È una sera qualunque nella ridente Metroville e Bob Parr (alias Mr. Incredibile) è appena rientrato a casa dopo una giornata di lavoro in ufficio, ma riceve una telefonata inaspettata.
"Bob!" – grida il suo capo – "abbiamo subito un attacco informatico. I nostri tecnici hanno dimenticato di aggiornare i sistemi di sicurezza e i dati dei dipendenti sono stati rubati e pubblicati in rete!". "Quali dati?", domanda Mr. Incredibile e il datore risponde: "nomi, cognomi, indirizzi di casa e…". Senza nemmeno lasciargli terminare la telefonata, Mr. Incredibile corre immediatamente alla finestra, ma è già troppo tardi: Syndrome è a pochi metri dall'abitazione, pronto ad attaccare la sua famiglia.
L'esempio riportato rappresenta una tipica ipotesi che, in ambito privacy, è definita come data breach, ossia una violazione di sicurezza che comporta – accidentalmente o in modo illecito – distruzione, perdita, modifica, accesso o divulgazione non autorizzata dei dati personali.
Nello specifico, la compagnia di assicurazione per cui lavora Bob è il Titolare del trattamento (art. 4, n. 7, del GDPR); figura che, fra i propri compiti, ha anche quello di garantire la sicurezza dei dati personali trattati, adottando le misure tecniche e organizzative maggiormente idonee allo scopo (art. 32 del GDPR). Diversamente, Bob è l'interessato, ossia la persona fisica identificabile mediante i predetti dati personali (art. 4, n. 1, del GDPR).
È chiaro come, a causa della fuga di dati, Mr. Incredibile abbia subito un importante pregiudizio. Infatti, a seguito della divulgazione del suo indirizzo di residenza, il terribile Syndrome ha potuto facilmente individuare la sua abitazione, mettendo a repentaglio la sicurezza de Gli Incredibili. Quali tutele, dunque, per il soggetto che subisce le conseguenze negative della violazione delle norme poste a tutela della privacy?
La risposta è offerta dall'art. 82 del GDPR, ai sensi del quale: chiunque subisca un danno materiale o immateriale causato da una violazione del Regolamento ha il diritto di ottenere il risarcimento. Pertanto, Bob potrà adire il tribunale di Metroville e rivendicare il proprio diritto al risarcimento, tuttavia il datore di lavoro potrebbe andare esente da responsabilità, laddove riuscisse a dimostrare che l'evento dannoso non gli sia in alcun modo imputabile.
Sul punto, occorre prestare attenzione al recentissimo intervento della CGUE (causa C-300/21), secondo cui la mera violazione del GDPR non fa sorgere un automatico diritto al risarcimento, essendo necessario che l'interessato abbia realmente subito un pregiudizio. Ciononostante, precisano i giudici, ai fini della risarcibilità del danno immateriale, non occorre il raggiungimento di una determinata soglia di gravità.
Nessun rischio, dunque, per Bob Parr. D'altronde, considerando che la violazione scaturisce dalla negligenza del personale tecnico, che aveva omesso di aggiornare i sistemi di sicurezza aziendale, il Titolare del trattamento non ha vie di scampo e risulterà sicuramente responsabile del danno immateriale arrecato a Mr. Incredibile, dovendogli risarcire il pregiudizio subito.
