Edizzjoni Provviżorja
KONKLUŻJONIJIET TAL-AVUKAT ĠENERALI
COLLINS
ippreżentati fis‑26 ta’ Ottubru 2023(1)
Kawżi magħquda C‑182/22 u C‑189/22
JU (C‑182/22)
SO (C‑189/22)
v
Scalable Capital GmbH
(Talba għal deċiżjoni preliminari mressqa mill-Amtsgericht München, (il-Qorti Distrettwali, München, il-Ġermanja))
(Rinviju għal deċiżjoni preliminari – Protezzjoni tal-persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali – Regolament (UE) 2016/679 – Artikolu 82(1) – Dritt għal kumpens għal dannu kkawżat mill-ipproċessar tad-data li jikser dan ir-regolament – Dannu morali – Serq ta’ data – Serq ta’ identità jew frodi)
I. Introduzzjoni
1. F’żewġ kawżi prattikament identiċi ppreżentati minn JU kontra Scalable Capital GmbH (iktar ’il quddiem “Scalable Capital”) (Kawża C‑182/22) u SO kontra Scalable Capital (Kawża C‑189/22), ir-rikorrenti talbu kumpens għal dannu morali għall-allegat uġigħ u tbatija kkawżati mill-aġir li l-qorti tar-rinviju tagħmel riferiment għalih bħala serq (2) minn terzi mhux magħrufa tad-data personali tagħhom maħżuna f’applikazzjoni tal-kummerċ ġestita minn Scalable Capital. Sal-lum il-partijiet terzi ma użawx id-data għal għanijiet frawdolenti jew għal xi għan ieħor. L-Amtsgericht München (il-Qorti Distrettwali, München, il-Ġermanja) qiegħda titlob il-gwida tal-Qorti tal-Ġustizzja fir-rigward tal-interpretazzjoni tal-kunċett ta’ dannu morali kif ikkontemplat fl-Artikolu 82 tar-Regolament (UE) 2016/679 (3) u l-kundizzjonijiet li fihom ikun hemm lok li dan id-dannu jiġi kkumpensat. B’mod partikolari, hija tistaqsi jekk is-serq ta’ din id-data jikkostitwixxix “serq ta’ identità” li hemm riferiment għalih fil-premessa 75 tal-GDPR.
II. Il‑kuntest ġuridiku – Id‑dritt tal‑Unjoni Ewropea
2. Il-premessa 75 tal-GDPR hija redatta kif ġej:
“Ir-riskji għad-drittijiet u l-libertajiet tal-persuni fiżiċi, bi probabbiltà u gravità li jvarjaw, jistgħu jirriżultaw mill-ipproċessar ta’ data personali li tista’ twassal għal dannu fiżiku, materjali jew mhux materjali, b’mod partikolari fejn l-ipproċessar jista’ jagħti lok għal diskriminazzjoni, serq ta’ identità jew frodi, telf finanzjarju, dannu għar-reputazzjoni, telf ta’ kunfidenzjalità ta’ data personali protetta mis-segretezza professjonali, it-treġġigħ lura mhux awtorizzat tal-psewdonimizzazzjoni, jew kwalunkwe żvantaġġ ekonomiku jew soċjali sinifikanti ieħor; jew fejn is-suġġetti tad-data jistgħu jiġu mċaħħda mid-drittijiet u l-libertajiet tagħhom jew impediti milli jeżerċitaw kontroll fuq id-data personali tagħhom; […]”
3. Il-premessa 85 tal-GDPR tiddikjara:
“Il-vjolazzjoni ta’ data personali tista’, jekk ma tiġix indirizzata b’mod adegwat u fil-ħin, tirriżulta f’dannu fiżiku, materjali jew mhux materjali lill-persuni fiżiċi bħat-telf ta’ kontroll tad-data personali tagħhom jew limitazzjoni tad-drittijiet tagħhom, diskriminazzjoni, serq tal-identità jew frodi, telf finanzjarju, it-treġġigħ lura mhux awtorizzat tal-psewdonimizzazzjoni, dannu għar-reputazzjoni, telf ta’ kunfidenzjalità tad-data personali protetta mis-segretezza professjonali jew kwalunkwe żvantaġġ ekonomiku jew soċjali ieħor għall-persuna fiżika kkonċernata. […]”
4. Il-premessa 146 tal-GDPR hija fformulata kif ġej:
“Il-kontrollur jew il-proċessur għandu jikkumpensa għal kwalunkwe dannu li tista’ ssofri persuna b’riżultat ta’ pproċessar li jikser dan ir-Regolament. Il-kontrollur jew il-proċessur għandu jiġi eżentat mir-responsabbiltà jekk iġib provi li huwa mhuwiex responsabbli bl-ebda mod għad-dannu. Il-kunċett ta’ dannu għandu jiġi interpretat b’mod wiesa’ fid-dawl tal-każistika tal-Qorti tal-Ġustizzja b’mod li jissodisfa b’mod sħiħ l-objettivi ta’ dan ir-Regolament. […] Is-suġġetti tad-data għandhom jirċievu kumpens sħiħ u effettiv għad-dannu li jkunu ġarrbu. […]”
5. Skont l-Artikolu 82 tal-GDPR, intitolat “Dritt għal kumpens u responsabbiltà”:
“1. Kwalunkwe persuna li tkun ġarrbet xi dannu materjali jew mhux materjali b’riżultat ta’ ksur ta’ dan ir-Regolament għandu jkollha d-dritt li tirċievi kumpens mill-kontrollur jew il-proċessur għad-dannu mġarrab.
