del rinvio chiede se il mero furto di dati personali sensibili di un interessato (11) ad opera di un autore del reato ignoto costituisca un furto d’identità, e determini quindi il sorgere di un diritto al risarcimento, o se, a tal fine, sia necessario che detto ignoto assuma effettivamente l’identità dell’interessato o compia dei passi a tal fine. Detta questione è proposta nel contesto dell’accertamento del fatto che autori del reato ignoti hanno sottratto alcuni dati personali sensibili di JU e di SO dall’applicazione di trading della Scalable Capital. Sebbene non risulti che si sia verificato un successivo uso (abusivo) dei dati, dato che l’identità degli autori del reato è ignota e che essi non sono stati ancora arrestati, non è possibile escludere, in futuro, siffatto uso (abusivo).

23. L’articolo 82 del RGPD conferma, in termini generali (12), il diritto al risarcimento di ogni interessato che abbia subito un «danno materiale o immateriale» causato da una violazione del RGPD e ripartisce la responsabilità tra il titolare (o i titolari) del trattamento e/o il responsabile (o i responsabili) del trattamento. La suddetta disposizione non individua la natura specifica né la forma di siffatto danno. Il RGPD non rinvia alle normative degli Stati membri al fine di definire il significato e la portata della nozione di «danno immateriale» (13). Tale nozione deve quindi essere trattata come una nozione autonoma del diritto dell’Unione ed essere interpretata in modo uniforme in tutti gli Stati membri (14).

24. Il risarcimento ai sensi dell’articolo 82 del RGPD è dovuto qualora si dimostri una violazione del RGPD, un «danno concretamente subito» e un nesso di causalità tra la violazione e il danno (15). Il RGPD non prevede un regime di responsabilità oggettiva (16). La natura compensativa del regime introdotto dall’articolo 82, paragrafo 1, del RGPD esclude altresì la concessione di un risarcimento punitivo (17). Tale risarcimento deve essere pieno ed effettivo, il che si verifica se esso «consente di compensare integralmente il danno concretamente subito a causa della violazione [del RGPD]» (18). Non è necessario che il danno immateriale subito dall’interessato raggiunga un certo grado di gravità (19). Benché non vi sia una soglia de minimis per quanto attiene al livello del danno immateriale, devono esservi prove chiare e precise del fatto che l’interessato abbia subito tale danno. Un danno potenziale o ipotetico (20) o una mera inquietudine connessa al furto di dati personali dell’interessato non è sufficiente.

25. L’articolo 82, paragrafo 3, del RGPD esonera il titolare del trattamento o il responsabile del trattamento da responsabilità «se dimostra che l’evento dannoso non gli è in alcun modo imputabile». La Corte non ha avuto occasione di esaminare l’articolo 82, paragrafo 3, del RGPD in modo dettagliato. Da un’interpretazione letterale di tale disposizione sembra risultare che qualsiasi negligenza o distrazione (anche in forma di concorso) del titolare o del responsabile del trattamento sia sufficiente a escludere l’applicazione dell’esenzione. Inoltre, l’onere della prova (21) che la suddetta disposizione pone in capo al titolare (o ai titolari) o al responsabile (o ai responsabili) del trattamento al fine di avvalersi di tale esenzione può esigere l’attuazione di misure permanenti volte alla prevenzione di violazioni di dati (22).

26. Il furto dei dati personali di un interessato fa sorgere il diritto al risarcimento del danno immateriale ai sensi dell’articolo 82, paragrafo 1, del RGPD quando le tre condizioni enunciate nella sentenza Österreichische Post (23) sono soddisfatte. Ai sensi del considerando 7 del RGPD, «[è] opportuno che le persone fisiche abbiano il controllo dei dati personali che le riguardano». La circostanza che agli interessati sia «impedito l’esercizio del controllo sui dati personali che li riguardano» (24) o che persone fisiche perdano il «controllo dei dati personali che [le] riguardano» (25) può comportare un danno immateriale. È in tale contesto che il giudice del rinvio chiede se il furto di dati personali costituisca un furto d’identità.

27. Le disposizioni operative del RGPD non menzionano né definiscono il furto d’identità. I considerando 75 e 85 del RGPD si limitano a fare riferimento a «furto o usurpazione d’identità». Il considerando 75 include il «furto o [l’]usurpazione d’identità» nell’elenco non tassativo di esempi (26) dei rischi per l’esercizio, da parte delle persone fisiche, dei loro diritti e delle loro libertà a causa del trattamento dei dati personali che le riguardano. Analogamente, il considerando 85 del RGPD fa riferimento a «furto o usurpazione d’identità» come un esempio (27) di danno derivante dal fatto che una violazione dei dati personali non sia affrontata in modo adeguato e tempestivo (28).

