Quando è risarcibile il furto dei dati personali?
Il GDPR General Data Protection Regulation (regolamento n. 679/2016) all'articolo 4, punto 12 afferma: «la violazione dei dati personali» (personal data breach) consiste ne «la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati».
La definizione di furto dei dati è apprestata dai considerando 75 e 85 del GDPR i quali menzionano, rispettivamente, "i trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale", con la conseguente probabilità di apportare rischi per i diritti e le libertà delle persone fisiche, e "una violazione dei dati personali" che, se non affrontata in modo adeguato e tempestivo, può provocare danni fisici, materiali o immateriali: in entrambi i casi, il furto d'identità è annoverato tra gli esempi di condotte relative al trattamento di dati personali che potrebbero cagionare un danno fisico, materiale o immateriale.
Il furto di dati personali sensibili può far sorgere il diritto al risarcimento del danno immateriale qualora sia fornita la prova di una violazione del GDPR, di un danno concretamente subito e di un nesso di causalità tra danno e violazione. Il risarcimento sarebbe ammesso anche se i dati non siano stati ancora usati dagli autori del reato.
Infatti il considerando 146 del GDPR riconosce che "Il titolare del trattamento o il responsabile del trattamento dovrebbe risarcire i danni cagionati a una persona da un trattamento non conforme al presente regolamento", consentendo un'interpretazione estensiva al concetto di danno".
Affinché si possa configurare il risarcimento nel caso di furto dei dati personali devono risultare integrate tre condizioni: -che le persone fisiche abbiano il controllo dei dati personali che le riguardano; -che agli interessati sia inibito l'esercizio del controllo sui dati personali; -che le persone fisiche perdano il controllo dei dati personali.