Language of document : ECLI:EU:C:2023:820

Edizzjoni Provviżorja

KONKLUŻJONIJIET TAL-AVUKAT ĠENERALI

COLLINS

ippreżentati fis‑26 ta’ Ottubru 2023(1)

Kawżi magħquda C182/22 u C189/22

JU (C182/22)

SO (C189/22)

v

Scalable Capital GmbH

(Talba għal deċiżjoni preliminari mressqa mill-Amtsgericht München, (il-Qorti Distrettwali, München, il-Ġermanja))

(Rinviju għal deċiżjoni preliminari – Protezzjoni tal-persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali – Regolament (UE) 2016/679 – Artikolu 82(1) – Dritt għal kumpens għal dannu kkawżat mill-ipproċessar tad-data li jikser dan ir-regolament – Dannu morali – Serq ta’ data – Serq ta’ identità jew frodi)






I.      Introduzzjoni

1.        F’żewġ kawżi prattikament identiċi ppreżentati minn JU kontra Scalable Capital GmbH (iktar ’il quddiem “Scalable Capital”) (Kawża C‑182/22) u SO kontra Scalable Capital (Kawża C‑189/22), ir-rikorrenti talbu kumpens għal dannu morali għall-allegat uġigħ u tbatija kkawżati mill-aġir li l-qorti tar-rinviju tagħmel riferiment għalih bħala serq (2) minn terzi mhux magħrufa tad-data personali tagħhom maħżuna f’applikazzjoni tal-kummerċ ġestita minn Scalable Capital. Sal-lum il-partijiet terzi ma użawx id-data għal għanijiet frawdolenti jew għal xi għan ieħor. L-Amtsgericht München (il-Qorti Distrettwali, München, il-Ġermanja) qiegħda titlob il-gwida tal-Qorti tal-Ġustizzja fir-rigward tal-interpretazzjoni tal-kunċett ta’ dannu morali kif ikkontemplat fl-Artikolu 82 tar-Regolament (UE) 2016/679 (3) u l-kundizzjonijiet li fihom ikun hemm lok li dan id-dannu jiġi kkumpensat. B’mod partikolari, hija tistaqsi jekk is-serq ta’ din id-data jikkostitwixxix “serq ta’ identità” li hemm riferiment għalih fil-premessa 75 tal-GDPR.

II.    Ilkuntest ġuridiku – Iddritt talUnjoni Ewropea

2.        Il-premessa 75 tal-GDPR hija redatta kif ġej:

“Ir-riskji għad-drittijiet u l-libertajiet tal-persuni fiżiċi, bi probabbiltà u gravità li jvarjaw, jistgħu jirriżultaw mill-ipproċessar ta’ data personali li tista’ twassal għal dannu fiżiku, materjali jew mhux materjali, b’mod partikolari fejn l-ipproċessar jista’ jagħti lok għal diskriminazzjoni, serq ta’ identità jew frodi, telf finanzjarju, dannu għar-reputazzjoni, telf ta’ kunfidenzjalità ta’ data personali protetta mis-segretezza professjonali, it-treġġigħ lura mhux awtorizzat tal-psewdonimizzazzjoni, jew kwalunkwe żvantaġġ ekonomiku jew soċjali sinifikanti ieħor; jew fejn is-suġġetti tad-data jistgħu jiġu mċaħħda mid-drittijiet u l-libertajiet tagħhom jew impediti milli jeżerċitaw kontroll fuq id-data personali tagħhom; […]”

3.        Il-premessa 85 tal-GDPR tiddikjara:

“Il-vjolazzjoni ta’ data personali tista’, jekk ma tiġix indirizzata b’mod adegwat u fil-ħin, tirriżulta f’dannu fiżiku, materjali jew mhux materjali lill-persuni fiżiċi bħat-telf ta’ kontroll tad-data personali tagħhom jew limitazzjoni tad-drittijiet tagħhom, diskriminazzjoni, serq tal-identità jew frodi, telf finanzjarju, it-treġġigħ lura mhux awtorizzat tal-psewdonimizzazzjoni, dannu għar-reputazzjoni, telf ta’ kunfidenzjalità tad-data personali protetta mis-segretezza professjonali jew kwalunkwe żvantaġġ ekonomiku jew soċjali ieħor għall-persuna fiżika kkonċernata. […]”

4.        Il-premessa 146 tal-GDPR hija fformulata kif ġej:

“Il-kontrollur jew il-proċessur għandu jikkumpensa għal kwalunkwe dannu li tista’ ssofri persuna b’riżultat ta’ pproċessar li jikser dan ir-Regolament. Il-kontrollur jew il-proċessur għandu jiġi eżentat mir-responsabbiltà jekk iġib provi li huwa mhuwiex responsabbli bl-ebda mod għad-dannu. Il-kunċett ta’ dannu għandu jiġi interpretat b’mod wiesa’ fid-dawl tal-każistika tal-Qorti tal-Ġustizzja b’mod li jissodisfa b’mod sħiħ l-objettivi ta’ dan ir-Regolament. […] Is-suġġetti tad-data għandhom jirċievu kumpens sħiħ u effettiv għad-dannu li jkunu ġarrbu. […]”

5.        Skont l-Artikolu 82 tal-GDPR, intitolat “Dritt għal kumpens u responsabbiltà”:

“1.      Kwalunkwe persuna li tkun ġarrbet xi dannu materjali jew mhux materjali b’riżultat ta’ ksur ta’ dan ir-Regolament għandu jkollha d-dritt li tirċievi kumpens mill-kontrollur jew il-proċessur għad-dannu mġarrab.

2.      Kwalunkwe kontrollur involut fl-ipproċessar għandu jkunu responsabbli għad-dannu kkawżat mill-ipproċessar li jikser dan ir-Regolament. Proċessur għandu jkun responsabbli għad-dannu kkawżat mill-ipproċessar f’każ biss fejn ma jkunx ikkonforma mal-obbligi ta’ dan ir-Regolament diretti b’mod speċifiku lejn il-proċessuri jew fejn ikun aġixxa lil hinn minn jew kontra istruzzjonijiet legali tal-kontrollur.

3.      Kontrollur jew proċessur għandu jkun eżentat mir-responsabbiltà taħt il-paragrafu 2 jekk jagħti prova li bl-ebda mod m’huwa responsabbli għall-avveniment li wassal għad-dannu.

[…]”

III. Ilkawżi prinċipali u ddomandi preliminari

6.        JU u SO fetħu kontijiet tal-investiment fuq applikazzjoni tal-kummerċ ġestita minn Scalable Capital. Sabiex jivverifikaw l-identitajiet tagħhom, kull wieħed minnhom daħħal id-data personali tiegħu fl-applikazzjoni, liema data kienet tinkludi l-ismijiet, id-dati tat-twelid, l-indirizzi tal-posta u dawk tal-posta elettronika u kopji diġitali tal-karti tal-identità tagħhom (4). Hemm qbil unanimu dwar il-fatt li dik id-data insterqet minn delinkwenti mhux magħrufa.

