GDPR: violazione dei dati e adeguatezza delle misure tecniche e organizzative

Nelle Conclusioni rassegnate il 27 aprile u.s. nella Causa C‑340/21, l’Avvocato generale della Corte UE, Giovanni Pitruzzella, ha sottolineato alcuni importanti principi sui profili di responsabilità del titolare del trattamento in caso di data breach per l’accesso ad un sistema informatico da parte di terzi. Nel dettaglio, ecco i punti più salienti che devono “attenzionare” i titolari del trattamento dei dati:

  • la fattispecie di responsabilità da illecito trattamento di dati personali disegnata dall’art. 82 del GDPR è una responsabilità aggravata per colpa presunta;
  • la mera esistenza di una “violazione dei dati personali” non è di per sé sufficiente per concludere che le misure tecniche e organizzative attuate dal titolare del trattamento non siano state “adeguate” a garantire la protezione dei dati in questione;
  • nel verificare l’adeguatezza delle misure, il giudice nazionale adito deve effettuare un controllo che si estende a un’analisi concreta sia del contenuto di tali misure sia del modo in cui sono state applicate;
  • il titolare del trattamento ha l’onere di dimostrare l’adeguatezza delle misure che ha attuato nell’ambito di un’azione di risarcimento danni.

.

Leggi il documento