2. Kwalunkwe kontrollur involut fl-ipproċessar għandu jkunu responsabbli għad-dannu kkawżat mill-ipproċessar li jikser dan ir-Regolament. Proċessur għandu jkun responsabbli għad-dannu kkawżat mill-ipproċessar f’każ biss fejn ma jkunx ikkonforma mal-obbligi ta’ dan ir-Regolament diretti b’mod speċifiku lejn il-proċessuri jew fejn ikun aġixxa lil hinn minn jew kontra istruzzjonijiet legali tal-kontrollur.
3. Kontrollur jew proċessur għandu jkun eżentat mir-responsabbiltà taħt il-paragrafu 2 jekk jagħti prova li bl-ebda mod m’huwa responsabbli għall-avveniment li wassal għad-dannu.
[…]”
III. Il‑kawżi prinċipali u d‑domandi preliminari
6. JU u SO fetħu kontijiet tal-investiment fuq applikazzjoni tal-kummerċ ġestita minn Scalable Capital. Sabiex jivverifikaw l-identitajiet tagħhom, kull wieħed minnhom daħħal id-data personali tiegħu fl-applikazzjoni, liema data kienet tinkludi l-ismijiet, id-dati tat-twelid, l-indirizzi tal-posta u dawk tal-posta elettronika u kopji diġitali tal-karti tal-identità tagħhom (4). Hemm qbil unanimu dwar il-fatt li dik id-data insterqet minn delinkwenti mhux magħrufa.
7. L-Amtsgericht München (il-Qorti Distrettwali, München) tqis li d-data misruqa hija relattivament sensittiva u hija tal-opinjoni li JU u SO huma intitolati għal kumpens skont l-Artikolu 82 tal-GDPR. Ġaladarba tqis li l-ammont tal-kumpens li għandu jingħata lil JU u SO jiddependi fuq l-interpretazzjoni tal-Artikolu 82 tal-GDPR, hija ddeċidiet li tissospendi l-proċeduri quddiemha u li tagħmel lill-Qorti tal-Ġustizzja d-domandi preliminari li ġejjin:
“(1) L-Artikolu 82 tal-[GDPR] għandu jiġi interpretat fis-sens li d-dritt għal kumpens ma għandux natura ta’ sanzjoni, lanqas fir-rigward tal-kalkolu tal-ammont tiegħu, u b’mod partikolari ma għandux funzjoni dissważiva ġenerali jew speċjali, sa fejn id-dritt għal kumpens għandu biss il-funzjoni li jinkiseb kumpens għad-danni mġarrba u jekk ikun il-każ funzjoni ta’ sodisfazzjoni?
(2.a) Għall-finijiet tal-evalwazzjoni tad-dritt għal kumpens għad-danni mhux materjali, wieħed għandu jitlaq mill-prinċipju li dan id-dritt għandu wkoll funzjoni ta’ sodisfazzjoni individwali – fis-sens hawnhekk ta’ interess privat tal-persuna li ġarrbet id-danni li tara li l-aġir li kkawża d-danni jiġi ssanzjonat – jew id-dritt għal kumpens għandu biss il-funzjoni li jinkiseb kumpens għad-danni mġarrba?