7.        L-Amtsgericht München (il-Qorti Distrettwali, München) tqis li d-data misruqa hija relattivament sensittiva u hija tal-opinjoni li JU u SO huma intitolati għal kumpens skont l-Artikolu 82 tal-GDPR. Ġaladarba tqis li l-ammont tal-kumpens li għandu jingħata lil JU u SO jiddependi fuq l-interpretazzjoni tal-Artikolu 82 tal-GDPR, hija ddeċidiet li tissospendi l-proċeduri quddiemha u li tagħmel lill-Qorti tal-Ġustizzja d-domandi preliminari li ġejjin:

“(1)      L-Artikolu 82 tal-[GDPR] għandu jiġi interpretat fis-sens li d-dritt għal kumpens ma għandux natura ta’ sanzjoni, lanqas fir-rigward tal-kalkolu tal-ammont tiegħu, u b’mod partikolari ma għandux funzjoni dissważiva ġenerali jew speċjali, sa fejn id-dritt għal kumpens għandu biss il-funzjoni li jinkiseb kumpens għad-danni mġarrba u jekk ikun il-każ funzjoni ta’ sodisfazzjoni?

(2.a)      Għall-finijiet tal-evalwazzjoni tad-dritt għal kumpens għad-danni mhux materjali, wieħed għandu jitlaq mill-prinċipju li dan id-dritt għandu wkoll funzjoni ta’ sodisfazzjoni individwali – fis-sens hawnhekk ta’ interess privat tal-persuna li ġarrbet id-danni li tara li l-aġir li kkawża d-danni jiġi ssanzjonat – jew id-dritt għal kumpens għandu biss il-funzjoni li jinkiseb kumpens għad-danni mġarrba?

(2.b.1)      Jekk wieħed għandu jitlaq mill-prinċipju li d-dritt għal kumpens għad-danni mhux materjali għandu l-funzjoni kemm ta’ kumpens kif ukoll ta’ sodisfazzjoni: fl-evalwazzjoni tiegħu għandu jiġi aċċettat li l-funzjoni ta’ kumpens tirbaħ b’mod strutturali fuq il-funzjoni ta’ sodisfazzjoni jew hija minn tal-inqas marbuta magħha fil-forma ta’ regola u ta’ eċċezzjoni? Dan jista’ jwassal sabiex funzjoni ta’ sodisfazzjoni tittieħed inkunsiderazzjoni biss fil-każ ta’ ksur intenzjonat jew ta’ negliġenza gravi?

(2.b.2)      Jekk id-dritt għal kumpens għad-danni mhux materjali ma għandux funzjoni ta’ sodisfazzjoni: fil-kalkolu ta’ dawn id-danni, huwa biss il-ksur intenzjonat jew ta’ negliġenza gravi għall-protezzjoni tad-data li għandu jingħata piż addizzjonali fl-evalwazzjoni tal-fatturi li kkontribwixxew għall-kawża?

(3)      Għall-finijiet tal-interpretazzjoni tad-danni mhux materjali fil-kuntest tal-evalwazzjoni tagħha, għandu jitqies li hemm relazzjoni ta’ ġerarkija strutturali jew, minn tal-inqas, relazzjoni ta’ ġerarkija bejn regola u eċċezzjoni, fis-sens li l-impatt tad-danni li jirriżultaw minn vjolazzjoni tad-data għandu inqas piż mill-impatt tad-danni u tat-tbatija marbuta ma’ danni fuq il-persuna?

(4)      F’sitwazzjoni fejn l-eżistenza ta’ dannu hija preżunta, qorti nazzjonali tista’, fid-dawl tal-assenza ta’ gravità, tiddeċiedi li tordna biss l-għoti ta’ kumpens għad-danni li jkunu materjalment minimi u li jekk ikun il-każ jista’ jitqies biss li huwa kumpens simboliku mill-parti li ġarrbet id-danni jew mill-popolazzjoni b’mod ġenerali?

(5)      Għall-finijiet tal-interpretazzjoni tad-danni mhux materjali fil-kuntest tal-evalwazzjoni tal-konsegwenzi tiegħu, wieħed għandu jitlaq mill-prinċipju li jkun hemm serq ta’ identità fis-sens tal-premessa 75 tar-[GDPR] fil-każ biss li kriminal ikun effettivament assuma l-identità tas-suġġett tad-data, jiġifieri jkun b’xi mod jew ieħor ippreżenta lilu nnifsu bħallikieku kien dan is-suġġett tad-data, jew ikun hemm diġà serq ta’ identità meta l-kriminal ikollu data li tippermettilu jidentifika lis-suġġett tad-data?”

IV.    Ilproċedura quddiem ilQorti Ġenerali

8.        B’deċiżjoni tad‑19 ta’ April 2022, il-President tal-Qorti tal-Ġustizzja għaqqad flimkien il-Kawżi C‑182/22 u C‑189/22 għall-finijiet tal-proċedura bil-miktub u orali kif ukoll għall-finijiet tas-sentenza.

9.        Fl‑1 ta’ Ġunju 2022, il-President tal-Qorti tal-Ġustizzja ċaħad it-talba ta’ Scalable Capital sabiex fil-proċedura preżenti jingħata l-anonimat skont l-Artikolu 95(2) tar-Regoli tal-Proċedura tal-Qorti tal-Ġustizzja.

10.      SO, Scalable Capital, l-Irlanda u l-Kummissjoni Ewropea ppreżentaw osservazzjonijiet bil-miktub.

11.      Fl-ewwel lok ser inwieġeb għall-oġġezzjonijiet li saru b’rabta mal-ammissibbiltà tad-domandi magħmula qabel ma ngħaddi sussegwentement sabiex nipproponi lill-Qorti tal-Ġustizzja, fid-dawl tat-talba tagħha stess, kif għandha tirrispondi għall-ħames domanda.

V.      Evalwazzjoni

A.      Ammissibbiltà

12.      Skont Scalable Capital, it-telf tal-kontroll fuq data personali, mingħajr konsegwenzi ulterjuri għall-individwu kkonċernat, ma jagħtix lok għal dannu morali fis-sens tal-Artikolu 82(1) tal-GDPR. It-test, l-istruttura ġenerali u l-għan tal-Artikolu 82 tal-GDPR ma jappoġġjawx l-eżistenza ta’ preżunzjoni li tali dannu jimmaterjalizza bħala konsegwenza ta’ tali telf tal-kontroll. Għaldaqstant, il-qorti tar-rinviju żbaljat meta assumiet li JU u SO kienu ġarrbu dannu morali. Għaldaqstant, it-talbiet għal deċiżjoni preliminari huma rrilevanti għas-soluzzjoni tal-kawżi quddiem il-qorti tar-rinviju u b’hekk huma inammissibbli.