28. Una serie di considerando (29) e di disposizioni (30) di altre normative dell’Unione fa riferimento a termini quali «furto d’identità» (31), «usurpazione d’identità», «frode di identità» e «furto o usurpazione d’identità» (32). Non ho rinvenuto alcuna disposizione del diritto dell’Unione che definisca tali nozioni (33). Il legislatore dell’Unione, dunque, impiega tali termini a fini illustrativi (34).

29. Ciò risulta altresì dall’esame delle differenti versioni linguistiche di tali termini nei considerando 75 e 85 del RGPD. Mentre le versioni in lingua tedesca («Identitätsdiebstahl oder –betrug»), inglese («identity theft or fraud»), estone («identiteedivargust või –pettust»), irlandese («goid aitheantais nó calaois aitheantais»), lituana («būti pavogta ar suklastota tapatybė»), neerlandese («identiteitsdiefstal of –fraude»), polacca («kradzieżą tożsamości lub oszustwem dotyczącym tożsamości»), rumena («furt sau fraudă a identității») e slovacca («krádeži totožnosti alebo podvodu») sono largamente simili, altre versioni linguistiche divergono, in misura differente: versioni in lingua ceca («krádeži či zneužití identity»), francese (»vol ou une usurpation d’identité»), greca («κατάχρηση ή υποκλοπή ταυτότητας»), portoghese («usurpação ou roubo da identidade»), italiana («furto o usurpazione d’identità») e spagnola («usurpación de identidad o fraude»). Le varie versioni linguistiche dei pertinenti considerando del RGPD indicano che i termini furto d’identità, frode d’identità, abuso d’identità, sottrazione d’identità e usurpazione d’identità si sovrappongono e possono essere considerati, almeno in una certa misura, intercambiabili. Ne consegue che i considerando 75 e 85 del RGPD non operano una distinzione chiara tra furto d’identità e usurpazione d’identità, in contrasto con le affermazioni di SO riportate al paragrafo 18 delle presenti conclusioni.

30. I considerando 75 e 85 del RGPD distinguono tra l’esempio della «perdita del controllo» o dell’impedimento all’«esercizio del controllo» su dati personali e l’esempio del «furto o usurpazione d’identità». Di conseguenza, il furto di dati personali (35), di per sé, non costituisce un furto d’identità, anche qualora detto furto possa condurre, in futuro, a un uso (abusivo) dei dati in questione. Il furto d’identità richiede un’azione o un passo aggiuntivo, con conseguenze negative per l’interessato che vadano al di là del furto di dati personali (36). Una persona che sottragga i dati personali di un interessato deve usare tali dati (o abusarne) oppure porre in essere azioni concrete al fine di usarli (o abusarne) per scopi illeciti e senza il consenso dell’interessato (37). Azioni di tal genere implicano, di regola, una frode o un altro tipo di inganno, e sono generalmente poste in essere a scopo di lucro o dell’ottenimento di altri vantaggi, oppure al fine di nuocere all’interessato o alle persone ad esso prossime (38).

31. Da quanto precede risulta che, sebbene il furto di dati personali non costituisca un furto o un’usurpazione d’identità, esso può comportare un danno immateriale e un diritto al risarcimento ai sensi dell’articolo 82, paragrafo 1, del RGPD (39). Può essere più facile fornire la prova di un danno immateriale qualora si accerti che l’interessato è stato vittima di furto o usurpazione d’identità a seguito del furto dei suoi dati personali (40). Il diritto al risarcimento del danno immateriale di cui all’articolo 82, paragrafo 1, del RGPD causato dal furto di dati personali non dipende, tuttavia, dall’esistenza di un furto o di un’usurpazione di identità (41). Il danno immateriale e il diritto al risarcimento ai sensi dell’articolo 82, paragrafo 1, del RGPD devono essere valutati caso per caso, tenendo conto di tutte le circostanze pertinenti.

VI. Conclusione

32. Alla luce delle considerazioni che precedono, suggerisco alla Corte di rispondere alla quinta questione pregiudiziale proposta dall’Amtsgericht München (Tribunale circoscrizionale di Monaco di Baviera, Germania) nei seguenti termini:

l’articolo 82, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati),

deve essere interpretato nel senso che il furto, da parte di un autore del reato ignoto, di dati personali sensibili di un interessato può far sorgere il diritto al risarcimento del danno immateriale qualora sia fornita la prova di una violazione del regolamento generale sulla protezione dei dati, di un danno concretamente subito e di un nesso di causalità tra il danno e tale violazione. Ai fini della concessione del risarcimento non è necessario che l’autore del reato abbia assunto l’identità dell’interessato, e il possesso di dati identificativi dell’interessato non costituisce, di per sé, un furto d’identità.