(2.b.1) Jekk wieħed għandu jitlaq mill-prinċipju li d-dritt għal kumpens għad-danni mhux materjali għandu l-funzjoni kemm ta’ kumpens kif ukoll ta’ sodisfazzjoni: fl-evalwazzjoni tiegħu għandu jiġi aċċettat li l-funzjoni ta’ kumpens tirbaħ b’mod strutturali fuq il-funzjoni ta’ sodisfazzjoni jew hija minn tal-inqas marbuta magħha fil-forma ta’ regola u ta’ eċċezzjoni? Dan jista’ jwassal sabiex funzjoni ta’ sodisfazzjoni tittieħed inkunsiderazzjoni biss fil-każ ta’ ksur intenzjonat jew ta’ negliġenza gravi?
(2.b.2) Jekk id-dritt għal kumpens għad-danni mhux materjali ma għandux funzjoni ta’ sodisfazzjoni: fil-kalkolu ta’ dawn id-danni, huwa biss il-ksur intenzjonat jew ta’ negliġenza gravi għall-protezzjoni tad-data li għandu jingħata piż addizzjonali fl-evalwazzjoni tal-fatturi li kkontribwixxew għall-kawża?
(3) Għall-finijiet tal-interpretazzjoni tad-danni mhux materjali fil-kuntest tal-evalwazzjoni tagħha, għandu jitqies li hemm relazzjoni ta’ ġerarkija strutturali jew, minn tal-inqas, relazzjoni ta’ ġerarkija bejn regola u eċċezzjoni, fis-sens li l-impatt tad-danni li jirriżultaw minn vjolazzjoni tad-data għandu inqas piż mill-impatt tad-danni u tat-tbatija marbuta ma’ danni fuq il-persuna?
(4) F’sitwazzjoni fejn l-eżistenza ta’ dannu hija preżunta, qorti nazzjonali tista’, fid-dawl tal-assenza ta’ gravità, tiddeċiedi li tordna biss l-għoti ta’ kumpens għad-danni li jkunu materjalment minimi u li jekk ikun il-każ jista’ jitqies biss li huwa kumpens simboliku mill-parti li ġarrbet id-danni jew mill-popolazzjoni b’mod ġenerali?
(5) Għall-finijiet tal-interpretazzjoni tad-danni mhux materjali fil-kuntest tal-evalwazzjoni tal-konsegwenzi tiegħu, wieħed għandu jitlaq mill-prinċipju li jkun hemm serq ta’ identità fis-sens tal-premessa 75 tar-[GDPR] fil-każ biss li kriminal ikun effettivament assuma l-identità tas-suġġett tad-data, jiġifieri jkun b’xi mod jew ieħor ippreżenta lilu nnifsu bħallikieku kien dan is-suġġett tad-data, jew ikun hemm diġà serq ta’ identità meta l-kriminal ikollu data li tippermettilu jidentifika lis-suġġett tad-data?”
IV. Il‑proċedura quddiem il‑Qorti Ġenerali
8. B’deċiżjoni tad‑19 ta’ April 2022, il-President tal-Qorti tal-Ġustizzja għaqqad flimkien il-Kawżi C‑182/22 u C‑189/22 għall-finijiet tal-proċedura bil-miktub u orali kif ukoll għall-finijiet tas-sentenza.
9. Fl‑1 ta’ Ġunju 2022, il-President tal-Qorti tal-Ġustizzja ċaħad it-talba ta’ Scalable Capital sabiex fil-proċedura preżenti jingħata l-anonimat skont l-Artikolu 95(2) tar-Regoli tal-Proċedura tal-Qorti tal-Ġustizzja.
10. SO, Scalable Capital, l-Irlanda u l-Kummissjoni Ewropea ppreżentaw osservazzjonijiet bil-miktub.
11. Fl-ewwel lok ser inwieġeb għall-oġġezzjonijiet li saru b’rabta mal-ammissibbiltà tad-domandi magħmula qabel ma ngħaddi sussegwentement sabiex nipproponi lill-Qorti tal-Ġustizzja, fid-dawl tat-talba tagħha stess, kif għandha tirrispondi għall-ħames domanda.