13.      Il-Kummissjoni tqis li r-rilevanza tal-ħames domanda għas-soluzzjoni tal-kawżi quddiem il-qorti tar-rinviju ma hijiex waħda ċara. Il-qorti tar-rinviju sempliċement tagħmel riferiment għall-interpretazzjonijiet diverġenti tal-partijiet fir-rigward tal-liġi u tosserva li “serq ta’ identità jseħħ biss meta data akkwistata illegalment tintuża għall-għanijiet ta’ falsifikazzjoni tal-identità tal-persuna kkonċernata”. Il-ħames domanda lanqas ma titlob lill-Qorti tal-Ġustizzja tinterpreta dispożizzjoni speċifika tal-GDPR.

14.      Skont il-ġurisprudenza stabbilita tal-Qorti tal-Ġustizzja, domandi li jikkonċernaw l-interpretazzjoni tad-dritt tal-Unjoni li jsiru minn qorti nazzjonali jgawdu minn preżunzjoni ta’ rilevanza. Il-Qorti tal-Ġustizzja tista’ tirrifjuta li tagħti deċiżjoni fuq domandi bħal dawn biss meta jkun essenzjalment ovvju li l-interpretazzjoni mitluba tad-dritt tal-Unjoni ma tkunx relatata mal-fatti attwali tal-kawża prinċipali jew mal-għan tagħha, meta l-problema tkun waħda ipotetika, jew inkella meta l-Qorti tal-Ġustizzja ma jkollhiex għad-dispożizzjoni tagħha l-punti ta’ fatt u ta’ liġi meħtieġa sabiex tirrispondi b’mod utli għall-imsemmija domanda (5).

15.      L-oġġezzjoni ta’ Scalable Capital dwar l-ammissibbiltà tad-domandi kollha magħmula hija msejsa fuq l-interpretazzjoni tagħha tal-Artikolu 82 tal-GDPR, fuq id-dritt għal kumpens u fuq l-allegata assenza ta’ dannu morali. Id-domandi magħmula jikkonċernaw id-dritt tas-suġġetti tad-data għal kumpens skont l-Artikolu 82 tal-GDPR. L-istabbiliment tal-eżistenza ta’ dannu jikkostitwixxi kundizzjoni neċessarja sabiex jinkiseb tali kumpens (6). Għaldaqstant, l-oġġezzjoni ta’ Scalable Capital għall-ammissibbiltà tat-talbiet għal deċiżjoni preliminari tmur kontra l-mertu stess tal-kwistjonijiet imqajma minnha. Min-natura tagħhom, l-argumenti li jikkonċernaw il-mertu tal-kwistjonijiet imqajma fit-talba għal deċiżjoni preliminari ma jistgħux jinċidu fuq l-ammissibbiltà ta’ din it-talba (7).

16.      Fir-rigward tal-oġġezzjoni tal-Kummissjoni għall-ammissibbiltà tal-ħames domanda, ma huwiex ċar jekk dik id-domanda hijiex mingħajr ebda rilevanza għall-kawżi pendenti quddiem il-qorti tar-rinviju jew inkella hijiex ipotetika. Il-qorti tar-rinviju hija adita b’kawżi għal kumpens għad-danni skont il-GDPR. Ma hemmx qbil bejn il-partijiet dwar jekk is-serq ta’ data personali jikkostitwixxix is-serq ta’ identità li jsir riferiment għalih fil-premessa 75 tal-GDPR jew dwar jekk sabiex jitwettaq is-serq ta’ identità “delinkwent iridx ikun effettivament assuma l-identità tal-persuni kkonċernati” (8). Filwaqt li l-osservazzjonijiet tal-qorti tar-rinviju dwar il-ħames domanda tagħha huma fil-qosor, it-talbiet għal deċiżjoni preliminari jirrilevaw li din id-domanda hija marbuta mal-erba’ domandi l-oħra li hija għamlet dwar il-kunċett ta’ dannu morali u d-dritt għal kumpens skont l-Artikolu 82 tal-GDPR.

17.      Għaldaqstant jiena tal-opinjoni li l-Qorti tal-Ġustizzja għandha tiċħad il-varji oġġezzjonijiet li jirrigwardaw l-ammissibbiltà tad-domandi magħmula mill-Amtsgericht München (il-Qorti Distrettwali, München).

B.      Fuq ilmertu

1.      Losservazzjonijiet talpartijiet

18.      Skont SO, il-premessa 85 tal-GDPR tagħmel distinzjoni ċara bejn serq ta’ identità u frodi ta’ identità. Is-serq ta’ identità jippreżumi li d-delinkwent jista’ jagħmel użu ħażin mill-identità ta’ persuna billi jqarraq b’oħrajn fir-rigward ta’ din l-identità. Il-frodi ta’ identità tista’ titwettaq wara s-serq ta’ identità. Minn dan isegwi li s-serq ta’ identità ma jirrikjedix effettivament l-użu ħażin ta’ identità ta’ persuna. In-natura u l-portata tad-data misruqa f’dak il-każ partikolari jagħtu lok għal preżunzjoni tal-okkorrenza ta’ serq ta’ identità, li tiġġenera dritt għal kumpens taħt din l-intestatura.

19.      Scalable Capital targumenta li jkun hemm serq ta’ identità meta persuna tuża b’mod ħażin id-data personali ta’ individwu bil-għan li ‘tiffalsifika’ l-identità ta’ dan l-individwu. Is-serq ta’ ċerta data jista’ jwassal għal jew jiffaċilita s-serq ta’ identità iżda fih innifsu ma jammontax għal serq ta’ identità. Interpretazzjoni sistematika tal-premessa 75 tal-GDPR tappoġġja dan l-approċċ peress li l-eżempji l-oħra f’dik id-dispożizzjoni jindikaw li l-opportunità li jsir użu minn ċerta data personali ma tikkostitwixxix serq ta’ identità. L-għan tal-Artikolu 82 tal-GDPR huwa li jingħata kumpens għad-danni effettivament imġarrba mill-individwi. Interpretazzjoni estensiva tal-kunċett ta’ serq ta’ identità tmur kontra dan l-għan sa fejn tkun tibbaża kawża għad-danni fuq il-possibbiltà astratta li d-dannu jista’ jseħħ fil-futur.