1 Lingua originale: l’inglese.

2 Il giudice del rinvio non fornisce una qualificazione giuridica precisa delle condotte degli autori del reato ai sensi del diritto nazionale. Il termine «furto» è ampio e può includere l’appropriazione indebita di dati da parte di terzi.

3 Regolamento del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1) (in prosieguo: il «RGPD»).

4 Nelle decisioni di rinvio si dichiara, inoltre che «[i]l deposito titoli veniva gestito da un consulente robot, cosicché (...) risultava impossibile l’individuazione di un profilo di propensione al rischio del ricorrente».

5 V., in tal senso, sentenza del 2 settembre 2021, OTP Jelzálogbank e a. (C‑932/19, EU:C:2021:673, punto 26 e giurisprudenza ivi citata).

6 La Corte ha interpretato l’articolo 82 del RGPD nel senso che l’esistenza di un «danno» che sia stato «subito» costituisce una delle tre condizioni che devono essere soddisfatte ai fini dell’ottenimento di un risarcimento ai sensi di tale disposizione. Una violazione del RGPD non determina, di per sé, un diritto al risarcimento. Sentenza del 4 maggio 2023, Österreichische Post (Danno immateriale inerente al trattamento di dati personali) (C‑300/21, EU:C:2023:370, punti 32 e 42) (in prosieguo: la «sentenza Österreichische Post»).

7 V., per analogia, sentenza del 12 dicembre 2019, Slovenské elektrárne (C‑376/18, EU:C:2019:1068, punto 29).

8 V. il testo della quinta questione del giudice del rinvio.

9 V. Comitato europeo per la protezione dei dati, Linee guida 01/2021 su esempi riguardanti la notifica di una violazione dei dati personali – adottate il 14 dicembre 2021 – versione 2.0, disponibili all’indirizzo https://edpb_guidelines_012021_pdbnotification_adopted_it.pdf (europa.eu) (in prosieguo: le «linee guida del 2021»).

10 Sentenza del 4 aprile 2017, Mediatore/Staelen (C‑337/15 P, EU:C:2017:256, punti da 91 a 95 e da 127 a 131).

11 L’articolo 4, punto 1, del RGPD stabilisce che per «dato personale» s’intende «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale».

12 V. considerando 146 del RGPD.

13 La Corte non ha definito la nozione di «danno immateriale» nel contesto dell’articolo 82 del RGPD. Concordo con l’avvocato generale Pitruzzella sul fatto che l’irritazione o il malessere di una persona dovuto al fatto che i suoi dati sono stati «hackerati» non sia sufficiente. Per ottenere il risarcimento, l’interessato deve dimostrare che il timore di un uso improprio dei suoi dati gli ha causato un «danno emotivo». V. le conclusioni dell’avvocato generale Pitruzzella nella causa Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, paragrafi da 81 a 83).

14 Sentenza Österreichische Post, punto 30.

15 V. articolo 82, paragrafo 2, del RGPD e sentenza Österreichische Post, punti 32 e 50.

16 Sentenza Österreichische Post, punti 33 e 34. V. anche le conclusioni dell’avvocato generale Pitruzzella nella causa Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, paragrafo 61).

17 Sentenza Österreichische Post, punto 58. V. anche le conclusioni dell’avvocato generale Campos Sánchez-Bordona nella causa Österreichische Post (Danno immateriale inerente al trattamento di dati personali) (C‑300/21, EU:C:2022:756, paragrafi da 27 a 55) e dell’avvocato generale Pitruzzella nella causa Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, paragrafo 74).

18 Sentenza Österreichische Post, punto 58.

19 Sentenza Österreichische Post, punti da 31 a 33, 51 e 58). V. anche considerando 146 del RGPD. V., per contro, conclusioni dell’avvocato generale Campos Sánchez-Bordona nella causa Österreichische Post (Danno immateriale inerente al trattamento di dati personali) (C‑300/21, EU:C:2022:756, paragrafo 105) e dell’avvocato generale Pitruzzella nella causa Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, paragrafo 78).

20 V., in tal senso, sentenza Österreichische Post, punto 37.

21 Sembra che, al fine di rientrare nell’ambito di applicazione dell’esenzione, il titolare (o i titolari) e/o il responsabile (o i responsabili) del trattamento debbano fornire una prova negativa.