V. Evalwazzjoni
A. Ammissibbiltà
12. Skont Scalable Capital, it-telf tal-kontroll fuq data personali, mingħajr konsegwenzi ulterjuri għall-individwu kkonċernat, ma jagħtix lok għal dannu morali fis-sens tal-Artikolu 82(1) tal-GDPR. It-test, l-istruttura ġenerali u l-għan tal-Artikolu 82 tal-GDPR ma jappoġġjawx l-eżistenza ta’ preżunzjoni li tali dannu jimmaterjalizza bħala konsegwenza ta’ tali telf tal-kontroll. Għaldaqstant, il-qorti tar-rinviju żbaljat meta assumiet li JU u SO kienu ġarrbu dannu morali. Għaldaqstant, it-talbiet għal deċiżjoni preliminari huma rrilevanti għas-soluzzjoni tal-kawżi quddiem il-qorti tar-rinviju u b’hekk huma inammissibbli.
13. Il-Kummissjoni tqis li r-rilevanza tal-ħames domanda għas-soluzzjoni tal-kawżi quddiem il-qorti tar-rinviju ma hijiex waħda ċara. Il-qorti tar-rinviju sempliċement tagħmel riferiment għall-interpretazzjonijiet diverġenti tal-partijiet fir-rigward tal-liġi u tosserva li “serq ta’ identità jseħħ biss meta data akkwistata illegalment tintuża għall-għanijiet ta’ falsifikazzjoni tal-identità tal-persuna kkonċernata”. Il-ħames domanda lanqas ma titlob lill-Qorti tal-Ġustizzja tinterpreta dispożizzjoni speċifika tal-GDPR.
14. Skont il-ġurisprudenza stabbilita tal-Qorti tal-Ġustizzja, domandi li jikkonċernaw l-interpretazzjoni tad-dritt tal-Unjoni li jsiru minn qorti nazzjonali jgawdu minn preżunzjoni ta’ rilevanza. Il-Qorti tal-Ġustizzja tista’ tirrifjuta li tagħti deċiżjoni fuq domandi bħal dawn biss meta jkun essenzjalment ovvju li l-interpretazzjoni mitluba tad-dritt tal-Unjoni ma tkunx relatata mal-fatti attwali tal-kawża prinċipali jew mal-għan tagħha, meta l-problema tkun waħda ipotetika, jew inkella meta l-Qorti tal-Ġustizzja ma jkollhiex għad-dispożizzjoni tagħha l-punti ta’ fatt u ta’ liġi meħtieġa sabiex tirrispondi b’mod utli għall-imsemmija domanda (5).
15. L-oġġezzjoni ta’ Scalable Capital dwar l-ammissibbiltà tad-domandi kollha magħmula hija msejsa fuq l-interpretazzjoni tagħha tal-Artikolu 82 tal-GDPR, fuq id-dritt għal kumpens u fuq l-allegata assenza ta’ dannu morali. Id-domandi magħmula jikkonċernaw id-dritt tas-suġġetti tad-data għal kumpens skont l-Artikolu 82 tal-GDPR. L-istabbiliment tal-eżistenza ta’ dannu jikkostitwixxi kundizzjoni neċessarja sabiex jinkiseb tali kumpens (6). Għaldaqstant, l-oġġezzjoni ta’ Scalable Capital għall-ammissibbiltà tat-talbiet għal deċiżjoni preliminari tmur kontra l-mertu stess tal-kwistjonijiet imqajma minnha. Min-natura tagħhom, l-argumenti li jikkonċernaw il-mertu tal-kwistjonijiet imqajma fit-talba għal deċiżjoni preliminari ma jistgħux jinċidu fuq l-ammissibbiltà ta’ din it-talba (7).
16. Fir-rigward tal-oġġezzjoni tal-Kummissjoni għall-ammissibbiltà tal-ħames domanda, ma huwiex ċar jekk dik id-domanda hijiex mingħajr ebda rilevanza għall-kawżi pendenti quddiem il-qorti tar-rinviju jew inkella hijiex ipotetika. Il-qorti tar-rinviju hija adita b’kawżi għal kumpens għad-danni skont il-GDPR. Ma hemmx qbil bejn il-partijiet dwar jekk is-serq ta’ data personali jikkostitwixxix is-serq ta’ identità li jsir riferiment għalih fil-premessa 75 tal-GDPR jew dwar jekk sabiex jitwettaq is-serq ta’ identità “delinkwent iridx ikun effettivament assuma l-identità tal-persuni kkonċernati” (8). Filwaqt li l-osservazzjonijiet tal-qorti tar-rinviju dwar il-ħames domanda tagħha huma fil-qosor, it-talbiet għal deċiżjoni preliminari jirrilevaw li din id-domanda hija marbuta mal-erba’ domandi l-oħra li hija għamlet dwar il-kunċett ta’ dannu morali u d-dritt għal kumpens skont l-Artikolu 82 tal-GDPR.