20.      L-Irlanda ssostni li serq ta’ identità jirreferi għal ċirkustanzi li fihom persuna effettivament tassumi l-identità tal-persuna li d-data tagħha tkun ġiet miżapproprijata. Għaldaqstant sabiex ikun hemm serq ta’ identità ma huwiex suffiċjenti li persuna jkollha fil-pussess tagħha data li tidentifika persuna. Fi kwalunkwe każ, il-kumpens għal dannu morali skont l-Artikolu 82 tal-GDPR għandu jiġi evalwat b’riferiment għall-merti ta’ kull każ individwali.

21.      Il-Kummissjoni tosserva li l-GDPR ma jiddefinixxix serq ta’ identità. Il-premessi 75 u 85 tal-GDPR jagħmlu riferiment għal serq ta’ identità bħala eżempju ta’ pproċessar ta’ data personali li hemm probabbiltà li jikkawża dannu fiżiku, materjali jew morali. Skont il-Kummissjoni, is-serq ta’ identità li jsir riferiment għalih f’dawn il-premessi jirreferi għall-akkwist illegali ta’ data bil-għan li tiġi ‘ffalsifikata l-identità’ tal-persuna kkonċernata (9). Sabiex jiġi pprovat serq ta’ identità, jeħtieġ li l-intenzjoni tad-delinkwent li jagħmel tabirruħu li huwa l-persuna kkonċernata tiġi stabbilita b’riferiment għal azzjonijiet konkreti jew atti preparatorji għal dawn tal-aħħar. Ġaladarba li skont ġurisprudenza stabbilita d-dannu għandu jkun “reali u ċert” (10), is-sempliċi pussess ta’ data li tidentifika l-persuna kkonċernata, mingħajr it-teħid ta’ passi sabiex id-delinkwent jagħmel tabirruħu li huwa dik il-persuna, ma jikkostitwixxix serq ta’ identità.

2.      Analiżi

22.      Bil-ħames domanda tagħha, il-qorti tar-rinviju tfittex taċċerta ruħha dwar jekk is-sempliċi serq ta’ data personali ta’ suġġett tad-data (11) minn delinkwent mhux magħruf jikkostitwixxix serq ta’ identità, u b’hekk jagħti lok għal dritt għal kumpens, jew jekk sabiex dan iseħħ huwiex neċessarju li d-delinkwent effettivament jassumi l-identità tas-suġġett tad-data jew jieħu passi sabiex jagħmel dan. Din id-domanda qiegħda ssir fil-kuntest tal-konstatazzjoni li delinkwenti mhux magħrufa serqu ċerta data personali sensittiva ta’ JU u ta’ SO mill-applikazzjoni tal-kummerċ ta’ Scalable Capital. Minkejja li ma jidhirx li sar użu (ħażin) ulterjuri mid-data, peress li l-identità tad-delinkwenti ma hijiex magħrufa u għadhom ma ġewx arrestati, ma huwiex possibbli li jiġi eskluż tali użu (ħażin) fil-futur.

23.      L-Artikolu 82 tal-GDPR jikkonferma f’termini wiesgħa (12) id-dritt ta’ kull suġġett tad-data li jkun ġarrab “dannu materjali jew mhux materjali” minħabba ksur tal-GDPR għal kumpens u jqassam ir-responsabbiltà bejn il-kontrollur(i) u/jew il-proċessur(i). Din id-dispożizzjoni la tidentifika n-natura speċifika, u lanqas il-forma, ta’ tali dannu. Il-GDPR ma jagħmel ebda riferiment għal-liġijiet tal-Istati Membri sabiex jiddefinixxi t-tifsira u l-għan tat-terminu “dannu mhux materjali” (13). Għaldaqstant, dan it-terminu għandu jiġi ttrattat bħala kunċett awtonomu tad-dritt tal-Unjoni u jiġi interpretat b’mod uniformi fl-Istati Membri kollha (14).

24.      Il-kumpens skont l-Artikolu 82 tal-GDPR isir pagabbli fil-mument li tiġi prodotta prova ta’ ksur tal-GDPR, ta’ “dannu effettivament imġarrab” u ta’ rabta kawżali bejn dan il-ksur u dan id-dannu (15). Il-GDPR ma jipprovdix għal sistema ta’ responsabbiltà mingħajr ħtija (16). In-natura kumpensatorja tas-sistema kkontemplata fl-Artikolu 82(1) tal-GDPR teskludi wkoll l-għoti ta’ danni punittivi (17). Tali kumpens għandu jkun sħiħ u effettiv, u għaldaqstant jirrikjedi “li jiġi kkumpensat b’mod sħiħ id-dannu konkretament imġarrab minħabba l-ksur [tal-GDPR]” (18). Id-dannu morali mġarrab mis-suġġett tad-data ma għandux għalfejn jilħaq ċertu livell ta’ gravità (19). Filwaqt li ma jeżisti l-ebda livell de minimis fir-rigward tal-livell ta’ dannu morali, għandhom xorta waħda jiġu prodotti provi ċari u speċifiċi li juru li s-suġġett tad-data ġarrab tali dannu. Ma jkunx suffiċjenti dannu potenzjali jew ipotetiku (20), jew sempliċement preokkupazzjoni marbuta mas-serq ta’ data personali tal-persuna kkonċernata.

25.      L-Artikolu 82(3) tal-GDPR jeżenta kontrollur jew proċessur mir-responsabbiltà “jekk jagħti prova li bl-ebda mod m’huwa responsabbli għall-avveniment li wassal għad-dannu”. Il-Qorti tal-Ġustizzja għad ma kellhiex l-opportunità teżamina l-Artikolu 82(3) tal-GDPR fid-dettall. Interpretazzjoni letterali ta’ din id-dispożizzjoni jidher li tipprevedi li kull negliġenza (kontributorja) jew nuqqas min-naħa tal-kontrollur jew tal-proċessur ikun suffiċjenti sabiex jeskludi l-applikazzjoni tal-eżenzjoni. Barra minn hekk, l-oneru tal-prova (21) impost minn din id-dispożizzjoni fuq il-kontrollur(i) jew il-proċessur(i) li jkunu jixtiequ jipprevalixxu ruħhom mill-eżenzjoni jista’ jkun jirrikjedi l-implimentazzjoni ta’ miżuri kontinwi intiżi li jipprevjenu l-ksur tad-data (22).

26.      Is-serq ta’ data personali ta’ suġġett tad-data jagħti lok għal kumpens għal dannu morali skont l-Artikolu 82(1) tal-GDPR f’każ li jkunu ssodisfatti t-tliet kundizzjonijiet stabbiliti fis-sentenza Österreichische Post (23). Skont il-premessa 7 tal-GDPR, “il-persuni fiżiċi għandu jkollhom il-kontroll tad-data personali tagħhom”. Il-fatt li s-suġġetti tad-data jiġu “impediti milli jeżerċitaw kontroll fuq id-data personali tagħhom” (24) jew li persuni fiżiċi jitilfu l-“kontroll fuq id-data personali tagħhom” (25) jista’ jagħti lok għal dannu morali. Huwa f’dan il-kuntest li l-qorti tar-rinviju tistaqsi dwar jekk is-serq ta’ data personali jikkostitwixxix serq ta’ identità.