22 L’avvocato generale Pitruzzella ritiene che, al fine di evitare una responsabilità ai sensi dell’articolo 82 del RGPD, i titolari del trattamento nell’ambito di sistemi di soggetti pubblici o privati titolari di una gran mole di dati personali debbano predisporre misure adeguate a fronteggiare in particolare gli attacchi esterni: v. le sue conclusioni nella causa Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, paragrafi da 65 a 67). Misure proattive di tal genere possono essere onerose e costose. Lo stesso articolo 82 del RGPD impone un dovere di diligenza molto elevato ai titolari e ai responsabili del trattamento.

23 V. punti 32 e 50 di tale sentenza. V. anche paragrafo 24 e nota 6 delle presenti conclusioni.

24 Considerando 75 del RGPD.

25 Considerando 85 del RGPD.

26 Ciò risulta dall’impiego, in tale considerando, dei termini «possono», «suscettibili» e «in particolare».

27 Ciò risulta dall’impiego, in tale considerando, dei termini «può» e «ad esempio». V., per analogia, sentenza del 22 dicembre 2008, Wallentin-Hermann (C‑549/07, EU:C:2008:771, punto 22).

28 L’articolo 4, punto 12, del RGPD definisce la «violazione dei dati personali» come «la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati».

29 I considerando facilitano l’interpretazione e la comprensione della legislazione dell’Unione indicando, in particolare, gli obiettivi da essa perseguiti e il contesto in cui è stata adottata. Essi aiutano a determinare il significato di disposizioni legislative ambigue. I considerando non possono essere utilizzati per interpretare una disposizione contra legem. Sentenza del 19 novembre 1998, Nilsson e a. (C‑162/97, EU:C:1998:554, punto 54).

30 V., ad esempio, articolo 86, lettera e), della decisione 2013/490/UE del Consiglio e della Commissione, del 22 luglio 2013, relativa alla conclusione dell’accordo di stabilizzazione e di associazione tra le Comunità europee e i loro Stati membri, da una parte, e la Repubblica di Serbia, dall’altra (GU 2013, L 278, pag. 14), nonché articolo 2, paragrafo 2, lettera b), articolo 21 e articolo 25 del regolamento (UE) 2019/817 del Parlamento europeo e del Consiglio, del 20 maggio 2019, che istituisce un quadro per l’interoperabilità tra i sistemi di informazione dell’UE nel settore delle frontiere e dei visti e che modifica i regolamenti (CE) n. 767/2008, (UE) n. 2016/399, (UE) 2017/2226, (UE) 2018/1240, (UE) 2018/1726 e (UE) 2018/1861 del Parlamento europeo e del Consiglio e le decisioni 2004/512/CE e 2008/633/GAI del Consiglio (GU 2019, L 135, pag. 27).

31 Nel considerando 14 della direttiva 2013/40/UE del Parlamento europeo e del Consiglio, del 12 agosto 2013, relativa agli attacchi contro i sistemi di informazione e che sostituisce la decisione quadro 2005/222/GAI del Consiglio (GU 2013, L 218, pag. 8) si dichiara che «[a]ltro elemento importante di un approccio integrato alla criminalità informatica è l’istituzione di efficaci misure contro il furto d’identità e altri reati connessi all’identità». Ai sensi del considerando 31 della direttiva (UE) 2019/713 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativa alla lotta contro le frodi e le falsificazioni di mezzi di pagamento diversi dai contanti e che sostituisce la decisione quadro 2001/413/GAI del Consiglio (GU 2019, L 123, pag. 18), «[l]e frodi e le falsificazioni di mezzi di pagamento diversi dai contanti possono avere gravi conseguenze economiche e di altro tipo per chi ne è vittima. Quando tali frodi comportano, ad esempio, il furto d’identità, le conseguenze sono spesso più gravi a causa del danno alla reputazione e del danno professionale, del danno al rating del credito della persona e del grave danno emotivo». Nel considerando 33 di tale direttiva si afferma che «[g]li Stati membri dovrebbero adottare misure di assistenza e sostegno alle vittime che siano ispirate alle misure stabilite da tale direttiva, ma che rispondano in maniera più diretta alle esigenze specifiche delle vittime di una frode legata al furto di identità».

32 I termini «furto o usurpazione d’identità» sono impiegati, senza essere definiti, nei considerando di altre normative dell’Unione. V., ad esempio, considerando 46 del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU 2018, L 295, pag. 39), e considerando 51 e 61 della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU 2016, L 119, pag. 89).