17. Għaldaqstant jiena tal-opinjoni li l-Qorti tal-Ġustizzja għandha tiċħad il-varji oġġezzjonijiet li jirrigwardaw l-ammissibbiltà tad-domandi magħmula mill-Amtsgericht München (il-Qorti Distrettwali, München).
B. Fuq il‑mertu
1. L‑osservazzjonijiet tal‑partijiet
18. Skont SO, il-premessa 85 tal-GDPR tagħmel distinzjoni ċara bejn serq ta’ identità u frodi ta’ identità. Is-serq ta’ identità jippreżumi li d-delinkwent jista’ jagħmel użu ħażin mill-identità ta’ persuna billi jqarraq b’oħrajn fir-rigward ta’ din l-identità. Il-frodi ta’ identità tista’ titwettaq wara s-serq ta’ identità. Minn dan isegwi li s-serq ta’ identità ma jirrikjedix effettivament l-użu ħażin ta’ identità ta’ persuna. In-natura u l-portata tad-data misruqa f’dak il-każ partikolari jagħtu lok għal preżunzjoni tal-okkorrenza ta’ serq ta’ identità, li tiġġenera dritt għal kumpens taħt din l-intestatura.
19. Scalable Capital targumenta li jkun hemm serq ta’ identità meta persuna tuża b’mod ħażin id-data personali ta’ individwu bil-għan li ‘tiffalsifika’ l-identità ta’ dan l-individwu. Is-serq ta’ ċerta data jista’ jwassal għal jew jiffaċilita s-serq ta’ identità iżda fih innifsu ma jammontax għal serq ta’ identità. Interpretazzjoni sistematika tal-premessa 75 tal-GDPR tappoġġja dan l-approċċ peress li l-eżempji l-oħra f’dik id-dispożizzjoni jindikaw li l-opportunità li jsir użu minn ċerta data personali ma tikkostitwixxix serq ta’ identità. L-għan tal-Artikolu 82 tal-GDPR huwa li jingħata kumpens għad-danni effettivament imġarrba mill-individwi. Interpretazzjoni estensiva tal-kunċett ta’ serq ta’ identità tmur kontra dan l-għan sa fejn tkun tibbaża kawża għad-danni fuq il-possibbiltà astratta li d-dannu jista’ jseħħ fil-futur.
20. L-Irlanda ssostni li serq ta’ identità jirreferi għal ċirkustanzi li fihom persuna effettivament tassumi l-identità tal-persuna li d-data tagħha tkun ġiet miżapproprijata. Għaldaqstant sabiex ikun hemm serq ta’ identità ma huwiex suffiċjenti li persuna jkollha fil-pussess tagħha data li tidentifika persuna. Fi kwalunkwe każ, il-kumpens għal dannu morali skont l-Artikolu 82 tal-GDPR għandu jiġi evalwat b’riferiment għall-merti ta’ kull każ individwali.
21. Il-Kummissjoni tosserva li l-GDPR ma jiddefinixxix serq ta’ identità. Il-premessi 75 u 85 tal-GDPR jagħmlu riferiment għal serq ta’ identità bħala eżempju ta’ pproċessar ta’ data personali li hemm probabbiltà li jikkawża dannu fiżiku, materjali jew morali. Skont il-Kummissjoni, is-serq ta’ identità li jsir riferiment għalih f’dawn il-premessi jirreferi għall-akkwist illegali ta’ data bil-għan li tiġi ‘ffalsifikata l-identità’ tal-persuna kkonċernata (9). Sabiex jiġi pprovat serq ta’ identità, jeħtieġ li l-intenzjoni tad-delinkwent li jagħmel tabirruħu li huwa l-persuna kkonċernata tiġi stabbilita b’riferiment għal azzjonijiet konkreti jew atti preparatorji għal dawn tal-aħħar. Ġaladarba li skont ġurisprudenza stabbilita d-dannu għandu jkun “reali u ċert” (10), is-sempliċi pussess ta’ data li tidentifika l-persuna kkonċernata, mingħajr it-teħid ta’ passi sabiex id-delinkwent jagħmel tabirruħu li huwa dik il-persuna, ma jikkostitwixxix serq ta’ identità.