27.      Id-dispożizzjonijiet operattivi tal-GDPR la jagħmlu riferiment għal u lanqas jiddefinixxu serq ta’ identità. Il-premessi 75 u 85 tal-GDPR sempliċement jirreferu għal “serq ta’ identità jew frodi”. Il-premessa 75 tipprevedi “serq ta’ identità jew frodi” bħala waħda mil-lista mhux eżawrjenti ta’ eżempji (26)ta’ riskju għall-eżerċizzju minn persuni fiżiċi tad-drittijiet u l-libertajiet tagħhom minħabba l-ipproċessar tad-data personali tagħhom. B’mod simili, il-premessa 85 tal-GDPR tagħmel riferiment għal “serq ta’ identità jew frodi” bħala eżempju (27)ta’ dannu minħabba nuqqas li ksur ta’ data personali jiġi indirizzat b’mod adegwat u f’waqtu (28).

28.      Numru ta’ premessi (29) u dispożizzjonijiet (30) f’leġiżlazzjoni oħra tal-Unjoni jagħmlu riferiment għal termini bħal “serq ta’ identità” (31), “frodi ta’ identità” u “serq ta’ identità jew frodi” (32). Ma sibt l-ebda dispożizzjoni tal-leġiżlazzjoni tal-Unjoni li tiddefinixxi dawn it-termini (33). Għaldaqstant, il-leġiżlatur tal-Unjoni jagħmel riferiment għal dawn it-termini għal għanijiet illustrattivi (34).

29.      Dan huwa evidenti wkoll minn analiżi tal-verżjonijiet lingwistiċi differenti ta’ dawn it-termini fil-premessi 75 u 85 tal-GDPR. Filwaqt li l-verżjoni lingwistika Ġermaniża (Identitätsdiebstahl oder -betrug), Ingliża (identity theft or fraud), Estona (identiteedivargust või -pettust), Irlandiża (goid aitheantais nó calaois aitheantais), Litwana (būti pavogta ar suklastota tapatybė), Olandiża (identiteitsdiefstal of -fraude), Pollakka (kradzieżą tożsamości lub oszustwem dotyczącym tożsamości), Rumena (furt sau fraudă a identității) u Slovakka (krádeži totožnosti alebo podvodu) huma simili ħafna, verżjonijiet lingwistiċi oħrajn ivarjaw minnhom fi gradi differenti: il-verżjoni Ċeka (krádeži či zneužití identità), Franċiża (vol ou une usurpation d’identité), Griega (κατάχρηση ή υποκλοπή ταυτότητας), Portugiża (usurpação ou roubo da identidade), Taljana (furto o usurpazione d’identità) u dik Spanjola (usurpación de identidad o fraude). Id-diversi verżjonijiet lingwistiċi tal-premessi rilevanti tal-GDPR jindikaw li hemm sovrapożizzjoni bejn it-terminu serq ta’ identità, frodi ta’ identità, abbuż ta identità, użu ħażin ta’ identità, miżapproprjazzjoni ta’ identità u użurpazzjoni ta’ identità u li jistgħu jitqiesu, tal-inqas sa ċertu punt, bħala interkambjabbli. Minn dan isegwi li għall-kuntrarju tal-argumenti ta’ SO riprodotti fil-punt 18 tal-konklużjonijiet preżenti, il-premessi 75 u 85 tal-GDPR ma jagħmlux distinzjoni ċara bejn serq ta’ identità u frodi ta’ identità.

30.      Il-premessi 75 u 85 tal-GDPR jiddistingwu bejn l-eżempju ta’ “telf ta’ kontroll” jew ta’ preklużjoni milli “jeżerċitaw kontroll” fuq id-data personali tagħhom u l-eżempju ta’ “serq ta’ identità jew frodi”. Konsegwentement, is-serq ta’ data personali (35) waħdu ma jikkostitwixxix serq ta’ identità anki jekk dan is-serq jista’ jwassal għal użu (ħażin) futur ta’ din id-data. Is-serq ta’ identità jirrikjedi azzjoni jew pass addizzjonali b’effetti detrimentali għas-suġġett tad-data li jmorru lil hinn mis-serq ta’ data personali (36). Persuna li tisraq id-data personali ta’ suġġett tad-data trid tuża (ħażin) jew tieħu passi konkreti sabiex tużaha (ħażin) għal għanijiet illegali mingħajr il-kunsens ta’ dik il-persuna (37). Tali azzjoni tipikament tinvolvi frodi jew xi forma oħra ta’ qerq u ġeneralment titwettaq għal gwadann finanzjarju jew ta’ xi xorta oħra jew sabiex issir ħsara lis-suġġett tad-data jew lil dawk ta’ madwaru (38).

31.      Minn dan li ntqal isegwi li filwaqt li s-serq ta’ data personali ma jikkostitwixxix serq ta’ identità jew frodi, dan is-serq jista’ jagħti lok għal dannu morali u għal dritt għal kumpens skont l-Artikolu 82(1) tal-GDPR (39). Il-prova ta’ dannu morali tista’ tkun iktar faċli li tiġi prodotta meta jinstab li s-suġġett tad-data kien il-vittma ta’ serq ta’ identità jew frodi b’riżultat tas-serq tad-data personali tiegħu jew tagħha (40). Madankollu, id-dritt għal kumpens għal dannu morali skont l-Artikolu 82(1) tal-GDPR għas-serq ta’ data personali ma jiddependix fuq l-eżistenza ta’ serq ta’ identità jew frodi (41). Id-dannu morali u d-dritt għal kumpens skont l-Artikolu 82(1) tal-GDPR għandu jiġi evalwat fuq bażi ta’ każ b’każ, filwaqt li jittieħdu inkunsiderazzjoni ċ-ċirkustanzi rilevanti kollha.

VI.    Konklużjoni

32.      Fid-dawl ta’ dawn il-kunsiderazzjonijiet, nipproponi li l-Qorti tal-Ġustizzja tirrispondi għall-ħames domanda magħmula mill-Amtsgericht München, (il-Qorti Distrettwali, München, il-Ġermanja) kif ġej:

L-Artikolu 82(1) tar-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill tas‑27 ta’ April 2016 dwar il-protezzjoni tal-persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali u dwar il-moviment liberu ta’ tali data, u li jħassar id-Direttiva 95/46/KE (Regolament Ġenerali dwar il-Protezzjoni tad-Data)

għandu jiġi interpretat fis-sens li s-serq minn delinkwent mhux magħruf tad-data personali sensittiva ta’ suġġett tad-data jista’ jagħti lok għal dritt għal kumpens għal dannu morali ġaladarba tiġi prodotta l-prova ta’ ksur tar-Regolament Ġenerali dwar il-Protezzjoni tad-Data, ta’ dannu attwali mġarrab u ta’ rabta kawżali bejn id-dannu u dan il-ksur. L-għoti ta’ tali kumpens ma jeħtieġx li d-delinkwent jassumi l-identità tas-suġġett tad-data, u l-pussess ta’ data li tidentifika s-suġġett tad-data lanqas fih innifsu ma jikkostitwixxi serq ta’ identità.