33 L’allegato II del regolamento (UE) 2018/1798 della Commissione, del 21 novembre 2018, che attua il regolamento (CE) n. 808/2004 del Parlamento europeo e del Consiglio relativo alle statistiche comunitarie sulla società dell’informazione per l’anno di riferimento 2019 (GU 2018, L 296, pag. 2), contiene una serie di esempi o riferimenti relativi al furto d’identità. Fra di essi figura il «furto dei dati personali del rispondente al fine di utilizzare le sue generalità, ad esempio per effettuare acquisti a suo nome» come esempio di «furto online di identità».

34 V., di converso, l’articolo 226-4-1 del Code pénal français (codice penale francese) [come modificato dalla loi n°2020-936 du 30 juillet 2020 (legge n. 2020-936, del 30 luglio 2020) – articolo 19], il quale prevede quanto segue: «Il furto dell’identità di un’altra persona o l’uso di uno o più dati di qualsiasi natura che consentano di identificare tale persona al fine di perturbare la sua tranquillità o quella di altre persone oppure di nuocere al suo onore o alla sua reputazione, è punito la pena detentiva di un anno e la multa di EUR 15 000. Le stesse pene si applicano quando il reato è commesso su una rete di comunicazione pubblica online. Quando sono commessi dal coniuge o convivente della vittima o da un partner legato alla vittima da un pacte civil de solidarité (patto civile di solidarietà), tali atti sono puniti con la reclusione di due anni e con una multa di EUR 30 000». L’articolo § 1028A, lettera a), punto 1), del titolo 18 dello U.S. Code (codice degli Stati Uniti d’America) definisce il reato federale statunitense di furto d’identità aggravato. Esso prevede che «chiunque, nel corso della commissione di uno dei delitti gravi elencati alla lettera c) o in relazione ad esso trasferisca, detenga o utilizzi, consapevolmente, senza esservi autorizzato, un mezzo di identificazione di un’altra persona, è punito, oltre che con la pena prevista per tale delitto, a una pena detentiva di 2 anni». V. anche l’articolo § 1028, lettera a), punto 7), del titolo 18 dello U.S. Code (codice degli Stati Uniti d’America), il quale prevede il reato federale statunitense di furto d’identità.

35 E la conseguente perdita del controllo sui dati personali oggetto di furto.

36 Il furto d’identità richiede che l’autore del reato usi i dati dell’interessato in modo fuorviante, ad esempio sostituendosi all’interessato o facendosi passare per l’interessato.

37 In contrasto con le affermazioni di SO riportate al paragrafo 18 delle presenti conclusioni, in assenza di un uso (abusivo) dei dati rubati o dell’adozione di azioni concrete a tal fine, la natura e la portata di tali dati non determinano il sorgere di una presunzione di furto d’identità.

38 Per esempi di furto d’identità, v. Agenzia dell’Unione europea per la cibersicurezza – Furto d’identità – Panorama delle minacce analizzato dall’ENISA – Da gennaio 2019 ad aprile 2020, disponibile all’indirizzo https://www.enisa.europa.eu/publications/report-files/ETL-translations/it/etl2020-identity-theft-ebook-en-it.pdf; sezione 7.1 delle linee guida del 2021, disponibili all’indirizzo: https://edpb_guidelines_012021_pdbnotification_adopted_it.pdf (europa.eu); e Comitato europeo per la protezione dei dati, Linee guida 01/2022 sui diritti dell’interessato – Diritto di accesso – versione 1.0 – adottate il 18 gennaio 2022, punto 105, disponibili [in lingua inglese] all’indirizzo https://edpb.europa.eu/system/files/2022-01/edpb_guidelines_012022_right-of-access_0.pdf.

39 Qualora le tre condizioni descritte al paragrafo 24 delle presenti conclusioni siano soddisfatte.

40 Nelle sue conclusioni nella causa Österreichische Post (Danno immateriale inerente al trattamento di dati personali) (C‑300/21, EU:C:2022:756, paragrafi 98 e 99), l’avvocato generale Campos Sánchez-Bordona ha indicato che gli esempi di rischi o danni di cui ai considerando 75 e 85 del RGPD sembrano essere «significativi» o di «maggiore gravità». Nella pratica, l’esistenza di un furto o di un’usurpazione d’identità agevolerà l’accertamento dell’esistenza di un danno.

41 Ciò discende dal fatto che il «furto o usurpazione d’identità» di cui ai considerando 75 e 85 del RGPD compare accanto ad altri esempi di rischi o danni quali «discriminazioni» «perdite finanziarie» e «pregiudizio alla reputazione».