2. Analiżi
22. Bil-ħames domanda tagħha, il-qorti tar-rinviju tfittex taċċerta ruħha dwar jekk is-sempliċi serq ta’ data personali ta’ suġġett tad-data (11) minn delinkwent mhux magħruf jikkostitwixxix serq ta’ identità, u b’hekk jagħti lok għal dritt għal kumpens, jew jekk sabiex dan iseħħ huwiex neċessarju li d-delinkwent effettivament jassumi l-identità tas-suġġett tad-data jew jieħu passi sabiex jagħmel dan. Din id-domanda qiegħda ssir fil-kuntest tal-konstatazzjoni li delinkwenti mhux magħrufa serqu ċerta data personali sensittiva ta’ JU u ta’ SO mill-applikazzjoni tal-kummerċ ta’ Scalable Capital. Minkejja li ma jidhirx li sar użu (ħażin) ulterjuri mid-data, peress li l-identità tad-delinkwenti ma hijiex magħrufa u għadhom ma ġewx arrestati, ma huwiex possibbli li jiġi eskluż tali użu (ħażin) fil-futur.
23. L-Artikolu 82 tal-GDPR jikkonferma f’termini wiesgħa (12) id-dritt ta’ kull suġġett tad-data li jkun ġarrab “dannu materjali jew mhux materjali” minħabba ksur tal-GDPR għal kumpens u jqassam ir-responsabbiltà bejn il-kontrollur(i) u/jew il-proċessur(i). Din id-dispożizzjoni la tidentifika n-natura speċifika, u lanqas il-forma, ta’ tali dannu. Il-GDPR ma jagħmel ebda riferiment għal-liġijiet tal-Istati Membri sabiex jiddefinixxi t-tifsira u l-għan tat-terminu “dannu mhux materjali” (13). Għaldaqstant, dan it-terminu għandu jiġi ttrattat bħala kunċett awtonomu tad-dritt tal-Unjoni u jiġi interpretat b’mod uniformi fl-Istati Membri kollha (14).
24. Il-kumpens skont l-Artikolu 82 tal-GDPR isir pagabbli fil-mument li tiġi prodotta prova ta’ ksur tal-GDPR, ta’ “dannu effettivament imġarrab” u ta’ rabta kawżali bejn dan il-ksur u dan id-dannu (15). Il-GDPR ma jipprovdix għal sistema ta’ responsabbiltà mingħajr ħtija (16). In-natura kumpensatorja tas-sistema kkontemplata fl-Artikolu 82(1) tal-GDPR teskludi wkoll l-għoti ta’ danni punittivi (17). Tali kumpens għandu jkun sħiħ u effettiv, u għaldaqstant jirrikjedi “li jiġi kkumpensat b’mod sħiħ id-dannu konkretament imġarrab minħabba l-ksur [tal-GDPR]” (18). Id-dannu morali mġarrab mis-suġġett tad-data ma għandux għalfejn jilħaq ċertu livell ta’ gravità (19). Filwaqt li ma jeżisti l-ebda livell de minimis fir-rigward tal-livell ta’ dannu morali, għandhom xorta waħda jiġu prodotti provi ċari u speċifiċi li juru li s-suġġett tad-data ġarrab tali dannu. Ma jkunx suffiċjenti dannu potenzjali jew ipotetiku (20), jew sempliċement preokkupazzjoni marbuta mas-serq ta’ data personali tal-persuna kkonċernata.