1      Lingwa oriġinali: l-Ingliż.

2      Il-qorti tar-rinviju ma tipprovdix klassifikazzjoni legali speċifika għall-azzjonijiet tad-delinkwent skont id-dritt nazzjonali. Il-kelma “serq” hija wiesa’ u tista’ tkopri l-miżapproprjazzjoni ta’ data minn terzi persuni.

3      Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill tas‑27 ta’ April 2016 dwar il-protezzjoni tal-persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali u dwar il-moviment liberu ta’ tali data, u li jħassar id-Direttiva 95/46/KE (Regolament Ġenerali dwar il-Protezzjoni tad-Data) (ĠU 2016, L 119, p. 1, rettifika fil-ĠU 2018, L 127, p. 2) (iktar ’il quddiem il-“GDPR”).

4      Id-digrieti tar-rinviju jiddikjaraw ukoll li “peress li l-kont tal-investiment kien ġestit minn konsulent robo[tiku], l-attitudni tal-konvenuta fir-rigward tar-riskju ma kinitx apparenti mill-kummerċ”.

5      Ara, f’dan is-sens, is-sentenza tat‑2 ta’ Settembru 2021, OTP Jelzálogbank et (C‑932/19, EU:C:2021:673, punt 26 u l-ġurisprudenza ċċitata).

6      Il-Qorti tal-Ġustizzja interpretat l-Artikolu 82 tal-GDPR fis-sens li l-eżistenza ta’ “dannu” li ġie “mġarrab” tikkostitwixxi waħda mill-kundizzjonijiet li għandhom ikunu ssodisfatti sabiex jinkiseb kumpens skont dan l-istess artikolu. Ksur tal-GDPR, fih innifsu, ma jagħtix lok għad-dritt għal kumpens. Sentenza tal‑4 ta’ Mejju 2023, Österreichische Post (Dannu morali marbut mal-ipproċessar ta’ data personali)  (C‑300/21, EU:C:2023:370, punti 34 u 42) (iktar ’il quddiem is-“sentenza fil-kawża Österreichische Post”).

7      Ara, b’analoġija, is-sentenza tat‑12 ta’ Diċembru 2019, Slovenské elektrárne  (C‑376/18, EU:C:2019:1068, punt 29).

8      Ara t-test tal-ħames domanda tal-qorti tar-rinviju.

9      Ara l-Bord Ewropew għall-Protezzjoni tad-Data, Linji Gwida 01/2021 dwar eżempji li jirrigwardaw in-notifika ta’ ksur ta’ data personali – Adottati fl14 ta’ Diċembru 2021 – Verżjoni 2.0, disponibbli fuq https://edpb_guidelines_012021_pdbnotification_adopted_en.pdf (europa.eu) (iktar ’il quddiem il-“Linji Gwida tal2021”).

10      Sentenza tal‑4 ta’ April 2017, Ombudsman vs Staelen (C‑337/15 P, EU:C:2017:256, punti 91 sa 95 u 127 sa 131).

11      Il-punt 1 tal-Artikolu 4 tal-GDPR jipprovdi li “‘data personali’ tfisser kwalunkwe informazzjoni relatata ma’ persuna fiżika identifikata jew identifikabbli (‘suġġett tad-data’); persuna fiżika identifikabbli hija persuna li tista’ tiġi identifikata, direttament jew indirettament, b’mod partikolari b’referenza għal mezz ta’ identifikazzjoni bħal isem, numru ta’ identifikazzjoni, data ta’ lokalizzazzjoni, identifikatur online jew għal fattur wieħed jew aktar speċifiċi għall-identità fiżika, fiżjoloġika, ġenetika, mentali, ekonomika, kulturali jew soċjali ta’ dik il-persuna fiżika”.

12      Ara l-premessa 146 tal-GDPR.

13      Il-Qorti tal-Ġustizzja ma ddefinixxietx il-kunċett ta’ “dannu mhux materjali” fil-kuntest tal-Artikolu 82 tal-GDPR. Jiena naqbel mal-Avukat Ġenerali Pitruzzella li l-irritazzjoni jew id-dispjaċir għall-fatt li data tal-individwu tkun ġiet “hacked” ma humiex suffiċjenti. Sabiex it-talba tintlaqa’ is-suġġett tad-data għandu juri li l-biża’ mill-użu ħażin tad-data tiegħu jew tagħha kkawżalu jew ikkawżalha “dannu emozzjonali”. Ara l-Konklużjonijiet tal-Avukat Ġenerali Pitruzzella fil-kawża Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, punti 81 sa 83).

14      Sentenza fil-kawża Österreichische Post, punt 30.

15      Ara l-Artikolu 82(2) tal-GDPR u s-sentenza fil-kawża Österreichische Post, punti 32 u 50.

16      Sentenza fil-kawża Österreichische Post, punti 33 u 34. Ara wkoll il-Konklużjonijiet tal-Avukat Ġenerali Pitruzzella fil-kawża Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, punt 61).

17      Sentenza fil-kawża Österreichische Post, punt 58. Ara wkoll il-Konklużjonijiet tal-Avukat Ġenerali Campos Sánchez-Bordona fil-kawża Österreichische Post (Dannu morali marbut mal-ipproċessar ta’ data personali)  (C‑300/21, EU:C:2023:370) (C‑300/21, EU:C:2022:353, punti 27 sa 55) u tal-Avukat Ġenerali Pitruzzella fil-kawża Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, punt 74).

18      Sentenza fil-kawża Österreichische Post, punt 58.

19      Sentenza fil-kawża Österreichische Post, punti 31 sa 33, 51 u 58. Ara wkoll il-premessa 146 tal-GDPR. Ara, għall-kuntrarju, il-konklużjonijiet tal-Avukat Ġenerali Campos Sánchez-Bordona fil-kawża Österreichische Post (Dannu morali marbut mal-ipproċessar ta’ data personali) (C‑300/21, EU:C:2022:756, punt 105) u tal-Avukat Ġenerali Pitruzzella fil-kawża Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, punt 78).

