Sulla responsabilità dell’Amministrazione finanziaria come «titolare del trattamento» in caso di data breach per «attacco hacker» di terzi: profili critici e sistematici

By the judgment at hand, the ECJ is concerned with the critical analysis of the application of the relevant rules enshrined in the GDPR aimed at safeguarding the natural person (taxpayer) in the case of unauthorised disclosure of his personal data because of hacking into domestic Tax Authority («TA») databases by third parties. In this regard, the ECJ pointed out a three-tailored approach to the evaluation of such an issue: firstly, by verifying and assessing what elements would be suitable to make TA liable as controller of the processing of taxpayers’ personal data for compensation in favour of taxpayers who claim suffering damage from a data breach occurred by third parties against TA databases, and, above all, whether the latter fact may be enough to consider TA exempt from such a liability. Secondly, whether the requirements for compensation by TA of a non-material damage aligned with the risk of an abusive use of taxpayers’ personal data by third unauthorised parties are met in the case of the afore-mentioned data breach. Last but not least, the ECJ scrutinised what parameters as well as criteria should be taken into account by judges when such a suit is brought before domestic courts by taxpayers who claim having suffered a non-material damage and, therefore, is demanded TA to be pronounced liable for data breach.

La CGUE affronta nuovamente il delicato tema dell’applicazione delle norme contenute nel GDPR a tutela della persona fisica (contribuente) in caso di divulgazione non autorizzata dei propri dati personali, a séguito di un attacco informatico nei confronti dei databases dell’Amministrazione finanziaria (“AF”), da parte di soggetti esterni (“terzi”) all’AF. I giudici europei concentrano l’attenzione su tre profili di particolare interesse: anzitutto, la verifica e la valutazione di quali elementi integrino la responsabilità dell’AF quale titolare del trattamento dei dati personali del contribuente e, in particolare, se la clausola di esonero da responsabilità sia validamente invocabile sulla scorta dell’avvenuta divulgazione dei dati personali da parte di terzi e non di dipendenti dell’AF. Successivamente, se si configuri un’ipotesi di risarcibilità del danno immateriale sofferto dal contribuente a séguito del data breach occorso ai sistemi informatici dell’AF e segnatamente consistente nel timore di un potenziale utilizzo abusivo dei dati personali da parte di terzi. In ultima istanza, a quali parametri e in conformità a quali criteri debba informarsi il ruolo del giudice chiamato a decidere sulla responsabilità dell’AF e sulla risarcibilità, da parte dell’AF e in favore del contribuente, del danno immateriale anzidetto.