25. L-Artikolu 82(3) tal-GDPR jeżenta kontrollur jew proċessur mir-responsabbiltà “jekk jagħti prova li bl-ebda mod m’huwa responsabbli għall-avveniment li wassal għad-dannu”. Il-Qorti tal-Ġustizzja għad ma kellhiex l-opportunità teżamina l-Artikolu 82(3) tal-GDPR fid-dettall. Interpretazzjoni letterali ta’ din id-dispożizzjoni jidher li tipprevedi li kull negliġenza (kontributorja) jew nuqqas min-naħa tal-kontrollur jew tal-proċessur ikun suffiċjenti sabiex jeskludi l-applikazzjoni tal-eżenzjoni. Barra minn hekk, l-oneru tal-prova (21) impost minn din id-dispożizzjoni fuq il-kontrollur(i) jew il-proċessur(i) li jkunu jixtiequ jipprevalixxu ruħhom mill-eżenzjoni jista’ jkun jirrikjedi l-implimentazzjoni ta’ miżuri kontinwi intiżi li jipprevjenu l-ksur tad-data (22).
26. Is-serq ta’ data personali ta’ suġġett tad-data jagħti lok għal kumpens għal dannu morali skont l-Artikolu 82(1) tal-GDPR f’każ li jkunu ssodisfatti t-tliet kundizzjonijiet stabbiliti fis-sentenza Österreichische Post (23). Skont il-premessa 7 tal-GDPR, “il-persuni fiżiċi għandu jkollhom il-kontroll tad-data personali tagħhom”. Il-fatt li s-suġġetti tad-data jiġu “impediti milli jeżerċitaw kontroll fuq id-data personali tagħhom” (24) jew li persuni fiżiċi jitilfu l-“kontroll fuq id-data personali tagħhom” (25) jista’ jagħti lok għal dannu morali. Huwa f’dan il-kuntest li l-qorti tar-rinviju tistaqsi dwar jekk is-serq ta’ data personali jikkostitwixxix serq ta’ identità.
27. Id-dispożizzjonijiet operattivi tal-GDPR la jagħmlu riferiment għal u lanqas jiddefinixxu serq ta’ identità. Il-premessi 75 u 85 tal-GDPR sempliċement jirreferu għal “serq ta’ identità jew frodi”. Il-premessa 75 tipprevedi “serq ta’ identità jew frodi” bħala waħda mil-lista mhux eżawrjenti ta’ eżempji (26)ta’ riskju għall-eżerċizzju minn persuni fiżiċi tad-drittijiet u l-libertajiet tagħhom minħabba l-ipproċessar tad-data personali tagħhom. B’mod simili, il-premessa 85 tal-GDPR tagħmel riferiment għal “serq ta’ identità jew frodi” bħala eżempju (27)ta’ dannu minħabba nuqqas li ksur ta’ data personali jiġi indirizzat b’mod adegwat u f’waqtu (28).
28. Numru ta’ premessi (29) u dispożizzjonijiet (30) f’leġiżlazzjoni oħra tal-Unjoni jagħmlu riferiment għal termini bħal “serq ta’ identità” (31), “frodi ta’ identità” u “serq ta’ identità jew frodi” (32). Ma sibt l-ebda dispożizzjoni tal-leġiżlazzjoni tal-Unjoni li tiddefinixxi dawn it-termini (33). Għaldaqstant, il-leġiżlatur tal-Unjoni jagħmel riferiment għal dawn it-termini għal għanijiet illustrattivi (34).
29. Dan huwa evidenti wkoll minn analiżi tal-verżjonijiet lingwistiċi differenti ta’ dawn it-termini fil-premessi 75 u 85 tal-GDPR. Filwaqt li l-verżjoni lingwistika Ġermaniża (Identitätsdiebstahl oder -betrug), Ingliża (identity theft or fraud), Estona (identiteedivargust või -pettust), Irlandiża (goid aitheantais nó calaois aitheantais), Litwana (būti pavogta ar suklastota tapatybė), Olandiża (identiteitsdiefstal of -fraude), Pollakka (kradzieżą tożsamości lub oszustwem dotyczącym tożsamości), Rumena (furt sau fraudă a identității) u Slovakka (krádeži totožnosti alebo podvodu) huma simili ħafna, verżjonijiet lingwistiċi oħrajn ivarjaw minnhom fi gradi differenti: il-verżjoni Ċeka (krádeži či zneužití identità), Franċiża (vol ou une usurpation d’identité), Griega (κατάχρηση ή υποκλοπή ταυτότητας), Portugiża (usurpação ou roubo da identidade), Taljana (furto o usurpazione d’identità) u dik Spanjola (usurpación de identidad o fraude). Id-diversi verżjonijiet lingwistiċi tal-premessi rilevanti tal-GDPR jindikaw li hemm sovrapożizzjoni bejn it-terminu serq ta’ identità, frodi ta’ identità, abbuż ta identità, użu ħażin ta’ identità, miżapproprjazzjoni ta’ identità u użurpazzjoni ta’ identità u li jistgħu jitqiesu, tal-inqas sa ċertu punt, bħala interkambjabbli. Minn dan isegwi li għall-kuntrarju tal-argumenti ta’ SO riprodotti fil-punt 18 tal-konklużjonijiet preżenti, il-premessi 75 u 85 tal-GDPR ma jagħmlux distinzjoni ċara bejn serq ta’ identità u frodi ta’ identità.