20      Ara, f’dan is-sens, is-sentenza fil-kawża Österreichische Post, punt 37.

21      Jidher li sabiex jaqa’/jaqgħu taħt il-kamp ta’ applikazzjoni tal-eżenzjoni, il-kontrollur(i) u/jew il-proċessur(i) jistgħu jkunu meħtieġa jipproduċu prova negattiva.

22      L-Avukat Ġenerali Pitruzzella jqis li, sabiex jevitaw ir-responsabbiltà skont l-Artikolu 82 tal-GDPR, il-kontrolluri tas-sistemi tal-entitajiet pubbliċi jew privati li jkollhom fil-pussess tagħhom ammont kbir ta’ data personali għandhom jimplimentaw miżuri adegwati sabiex jilqgħu b’mod partikolari għal attakki esterni: ara l-konklużjonijiet tiegħu fil-kawża Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, punti 65 sa 67). Tali miżuri proattivi jistgħu jkunu onerużi u jiswew il-flus. L-Artikolu 82 tal-GDPR innifsu jimponi diliġenza għolja ħafna fuq il-kontrolluri u l-proċessuri.

23      Ara l-punti 32 u 50 ta’ dik is-sentenza. Ara wkoll il-punt 24 u n-nota ta’ qiegħ il-paġna 6 ta’ dawn il-konklużjonijiet.

24      Premessa 75 tal-GDPR.

25      Premessa 85 tal-GDPR.

26      Dan jirriżulta b’mod ċar mill-użu tal-kliem “jistgħu”, “jista’” u “b’mod partikolari” fil-premessa.

27      Dan jirriżulta b’mod ċar mill-użu tal-kliem “tista’” u “bħa[l]” f’din il-premessa. Ara, b’analoġija, is-sentenza tat‑22 ta’ Diċembru 2008, Wallentin-Hermann (C‑549/07, EU:C:2008:771, punt 22).

28      Il-punt 12 tal-Artikolu 4 tal-GDPR jiddefinixxi “ksur ta’ data personali” bħala “ksur tas-sigurtà li jwassal għal qerda aċċidentali jew illegali, telf, bidliet, żvelar mhux awtorizzat ta’, jew aċċess għal, data personali trażmessa, maħżuna jew ipproċessata b’xi mod ieħor”.

29      Il-premessi jiffaċilitaw l-interpretazzjoni u l-komprensjoni tal-leġiżlazzzjoni tal-Unjoni billi jindikaw, inter alia, l-għanijiet segwiti minnha u l-kuntest li fih tkun ġiet adottata. Dawn jgħinu sabiex jiġi aċċertat is-sens ta’ dispożizzjoni leġiżlattiva ambigwa. Il-premessi ma jistgħux jintużaw sabiex dispożizzjoni tiġi interpretata contra legem. Sentenza tad‑19 ta’ November 1998, Nilsson et (C‑162/97, EU:C:1998:554, punt 54).

30      Ara, pereżempju, l-Artikolu 86(e) tad-Deċiżjoni 2013/490/UE tal-Kunsill u tal-Kummissjoni tat‑22 ta’ Lulju 2013 dwar il-konklużjoni tal-Ftehim ta’ Stabbilizzazzjoni u Assoċjazzjoni bejn il-Komunitajiet Ewropej u l-Istati Membri tagħhom, minn naħa waħda, u r-Repubblika tas-Serbja, min-naħa l-oħra (ĠU 2013, L 278, p. 14), u l-Artikolu 2(2)(b) u l-Artikoli 21 u 25 tar-Regolament (UE) 2019/817 tal-Parlament Ewropew u tal-Kunsill tal‑20 ta’ Mejju 2019 dwar l-istabbiliment ta’ qafas għall-interoperabbiltà bejn sistemi ta’ informazzjoni tal-UE fil-qasam ta’ fruntieri u viża u li jemenda r-Regolamenti (KE) Nru 767/2008, (UE) 2016/399, (UE) 2017/2226, (UE) 2018/1240, (UE) 2018/1726 u (UE) 2018/1861 tal-Parlament Ewropew u tal-Kunsill u d-Deċiżjonijiet tal-Kunsill 2004/512/KE u 2008/633/ĠAI (ĠU 2019, L 135, p. 27).

31      Il-premessa 14 tad-Direttiva 2013/40/UE tal-Parlament Ewropew u tal-Kunsill tat‑12 ta’ Awwissu 2013 dwar attakki kontra s-sistemi tal-informazzjoni u li tissostitwixxi d-Deċiżjoni Qafas tal-Kunsill 2005/222/ĠAI (ĠU 2013, L 218, p. 8) tipprovdi li “[l-]istabbiliment ta’ miżuri effettivi kontra s-serq tal-identità u reati oħrajn relatati mal-identità jikkostitwixxi element importanti ieħor ta’ approċċ integrat kontra ċ-ċiberkriminalità”. Skont il-premessa 31 tad-Direttiva (UE) 2019/713 tal-Parlament Ewropew u tal-Kunsill tas‑17 ta’ April 2019 dwar il-ġlieda kontra l-frodi u l-falsifikazzjoni ta’ mezzi ta’ pagament mhux bi flus kontanti u li tissostitwixxi d-Deċiżjoni Qafas tal-Kunsill 2001/413/ĠAI (ĠU 2019, L 123, p. 18), “frodi u l-falsifikazzjoni ta’ mezzi ta’ pagament mhux bi flus kontanti jistgħu jirriżultaw f’konsegwenzi ekonomiċi u mhux ekonomiċi serji għall-vittmi tagħhom. Fejn tali frodi tinvolvi, pereżempju, is-serq tal-identità, il-konsegwenzi tagħha huma ħafna drabi aggravati minħabba l-ħsara li ssir lir-reputazzjoni u lill-professjoni, il-ħsara li ssir lill-klassifikazzjoni kreditizzja ta’ individwu u ħsara emozzjonali serja”. Il-premessa 33 ta’ din id-direttiva tiddikjara li “[l]-Istati Membri jenħtieġ li jadottaw miżuri ta’ assistenza u appoġġ għal tali vittmi, li jibnu fuq il-miżuri rikjesti minn dik d-Direttiva iżda li jirrispondu b’mod aktar dirett lill-ħtiġijiet speċifiċi tal-vittmi ta’ frodi relatata mas-serq tal-identità”.