30. Il-premessi 75 u 85 tal-GDPR jiddistingwu bejn l-eżempju ta’ “telf ta’ kontroll” jew ta’ preklużjoni milli “jeżerċitaw kontroll” fuq id-data personali tagħhom u l-eżempju ta’ “serq ta’ identità jew frodi”. Konsegwentement, is-serq ta’ data personali (35) waħdu ma jikkostitwixxix serq ta’ identità anki jekk dan is-serq jista’ jwassal għal użu (ħażin) futur ta’ din id-data. Is-serq ta’ identità jirrikjedi azzjoni jew pass addizzjonali b’effetti detrimentali għas-suġġett tad-data li jmorru lil hinn mis-serq ta’ data personali (36). Persuna li tisraq id-data personali ta’ suġġett tad-data trid tuża (ħażin) jew tieħu passi konkreti sabiex tużaha (ħażin) għal għanijiet illegali mingħajr il-kunsens ta’ dik il-persuna (37). Tali azzjoni tipikament tinvolvi frodi jew xi forma oħra ta’ qerq u ġeneralment titwettaq għal gwadann finanzjarju jew ta’ xi xorta oħra jew sabiex issir ħsara lis-suġġett tad-data jew lil dawk ta’ madwaru (38).
31. Minn dan li ntqal isegwi li filwaqt li s-serq ta’ data personali ma jikkostitwixxix serq ta’ identità jew frodi, dan is-serq jista’ jagħti lok għal dannu morali u għal dritt għal kumpens skont l-Artikolu 82(1) tal-GDPR (39). Il-prova ta’ dannu morali tista’ tkun iktar faċli li tiġi prodotta meta jinstab li s-suġġett tad-data kien il-vittma ta’ serq ta’ identità jew frodi b’riżultat tas-serq tad-data personali tiegħu jew tagħha (40). Madankollu, id-dritt għal kumpens għal dannu morali skont l-Artikolu 82(1) tal-GDPR għas-serq ta’ data personali ma jiddependix fuq l-eżistenza ta’ serq ta’ identità jew frodi (41). Id-dannu morali u d-dritt għal kumpens skont l-Artikolu 82(1) tal-GDPR għandu jiġi evalwat fuq bażi ta’ każ b’każ, filwaqt li jittieħdu inkunsiderazzjoni ċ-ċirkustanzi rilevanti kollha.
VI. Konklużjoni
32. Fid-dawl ta’ dawn il-kunsiderazzjonijiet, nipproponi li l-Qorti tal-Ġustizzja tirrispondi għall-ħames domanda magħmula mill-Amtsgericht München, (il-Qorti Distrettwali, München, il-Ġermanja) kif ġej:
L-Artikolu 82(1) tar-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill tas‑27 ta’ April 2016 dwar il-protezzjoni tal-persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali u dwar il-moviment liberu ta’ tali data, u li jħassar id-Direttiva 95/46/KE (Regolament Ġenerali dwar il-Protezzjoni tad-Data)
għandu jiġi interpretat fis-sens li s-serq minn delinkwent mhux magħruf tad-data personali sensittiva ta’ suġġett tad-data jista’ jagħti lok għal dritt għal kumpens għal dannu morali ġaladarba tiġi prodotta l-prova ta’ ksur tar-Regolament Ġenerali dwar il-Protezzjoni tad-Data, ta’ dannu attwali mġarrab u ta’ rabta kawżali bejn id-dannu u dan il-ksur. L-għoti ta’ tali kumpens ma jeħtieġx li d-delinkwent jassumi l-identità tas-suġġett tad-data, u l-pussess ta’ data li tidentifika s-suġġett tad-data lanqas fih innifsu ma jikkostitwixxi serq ta’ identità.