32      It-termini “serq ta’ identità jew frodi” jintużaw, mingħajr definizzjoni, fil-premessi ta’ leġiżlazzjoni oħra tal-Unjoni. Ara, pereżempju, il-premessa 46 tar-Regolament (EU) 2018/1725 tal-Parlament Ewropew u tal-Kunsill tat‑23 ta’ Ottubru 2018 dwar il-protezzjoni ta’ persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali mill-istituzzjonijiet, korpi, uffiċċji u aġenziji tal-Unjoni u dwar il-moviment liberu ta’ tali data, u li jħassar ir-Regolament (KE) Nru 45/2001 u d-Deċiżjoni Nru 1247/2002/KE (ĠU 2018, L 295, p 39) u l-premessi 51 u 61 tad-Direttiva (UE) 2016/680 tal-Parlament Ewropew u tal-Kunsill tas‑27 ta’ April 2016 dwar il-protezzjoni ta’ persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali mill-awtoritajiet kompetenti għall-finijiet tal-prevenzjoni, l-investigazzjoni, is-sejbien jew il-prosekuzzjoni ta’ reati kriminali jew l-eżekuzzjoni ta’ pieni kriminali, u dwar il-moviment liberu ta’ tali data, u li tħassar id-Deċiżjoni Qafas tal-Kunsill 2008/977/ĠAI (ĠU 2016, L 119, p. 89, rettifika fil-ĠU 2018, L 127, p. 6).

33      L-Anness II tar-Regolament tal-Kummissjoni (UE) 2018/1798 tal‑21 ta’ Novembru 2018 li jimplimenta r-Regolament (KE) Nru 808/2004 tal-Parlament Ewropew u tal-Kunsill dwar l-istatistiċi tal-Komunità dwar is-soċjetà tal-informazzjoni għas-sena ta’ referenza 2019 (ĠU L 296, 22.11.2018, p. 2) jinkludi fih numru ta’ eżempji ta’ jew riferimenti għal serq ta’ identità. Dawn jinkludu “xi ħadd jisraq dejta personali tal-persuna u jagħmel tabirruħu li hu din il-persuna biex, pereżempju jixtri b’isimha” bħala eżempju ta’ “serq tal-identità online”.

34      Ara, għall-kuntrarju, l-Artikolu 226-4-1 tal-Code pénal français (il-Kodiċi Kriminali Franċiż) (emendat bil-LOI n°2020-936 du 30 juillet 2020 (il-Liġi Nru 2020‑936 tat‑30 ta’ Lulju 2020) – l-Artikolu 19), li jipprovdi: “Is-serq tal-identità ta’ persuna oħra jew l-użu minn element wieħed jew iktar tad-data ta’ kwalunkwe tip b’tali mod li dik il-persuna tkun tista’ tiġi identifikata sabiex jiġi ddisturbat is-serħan tal-moħħ ta’ dik il-persuna jew dak ta’ oħrajn, jew sabiex issir ħsara lill-unur jew lir-reputazzjoni tagħha, huwa punibbli bi priġunerija ta’ sena u b’multa ta’ EUR 15 000. L-istess pieni japplikaw meta r-reat jitwettaq fuq network ta’ komunikazzjoni pubbliku diġitali. Meta r-reat jitwettaq mill-konjuġi jew mill-koabitant/a tal-vittma, jew mis-sieħeb jew sieħba tal-vittma marbuta b’pacte civil de solidarité (sħubija ċivili), tali atti huma punibbli b’sentejn priġunerija u b’multa ta’ EUR 30 000”. L-Artikolu 1028A(a)(1) tat-Titolu 18 tal-Kodiċi tal-Istati Uniti, jistabbilixxi r-reat federali tal-Istati Uniti ta’ serq aggravat ta’ identità. Dan jipprovdi li “kull min, matul jew b’rabta ma’ kull reat elenkat fis-subtaqsima (c), intenzjonament jittrasferixxi, iżomm fil-pussess tiegħu, jew juża, mingħajr ebda awtorità legali, mezz ta’ identifikazzjoni ta’ persuna oħra għandu, minbarra li jkun suġġett għall-piena prevista għal tali reat, jingħata wkoll sentenza ta’ priġunerija ta’ sentejn”. Ara wkoll l-Artikolu 1028A(a)(7) tat-Titolu 18 tal-Kodiċi tal-Istati Uniti, li jistabbilixxi r-reat federali tal-Istati Uniti ta’ serq ta’ identità.

35      U r-riżultanti telf ta’ kontroll fuq id-data personali misruqa.

36      Is-serq ta’ identità jirrikjedi li d-delinkwent jirrappreżenta b’mod ħażin is-suġġett tad-data billi, pereżempju, jippersonifika s-suġġett tad-data jew billi jagħmel tabirruħu li huwa s-suġġett tad-data.

37      Għall-kuntrarju tal-argumenti ta’ SO kif riprodotti fil-punt 18 tal-konklużjonijiet preżenti, fl-assenza ta’ kwalunkwe użu (ħażin) tad-data misruqa jew ta’ teħid ta’ passi konkreti għal dan l-għan, in-natura u l-portata ta’ din id-data ma jagħtux lok għal preżunzjoni ta’ serq ta’ identità.

38      Għal eżempji ta’ serq ta’ identità, ara l-Aġenzija tal-Unjoni Ewropea għaċ-Ċibersigurtà, Serq ta’ identità – Xenarju ta’ theddida ENISA – Minn Jannar 2019 sa April 2020, disponibbli fuq https://www.enisa.europa.eu/publications/enisa-threat-landscape-2020-identity-theft; Taqsima 7.1 tal-Linji Gwida tal2021, disponibbli fuq https://edpb_guidelines_012021_pdbnotification_adopted_en.pdf(europa.eu),  u l-Bord Ewropew għall-Protezzjoni tad-Data, Linji Gwida 01/2022 dwar id-drittjiet tas-suġġetti tad-data – Dritt ta’ aċċess – Verżjoni 1.0 – Adottati fit18 ta’ Jannar 2022, punt 105, disponibbli fuq https://edpb.europa.eu/system/files/2022-01/edpb_guidelines_012022_right-of-access_0.pdf.

39      Fejn ikunu ssodisfatti t-tliet kundizzjonijiet deskritti fil-punt 24 tal-konklużjonijiet preżenti.

40      Fil-konklużjonijiet tiegħu fil-kawża Österreichische Post (Dannu morali marbut mal-ipproċessar ta’ data personali) (C‑300/21, EU:C:2022:756, punti 98 u 99), l-Avukat Ġenerali Campos Sánchez-Bordona indika li l-eżempji ta’ riskju jew dannu fil-premessi 75 u 85 tal-GDPR jistgħu jkunu “sinjifikattivi” jew ta’ “natura iktar serja”. Fil-prattika, il-preżenza ta’ serq ta’ identità jew frodi tkun ta’ għajnuna fl-istabbiliment tal-eżistenza ta’ dannu.

41      Dan jirriżulta mill-fatt li “serq ta’ identità jew frodi” fil-premessi 75 u 85 tal-GDPR jidhru fost eżempji oħra ta’ riskju jew ta’ dannu bħal “diskriminazzjoni”, “telf finanzjarju” u “dannu għar-reputazzjoni”.